Freigeben über


Schützen von Microsoft 365 vor lokalen Angriffen

Viele Kunden verbinden ihre privaten Unternehmensnetzwerke mit Microsoft 365, um Vorteile für ihre Benutzer, Geräte und Anweisungen nutzbar zu machen. Es gibt jedoch viele gut dokumentierte Möglichkeiten, wie diese privaten Netzwerke kompromittiert werden können. Microsoft 365 fungiert für viele Organisationen als eine Art Nervensystem. Es ist wichtig, dieses System vor den Folgen von Schäden an der lokalen Infrastruktur zu schützen.

In diesem Artikel wird beschrieben, wie Sie Ihre Systeme so konfigurieren, dass Ihre Microsoft 365-Cloudumgebung vor lokalen Gefährdungen geschützt ist. Dies schließt die folgenden Elemente ein:

  • Microsoft Entra-Mandantenkonfigurationseinstellungen
  • Sicheres Verbinden von Microsoft Entra-Mandanten mit lokalen Systemen
  • Erforderliche Kompromisse bei der Ausführung Ihrer Systeme, damit Ihre Cloudsysteme vor lokalen Gefährdungen geschützt sind

Microsoft empfiehlt dringend, diese Vorgaben zu implementieren.

Bedrohungsquellen in lokalen Umgebungen

Ihre Microsoft 365 Cloud-Umgebung profitiert von einer umfassenden Überwachungs- und Sicherheitsinfrastruktur. Microsoft 365 nutzt maschinelles Lernen und menschliche Intelligenz, um den weltweiten Datenverkehr zu untersuchen. Auf diese Weise können Angriffe schnell erkannt werden, sodass Sie nahezu in Echtzeit Ihre Konfiguration anpassen können.

Hybridbereitstellungen können die lokale Infrastruktur mit Microsoft 365 verbinden. In solchen Bereitstellungen delegieren viele Organisationen die Vertrauensstellung in Bezug auf wichtige Entscheidungen zur Authentifizierung und zur Verwaltung des Verzeichnisobjektstatus an lokale Komponenten. Wenn die lokale Umgebung kompromittiert wird, führen diese Vertrauensbeziehungen dazu, dass Angreifer die Möglichkeit haben, Ihre Microsoft 365-Umgebung zu kompromittieren.

Die zwei primären Angriffsvektoren sind Verbundvertrauensbeziehungen und Kontosynchronisierung. Beide Vektoren können einem Angreifer Administratorzugriff auf Ihre Cloud ermöglichen.

  • Verbundvertrauensbeziehungen, wie z. B. die SAML-Authentifizierung (Security Assertion Markup Language), werden für die Authentifizierung bei Microsoft 365 über Ihre lokale Identitätsinfrastruktur verwendet. Wenn ein SAML-Tokensignaturzertifikat kompromittiert ist, kann jeder Benutzer mit diesem Zertifikat die Identität eines beliebigen Benutzers in Ihrer Cloud annehmen.

    Wir empfehlen Ihnen, Verbundvertrauensbeziehungen für die Authentifizierung bei Microsoft 365 nach Möglichkeit zu deaktivieren.

  • Kontosynchronisierung kann verwendet werden, um privilegierte Benutzer (einschließlich ihrer Anmeldeinformationen) oder Gruppen zu ändern, die in Microsoft 365 über Administratorberechtigungen verfügen.

    Wir empfehlen Ihnen, sicherzustellen, dass synchronisierte Objekte in Microsoft 365 keine über Benutzer hinausgehenden Berechtigungen besitzen. Sie können Berechtigungen entweder direkt oder über die Aufnahme in vertrauenswürdige Rollen oder Gruppen steuern. Stellen Sie sicher, dass diese Objekte keine direkte oder geschachtelte Zuweisung in vertrauenswürdigen Cloudrollen oder Gruppen aufweisen.

Schützen von Microsoft 365 vor Beschädigung durch lokale Angriffe

Um den oben beschriebenen Bedrohungen Rechnung zu tragen, empfiehlt es sich, die im folgenden Diagramm dargestellten Prinzipien zu befolgen:

Referenzarchitektur für den Schutz von Microsoft 365 gemäß Beschreibung in der folgenden Liste.

  1. Isolieren Sie Ihre Microsoft 365-Administratorkonten vollständig. Auf sie sollte Folgendes zutreffen:

    • In Microsoft Entra ID gemastert.
    • Sie werden über die mehrstufige Authentifizierung authentifiziert.
    • Gesichert durch bedingten Zugriff von Microsoft Entra.
    • Der Zugriff erfolgt nur über verwaltete Azure-Arbeitsstationen.

    Diese Administratorkonten sind Konten mit eingeschränktem Anwendungsbereich. In Microsoft 365 sollten keine lokalen Konten mit Administratorrechten vorhanden sein.

    Weitere Informationen finden Sie unter Informationen zu Administratorrollen. Weitere Informationen finden Sie unter Rollen für Microsoft 365 in Microsoft Entra ID.

  2. Verwalten von Geräten aus Microsoft 365. Verwenden Sie den Beitritt zu Microsoft Entra und die cloudbasierte mobile Geräteverwaltung (Mobile Device Management, MDM), um Abhängigkeiten von Ihrer lokalen Infrastruktur für die Geräteverwaltung zu beseitigen. Diese Abhängigkeiten können Geräte- und Sicherheitskontrollen gefährden.

  3. Stellen Sie sicher, dass kein lokales Konto über erhöhte Rechte für Microsoft 365 verfügt. Einige Konten greifen auf lokale Anwendungen zu, für die eine NTLM-, LDAP- oder Kerberos-Authentifizierung erforderlich ist. Diese Konten müssen sich in der lokalen Identitätsinfrastruktur der Organisation befinden. Stellen Sie sicher, dass diese Konten (einschließlich Dienstkonten) nicht in privilegierten Cloudrollen oder Gruppen enthalten sind. Achten Sie außerdem darauf, dass sich Änderungen an diesen Konten nicht auf die Integrität Ihrer Cloudumgebung auswirken können. Privilegierte lokale Software darf privilegierte Konten oder Rollen von Microsoft 365 nicht beeinträchtigen können.

  4. Verwenden Sie Microsoft Entra-Cloudauthentifizierung, um Abhängigkeiten von Ihren lokalen Anmeldeinformationen auszuschließen. Verwenden Sie immer starke Authentifizierung, z. B. Windows Hello, FIDO, Microsoft Authenticator oder Microsoft Entra Multi-Faktor-Authentifizierung.

Spezifische Sicherheitsempfehlungen

In den folgenden Abschnitten finden Sie Anweisungen zum Implementieren der oben beschriebenen Prinzipien.

Isolieren privilegierter Identitäten

In Microsoft Entra ID sind Benutzer mit privilegierten Rollen, wie z.B. Administratoren, die Wurzel des Vertrauens für den Aufbau und die Verwaltung der restlichen Umgebung. Implementieren Sie die folgenden Verfahren, um die Auswirkungen einer Gefährdung zu minimieren.

  • Verwenden Sie reine Cloudkonten für privilegierte Rollen in Microsoft Entra ID und Microsoft 365.

    Für jede Rolle mit hohen Berechtigungen sollten Sie die folgenden Schritte ausführen:

    • Überprüfen Sie die Benutzer, bei denen onPremisesImmutableId und onPremisesSyncEnabled festgelegt sind. Weitere Informationen finden Sie beim Benutzerressourcentyp der Microsoft Graph-API.
    • Erstellen Sie reine Cloudbenutzerkonten für diese Personen, und entfernen Sie ihre Hybrididentität aus privilegierten Rollen.
  • Stellen Sie privilegierte Zugriffsgeräte für den privilegierten Zugriff zum Verwalten von Microsoft 365 und Microsoft Entra ID bereit. Weitere Informationen finden Sie unter Geräterollen und -profile.

    Stellen Sie Microsoft Entra Privileged Identity Management (PIM) für den Just-In-Time-Zugriff auf alle menschlichen Konten bereit, die über privilegierte Rollen verfügen. Erzwingen Sie für die Aktivierung von Rollen starke Authentifizierung. Was ist Microsoft Entra Privileged Identity Management.

  • Stellen Sie administrative Rollen so bereit, dass sie die geringsten benötigten Berechtigungen zum Ausführen der erforderlichen Aufgaben umfassen. Siehe Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID.

  • Zum Aktivieren einer umfassenderen Umgebung zur Rollenzuweisung, die Delegierung und mehrere Rollen gleichzeitig umfasst, sollten Sie die Verwendung von Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen in Erwägung ziehen. Diese Gruppen werden zusammen als Cloudgruppen bezeichnet.

    Aktivieren Sie auch die rollenbasierte Zugriffssteuerung. Siehe Zuweisen von Microsoft Entra-Rollen zu Gruppen. Sie können Verwaltungseinheiten verwenden, um den Umfang der Rollen auf einen Teil der Organisation zu beschränken. Siehe Verwaltungseinheiten in Microsoft Entra ID.

  • Stellen Sie Konten für den Notfallzugriff bereit. Verwenden Sie keine lokalen Kennworttresore zum Speichern von Anmeldeinformationen. Siehe Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.

Weitere Informationen finden Sie unter Sichern des privilegierten Zugriffs. Siehe auch Sichere Zugriffsmethoden für Administratoren in Microsoft Entra ID.

Verwenden von Cloudauthentifizierung

Anmeldeinformationen stellen einen primären Angriffsvektor dar. Implementieren Sie die folgenden Verfahren, um die Sicherheit der Anmeldeinformationen zu steigern:

Einschränkungen und Kompromisse

Für die Kennwortverwaltung für Hybridkonten sind Hybridkomponenten erforderlich, wie etwa Agents für den Kennwortschutz und das Kennwortrückschreiben. Wenn Ihre lokale Infrastruktur beschädigt ist, können Angreifer die Computer steuern, auf denen diese Agents ausgeführt werden. Dieses Sicherheitsrisiko beeinträchtigt die Cloudinfrastruktur nicht. Ihre Cloudkonten schützen diese Komponenten jedoch nicht vor lokalen Kompromittierungen.

Lokale Konten, die von Active Directory synchronisiert werden, sind in Microsoft Entra ID so gekennzeichnet, dass sie nie ablaufen. Diese Einstellung wird in der Regel durch lokale Active Directory-Kennworteinstellungen umgangen. Wenn Ihre Instanz von Active Directory kompromittiert wurde und die Synchronisierung deaktiviert ist, legen Sie die Option EnforceCloudPasswordPolicyForPasswordSyncedUsers fest, um Kennwortänderungen zu erzwingen.

Bereitstellen des Benutzerzugriffs aus der Cloud

Die Bereitstellung bezieht sich auf die Erstellung von Benutzerkonten und Gruppen in Anwendungen oder bei Identitätsanbietern.

Diagramm der Bereitstellungsarchitektur, das die Interaktion von Microsoft Entra ID mit Cloud HR, Microsoft Entra B 2 B, Azure-App-Bereitstellung und gruppenbasierter Lizensierung veranschaulicht.

Die folgenden Bereitstellungsmethoden werden empfohlen:

  • Bereitstellen von Cloud-HR-Apps in Microsoft Entra ID. Diese Bereitstellungsmethode ermöglicht das Isolieren einer lokalen Gefährdung, ohne dass Ihr Zyklus aus Einstellungen, Wechseln und Kündigungen aus Ihren HR-Cloud-Apps zu Microsoft Entra ID unterbrochen wird.

  • Cloudanwendungen. Setzen Sie nach Möglichkeit die Microsoft Entra-App-Bereitstellung anstelle von lokalen Bereitstellungslösungen ein. Diese Methode schützt einige Ihrer Software-as-a-Service-Apps (SaaS-Apps) vor böswilligen Hackerprofilen bei lokalen Sicherheitsverletzungen. Weitere Informationen finden Sie unter Was ist Bereitstellung in Microsoft Entra ID.

  • Externe Identitäten. Verwenden Sie Microsoft Entra B2B Collaboration, um die Abhängigkeit von lokalen Konten für die externe Zusammenarbeit mit Partnern, Kunden und Lieferanten zu reduzieren. Bewerten Sie sorgfältig jeden direkten Verbund mit anderen Identitätsanbietern. Weitere Informationen finden Sie unter Übersicht über die B2B-Zusammenarbeit.

    Es empfiehlt sich, B2B-Gastkonten in folgender Weise einzuschränken:

    • Schränken Sie den Gastzugriff auf die Navigation von Gruppen und anderen Eigenschaften im Verzeichnis ein. Verwenden Sie die Einstellungen für externe Zusammenarbeit, um die Fähigkeit von Gästen einzuschränken, Gruppen zu lesen, bei denen sie nicht Mitglied sind.
    • Blockieren Sie den Zugriff auf das Azure-Portal. Seltene erforderliche Ausnahmen können jedoch festgelegt werden. Erstellen Sie eine Richtlinie für bedingten Zugriff, die alle Gäste und externen Benutzer einschließt. Implementieren Sie dann eine Richtlinie zum Blockieren des Zugriffs. Weitere Informationen finden Sie unter Bedingter Zugriff.
  • Getrennte Gesamtstrukturen. Verwenden Sie die Microsoft Entra-Cloudbereitstellung, um eine Verbindung mit nicht verbundenen Gesamtstrukturen herzustellen. Bei diesem Ansatz entfällt die Notwendigkeit, gesamtstrukturübergreifende Verbindungen oder Vertrauensstellungen einzurichten, die die Auswirkungen einer lokalen Sicherheitsverletzung ausweiten können. Weitere Informationen finden Sie unter Was ist Microsoft Entra Connect-Cloudsynchronisierung.

Einschränkungen und Kompromisse

Bei der Verwendung zum Bereitstellen von Hybridkonten stützt sich Microsoft Entra ID aus Cloudsystemen für die Personalverwaltung auf die lokale Synchronisation, um den Datenfluss von Active Directory zu Microsoft Entra ID durchzuführen. Wenn die Synchronisation unterbrochen wird, stehen keine neuen Mitarbeiterdatensätze in Microsoft Entra ID zur Verfügung.

Verwenden von Cloudgruppen für Zusammenarbeit und Zugriff

Cloudgruppen ermöglichen es Ihnen, Zusammenarbeit und Zugriff von Ihrer lokalen Infrastruktur zu entkoppeln.

  • Zusammenarbeit. Verwenden Sie Microsoft 365-Gruppen und Microsoft Teams für die moderne Zusammenarbeit. Setzen Sie lokale Verteilerlisten außer Kraft, und führen Sie ein Upgrade von Verteilerlisten auf Microsoft 365-Gruppen in Outlook durch.
  • Zugriff. Verwenden Sie Microsoft Entra-Sicherheitsgruppen oder Microsoft 365-Gruppen, um den Zugriff auf Anwendungen in Microsoft Entra ID zu autorisieren.
  • Office 365-Lizenzierung. Verwenden Sie die gruppenbasierte Lizenzierung, um Office 365 mithilfe von reinen Cloudgruppen bereitzustellen. Durch diese Methode wird die Steuerung der Gruppenmitgliedschaft von der lokalen Infrastruktur entkoppelt.

Benutzer von Gruppen, die für den Zugriff verwendet werden, sollten als privilegierte Identitäten angesehen werden, um eine Übernahme der Mitgliedschaft bei lokalen Gefährdungen zu vermeiden. Eine Übernahme würde die direkte lokale Bearbeitung der Gruppenmitgliedschaft oder die lokale Bearbeitung von Attributen umfassen, die sich auf Gruppen mit dynamischer Mitgliedschaft in Microsoft 365 auswirken können.

Verwalten von Geräten aus der Cloud

Verwenden Sie Microsoft Entra-Funktionen, um Geräte sicher zu verwalten.

Stellen Sie in Microsoft Entra eingebundene Windows 10-Arbeitsstationen mithilfe von Richtlinien für die Verwaltung mobiler Geräte bereit. Aktivieren Sie Windows Autopilot, um eine vollständig automatisierte Bereitstellung zu ermöglichen. Weitere Informationen finden Sie unter Planen der Implementierung Ihrer Microsoft Entra-Einbindung und Windows Autopilot.

  • Verwenden Sie Windows 10-Arbeitsstationen.
    • Markieren Sie Computer mit Windows 8.1 und früheren Versionen als veraltet.
    • Stellen Sie keine Computer mit Serverbetriebssystemen als Arbeitsstationen bereit.
  • Verwenden Sie Microsoft Intune als Autorität für alle Geräteverwaltungs-Workloads. Informationen finden Sie unter Microsoft Intune.
  • Stellen Sie Geräte mit privilegiertem Zugriff bereit. Weitere Informationen finden Sie unter Geräterollen und -profile.

Workloads, Anwendungen und Ressourcen

  • Lokale Systeme für einmaliges Anmelden (Single-Sign-On, SSO)

    Markieren Sie jede lokale Verbundinfrastruktur und Webzugriffsverwaltungs-Infrastruktur als veraltet. Konfigurieren Sie Anwendungen für die Verwendung von Microsoft Entra ID.

  • SaaS- und Branchenanwendungen, die moderne Authentifizierungsprotokolle unterstützen

    Verwenden Sie Microsoft Entra ID für einmaliges Anmelden. Je mehr Apps Sie für die Verwendung von Microsoft Entra ID für die Authentifizierung konfigurieren, desto geringer ist das Risiko bei einer lokalen Gefährdung. Weitere Informationen finden Sie unter Was ist einmaliges Anmelden in Microsoft Entra ID.

  • Legacyanwendungen

    Sie können für ältere Anwendungen, die keine moderne Authentifizierung unterstützen, Authentifizierung, Autorisierung und Remotezugriff aktivieren. Verwenden Sie Microsoft Entra-Anwendungsproxy. Sie können die Aktivierung auch über eine Netzwerklösung oder einen Controller zur Anwendungsbereitstellung mithilfe von Partnerintegrationen mit sicherem Hybridzugriff vornehmen. Siehe Sichern von Legacy-Apps mit Microsoft Entra ID.

    Wählen Sie einen VPN-Anbieter aus, der die moderne Authentifizierung unterstützt. Integrieren Sie die Authentifizierung mit Microsoft Entra ID. Bei einer lokalen Gefährdung können Sie Microsoft Entra ID verwenden, um den Zugriff durch Deaktivierung des VPN zu deaktivieren oder zu sperren.

  • Anwendungs- und Workloadserver

    Anwendungen oder Ressourcen, die Server erfordern, können zu Azure-IaaS (Infrastructure-as-a-Service) migriert werden. Verwenden Sie Microsoft Entra Domain Services, um Vertrauensstellungen und Abhängigkeiten von lokalen Instanzen von Active Directory zu entkoppeln. Damit die Entkoppelung erfolgreich ist, dürfen virtuelle Netzwerke, die für Microsoft Entra Domain Services verwendet werden, nicht mit Unternehmensnetzwerken verbunden sein. Siehe Microsoft Entra Domain Services.

    Verwenden Sie die Anmeldeinformationsebene. Anwendungsserver gelten in der Regel als Ressourcen der Ebene 1. Weitere Informationen finden Sie unter Unternehmenszugriffsmodell.

Richtlinien für bedingten Zugriff

Verwenden Sie den bedingten Zugriff von Microsoft Entra, um Signale zu interpretieren und auf ihrer Grundlage Authentifizierungsentscheidungen zu treffen. Weitere Informationen finden Sie unter Bereitstellungsplan für bedingten Zugriff.

Monitor

Nachdem Sie Ihre Umgebung so konfiguriert haben, dass Ihr Microsoft 365 vor lokaler Gefährdung geschützt ist, überwachen Sie die Umgebung proaktiv. Weitere Informationen finden Sie unter Was ist die Microsoft Entra-Überwachung?.

Szenarien für die Überwachung

Überwachen Sie die folgenden wichtigen Szenarien, zusätzlich zu den Szenarien, die für Ihre Organisation spezifisch sind. Beispielsweise sollten Sie den Zugriff auf unternehmenskritische Anwendungen und Ressourcen proaktiv überwachen.

  • Verdächtige Aktivitäten

    Überwachen Sie alle Microsoft Entra ID-Risikoereignisse auf verdächtige Aktivitäten. Weitere Informationen finden Sie unter Vorgehensweise: Untersuchen von Risiken. Microsoft Entra ID Protection ist direkt in Microsoft Defender for Identity integriert.

    Definieren Sie die benannten Standorte im Netzwerk, um die aufwändige Erkennung anhand von standortbasierten Signalen zu vermeiden. Weitere Informationen finden Sie unter Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff.

  • UEBA-Warnungen (User and Entity Behavior Analytics)

    Verwenden Sie UEBA, um Erkenntnisse aus der Anomalieerkennung zu gewinnen. Microsoft Defender for Cloud Apps bietet UEBA in der Cloud. Weitere Informationen finden Sie unter Untersuchen von Risikobenutzern.

    Sie können das lokale UEBA aus Azure ATP (Advanced Threat Protection) integrieren. Microsoft Defender for Cloud Apps liest Signale aus Microsoft Entra ID Protection. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einer Active Directory-Gesamtstruktur.

  • Aktivität bei Konten für den Notfallzugriff

    Überwachen Sie jeden Zugriff, bei dem Konten für den Notfallzugriff verwendet werden. Siehe Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID. Erstellen Sie Warnungen für Untersuchungen. Diese Überwachung muss die folgenden Aktionen umfassen:

    • Anmeldungen
    • Verwaltung von Anmeldeinformationen
    • Alle Aktualisierungen von Gruppenmitgliedschaften
    • Anwendungszuweisungen
  • Aktivität bei privilegierten Rollen

    Konfigurieren und überprüfen Sie die von Microsoft Entra Privileged Identity Management (PIM) generierten Sicherheitswarnungen. Überwachen Sie die direkte Zuweisung von privilegierten Rollen außerhalb von PIM, indem Sie Warnungen generieren, wenn eine direkte Zuweisung an Benutzer erfolgt. Weitere Informationen finden Sie unter Sicherheitswarnungen.

  • Microsoft Entra mandantenweite Konfigurationen

    Für jede Änderung an mandantenweiten Konfigurationen sollten Warnungen im System generiert werden. Diese Änderungen umfassen u. a. die folgenden Änderungen:

    • Aktualisierte benutzerdefinierte Domänen
    • Microsoft Entra B2B-Änderungen an Positivlisten und Sperrlisten
    • Änderungen an den von Microsoft Entra B2B zugelassenen Identitätsanbietern, wie z. B. SAML-Identitätsanbieter über direkte Verbundanmeldungen oder Anmeldungen bei sozialen Netzwerken
    • Änderungen an Richtlinien für bedingten Zugriff oder Risiko
  • Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory (Azure AD)

    • Neue Anwendungen oder Dienstprinzipale, die möglicherweise Richtlinien für bedingten Zugriff erfordern
    • Anmeldeinformationen, die Dienstprinzipalen hinzugefügt werden
    • Anwendungszustimmungsaktivitäten
  • Benutzerdefinierte Rollen

    • Aktualisierungen der benutzerdefinierten Rollendefinitionen
    • Neu erstellte benutzerdefinierte Rollen

Protokollverwaltung

Definieren Sie eine Strategie für die Protokollspeicherung und -aufbewahrung, und entwerfen und implementieren Sie diese, um ein konsistentes Toolset bereitzustellen. Sie können z. B. SIEM-Systeme (Security Information & Event Management) wie Microsoft Sentinel, allgemeine Abfragen, Untersuchungen und Forensik-Playbooks in Erwägung ziehen.

  • Microsoft Entra-Protokolle Erfassen Sie die generierten Protokolle und Signale durch konsistente Einhaltung der bewährten Methoden für Einstellungen wie Diagnose, Protokollaufbewahrung und SIEM-Erfassung.

    Die Protokollstrategie muss die folgenden Microsoft Entra-Protokolle beinhalten:

    • Anmeldeaktivität
    • Überwachungsprotokolle
    • Risikoereignisse

    Microsoft Entra ID bietet Azure Monitor-Integration für die Protokolle zu Anmeldeaktivitäten und Überwachungsprotokollen. Siehe Microsoft Entra-Aktivitätsprotokolle in Azure Monitor.

    Verwenden Sie die Microsoft Graph-API, um Risikoereignisse zu erfassen. Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs.

    Sie können Microsoft Entra-Protokolle in Azure Monitor-Protokolle streamen. Weitere Informationen finden Sie unter Integration von Microsoft Entra ID-Protokollen in Azure Monitor-Protokolle.

  • Sicherheitsprotokolle des Betriebssystems in Hybridinfrastrukturen. Bei Verwendung einer Hybrididentitätsinfrastruktur sollten angesichts der Auswirkungen auf die Oberfläche alle Betriebssystemprotokolle archiviert und sorgfältig als System der Ebene 0 überwacht werden. Schließen Sie folgende Elemente ein:

    • Anwendungsproxy-Agents

    • Agents für das Kennwortrückschreiben

    • Kennwortschutzgateway-Computer

    • Netzwerkrichtlinienserver (NPS) mit der RADIUS-Erweiterung für die Microsoft Entra-Multi-Faktor-Authentifizierung

    • Microsoft Entra Connect

      Sie müssen Microsoft Entra Connect Health bereitstellen, um die Identitätssynchronisierung zu überwachen. Siehe Was ist Microsoft Entra Connect.

Nächste Schritte