Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Sicherung Ihrer Mitarbeiter kann sich überwältigend fühlen, aber dieser Leitfaden macht es einfach. Sie erhalten einen klaren Aktionsplan zum Schutz der Identitäten Ihrer Organisation mit Microsoft Entra ID, priorisiert nach Ihrem aktuellen Lizenztyp.
Was Sie erreichen werden:
- Einrichten der mehrstufigen Authentifizierung in weniger als 30 Minuten
- Blockieren von 99.9% automatisierter Angriffe mit grundlegenden Sicherheitseinstellungen
- Erstellen einer Zero Trust-Sicherheitsbasis, die mit Ihrem Unternehmen skaliert wird
Ganz gleich, ob Sie mit kostenlosen Features beginnen oder über Premiumlizenzen verfügen, in diesem Handbuch erfahren Sie genau, welche Sicherheitsfeatures Sie zuerst für maximalen Schutz mit minimaler Benutzerreibung aktivieren können.
Voraussetzungen
In dieser Anleitung wird davon ausgegangen, dass Ihre cloudbasierten oder Hybrididentitäten bereits in Microsoft Entra ID eingerichtet wurden. Hilfe bei der Auswahl des Identitätstyps finden Sie im Artikel Auswählen der richtigen Authentifizierungsmethode (AuthN) für Ihre Microsoft Entra-Hybrididentitätslösung.
Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfallszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administrierenden versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
Exemplarische Vorgehensweise
Nach Anmeldung beim Microsoft 365 Admin Center finden Sie in der Anleitung Einrichten von Microsoft Entra ID für viele der Empfehlungen in diesem Artikel eine exemplarische Vorgehensweise. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und die Features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setupportal.
Leitfaden für Microsoft Entra ID Free-, Office 365- oder Microsoft 365-Kunden.
Es gibt viele Empfehlungen, die Microsoft Entra ID Free-, Office 365- oder Microsoft 365-App-Kunden umsetzen sollten, um ihre Benutzeridentitäten zu schützen. In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (enthalten in Azure, Dynamics 365, Intune und Power Platform)
| Empfohlene Maßnahme | Einzelheit |
|---|---|
| Sicherheitsstandards aktivieren | Schützen Sie alle Benutzeridentitäten und Anwendungen, indem Sie die Multi-Faktor-Authentifizierung aktivieren und die Legacyauthentifizierung blockieren. |
| Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) | Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln). |
| AD FS Smart Lockout aktivieren (sofern zutreffend) | Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten. |
| Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen. |
| Benutzereinwilligung für Anwendungen deaktivieren | Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern. |
| Unterstützte SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und einmaliges Anmelden aktivieren | Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglichen Sie den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (einmaliges Anmelden, SSO). |
| Bereitstellen und Aufheben der Bereitstellung von Benutzenden für SaaS-Anwendungen automatisieren (sofern zutreffend) | Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert. |
| Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) | Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden. |
| Self-Service-Kennwortzurücksetzung aktivieren (gilt nur für ausschließliche Cloudkonten) | Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann. |
| Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden | Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. |
| Kennwortleitfaden von Microsoft aktivieren | Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen. |
Leitfaden für Microsoft Entra ID P1-Kunden.
In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Empfohlene Maßnahme | Einzelheit |
|---|---|
| Kombinierte Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung und SSPR zum Vereinfachen der Benutzerregistrierung aktivieren | Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung. |
| Einstellungen für die Multi-Faktor-Authentifizierung für Ihre Organisation konfigurieren | Stellt sicher, dass Konten durch Multi-Faktor-Authentifizierung vor Änderungen geschützt sind |
| Self-Service-Kennwortzurücksetzung aktivieren | Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann. |
| Kennwortrückschreiben implementieren (bei Verwendung von Hybrididentitäten) | Lassen Sie zu, dass Kennwortänderungen in der Cloud in eine lokale Windows Server Active Directory-Umgebung zurückgeschrieben werden. |
| Richtlinien für bedingten Zugriff erstellen und aktivieren |
Multi-Faktor-Authentifizierung für Administrierende zum Schutz von Konten, denen Administratorrechte zugewiesen sind Blockieren von Legacyauthentifizierungsprotokollen wegen des höheren Risikos im Zusammenhang mit Legacyauthentifizierungsprotokollen Multi-Faktor-Authentifizierung für alle Benutzenden und Anwendungen, um eine ausgewogene Multi-Faktor-Authentifizierungsrichtlinie für Ihre Umgebung zu erstellen und Ihre Benutzenden und Anwendungen zu schützen. Erzwingen der Multi-Faktor-Authentifizierung für die Azure-Verwaltung, um durch Erzwingung der Multi-Faktor-Authentifizierung für alle Benutzenden, die auf Azure-Ressourcen zugreifen, Ressourcen mit erhöhten Rechten zu schützen |
| Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) | Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln). |
| AD FS Smart Lockout aktivieren (sofern zutreffend) | Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten. |
| Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen. |
| Benutzereinwilligung für Anwendungen deaktivieren | Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern. |
| Remotezugriff auf lokale Legacyanwendungen mit Anwendungsproxy aktivieren | Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden. |
| Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) | Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden. |
| Unterstützte SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und einmaliges Anmelden aktivieren | Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO). |
| Bereitstellen und Aufheben der Bereitstellung von Benutzenden für SaaS-Anwendungen automatisieren (sofern zutreffend) | Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert. |
| Bedingten Zugriff aktivieren – gerätebasiert | Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein. |
| Kennwortschutz aktivieren | Schützt Benutzer vor der Verwendung schwacher und einfach zu erratender Kennwörter. |
| Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden | Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. |
| Kennwortleitfaden von Microsoft aktivieren | Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen. |
| Organisationsspezifische Liste mit benutzerdefinierten gesperrten Kennwörtern erstellen | Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen. |
| Bereitstellen von Methoden zur kennwortlosen Authentifizierung für Ihre Benutzenden bereitstellen | Stellen Sie für Ihre Benutzer Methoden für die Authentifizierung ohne Kennwort bereit. |
| Plan für den Gastbenutzerzugriff erstellen | Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden. |
Leitfaden für Microsoft Entra ID P2-Kunden.
In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Empfohlene Maßnahme | Einzelheit |
|---|---|
| Kombinierte Registrierung für Microsoft Entra-Multi-Faktor-Authentifizierung und SSPR zum Vereinfachen der Benutzerregistrierung aktivieren | Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung. |
| Einstellungen für die Multi-Faktor-Authentifizierung für Ihre Organisation konfigurieren | Stellt sicher, dass Konten durch Multi-Faktor-Authentifizierung vor Änderungen geschützt sind |
| Self-Service-Kennwortzurücksetzung aktivieren | Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann. |
| Kennwortrückschreiben implementieren (bei Verwendung von Hybrididentitäten) | Lassen Sie zu, dass Kennwortänderungen in der Cloud in eine lokale Windows Server Active Directory-Umgebung zurückgeschrieben werden. |
| Microsoft Entra ID-Schutzrichtlinien zum Erzwingen der Registrierung bei der Multi-Faktor-Authentifizierung aktivieren | Verwalten Sie das Rollout von Microsoft Entra Multi-Faktor-Authentifizierung. |
| Risikobasierte Richtlinien für den bedingten Zugriff für Benutzende und Anmeldungen aktivieren | Die empfohlene Anmelderichtlinie zielt auf Anmeldungen mit mittlerem Risiko ab und erfordert Multi-Faktor-Authentifizierung. Benutzerrichtlinien sollten auf Benutzer mit hohem Risiko ausgerichtet sein und eine Kennwortänderung erfordern. |
| Richtlinien für bedingten Zugriff erstellen und aktivieren |
Multi-Faktor-Authentifizierung für Administrierende zum Schutz von Konten, denen Administratorrechte zugewiesen sind Blockieren von Legacyauthentifizierungsprotokollen wegen des höheren Risikos im Zusammenhang mit Legacyauthentifizierungsprotokollen Erzwingen der Multi-Faktor-Authentifizierung für die Azure-Verwaltung, um durch Erzwingung der Multi-Faktor-Authentifizierung für alle Benutzenden, die auf Azure-Ressourcen zugreifen, Ressourcen mit erhöhten Rechten zu schützen |
| Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) | Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln). |
| AD FS Smart Lockout aktivieren (sofern zutreffend) | Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten. |
| Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) | Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen. |
| Benutzereinwilligung für Anwendungen deaktivieren | Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern. |
| Remotezugriff auf lokale Legacyanwendungen mit Anwendungsproxy aktivieren | Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden. |
| Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) | Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden. |
| Unterstützte SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und einmaliges Anmelden aktivieren | Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO). |
| Bereitstellen und Aufheben der Bereitstellung von Benutzenden für SaaS-Anwendungen automatisieren (sofern zutreffend) | Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert. |
| Bedingten Zugriff aktivieren – gerätebasiert | Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein. |
| Kennwortschutz aktivieren | Schützt Benutzer vor der Verwendung schwacher und einfach zu erratender Kennwörter. |
| Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden | Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. |
| Kennwortleitfaden von Microsoft aktivieren | Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen. |
| Organisationsspezifische Liste mit benutzerdefinierten gesperrten Kennwörtern erstellen | Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen. |
| Bereitstellen von Methoden zur kennwortlosen Authentifizierung für Ihre Benutzenden bereitstellen | Stellen Sie für Ihre Benutzer Methoden für die Authentifizierung ohne Kennwort bereit. |
| Plan für den Gastbenutzerzugriff erstellen | Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden. |
| Privileged Identity Management (PIM) aktivieren | Ermöglicht Ihnen, den Zugriff auf wichtige Ressourcen in Ihrer Organisation zu verwalten, zu steuern und zu überwachen, um sicherzustellen, dass Administratoren nur bei Bedarf und mit Genehmigung Zugriff erhalten. |
| Zugriffsüberprüfung für Microsoft Entra-Verzeichnisrollen in PIM ausführen | Arbeiten Sie mit Ihren Sicherheits- und Führungsteams zusammen, um eine Richtlinie für die Zugriffsüberprüfung zu erstellen, anhand derer der Administratorzugriff basierend auf den Richtlinien Ihrer Organisation überprüft wird. |
Zero-Trust
Dieses Funktion hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Nächste Schritte
- Ausführliche Bereitstellungsanleitungen für einzelne Features von Microsoft Entra ID finden Sie in den Microsoft Entra-ID-Projektbereitstellungsplänen.
- Organisationen können die Identitätssicherheitsbewertung verwenden, um den Status und Verbesserungen der Identitätssicherheit im Vergleich zu anderen Microsoft-Empfehlungen nachzuverfolgen.