Von Microsoft verwaltete Richtlinien

Wie im Microsoft Digital Defense Report im Oktober 2023 erwähnt

...Bedrohungen für den digitalen Frieden haben das Vertrauen in die Technologie geschwächt und die dringende Notwendigkeit einer verbesserten Cyberabwehr auf allen Ebenen deutlich gemacht...

...bei Microsoft analysieren unsere mehr als 10.000 Sicherheitsexperten jeden Tag über 65 Billionen Signale... und liefern damit einige der einflussreichsten Erkenntnisse im Bereich der Cybersicherheit. Gemeinsam können wir durch innovatives Handeln und kollektive Verteidigung die Widerstandsfähigkeit im Cyberspace erhöhen.

Im Rahmen dieser Arbeit stellen wir von Microsoft verwaltete Richtlinien in Microsoft Entra-Mandanten auf der ganzen Welt zur Verfügung. Diese vereinfachte Richtlinien für den bedingten Zugriff ergreifen Maßnahmen, um die Multi-Faktor-Authentifizierung zu erfordern. Dies kann das Risiko einer Kompromittierung um mehr als 99 % verringern, besagt eine aktuelle Studie.

Administratoren, denen mindestens die Rolle Administrator für bedingten Zugriff zugewiesen ist, finden diese Richtlinien im Microsoft Entra Admin Center unter Schutz>Bedingter Zugriff>Richtlinien.

Administratoren haben die Möglichkeit, den Status (Ein, Aus oder Nur Bericht) und die ausgeschlossenen Identitäten (Benutzer, Gruppen und Rollen) in der Richtlinie zu bearbeiten. Organisationen sollten ihre Break-Glass- oder Notfallzugriffskonten von diesen Richtlinien genauso ausschließen, wie sie es in anderen Richtlinien für bedingten Zugriff tun würden. Organisationen können diese Richtlinien duplizieren, wenn sie mehr Änderungen vornehmen möchten als die grundlegenden, die in den von Microsoft verwalteten Versionen zulässig sind.

Microsoft aktiviert diese Richtlinien frühestens 90 Tage nach ihrer Einführung in Ihrem Mandanten, wenn sie im Status Nur Bericht belassen werden. Administratoren können diese Richtlinien auch früher einschalten oder den Status der Richtlinie auf Aus setzen. Kunden werden über E-Mails und Nachrichtencenterbeiträge 28 Tage vor der Aktivierung der Richtlinien benachrichtigt.

Richtlinien

Mit diesen von Microsoft verwalteten Richtlinien können Administratoren einfache Änderungen vornehmen, z. B. Benutzer ausschließen oder vom Modus Nur Bericht auf Ein- oder Ausschalten aktivieren oder deaktivieren. Organisationen können keine von Microsoft verwalteten Richtlinien umbenennen oder löschen. Wenn Administratoren mit der Richtlinie für bedingten Zugriff vertrauter werden, können sie die Richtlinie duplizieren, um eigene Versionen zu erstellen.

Da sich die Bedrohungen im Laufe der Zeit weiterentwickeln, könnte Microsoft diese Richtlinien in Zukunft ändern, um neue Features und Funktionen zu nutzen oder um ihre Funktion zu verbessern.

Multi-Faktor-Authentifizierung für Administratoren, die auf Microsoft-Verwaltungsportale zugreifen

Diese Richtlinie umfasst 14 Administratorrollen, die wir als hochgradig privilegierter Benutzer betrachten, die auf die Gruppe Microsoft Admin Portals zugreifen und diese für die mehrstufige Authentifizierung benötigen.

Diese Richtlinie zielt auf Microsoft Entra ID P1- und P2-Mandanten ab, bei denen die Sicherheitsstandards nicht aktiviert sind.

Multi-Faktor-Authentifizierung für Benutzer mit mehrstufiger Authentifizierung

Diese Richtlinie deckt Benutzer*innen als MFA pro Benutzer*in ab, eine Konfiguration, die Microsoft nicht mehr empfiehlt. Bedingter Zugriff bietet eine bessere Administratorerfahrung mit vielen zusätzlichen Features. Die Konsolidierung aller MFA-Richtlinien in Bedingten Zugang kann Ihnen dabei helfen, MFA gezielter vorzuschreiben und so die Reibungsverluste für Endbenutzer*innen zu verringern und gleichzeitig die Sicherheit aufrechtzuerhalten.

Diese Richtlinie gilt für:

• Lizenzierte Benutzer mit Microsoft Entra ID P1 und P2.
• Wenn Sicherheitsstandards nicht aktiviert sind.
• Es gibt weniger als 500 Benutzer mit aktivierter oder erzwungener MFA pro Benutzer.

Um diese Richtlinie auf weitere Benutzer anzuwenden, duplizieren Sie sie, und ändern Sie die Zuweisungen.

Multi-Faktor-Authentifizierung und erneute Authentifizierung für riskante Anmeldungen

Diese Richtlinie umfasst alle Benutzer und erfordert MFA und erneute Authentifizierung, wenn wir Anmeldungen mit hohem Risiko erkennen. Hohes Risiko bedeutet in diesem Fall, dass die Art und Weise, in der sich der Benutzer anmeldet, etwas Ungewöhnliches ist. Diese Anmeldungen mit hohem Risiko können Folgendes umfassen: stark abnormale Reisen, Kennwortsprühangriffe oder Tokenwiederholungsangriffe sind. Weitere Informationen zu diesen Risikodefinitionen finden Sie im Artikel Was sind Risikoerkennungen.

Diese Richtlinie zielt auf Microsoft Entra ID P2-Mandanten ab, bei denen die Sicherheitsstandards nicht aktiviert sind.

• Wenn die P2-Lizenzen der Gesamtzahl der für MFA registrierten aktiven Benutzer entsprechen oder diese übersteigen, gilt die Richtlinie für „Alle Benutzer“.
• Wenn die Zahl der für MFA registrierten aktiven Benutzer die Anzahl der P2-Lizenzen übersteigt, wird die Richtlinie auf der Grundlage der verfügbaren P2-Lizenzen erstellt und einer begrenzten Sicherheitsgruppe zugewiesen. Sie können die Mitgliedschaft der Sicherheitsgruppe der Richtlinie ändern.

Um Angreifer daran zu hindern, Konten zu übernehmen, erlaubt Microsoft riskanten Benutzern nicht, sich für MFA zu registrieren.

Sicherheitsstandardrichtlinien

Die folgenden Richtlinien sind verfügbar, wenn Sie ein Upgrade von der Verwendung der Sicherheitsvorgaben durchführen.

Blockieren älterer Authentifizierungsmethoden

Diese Richtlinie verhindert, dass ältere Authentifizierungsprotokolle auf Anwendungen zugreifen. Legacyauthentifizierung bezieht sich auf eine Authentifizierungsanforderung von:

• Clients, die keine moderne Authentifizierung verwenden (z. B. ein Office 2010-Client)
• Jeder Client, der ältere E-Mail-Protokolle wie IMAP, SMTP oder POP3 verwendet
• Jeder Anmeldeversuch mithilfe der Legacyauthentifizierung wird blockiert.

Die meisten gefährdenden Anmeldeversuche auf Legacyauthentifizierungen zurückzuführen. Da die Legacyauthentifizierung die mehrstufige Authentifizierung nicht unterstützt, kann ein Angreifer Ihre MFA-Anforderungen mithilfe eines älteren Protokolls umgehen.

Multi-Faktor-Authentifizierung für die Azure-Verwaltung erfordern

Diese Richtlinie umfasst alle Benutzer, wenn sie versuchen, auf verschiedene Azure-Dienste zuzugreifen, die über die Azure Resource Manager-API verwaltet werden, einschließlich:

• Azure-Portal
• Microsoft Entra Admin Center
• Azure PowerShell
• Azure-Befehlszeilenschnittstelle

Bei dem Versuch, auf eine dieser Ressourcen zuzugreifen, muss der Benutzer MFA abschließen, bevor er Zugriff erhält.

Multi-Faktor-Authentifizierung für Administratoren erfordern

Diese Richtlinie deckt alle Benutzer mit einer von 14 Administratorrollen ab, die wir als hochprivilegiert betrachten. Aufgrund der Leistungsfähigkeit dieser hoch privilegierten Konten sind sie für MFA erforderlich, wenn sie sich bei einer Anwendung anmelden.

Multi-Faktor-Authentifizierung für alle Benutzer erfordern

Diese Richtlinie deckt alle Benutzer in Ihrer Organisation ab und setzt sie bei jeder Anmeldung für MFA voraus. In den meisten Fällen bleibt die Sitzung auf dem Gerät erhalten, und Benutzer müssen MFA nicht abschließen, wenn sie mit einer anderen Anwendung interagieren.

Wie sehe ich die Auswirkungen dieser Richtlinien?

Administratoren können sich den Abschnitt Richtlinieneinwirkungen auf Anmeldevorgänge ansehen, um eine kurze Zusammenfassung der Auswirkungen der Richtlinie in ihrer Umgebung anzuzeigen.

Administratoren können die Anmeldeprotokolle von Microsoft Entra genauer untersuchen, um diese Richtlinien in ihrer Organisation in Aktion zu sehen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
3. Suchen Sie die spezifische Anmeldung, die Sie überprüfen möchten. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.
   1. Um den Bereich einzugrenzen, fügen Sie Filter wie folgt hinzu:
      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.
      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
      3. Benutzername zum Anzeigen von Informationen zu bestimmten Benutzern.
      4. Datum zur Festlegung des fraglichen Zeitraums.
4. Wenn Sie das Anmeldeereignis, das den Anmeldedaten des Benutzers entspricht, gefunden haben, wählen Sie die Registerkarte Bedingter Zugriff aus. Die Registerkarte „Bedingter Zugriff“ zeigt die spezielle Richtlinie (ggf. auch mehrere Richtlinien) an, die zur Unterbrechung der Anmeldung geführt hat.
   1. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird die Benutzeroberfläche für die Richtlinienkonfiguration für die ausgewählte Richtlinie angezeigt, um diese zu überprüfen und zu bearbeiten.
   2. Der Clientbenutzer und die Gerätedetails, die für die Bewertung der Richtlinie für bedingten Zugriff verwendet wurden, sind auch auf den Registerkarten Grundlegende Infos, Standort, Geräteinformationen, Authentifizierungsdetails und Weitere Details des Anmeldeereignisses verfügbar.

Was ist bedingter Zugriff?

Bedingter Zugriff ist ein Microsoft Entra-Feature, mit dem Organisationen beim Zugriff auf Ressourcen Sicherheitsanforderungen erzwingen können. Conditional Access wird häufig verwendet, um eine mehrstufige Authentifizierung, Gerätekonfiguration oder Anforderungen an den Netzwerkstandort durchzusetzen.

Diese Maßnahmen können als logische Wenn-dann-Anweisungen betrachtet werden.

Wenn die Zuordnungen (Benutzer, Ressourcen und Bedingungen) wahr sind, dann werden die Zugriffssteuerungen (Gewähren und/oder Sitzung) in der Richtlinie angewendet. Wenn Sie ein Administrator sind, der auf eines der Microsoft-Verwaltungsportale zugreifen möchte, dann müssen Sie die mehrstufige Authentifizierung durchführen, um zu beweisen, dass Sie es wirklich sind.

Was geschieht, wenn ich weitere Änderungen vornehmen möchte?

Administratoren können weitere Änderungen an diesen Richtlinien vornehmen, indem Sie sie mithilfe der Schaltfläche Duplizieren in der Richtlinienlistenansicht duplizieren. Diese neue Richtlinie kann auf die gleiche Weise wie jede andere Richtlinie für bedingten Zugriff konfiguriert werden, wobei sie von einer von Microsoft empfohlenen Position gestartet wird.

Welche Administratorrollen werden von diesen Richtlinien abgedeckt?

• Globaler Administrator
• Anwendungsadministrator
• Authentifizierungsadministrator
• Abrechnungsadministrator
• Cloudanwendungsadministrator
• Administrator für bedingten Zugriff
• Exchange-Administrator
• Helpdeskadministrator
• Kennwortadministrator
• Privilegierter Authentifizierungsadministrator
• Administrator für privilegierte Rollen
• Sicherheitsadministrator
• SharePoint-Administrator
• Benutzeradministrator

Was geschieht, wenn ich eine andere Lösung für die mehrstufige Authentifizierung verwende?

Die mehrstufige Authentifizierung wurde über den Partnerverbund abgeschlossen oder die kürzlich angekündigten externen Authentifizierungsmethoden erfüllen die Anforderungen der verwalteten Richtlinie.

Nächste Schritte

• Bereitstellen anderer häufig verwendeter Richtlinien aus Vorlagen
• Konfigurieren und Verwenden des schreibgeschützten Modus für bedingten Zugriff