Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Identitätsverwaltung ist der Prozess der Authentifizierung und Autorisierung von Sicherheitsprinzipale. Es umfasst auch das Steuern von Informationen über diese Prinzipale (Identitäten). Sicherheitsprinzipale (Identitäten) können Dienste, Anwendungen, Benutzer, Gruppen usw. enthalten. Microsoft Identity and Access Management-Lösungen helfen IT beim Schutz des Zugriffs auf Anwendungen und Ressourcen im gesamten Unternehmensdatencenter und in der Cloud. Dieser Schutz ermöglicht zusätzliche Überprüfungsebenen, z. B. mehrstufige Authentifizierung und Richtlinien für bedingten Zugriff. Das Überwachen verdächtiger Aktivitäten durch erweiterte Sicherheitsberichte, Überwachung und Warnung trägt dazu bei, potenzielle Sicherheitsprobleme zu mindern. Microsoft Entra ID P1 oder P2 bietet Einmaliges Anmelden (Single Sign-On, SSO) für Tausende von Cloudsoftware as a Service (SaaS)-Apps und Zugriff auf Web-Apps, die Sie lokal ausführen.
Indem Sie die Sicherheitsvorteile von Microsoft Entra ID nutzen, können Sie:
- Erstellen und Verwalten einer einzelnen Identität für jeden Benutzer in Ihrer gesamten hybriden Unternehmensumgebung, wobei Benutzer, Gruppen und Geräte synchronisiert werden
- Bieten Sie SSO-Zugriff auf Ihre Anwendungen, einschließlich Tausenden vordefinierter SaaS-Apps.
- die Sicherheit für den Anwendungszugriff durch Erzwingen der regelbasierten Multi-Faktor-Authentifizierung für lokale Anwendungen und Cloudanwendungen aktivieren.
- sicheren Remotezugriff auf lokale Webanwendungen mit dem Microsoft Entra-Anwendungsproxy bereitstellen.
Ziel dieses Artikels ist es, einen Überblick über die wichtigsten Azure-Sicherheitsfeatures bereitzustellen, die bei der Identitätsverwaltung helfen. Wir bieten auch Links zu Artikeln, die Details zu den einzelnen Features enthalten, damit Sie mehr erfahren können.
Der Artikel befasst sich mit den folgenden kernen Azure Identity Management-Funktionen:
- Einmaliges Anmelden
- Reverseproxy
- Mehrstufige Authentifizierung
- Azure-rollenbasierte Zugriffssteuerung (Azure RBAC)
- Sicherheitsüberwachung, Warnungen und Machine Learning-basierte Berichte
- Kundenidentitäts- und Kundenzugriffsverwaltung
- Geräteregistrierung
- Privileged Identity Management
- Identitätsschutz
- Hybrididentitätsverwaltung/Azure AD Connect
- Microsoft Entra-Zugriffsüberprüfungen
Einmaliges Anmelden
Einmaliges Anmelden (Single Sign-On, SSO) bedeutet, dass Sie auf alle Anwendungen und Ressourcen zugreifen können, die Sie für die Geschäftstätigkeit benötigen, indem Sie sich nur einmal mit einem einzigen Benutzerkonto anmelden. Nach der Anmeldung können Sie auf alle anwendungen zugreifen, die Sie benötigen, ohne sich zu authentifizieren (z. B. ein Kennwort eingeben) ein zweites Mal.
Viele Organisationen verlassen sich auf SaaS-Anwendungen wie Microsoft 365, Box und Salesforce für die Benutzerproduktivität. In der Vergangenheit musste das IT-Personal Benutzerkonten in jeder SaaS-Anwendung individuell erstellen und aktualisieren, und Benutzer mussten sich für jede SaaS-Anwendung ein Kennwort merken.
Die Microsoft Entra-ID erweitert lokale Active Directory-Umgebungen in die Cloud, sodass Benutzer ihr primäres Organisationskonto verwenden können, um sich nicht nur bei ihren in die Domäne eingebundenen Geräten und Unternehmensressourcen anzumelden, sondern auch auf alle Web- und SaaS-Anwendungen, die sie für ihre Aufträge benötigen.
Benutzer müssen nicht nur mehrere Gruppen von Benutzernamen und Kennwörtern verwalten, Sie können den Anwendungszugriff basierend auf ihren Organisationsgruppen und ihrem Mitarbeiterstatus automatisch bereitstellen oder aufheben. Microsoft Entra ID führt Sicherheits- und Zugriffsgovernance-Kontrollen ein, mit denen Sie den Zugriff der Benutzer zentral über SaaS-Anwendungen hinweg verwalten können.
Weitere Informationen:
- Übersicht über SSO
- Video zu den Grundlagen der Authentifizierung
- Schnellstartreihe zur Anwendungsverwaltung
Reverseproxy
Mit dem Microsoft Entra-Anwendungsproxy können Sie Anwendungen in einem privaten Netzwerk veröffentlichen, z. B. SharePoint-Websites , Outlook Web App und IIS-basierte Apps in Ihrem privaten Netzwerk und bieten sicheren Zugriff auf Benutzer außerhalb Ihres Netzwerks. Der Anwendungsproxy bietet Remotezugriff und Single Sign-On (SSO) sowohl für viele Arten von lokalen Webanwendungen als auch für die Tausenden von SaaS-Anwendungen, die von Microsoft Entra ID unterstützt werden. Mitarbeiter können sich auf ihren eigenen Geräten bei Ihren Apps anmelden und sich über diesen cloudbasierten Proxy authentifizieren.
Weitere Informationen:
- Aktivieren des Microsoft Entra-Anwendungsproxys
- Veröffentlichen von Anwendungen mit dem Microsoft Entra-Anwendungsproxy
- Einmaliges Anmelden mit Anwendungsproxy
- Arbeiten mit bedingtem Zugriff
Mehrstufige Authentifizierung
Die mehrstufige Microsoft Entra-Authentifizierung ist eine Authentifizierungsmethode, die die Verwendung mehrerer Überprüfungsmethoden erfordert und eine kritische zweite Sicherheitsebene zu Benutzeranmeldungen und Transaktionen hinzufügt. Die Multi-Faktor-Authentifizierung trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und erfüllt gleichzeitig den Benutzerwunsch für einen einfachen Anmeldeprozess. Es bietet eine starke Authentifizierung über eine Reihe von Überprüfungsoptionen: Telefonanrufe, Sms oder mobile App-Benachrichtigungen oder Überprüfungscodes und OAuth-Token von Drittanbietern.
Weitere Informationen: Funktionsweise der mehrstufigen Authentifizierung von Microsoft Entra
Azure RBAC
Azure RBAC ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine differenzierte Zugriffsverwaltung von Ressourcen in Azure bietet. Mit Azure RBAC können Sie die Zugriffsebene der Benutzer präzise steuern. Beispielsweise können Sie einen Benutzer auf die Verwaltung virtueller Netzwerke und eines anderen Benutzers beschränken, um alle Ressourcen in einer Ressourcengruppe zu verwalten. Azure umfasst mehrere integrierte Rollen, die Sie verwenden können. Im Folgenden werden vier grundlegende integrierte Rollen aufgeführt. Die ersten drei Rollen gelten für alle Ressourcentypen.
- Besitzer – Hat Vollzugriff auf alle Ressourcen, einschließlich des Rechts, den Zugriff auf andere Personen zu delegieren.
- Mitwirkender – Kann alle Arten von Azure-Ressourcen erstellen und verwalten, aber keinen Zugriff auf andere Personen gewähren.
- Reader – Kann vorhandene Azure-Ressourcen anzeigen.
- Benutzerzugriffsadministrator – Ermöglicht Ihnen die Verwaltung des Benutzerzugriffs auf Azure-Ressourcen.
Weitere Informationen:
Sicherheitsüberwachung, Warnungen und Machine Learning-basierte Berichte
Sicherheitsüberwachung, Warnungen und berichte auf maschinellem Lernen, die inkonsistente Zugriffsmuster identifizieren, können Ihnen dabei helfen, Ihr Unternehmen zu schützen. Sie können Microsoft Entra ID-Zugriff und Nutzungsberichte verwenden, um Einblicke in die Integrität und Sicherheit des Verzeichnisses Ihrer Organisation zu erhalten. Mit diesen Informationen kann ein Verzeichnisadministrator besser bestimmen, wo mögliche Sicherheitsrisiken liegen könnten, damit er/sie angemessen planen kann, um diese Risiken zu mindern.
Im Azure-Portal werden Berichte in die folgenden Kategorien unterteilt:
- Anomalieberichte: Enthalten Anmeldeereignisse, die als anomalien erkannt wurden. Unser Ziel ist es, Ihnen diese Aktivitäten bewusst zu machen und Ihnen zu ermöglichen, zu bestimmen, ob ein Ereignis verdächtig ist.
- Integrierte Anwendungsberichte: Geben Sie Einblicke in die Verwendung von Cloudanwendungen in Ihrer Organisation. Microsoft Entra ID ermöglicht die Integration in Tausende von Cloudanwendungen.
- Fehlerberichte: Geben Sie Fehler an, die auftreten können, wenn Sie Konten für externe Anwendungen bereitstellen.
- Benutzerspezifische Berichte: Anzeigen von Geräte-Anmeldeaktivitätsdaten für einen bestimmten Benutzer.
- Aktivitätsprotokolle: Enthalten sie einen Datensatz aller überwachten Ereignisse innerhalb der letzten 24 Stunden, der letzten 7 Tage oder der letzten 30 Tage sowie Gruppenaktivitätsänderungen und Kennwortzurücksetzungs- und Registrierungsaktivitäten.
Weitere Informationen: Microsoft Entra ID-Berichterstellungshandbuch
Kundenidentitäts- und Kundenzugriffsverwaltung
Microsoft Entra External ID in externen Mandanten ist ein globaler Identitätsverwaltungsdienst mit Hochverfügbarkeit für kundenorientierte Anwendungen, der für Hunderte Millionen von Identitäten skaliert werden kann. Er kann über mobile und Webplattformen integriert werden. Ihre Verbraucher können sich über anpassbare Erfahrungen bei allen Anwendungen anmelden, indem sie ihre vorhandenen sozialen Konten verwenden oder neue Anmeldeinformationen erstellen.
In der Vergangenheit hätten Anwendungsentwickler, die Kunden registrieren und sich bei ihren Anwendungen anmelden wollten, ihren eigenen Code geschrieben. Und sie hätten lokale Datenbanken oder Systeme zum Speichern von Benutzernamen und Kennwörtern verwendet. Die Microsoft Entra External ID bietet Ihrer Organisation eine bessere Möglichkeit, die Verwaltung von Kundenidentitäten in Anwendungen mithilfe einer sicheren, standardsbasierten Plattform und einer großen Reihe erweiterbarer Richtlinien zu integrieren.
Wenn Sie die externe Microsoft Entra-ID verwenden, können sich Ihre Verbraucher für Ihre Anwendungen registrieren, indem Sie ihre vorhandenen sozialen Konten (Facebook, Google, Amazon, LinkedIn) oder neue Anmeldeinformationen (E-Mail-Adresse und Kennwort oder Benutzername und Kennwort) erstellen.
Weitere Informationen zu Microsoft Entra External ID in externen Mandanten
Geräteregistrierung
Die Registrierung von Microsoft Entra-Geräten ist die Grundlage für gerätebasierte Szenarien für bedingten Zugriff . Wenn ein Gerät registriert ist, stellt die Registrierung des Microsoft Entra-Geräts dem Gerät eine Identität zur Authentifizierung des Geräts bereit, wenn sich ein Benutzer anmeldet. Das authentifizierte Gerät und die Attribute des Geräts können dann verwendet werden, um Richtlinien für bedingten Zugriff für Anwendungen zu erzwingen, die in der Cloud und lokal gehostet werden.
In Kombination mit einer Verwaltungslösung für mobile Geräte wie Intune werden die Geräteattribute in der Microsoft Entra-ID mit zusätzlichen Informationen zum Gerät aktualisiert. Anschließend können Sie Regeln für bedingten Zugriff erstellen, die den Zugriff von Geräten erzwingen, um Ihre Standards für Sicherheit und Compliance zu erfüllen.
Weitere Informationen:
- Erste Schritte mit der Microsoft Entra-Geräteregistrierung
- Automatische Geräteregistrierung mit der Microsoft Entra-ID für mit der Windows-Domäne verbundene Geräte
Privileged Identity Management
Mit Microsoft Entra Privileged Identity Management können Sie Ihre privilegierten Identitäten und den Zugriff auf Ressourcen in Microsoft Entra ID sowie andere Microsoft-Onlinedienste wie Microsoft 365 und Microsoft Intune verwalten, steuern und überwachen.
Benutzer müssen manchmal privilegierte Vorgänge in Azure- oder Microsoft 365-Ressourcen oder in anderen SaaS-Apps ausführen. Dies bedeutet häufig, dass Organisationen Benutzern permanenten privilegierten Zugriff in microsoft Entra-ID gewähren müssen. Ein solcher Zugriff ist ein wachsendes Sicherheitsrisiko für in der Cloud gehostete Ressourcen, da Organisationen nicht ausreichend überwachen können, was die Benutzer mit ihren Administratorrechten tun. Wenn ein Benutzerkonto mit privilegiertem Zugriff kompromittiert wird, könnte sich eine Verletzung auf die gesamte Cloudsicherheit der Organisation auswirken. Microsoft Entra Privileged Identity Management trägt dazu bei, dieses Risiko zu minimieren.
Mit Microsoft Entra Privileged Identity Management können Sie:
- Sehen Sie, welche Benutzer Microsoft Entra-Administratoren sind.
- Aktivieren Sie den Just-in-Time (JIT) Verwaltungszugriff auf Abruf für Microsoft-Dienste wie Microsoft 365 und Intune.
- Abrufen von Berichten zum Administratorzugriffsverlauf und zu Änderungen bei Administratorzuweisungen.
- Aktivieren von Benachrichtigungen zum Zugriff auf eine privilegierte Rolle.
Weitere Informationen:
- Was ist Microsoft Entra Privileged Identity Management?
- Zuweisen von Microsoft Entra-Verzeichnisrollen in PIM
Identitätsschutz
Microsoft Entra ID Protection ist ein Sicherheitsdienst, der einen konsolidierten Überblick über Risikoerkennungen und potenzielle Sicherheitsrisiken bietet, die sich auf die Identitäten Ihrer Organisation auswirken. Identity Protection nutzt vorhandene Microsoft Entra-Anomalieerkennungsfunktionen, die über Berichte über anomale Aktivitäten von Microsoft Entra verfügbar sind. Der Identitätsschutz führt auch neue Risikoerkennungstypen ein, die Anomalien in Echtzeit erkennen können.
Weitere Informationen: Microsoft Entra ID Protection
Hybrididentitätsverwaltung (Microsoft Entra Connect)
Die Identitätslösungen von Microsoft umfassen lokale und cloudbasierte Funktionen, wodurch unabhängig vom Standort eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen erstellt wird. Wir bezeichnen dies als Hybrididentität. Das Microsoft-Tool Microsoft Entra Connect wurde entwickelt, um Sie beim Erreichen Ihrer Hybrididentitätsziele zu unterstützen. Auf diese Weise können Sie ihren Benutzern eine gemeinsame Identität für Microsoft 365-, Azure- und SaaS-Anwendungen bereitstellen, die in Microsoft Entra ID integriert sind. Er zeichnet sich durch Folgendes aus:
- Synchronisierung
- AD FS und Verbundintegration
- Passthrough-Authentifizierung
- Gesundheitsüberwachung
Weitere Informationen:
Microsoft Entra-Zugriffsüberprüfungen
Microsoft Entra-Zugriffsüberprüfungen ermöglichen Organisationen die effiziente Verwaltung von Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und privilegierte Rollenzuweisungen.
Weitere Informationen: Microsoft Entra-Zugriffsüberprüfungen