Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Identitätsverwaltung ist der Prozess der Authentifizierung und Autorisierung von Sicherheitsprinzipale. Die Microsoft Entra-ID bietet umfassende Identitäts- und Zugriffsverwaltung für Anwendungen und Ressourcen in Ihrer Organisation. In diesem Artikel werden die wichtigsten Azure Identity Management-Features behandelt, die den Zugriff auf Ressourcen schützen.
Einmaliges Anmelden
Einmaliges Anmelden (Single Sign-On, SSO) ermöglicht Benutzern den Zugriff auf mehrere Anwendungen und Ressourcen mit einem einzigen Benutzerkonto und Kennwort. Benutzer melden sich einmal an und können ohne wiederholte Authentifizierung auf alle ihre Anwendungen zugreifen. Microsoft Entra ID unterstützt SSO für Tausende von SaaS-Anwendungen und lokalen Webanwendungen.
Die Microsoft Entra ID erweitert das lokale Active Directory in die Cloud, sodass sich Benutzer mit ihrem Organisationskonto an mit der Domäne verbundenen Geräten, Unternehmensressourcen und integrierten Anwendungen anmelden können. SSO reduziert die Kennwortermüdung und verbessert die Sicherheit, indem die verfügbar gemachten Anmeldeinformationen minimiert werden.
Weitere Informationen:
- Was ist einmaliges Anmelden in Microsoft Entra ID?
- Planen einer Bereitstellung für einmaliges Anmelden
Mehrstufige Authentifizierung
Die mehrstufige Microsoft Entra-Authentifizierung (MFA) fügt eine kritische zweite Sicherheitsebene hinzu, indem mindestens zwei Überprüfungsmethoden erforderlich sind. MFA trägt zum Schutz vor nicht autorisiertem Zugriff bei und behält gleichzeitig eine einfache Anmeldeerfahrung für Benutzer bei.
Zu den Überprüfungsmethoden gehören:
- Microsoft Authenticator-App
- Windows Hello for Business
- FIDO2-Sicherheitsschlüssel
- Zertifikatbasierte Authentifizierung
- OATH-Token (Hardware und Software)
- SMS und Sprachanruf
Microsoft Entra ID P1- und P2-Lizenzen unterstützen Richtlinien für bedingten Zugriff, die MFA basierend auf Benutzer, Standort, Gerät und Anwendungskontext erzwingen.
Weitere Informationen:
- Funktionsweise der mehrstufigen Authentifizierung in Microsoft Entra
- Planen einer mehrstufigen Bereitstellung der Microsoft Entra-Authentifizierung
Rollenbasierte Zugriffssteuerung in Azure
Die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) bietet eine differenzierte Zugriffsverwaltung für Azure-Ressourcen. Mit Azure RBAC können Sie Benutzern die Mindestberechtigungen erteilen, die zum Ausführen ihrer Aufträge erforderlich sind.
Azure RBAC umfasst integrierte Rollen:
- Besitzer: Vollzugriff auf alle Ressourcen, einschließlich des Rechts auf Stellvertretungszugriff
- Mitwirkender: Erstellen und Verwalten aller Arten von Azure-Ressourcen, kann jedoch keinen Zugriff gewähren
- Reader: Anzeigen vorhandener Azure-Ressourcen
- Benutzerzugriffsadministrator: Verwalten des Benutzerzugriffs auf Azure-Ressourcen
Sie können auch benutzerdefinierte Rollen erstellen, die auf Ihre spezifischen Anforderungen zugeschnitten sind.
Weitere Informationen:
- Was ist die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC)?
- Integrierte Azure-Rollen
- Zuweisen von Azure-Rollen über das Azure-Portal
Anwendungsproxy
Der Microsoft Entra-Anwendungsproxy ermöglicht den sicheren Remotezugriff auf lokale Webanwendungen ohne VPN-Verbindungen. Anwendungsproxy veröffentlicht Anwendungen wie SharePoint-Sites, Outlook Web App und IIS-basierte Apps für externe Benutzer, während die Sicherheit durch Microsoft Entra ID-Authentifizierung und Conditional Access-Richtlinien gewährleistet wird.
Der Anwendungsproxy unterstützt SSO und kann in vorhandene lokale Authentifizierungsmethoden integriert werden.
Weitere Informationen:
- Übersicht über den Microsoft Entra-Anwendungsproxy
- Veröffentlichen lokaler Apps mit dem Microsoft Entra-Anwendungsproxy
Verwaltung privilegierter Identitäten
Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen beim Verwalten, Steuern und Überwachen des privilegierten Zugriffs auf wichtige Ressourcen. PIM bietet just-in-time (JIT) privilegierten Zugriff, wodurch das Risiko übermäßiger oder unnötiger Berechtigungen reduziert wird.
Mit PIM können Sie Folgendes tun:
- Bereitstellen von zeitgebundenem Zugriff auf Azure- und Microsoft Entra-Rollen
- Anfordern einer Genehmigung zur Aktivierung privilegierter Rollen
- Erzwingen der mehrstufigen Authentifizierung für die Rollenaktivierung
- Begründung für die Rollenaktivierung erforderlich
- Empfangen von Benachrichtigungen für privilegierte Rollenaktivierungen
- Durchführen von Zugriffsüberprüfungen, um sicherzustellen, dass Benutzer weiterhin privilegierte Rollen benötigen
- Erstellen von Auditberichten für Compliance
Weitere Informationen:
- Was ist Microsoft Entra Privileged Identity Management?
- Planen einer Privileged Identity Management-Bereitstellung
Schutz der Identität (Identity Protection)
Microsoft Entra ID Protection erkennt potenzielle Sicherheitsrisiken und riskante Aktivitäten, die sich auf die Identitäten Ihrer Organisation auswirken. Es verwendet maschinelles Lernen, um anomale Anmeldeverhalten und Benutzeraktivitäten zu identifizieren.
Der Identitätsschutz bietet Folgendes:
- Risikobasierter bedingter Zugriff: Richtlinien, die auf erkannte Risiken in Echtzeit reagieren
- Risikoerkennung: Identifizierung verdächtiger Aktivitäten, einschließlich anonymer IP-Adressnutzung, atypischer Reise und schadsoftwareverknüpfte IP-Adressen
- Untersuchungstools: Berichte und Dashboards zur Analyse von Risiken
- Automatisierte Korrektur: risikobasierte Richtlinien, die automatisch Kennwortänderungen erfordern oder den Zugriff blockieren können
Weitere Informationen:
Microsoft Entra-Zugriffsüberprüfungen
Microsoft Entra-Zugriffsüberprüfungen ermöglichen eine effiziente Verwaltung von Gruppenmitgliedschaften, Zugriff auf Unternehmensanwendungen und privilegierte Rollenzuweisungen. Regelmäßige Zugriffsüberprüfungen sorgen dafür, dass Benutzer nur über den benötigten Zugriff verfügen.
Unterstützung für Zugriffsüberprüfungen:
- Automatisierte Rezensionen: Geplante wiederkehrende Rezensionen mit anpassbarer Häufigkeit
- Delegierte Rezensionen: Geschäftsbesitzer und Manager können den Zugriff auf ihre Teams überprüfen.
- Selbstnachweis: Benutzer können bestätigen, dass sie weiterhin Zugriff benötigen.
- Empfehlungen: Maschinelles Lernen schlägt vor, welche Benutzer den Zugriff auf der Grundlage von Anmeldeaktivitäten verlieren sollten
- Automatisierte Aktionen: Automatischen Zugriff entfernen, wenn Rezensionen abgeschlossen sind
Weitere Informationen:
- Was sind Microsoft Entra-Zugriffsüberprüfungen?
- Planen Sie eine Bereitstellung von Microsoft Entra-Zugriffsüberprüfungen
Hybrididentitätsverwaltung
Für Organisationen mit lokalem Active Directory bietet Microsoft Hybrididentitätslösungen zum Synchronisieren von Identitäten zwischen lokalen und Cloudumgebungen.
Microsoft Entra Connect (Wartungsmodus) synchronisiert lokale AD DS-Identitäten mit Microsoft Entra ID. Sie wird auf einem lokalen Server ausgeführt und bietet Folgendes:
- Verzeichnissynchronisierung für Benutzer, Gruppen und Kontakte
- Kennwort-Hashsynchronisierung oder Passthrough-Authentifizierung
- Verbundintegration mit AD FS
- Gesundheitsüberwachung
Microsoft Entra Cloud Sync ist die moderne cloudbasierte Synchronisierungslösung, die einfache Bereitstellungs-Agents verwendet:
- Vereinfachte Bereitstellung mit leichtgewichtigen Agenten
- Unterstützung für getrennte Umgebungen mit mehreren Gesamtstrukturen
- Hohe Verfügbarkeit mit mehreren Agents
- Cloudbasierte Konfiguration und Verwaltung
Microsoft empfiehlt Cloud Sync für neue Hybrididentitätsbereitstellungen.
Weitere Informationen:
- Was ist Microsoft Entra Cloud Sync?
- Wählen Sie den richtigen Synchronisierungsclient für die Microsoft Entra-ID aus.
Geräteregistrierung
Die Registrierung von Microsoft Entra-Geräten ermöglicht gerätebasierte Richtlinien für bedingten Zugriff. Registrierte Geräte erhalten eine Identität, die das Gerät während der Benutzeranmeldung authentifiziert. Geräteattribute können Richtlinien für bedingten Zugriff für Cloud- und lokale Anwendungen erzwingen.
In Kombination mit MDM-Lösungen (Mobile Device Management) wie Microsoft Intune werden Geräteattribute mit Konfigurations- und Complianceinformationen erweitert. Auf diese Weise können Regeln für bedingten Zugriff basierend auf Gerätesicherheit und Compliancestatus aktiviert werden.
Weitere Informationen:
- Planen Ihrer Microsoft Entra-Gerätebereitstellung
- In Microsoft Entra eingebundene Geräte
- Mit Microsoft Entra hybrid verbundene Geräte
Externe Identitäten
Die externe Microsoft Entra-ID bietet Identitätsverwaltung für kundenorientierte Anwendungen und B2B-Zusammenarbeit. Die externe ID unterstützt die Registrierung von Verbrauchern und die Anmeldung mit sozialen Konten (Facebook, Google, LinkedIn) oder E-Mail-basierten Anmeldeinformationen.
Bei der B2B Collaboration ermöglicht External ID die sichere Freigabe von Anwendungen und Ressourcen mit externen Partnern bei gleichzeitiger Beibehaltung der Kontrolle über Ihre Unternehmensdaten. Externe Benutzer authentifizieren sich mit ihrer Heimorganisation oder unterstützten Identitätsanbietern.
Weitere Informationen:
Nächste Schritte
- Azure-Sicherheit – bewährte Methoden und Muster
- Übersicht über die Netzwerksicherheit
- Bedrohungserkennung und -schutz
- Schlüsselverwaltung in Azure