Freigeben über

Planen einer Phishing-resistenten Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID

Wenn Sie in Ihrer Umgebung eine Phishing-resistente kennwortlose Authentifizierung implementieren und in Betrieb nehmen, empfehlen wir einen auf Benutzer-Personen basierenden Ansatz. Verschiedene Phishing-resistente kennwortlose Methoden sind für bestimmte Benutzergruppen effektiver als andere. Dieses Bereitstellungshandbuch hilft Ihnen zu sehen, welche Arten von Methoden und Rolloutplänen für Benutzerpersonas in Ihrer Umgebung sinnvoll sind. Der Ansatz für die kennwortlose Bereitstellung ohne Phishing weist häufig sechs Schritte auf, die ungefähr in der Reihenfolge ablaufen, aber nicht 100 % abgeschlossen sein müssen, bevor Sie mit anderen Schritten fortfahren:

Bestimmen ihrer Benutzerpersonas

Bestimmen Sie die für Ihre Organisation relevanten Benutzerpersonas. Dieser Schritt ist für Ihr Projekt von entscheidender Bedeutung, da unterschiedliche Personas unterschiedliche Anforderungen haben. Microsoft empfiehlt, mindestens vier generische Benutzerpersonas in Ihrer Organisation zu erwägen und zu bewerten.

Benutzer-Persona Beschreibung
Information-Worker
  • Beispiele hierfür sind Mitarbeiter, die für die Produktivität im Büro zuständig sind, z. B. in den Bereichen Marketing, Finanzen oder Personalwesen.
  • Andere Arten von Information-Workern können Führungskräfte und andere Worker mit hoher Vertraulichkeit sein, die spezielle Kontrollen benötigen
  • Sie haben in der Regel eine 1:1-Beziehung zu ihren mobilen Geräten und Computergeräten
  • Kann eigene Geräte (BYOD) mitbringen, insbesondere für mobile Geräte
    		•
    Mitarbeiter mit direktem Kundenkontakt
  • Beispiele hierfür sind Einzelhandelsmitarbeiter, Fabrikarbeiter, Fertigungsarbeiter
  • Funktioniert in der Regel nur auf freigegebenen Geräten oder Kiosken
  • Mobiltelefone dürfen möglicherweise nicht übertragen werden
    		•
    IT-Experten/DevOps-Worker
  • Beispiele hierfür sind IT-Administratoren für lokales Active Directory, Microsoft Entra ID oder andere privilegierte Konten. Andere Beispiele wären DevOps-Worker oder DevSecOps-Worker, die Automatisierungen verwalten und bereitstellen.
  • Sie haben in der Regel mehrere Benutzerkonten, darunter ein „normales“ Benutzerkonto und ein oder mehrere Administratorkonten
  • Verwenden Sie häufig Remotezugriffsprotokolle, z. B. Remotedesktopprotokoll (RDP) und Secure Shell Protocol (SSH), um Remotesysteme zu verwalten
  • Funktioniert möglicherweise auf gesperrten Geräten mit deaktivierter Bluetooth-Funktion
  • Kann sekundäre Konten verwenden, um nicht interaktive Automatisierungen und Skripts auszuführen
    		•
    Streng regulierte Worker
  • Beispiele hierfür sind US-Regierungsbehörden, die den Anforderungen der Executive Order 14028, staatlichen und lokalen Regierungsmitarbeitern oder Arbeitnehmern unterliegen, die bestimmten Sicherheitsbestimmungen unterliegen
  • Sie haben in der Regel eine 1:1-Beziehung zu ihren Geräten, verfügen aber über spezifische regulatorische Kontrollen, die auf diesen Geräten und bei der Authentifizierung eingehalten werden müssen
  • Mobiltelefone dürfen in sicheren Bereichen möglicherweise nicht zugelassen werden
  • Kann ohne Internetverbindung auf nicht verbundene Umgebungen zugreifen
  • Funktioniert möglicherweise auf gesperrten Geräten mit deaktivierter Bluetooth-Funktion
    		•

    Microsoft empfiehlt, dass Sie die kennwortlose Authentifizierung, die gegen Phishing geschützt ist, in Ihrem Unternehmen flächendeckend einsetzen. In der Regel sind Information-Worker die einfachste Benutzerpersona, mit der sie beginnen können. Verzögern Sie den Rollout sicherer Anmeldeinformationen für Information-Worker nicht, während Sie Probleme beheben, die sich auf IT-Spezialisten auswirken. Verfolgen Sie den Ansatz „das Perfekte ist der Feind des Guten“ und verwenden Sie so oft wie möglich sichere Anmeldedaten. Je mehr Benutzer sich mit Phishing-resistenten kennwortlosen Anmeldedaten anmelden, desto geringer ist die Angriffsfläche in Ihrer Umgebung.

    Microsoft empfiehlt, Ihre Personas zu definieren und dann jede Persona speziell für diese Benutzerpersona in eine Microsoft Entra ID-Gruppe zu setzen. Diese Gruppen werden in späteren Schritten zum Bereitstellen von Anmeldedaten für verschiedene Benutzertypen verwendet und wenn Sie mit der Erzwingung der Verwendung von phishingsicheren kennwortlosen Anmeldeinformationen beginnen.

    Gerätebereitschaft planen

    Geräte sind ein wesentlicher Aspekt jeder erfolgreichen Phishing-resistenten kennwortlosen Bereitstellung, da eines der Ziele von Phishing-resistenten kennwortlosen Anmeldedaten darin besteht, Anmeldedaten mit der Hardware moderner Geräte zu schützen. Machen Sie sich zunächst mit der FIDO2-Unterstützung für Microsoft Entra ID vertraut.

    Stellen Sie sicher, dass Ihre Geräte für Phishing-resistente Kennwörter vorbereitet sind, indem Sie auf die neuesten unterstützten Versionen jedes Betriebssystems patchen. Microsoft empfiehlt, dass auf Ihren Geräten mindestens diese Versionen installiert sind:

    • Windows 10 22H2 (für Windows Hello for Business)
    • Windows 11 22H2 (für optimale Benutzererfahrung bei Verwendung von Passkeys)
    • macOS 13 Ventura
    • iOS 17
    • Android 14

    Diese Versionen bieten die beste Unterstützung für systemeigene integrierte Features wie Passkeys, Windows Hello for Business und macOS Platform Credential. Ältere Betriebssysteme erfordern möglicherweise externe Authenticators wie FIDO2-Sicherheitsschlüssel, um eine kennwortlose Authentifizierung ohne Phishing zu unterstützen.

    Benutzer für phishing-sichere Anmeldedaten registrieren

    Die Registrierung der Anmeldedaten und das Bootstrapping sind die ersten wichtigen Aktivitäten für den Endbenutzer in Ihrem Projekt zur kennwortlosen Bereitstellung mit Phishing-Schutz. In diesem Abschnitt wird das Rollout von portablen und lokalen Anmeldedaten behandelt.

    Anmeldeinformationen Beschreibung Vorteile
    Tragbar Kann auf allen Geräten verwendet werden. Sie können portable Anmeldedaten verwenden, um sich bei einem anderen Gerät anzumelden oder Anmeldedaten auf anderen Geräten zu registrieren. Die wichtigste Art von Anmeldedaten, die für die meisten Benutzer zu registrieren sind, da sie geräteübergreifend verwendet werden können und in vielen Szenarien eine phishing-sichere Authentifizierung ermöglichen.
    Lokal Sie können lokale Anmeldedaten verwenden, um sich auf einem Gerät zu authentifizieren, ohne sich auf externe Hardware verlassen zu müssen, z. B. die biometrische Erkennung von Windows Hello for Business, um sich in einer App im Microsoft Edge-Browser auf demselben PC anzumelden Sie haben zwei Hauptvorteile gegenüber den tragbaren Anmeldedaten:
  • Sie bieten Redundanz. Wenn Benutzer ihr tragbares Gerät verlieren, es zu Hause vergessen oder andere Probleme haben, bieten ihnen lokale Anmeldedaten eine Backup-Methode, um mit ihrem Computergerät weiterarbeiten zu können.
  • Sie bieten ein großartiges Benutzererlebnis. Mit lokalen Anmeldedaten müssen Benutzer keine Telefone aus der Tasche ziehen, QR-Codes scannen oder andere Aufgaben ausführen, die die Authentifizierung verlangsamen und für zusätzliche Reibungsverluste sorgen. Lokal verfügbare, gegen Phishing geschützte Anmeldedaten erleichtern den Benutzern die Anmeldung auf den Geräten, die sie regelmäßig verwenden.
    		•
    • Bei neuen Benutzern akzeptiert der Registrierungs- und Bootstrappingprozess einen Benutzer ohne vorhandene Unternehmensanmeldedaten und überprüft seine Identität. Sie erhalten ihre ersten tragbaren Anmeldedaten und verwenden diese tragbaren Anmeldedaten, um weitere lokale Anmeldedaten auf jedem ihrer Computergeräte zu erstellen. Nach der Registrierung erzwingt der Administrator die Phishing-beständige Authentifizierung für Benutzer in der Microsoft Entra ID.
    • Bestehende Benutzer werden in dieser Phase dazu gebracht, sich auf ihren vorhandenen Geräten direkt für phishing-resistente kennwortlose Anmeldedaten zu registrieren oder vorhandene MFA-Anmeldedaten zu verwenden, um phishing-resistente kennwortlose Anmeldedaten zu erstellen. Das Endziel ist identisch mit neuen Benutzern – die meisten Benutzer sollten mindestens über eine tragbare Anmeldung und dann über lokale Anmeldedaten auf jedem Computergerät verfügen. Wenn Sie ein Administrator sind, der Phishing-resistente kennwortlose Zugangsdaten für bestehende Benutzer bereitstellt, können Sie möglicherweise zum Abschnitt Onboarding Schritt 2: Bootstrapping portabler Anmeldedaten übergehen.

    Bevor Sie beginnen, empfiehlt Microsoft, Passkey und andere Anmeldedaten für Unternehmensbenutzer im Mandanten zu aktivieren. Wenn die Benutzer motiviert sind, sich selbst zu registrieren, um starke Anmeldedaten zu erhalten, ist es von Vorteil, dies zuzulassen. Sie sollten mindestens die Passkey-Richtlinie (FIDO2) aktivieren, damit Benutzer sich bei Bedarf für Passkeys und Sicherheitsschlüssel registrieren können.

    Dieser Abschnitt konzentriert sich auf Phasen 1–3:

    Diagramm, das die ersten drei Phasen des Planungsprozesses zeigt.

    Benutzer sollten mindestens zwei Authentifizierungsmethoden registriert haben. Bei einer anderen registrierten Methode steht dem Benutzer eine Backup-Methode zur Verfügung, wenn etwas mit seiner primären Methode geschieht, z. B. wenn ein Gerät verloren geht oder gestohlen wird. Beispielsweise empfiehlt es sich, dass Benutzer Passkeys sowohl auf ihrem Smartphone als auch lokal auf ihrer Workstation in Windows Hello for Business registriert haben.

    Hinweis

    Es wird immer empfohlen, dass Benutzer mindestens zwei Authentifizierungsmethoden registriert haben. Dadurch wird sichergestellt, dass der Benutzer über eine Backup-Methode verfügt, wenn etwas mit seiner primären Methode geschieht, z. B. in Fällen eines Geräteverlusts oder Diebstahls. Beispielsweise empfiehlt es sich, dass Benutzer Passkeys sowohl auf ihrem Smartphone als auch lokal auf ihrer Workstation in Windows Hello for Business registriert haben.

    Hinweis

    Dieser Leitfaden ist auf die derzeit vorhandene Unterstützung für Passkeys in Microsoft Entra ID zugeschnitten, die gerätegebundene Passkeys in Microsoft Authenticator und gerätegebundene Passkeys für physische Sicherheitsschlüssel umfasst. Microsoft Entra ID plant, Unterstützung für synchronisierte Passkeys hinzuzufügen. Weitere Informationen finden Sie in der Public Preview: Erweitern der Passkeyunterstützung in Microsoft Entra ID. Dieses Handbuch wird aktualisiert, um die synchronisierten Passkey-Anleitungen einzuschließen, sobald verfügbar. Beispielsweise können viele Organisationen von der Synchronisierung für Phase 3 im vorherigen Diagramm profitieren, anstatt völlig neue Anmeldedaten zu erstellen.

    Onboarding Schritt 1: Identitätsüberprüfung

    Für Remotebenutzer, die ihre Identität nicht nachgewiesen haben, stellt das Onboarding von Unternehmen eine erhebliche Herausforderung dar. Ohne ordnungsgemäße Identitätsüberprüfung kann eine Organisation nicht vollständig sicher sein, dass sie die Person integrieren, die sie beabsichtigen. Microsoft Entra Verified ID kann eine Überprüfung der Identität mit hoher Zuverlässigkeit bereitstellen. Organisationen können mit einem Identitätsüberprüfungspartner (IDV) zusammenarbeiten, um die Identitäten neuer Remotebenutzer im Onboardingprozess zu überprüfen. Nach der Verarbeitung der vom Staat ausgestellten ID eines Benutzers kann der IDV eine überprüfte ID bereitstellen, die die Identität des Benutzers bestätigt. Der neue Benutzer stellt diese identitätsbejahende überprüfte ID der Einstellungsorganisation vor, um vertrauen zu können und zu bestätigen, dass die Organisation die richtige Person integriert. Organisationen können eine Gesichtserkennung mit Microsoft Entra Verified ID hinzufügen, die der Überprüfung eine Gesichtsabgleichsebene hinzufügt, um sicherzustellen, dass vertrauenswürdige Benutzer*innen die die Identität bestätigende überprüfte ID in diesem Moment vorlegen.

    Nachdem sie ihre Identität über den Nachweisprozess verifiziert haben, erhalten neue Mitarbeitende einen befristeter Zugriffspass (Temporary Access Pass, TAP), den sie zum Bootstrapen ihrer ersten portierbaren Anmeldeinformationen verwenden können.

    Lesen Sie die folgenden Leitfäden, um Microsoft Entra Verified ID Onboarding und TAP-Ausstellung zu aktivieren:

    Unter den folgenden Links finden Sie Lizenzierungsdetails für microsoft Entra Verified ID:

    Einige Organisationen wählen möglicherweise andere Methoden als Microsoft Entra Verified ID aus, um Benutzer zu integrieren und ihre ersten Anmeldedaten auszugeben. Microsoft empfiehlt, dass diese Organisationen weiterhin TAPs oder eine andere Möglichkeit verwenden, mit der ein Benutzer ohne Kennwort ein Onboarding durchführen kann. Sie können zum Beispiel FIDO2-Sicherheitsschlüssel mit der Microsoft Graph-API bereitstellen.

    Onboarding Schritt 2: Erstellen von tragbaren Anmeldedaten

    Um bestehende Benutzer auf phishing-sichere kennwortlose Anmeldedaten umzustellen, müssen Sie zunächst feststellen, ob Ihre Benutzer bereits für die traditionelle MFA registriert sind. Benutzer, die mit herkömmlichen MFA-Methoden registriert sind, können mit Phishing-resistenten kennwortlosen Registrierungsrichtlinien angesprochen werden. Sie können ihre herkömmliche MFA verwenden, um sich für ihre ersten portablen phishing-resistenten Anmeldedaten zu registrieren und dann bei Bedarf mit der Registrierung lokaler Anmeldedaten fortfahren.

    Führen Sie für neue Benutzer oder Benutzer ohne MFA einen Prozess durch, um Benutzern einen befristeten Zugriffspass (TAP) auszugeben. Sie können eine TAP auf die gleiche Weise ausstellen, wie Sie neuen Benutzern ihre ersten Anmeldedaten zukommen lassen oder indem Sie die Microsoft Entra Verified ID-Integration verwenden. Sobald die Benutzer einen TAP haben, können sie ihre ersten phishing-sicheren Anmeldedaten einrichten.

    Es ist wichtig, dass die ersten kennwortlosen Anmeldedaten des Benutzers tragbare Anmeldedaten sind, die für die Authentifizierung auf anderen Computergeräten verwendet werden können. Passkeys können beispielsweise zur lokalen Authentifizierung auf einem iOS-Telefon verwendet werden, aber auch zur Authentifizierung auf einem Windows-PC mit einem geräteübergreifenden Authentifizierungsfluss. Diese geräteübergreifende Funktion ermöglicht die Verwendung eines tragbaren Passkeys zum Bootstrapping von Windows Hello for Business auf dem Windows-PC.

    Es ist auch wichtig, dass jedes Gerät, an dem der Benutzer regelmäßig arbeitet, über lokal verfügbare Anmeldedaten verfügt, um dem Benutzer das bestmögliche Benutzererlebnis zu ermöglichen. Lokal verfügbare Anmeldedaten reduzieren die Zeit für die Authentifizierung, da Benutzer nicht mehrere Geräte verwenden müssen und es gibt weniger Schritte. Wenn Sie TAP aus Schritt 1 verwenden, um portierbare Anmeldedaten zu registrieren, die diese anderen Anmeldedaten als Bootstrap nutzen kann, können Benutzer phishingsichere Anmelddaten nativ auf den vielen Geräten verwenden, die sie möglicherweise besitzen.

    In der folgenden Tabelle sind Empfehlungen für verschiedene Personas aufgeführt:

    Benutzer-Persona Empfohlene portable Anmeldedaten Alternative portable Anmeldedaten
    Information-Worker Passkey (Authenticator-App) Sicherheitsschlüssel, Smartcard
    Mitarbeitern im Kundenkontakt Sicherheitsschlüssel Passkey (Authenticator-App), Smartcard
    IT-Experte/DevOps-Worker Passkey (Authenticator-App) Sicherheitsschlüssel, Smartcard
    Streng regulierter Worker Zertifikat (Smartcard) Passkey (Authenticator-App), Sicherheitsschlüssel

    Verwenden Sie die folgenden Anleitungen, um empfohlene und alternative portable Anmeldedaten für die relevanten Benutzerpersonas für Ihre Organisation zu aktivieren:

    Methode Leitfaden
    Zugangsschlüssel
  • Microsoft empfiehlt Benutzern, sich direkt bei Microsoft Authenticator anzumelden, um einen Passkey in der App zu starten.
  • Benutzer können ihre TAP verwenden, um sich direkt auf ihrem iOS- oder Android-Gerät bei Microsoft Authenticator anzumelden.
  • Passkeys sind in Microsoft Entra ID standardmäßig deaktiviert. Sie können Passkeys in der Richtlinie für Authentifizierungsmethoden aktivieren.
  • Registrieren von Passkeys in Authenticator auf Android- oder iOS-Geräten.
    		•
    Sicherheitsschlüssel
  • Sicherheitsschlüssel sind in Microsoft Entra ID standardmäßig deaktiviert. Sie können FIDO2-Sicherheitsschlüssel in der Richtlinie für Authentifizierungsmethoden aktivieren.
  • Erwägen Sie das Registrieren von Schlüsseln im Namen Ihrer Benutzer mit den Microsoft Entra ID-Bereitstellungs-APIs. Weitere Informationen finden Sie unter Bereitstellen von FIDO2-Sicherheitsschlüsseln mithilfe der Microsoft Graph-API.
    		•
    Smartcards/zertifikatbasierte Authentifizierung (CBA (CAN))
  • Die zertifikatbasierte Authentifizierung ist komplizierter zu konfigurieren als Passkeys oder andere Methoden. Erwägen Sie die Verwendung nur bei Bedarf.
  • Konfigurieren der zertifikatbasierten Microsoft Entra-Authentifizierung.
  • Stellen Sie sicher, dass Sie Ihre lokalen PKI- und Microsoft Entra ID-CBA-Richtlinien so konfigurieren, dass Benutzer die Multi-Faktor-Authentifizierung wirklich abschließen, um sich anzumelden. Die Konfiguration erfordert in der Regel die Smartcard Policy-Objekt-ID (OID) und die erforderlichen Affinitätsbindungseinstellungen. Weitere erweiterte CBA-Konfigurationen finden Sie unter Grundlegendes zur Authentifizierungsbindungsrichtlinie.
    		•

    Onboarding Schritt 3: Lokale Anmeldedaten auf Computergeräten einrichten

    Nachdem die Benutzer portierbar Anmeldedaten registriert haben, können sie andere Anmeldedaten auf jedem Computergerät, das sie regelmäßig benutzen, in einer 1:1-Beziehung nutzen, was sich positiv auf ihre tägliche Benutzererfahrung auswirkt. Diese Art von Anmeldeinformationen ist für Information-Worker und IT-Spezialisten üblich, aber nicht für Mitarbeiter in Service und Produktion, die Geräte gemeinsam nutzen. Benutzer, die nur Geräte freigeben, sollten nur tragbare Anmeldedaten verwenden.

    Ihre Organisation muss bestimmen, welche Art von Anmeldedaten für jede Benutzerpersona in dieser Phase bevorzugt wird. Microsoft empfiehlt:

    Benutzer-Persona Empfohlene lokale Anmeldedaten – Windows Empfohlene lokale Anmeldedaten – macOS Empfohlene lokale Anmeldedaten – iOS Empfohlene lokale Anmeldedaten – Android Empfohlene lokale Anmeldedaten – Linux
    Information-Worker Windows Hello für Unternehmen Plattform Single Sign-on (SSO) Secure Enclave Key Passkey (Authenticator-App) Passkey (Authenticator-App) N/A (verwenden Sie stattdessen portable Anmeldedaten)
    Mitarbeitern im Kundenkontakt N/A (verwenden Sie stattdessen portable Anmeldedaten) N/A (verwenden Sie stattdessen portable Anmeldedaten) N/A (verwenden Sie stattdessen portable Anmeldedaten) N/A (verwenden Sie stattdessen portable Anmeldedaten) N/A (verwenden Sie stattdessen portable Anmeldedaten)
    IT-Experte/DevOps-Worker Windows Hello für Unternehmen SSO Secure Enklave Key der Plattform Passkey (Authenticator-App) Passkey (Authenticator-App) N/A (verwenden Sie stattdessen portable Anmeldedaten)
    Streng regulierter Worker Windows Hello for Business oder CBA (CAN) SSO Secure Enklave Key oder CBA (CAN) der Plattform Passkey (Authenticator-App) oder CBA Passkey (Authenticator-App) oder CBA N/A (stattdessen Smartcard verwenden)

    Verwenden Sie die folgenden Anleitungen, um die empfohlenen lokalen Anmeldedaten in Ihrer Umgebung für die relevanten Benutzerpersonas für Ihre Organisation zu aktivieren:

    Methode Leitfaden
    Windows Hello für Unternehmen
  • Microsoft empfiehlt die Verwendung der Cloud Kerberos Trust-Methode zum Bereitstellen von Windows Hello for Business. Weitere Informationen finden Sie unter Leitfaden für die Bereitstellung von Cloud Kerberos Trust. Die Cloud Kerberos Trust-Methode gilt für jede Umgebung, in der Benutzer von lokales Active Directory mit Microsoft Entra ID synchronisiert werden. Sie hilft synchronisierten Benutzern auf PCs, die entweder mit Microsoft Entra oder mit Microsoft Entra Hybrid verbunden sind.
  • Windows Hello for Business sollte nur verwendet werden, wenn sich jeder Benutzer eines PCs als er selbst an diesem PC anmeldet. Es sollte nicht auf Kioskgeräten verwendet werden, die ein freigegebenes Benutzerkonto verwenden.
  • Windows Hello for Business unterstützt bis zu zehn Benutzer pro Gerät. Wenn Ihre freigegebenen Geräte mehr Benutzer unterstützen müssen, verwenden Sie stattdessen tragbare Anmeldedaten, z. B. Sicherheitsschlüssel.
  • Biometrie ist optional, aber empfohlen. Weitere Informationen finden Sie unter Vorbereiten von Benutzern für die Bereitstellung und Verwendung von Windows Hello for Business.
    		•
    SSO Secure Enklave Key der Plattform
  • Plattform-SSO unterstützt drei verschiedene Benutzerauthentifizierungsmethoden (Secure Enklave Key, Smartcard und Passwort). Stellen Sie die Secure Enklave-Schlüsselmethode bereit, um Windows Hello for Business auf Ihren Macs zu spiegeln.
  • Plattform-SSO erfordert, dass Macs in der Verwaltung mobiler Geräte (MDM) registriert sind. Spezifische Anweisungen für Intune finden Sie unter Konfigurieren von Plattform-SSO für macOS-Geräte in Microsoft Intune.
  • Lesen Sie die Dokumentation Ihres MDM-Anbieters, wenn Sie einen anderen MDM-Dienst auf Ihren Macs verwenden.
    		•
    Zugangsschlüssel
  • Microsoft empfiehlt die gleiche Geräteregistrierungsoption für Bootstrap-Passkeys in Microsoft Authenticator (anstelle der geräteübergreifenden Registrierungsoption).
  • Benutzer können ihre TAP verwenden, um sich direkt auf ihrem iOS- oder Android-Gerät bei Microsoft Authenticator anzumelden.
  • Passkeys sind standardmäßig in der Microsoft Entra ID deaktiviert, aktivieren Sie sie in der Richtlinie für Authentifizierungsmethoden. Weitere Informationen finden Sie unter Aktivieren von Passkeys in Microsoft Authenticator.
  • Registrieren von Passkeys in Authenticator auf Android- oder iOS-Geräten.
    		•

    Persona-spezifische Überlegungen

    Jede Persona hat ihre eigenen Herausforderungen und Überlegungen, die häufig bei phishingsicheren kennwortlosen Bereitstellungen auftreten. Wenn Sie feststellen, welche Personas Sie berücksichtigen müssen, sollten Sie diese Überlegungen in die Projektplanung der Bereitstellung einbeziehen. Die folgenden Links enthalten spezifische Anleitungen für jede Persona:

    Fördern der Verwendung von Phishing-resistenten Anmeldedaten

    In diesem Schritt wird erläutert, wie Benutzer Phishing-beständige Anmeldedaten leichter übernehmen können. Sie sollten Ihre Bereitstellungsstrategie testen, den Rollout planen und den Plan den Endbenutzern mitteilen. Anschließend können Sie Berichte erstellen und den Fortschritt überwachen, bevor Sie Phishing-beständige Anmeldedaten in Ihrer Organisation erzwingen.

    Testbereitstellungsstrategie

    Microsoft empfiehlt, die im vorherigen Schritt erstellte Bereitstellungsstrategie mit einer Reihe von Test- und Pilotbenutzern zu testen. Diese Phase sollte die folgenden Schritte umfassen:

    • Erstellen Sie eine Liste der Testbenutzer und Early Adopters. Diese Benutzer sollten Ihre verschiedenen Benutzerpersonas und nicht nur IT-Administratoren darstellen.
    • Erstellen Sie eine Microsoft Entra ID-Gruppe und fügen Sie der Gruppe Ihre Testbenutzer hinzu.
    • Aktivieren Sie Ihre Authentifizierungsmethodenrichtlinien in der Microsoft Entra ID und legen Sie die Testgruppe auf die Methoden fest, die Sie aktivieren.
    • Messen Sie den Registrierungsrollout für Ihre Pilotbenutzer mithilfe des Berichts Authentifizierungsmethodenaktivität.
    • Erstellen Sie Richtlinien für den bedingten Zugriff, um die Verwendung von phishingsicheren kennwortlosen Anmeldedaten für jeden Betriebssystemtyp durchzusetzen und Ihre Pilotgruppe als Ziel zu verwenden.
    • Messen Sie den Erfolg der Durchsetzung mithilfe von Azure Monitor und Arbeitsmappen.
    • Sammeln Sie Feedback von Benutzern über den Erfolg des Rollouts.

    Planen der Rolloutstrategie

    Microsoft empfiehlt, die Nutzung zu fördern, basierend darauf, welche Benutzerpersonas am besten für die Bereitstellung bereit sind. In der Regel bedeutet dies, dass die Bereitstellung für die Benutzer in dieser Reihenfolge erfolgt, dies kann sich jedoch je nach Unternehmen ändern:

    1. Information-Worker
    2. Mitarbeiter mit direktem Kundenkontakt
    3. IT-Experten/DevOps-Worker
    4. Streng regulierte Worker

    Verwenden Sie die folgenden Abschnitte, um die Endbenutzerkommunikation für jede Persona-Gruppe zu erstellen, den Umfang und den Rollout der Passkeys-Registrierungsfunktion sowie die Benutzerberichterstattung und -überwachung, um den Rollout-Fortschritt zu verfolgen.

    Fahrbereitschaft mit der Phishing-Resistant kennwortlosen Arbeitsmappe (Vorschau)

    Organisationen können optional ihre Microsoft Entra-ID-Anmeldeprotokolle für langfristige Aufbewahrung, Bedrohungssuche und andere Zwecke nach Azure Monitor exportieren. Microsoft hat eine Arbeitsmappe veröffentlicht, die Organisationen mit Protokollen in Azure Monitor verwenden kann, um bei verschiedenen Phasen einer phishingsicheren kennwortlosen Bereitstellung zu helfen. Auf die Phishing-Resistant Arbeitsmappe ohne Kennwort kann hier zugegriffen werden: aka.ms/PasswordlessWorkbook. Wählen Sie die Arbeitsmappe mit dem Titel Phishing-Resistant Kennwortlose Bereitstellung (Vorschau) aus:

    Screenshot der verschiedenen Arbeitsmappen in Microsoft Entra ID.

    Die Arbeitsmappe verfügt über zwei primäre Abschnitte:

    1. Registrierungsbereitschaftsphase
    2. Erzwingungsbereitschaftsphase

    Bereitschaftsphase für die Registrierung

    Verwenden Sie die Registerkarte "Registrierungsbereitschaftsphase", um Anmeldeprotokolle in Ihrem Mandanten zu analysieren und zu bestimmen, welche Benutzer für die Registrierung bereit sind und welche Benutzer möglicherweise von der Registrierung blockiert werden. Mit der Registerkarte "Registrierungsbereitschaftsphase" können Sie z. B. iOS als Betriebssystemplattform und dann Authenticator App Passkey als Typ der Anmeldeinformationen auswählen, für die Sie Ihre Bereitschaft bewerten möchten. Anschließend können Sie auf die Arbeitsmappenvisualisierungen klicken, um nach Benutzern zu filtern, die voraussichtlich Registrierungsprobleme haben und die Liste exportieren:

    Screenshot der Registrierungsphase der Phishing-Resistant Passwortlosen Arbeitsmappe.

    Auf der Registerkarte "Bereitschaftsstatus für die Anmeldung" der Arbeitsmappe können Sie die Bereitschaft für die folgenden Betriebssysteme und Anmeldeinformationen auswerten.

    • Fenster
      • Windows Hello für Unternehmen
      • FIDO2-Sicherheitsschlüssel
      • Authentifizierungs-App Passwort
      • Certificate-Based Authentifizierung / Smart-Card
    • macOS
      • SSO Secure Enklave Key der Plattform
      • FIDO2-Sicherheitsschlüssel
      • Authentifizierungs-App Passwort
      • Certificate-Based Authentifizierung / Smart-Card
    • Ios
      • FIDO2-Sicherheitsschlüssel
      • Authentifizierungs-App Passwort
      • Certificate-Based Authentifizierung / Smart-Card
    • Android
      • FIDO2-Sicherheitsschlüssel
      • Authentifizierungs-App Passwort
      • Certificate-Based Authentifizierung / Smart-Card

    Verwenden Sie jede exportierte Liste, um Benutzer zu triagen, die möglicherweise Registrierungsprobleme haben. Antworten auf Registrierungsprobleme sollten benutzer beim Upgrade von Betriebssystemversionen des Geräts unterstützen, Alterungsgeräte ersetzen und alternative Anmeldeinformationen auswählen, bei denen die bevorzugte Option nicht geeignet ist. Ihre Organisation kann beispielsweise festlegen, dass physische FIDO2-Sicherheitsschlüssel für Android 13-Benutzer bereitgestellt werden, die in der Microsoft Authenticator-App keine Passkeys verwenden können.

    Verwenden Sie auch den Registrierungsbereitschaftsbericht, um Ihnen bei der Erstellung von Listen von Benutzern zu helfen, die bereit sind, mit der Registrierungskommunikation und den Kampagnen zu beginnen, im Einklang mit Ihrer allgemeinen Rolloutstrategie.

    Phase der Durchsetzungsbereitschaft

    Der erste Schritt der Erzwingungsbereitschaftsphase besteht darin, eine Richtlinie für bedingten Zugriff im Report-Only Modus zu erstellen. Diese Richtlinie füllt Ihre Anmeldeprotokolle mit Daten darüber, ob der Zugriff blockiert worden wäre, wenn Sie Benutzer/Geräte in den Umfang für die phishing-resistente Durchsetzung einbeziehen würden. Erstellen Sie eine neue Richtlinie für bedingten Zugriff in Ihrem Mandanten mit den folgenden Einstellungen:

    Konfiguration Wert
    Benutzer-/Gruppenzuweisung Alle Benutzer, mit Ausnahme von Break Glass-Konten
    App-Zuweisung Alle Ressourcen
    Gewähren von Steuerelementen Authentifizierungsstärke erforderlich – Phishing-beständige MFA
    Aktivieren der Richtlinie Nur Bericht

    Erstellen Sie diese Richtlinie so früh wie möglich in Ihrem Rollout, vorzugsweise bevor Sie ihre Registrierungskampagnen beginnen. Dadurch wird sichergestellt, dass Sie über ein gutes historisches Datensatz verfügen, aus dem hervorgeht, welche Benutzer und Anmeldungen durch die Richtlinie blockiert worden wären, wenn sie durchgesetzt worden wäre.

    Verwenden Sie als Nächstes die Arbeitsmappe, um zu analysieren, wo Benutzer-/Gerätepaare für die Erzwingung bereit sind. Laden Sie Listen von Benutzern herunter, die für die Erzwingung bereit sind, und fügen Sie sie gruppen hinzu, die in Übereinstimmung mit Ihren Erzwingungsrichtlinien erstellt wurden. Wählen Sie zunächst die schreibgeschützte Richtlinie für bedingten Zugriff im Richtlinienfilter aus:

    Screenshot der Erzwingungsphase des Phishing-Resistant kennwortlosen Arbeitsbuchs mit einer bedingt ausgewählten Richtlinie für nur bericht-basierten Zugriff.

    Der Bericht enthält eine Liste der Benutzer, die die Anforderung eines phishing-resistenten Passwortlosen Zugangs auf jeder Geräteplattform erfolgreich hätten bestehen können. Laden Sie jede Liste herunter, und platzieren Sie die entsprechenden Benutzer in der Erzwingungsgruppe, die an der Geräteplattform ausgerichtet ist.

    Screenshot der Durchsetzungsphase des Phishing-Resistant Passwortlosen Arbeitsbuchs mit der Liste der Benutzer, die für die Durchsetzung bereit sind.

    Wiederholen Sie diesen Vorgang im Laufe der Zeit, bis Sie den Punkt erreicht haben, an dem jede Erzwingungsgruppe die meisten oder alle Benutzer enthält. Schließlich sollten Sie die Berichtsmodus-Richtlinie aktivieren können, um die Durchsetzung für alle Benutzer und Geräteplattformen im Mandanten bereitzustellen. Nachdem Sie diesen abgeschlossenen Zustand erreicht haben, können Sie die einzelnen Erzwingungsrichtlinien für jedes Gerätebetriebssystem entfernen, wodurch die Anzahl der erforderlichen Richtlinien für bedingten Zugriff reduziert wird.

    Untersuchung von Benutzern, die nicht zur Durchsetzung bereit sind

    Verwenden Sie die Registerkarte "Weitere Datenanalyse ", um zu untersuchen, warum bestimmte Benutzer nicht für die Durchsetzung auf verschiedenen Plattformen bereit sind. Wählen Sie das Feld "Richtlinie nicht erfüllt " aus, um die Daten auf Benutzeranmeldungen zu filtern, die durch die nur im Bericht erfasste Richtlinie für bedingten Zugriff blockiert worden wären.

    Screenshot der Erzwingungsphase auf der Registerkarte

    Verwenden Sie die von diesem Bericht bereitgestellten Daten, um zu bestimmen, welche Benutzer blockiert wurden, welche Geräte-OSes sie verwendet haben, welche Art von Client-Apps sie verwenden, und welche Ressourcen sie verwenden wollten. Diese Daten sollten Ihnen dabei helfen, diese Benutzer für verschiedene Maßnahmen zur Behebung oder Registrierung zu identifizieren, damit sie effektiv in den Rahmen der Durchsetzung aufgenommen werden können.

    Planen von Kommunikation mit Endbenutzern

    Microsoft stellt Kommunikationsvorlagen für Endbenutzer bereit. Das Bereitstellungsmaterial für die Authentifizierung umfasst anpassbare E-Mail-Vorlagen, um Benutzer über die Implementierung einer phishingsicheren passwortlosen Authentifizierung zu informieren. Verwenden Sie die folgenden Vorlagen für die Kommunikation mit Ihren Benutzern, damit diese die Phishing-resistente kennwortlose Bereitstellung verstehen:

    Kommunikationen sollten mehrmals wiederholt werden, um so viele Benutzer wie möglich abzufangen. Ihre Organisation kann z. B. entscheiden, die verschiedenen Phasen und Zeitleisten mit einem Muster wie diesem zu kommunizieren:

    1. 60 Tage nach der Durchsetzung: Melden Sie den Wert von Phishing-resistenten Authentifizierungsmethoden und ermutigen Sie Benutzer, proaktiv zu registrieren
    2. 45 Tage nach der Durchsetzung: Nachricht wiederholen
    3. 30 Tage nach der Durchsetzung: Nachricht, dass in 30 Tagen die Durchsetzung der Phishing-Bestimmungen beginnen wird und Aufforderung an die Nutzer, sich proaktiv zu registrieren
    4. 15 Tage nach der Durchsetzung: Wiederholen Sie die Nachricht und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können
    5. 7 Tage nach der Durchsetzung: Wiederholen Sie die Nachricht und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können
    6. 1 Tag außerhalb der Durchsetzung: Informieren Sie sie, dass die Vollstreckung innerhalb von 24 Stunden erfolgen wird und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können

    Microsoft empfiehlt die Kommunikation mit Benutzern über andere Kanäle hinaus, die nicht nur per E-Mail erfolgen. Weitere Optionen können Microsoft Teams-Nachrichten, Poster für Gruppenräume und Champion-Programme sein, in denen ausgewählte Mitarbeiter geschult werden, um sich für das Programm für ihre Kollegen einzusetzen.

    Berichterstellung und Überwachung

    Verwenden Sie die zuvor behandelten Phishing-Resistant Kennwortlose Arbeitsmappe , um die Überwachung und Berichterstellung bei Ihrem Rollout zu unterstützen. Verwenden Sie außerdem die unten beschriebenen Berichte, oder verlassen Sie sich darauf, wenn Sie die Phishing-Resistant Kennwortlose Arbeitsmappe nicht verwenden können.

    Microsoft Entra ID-Berichte (z. B. Authentifizierungsmethodenaktivität und Anmeldeereignisdetails für die Multi-Faktor-Authentifizierung von Microsoft Entra) bieten Technik- und Geschäftsinformationen, die Ihnen helfen können, die Akzeptanz zu messen und zu fördern.

    Im Aktivitätsdashboard für Authentifizierungsmethoden können Sie die Registrierung und Nutzung anzeigen.

    • Die Registrierung zeigt die Anzahl der Benutzer an, die eine Phishing-resistente kennwortlose Authentifizierung und andere Authentifizierungsmethoden nutzen können. Es werden Diagramme angezeigt, aus denen hervorgeht, welche Authentifizierungsmethoden die Benutzer registriert haben, sowie die aktuelle Registrierung für jede Methode.
    • Die Verwendung zeigt an, welche Authentifizierungsmethoden für die Anmeldung verwendet wurden.

    Besitzer von Geschäfts- und technischen Anwendungen sollten Berichte basierend auf den Organisationsanforderungen besitzen und empfangen.

    • Verfolgen Sie den Rollout von kennwortlosen Anmeldedaten mit Berichten über die Registrierungsaktivität von Authentifizierungsmethoden, die vor Phishing schützen.
    • Verfolgen Sie die Benutzerakzeptanz von phishingsicheren kennwortlosen Anmeldedaten mit Authentifizierungsmethoden, Aktivitätsberichten und Anmeldeprotokollen.
    • Verwenden Sie den Bericht zur Anmeldeaktivität, um die Authentifizierungsmethoden nachzuverfolgen, die zum Anmelden bei den verschiedenen Anwendungen verwendet werden. Wählen Sie die Benutzerzeile aus; wählen Sie Authentifizierungsdetails, um die Authentifizierungsmethode und die entsprechende Anmeldeaktivität anzuzeigen.

    Microsoft Entra ID fügt Einträge zu Überwachungsprotokollen hinzu, wenn diese Bedingungen auftreten:

    • Ein Administrator ändert die Authentifizierungsmethoden.
    • Benutzer*innen nehmen in Microsoft Entra ID Änderungen an ihren Anmeldeinformationen vor.

    In Microsoft Entra ID werden die meisten Überwachungsdaten 30 Tage lang beibehalten. Wir empfehlen eine längere Aufbewahrung für Überwachungen, Trendanalysen und andere Geschäftsanforderungen.

    Greifen Sie im Microsoft Entra Admin Center oder der API auf Überwachungsdaten zu und laden Sie sie in Ihre Analysesysteme herunter. Wenn Sie einen längeren Aufbewahrungszeitraum benötigen, exportieren und nutzen Sie die Protokolle in einem Security Information & Event Management-Tool (SIEM) wie Microsoft Sentinel, Splunk oder Sumo Logic.

    Überwachen des Helpdesk-Ticketvolumens

    Ihr IT-Helpdesk kann ein unschätzbares Signal dafür liefern, wie gut Ihre Bereitstellung voranschreitet. Daher empfiehlt Microsoft, Ihr Helpdesk-Ticketvolumen beim Ausführen einer phishingsicheren kennwortlosen Bereitstellung nachzuverfolgen.

    Da ihr Helpdesk-Ticketvolumen erhöht wird, sollten Sie das Tempo Ihrer Bereitstellungen, der Benutzerkommunikation und der Durchsetzungsaktionen verlangsamen. Wenn das Ticketvolumen verringert wird, können Sie diese Aktivitäten sichern. Die Verwendung dieses Ansatzes erfordert, dass Sie die Flexibilität in Ihrem Rolloutplan beibehalten.

    So können Sie beispielsweise Ihre Bereitstellungen und Durchsetzungsmaßnahmen in Wellen ausführen, die sich auf Datumsbereiche und nicht auf bestimmte Daten beziehen:

    1. 1. bis 15. Juni: Bereitstellung der Kohortenregistrierung für Welle 1 und Kampagnen
    2. 16. bis 30. Juni: Bereitstellung der Kohortenregistrierung für Welle 2 und Kampagnen
    3. 1. bis 15. Juli: Bereitstellung der Kohortenregistrierung für Welle 3 und Kampagnen
    4. 16. bis 31. Juli: Durchsetzung der Welle 1-Kohorte aktiviert
    5. 1. bis 15. August: Durchsetzung der Welle 2-Kohorte aktiviert
    6. 16. bis 31. August: Durchsetzung der Welle 3-Kohorte aktiviert

    Bei der Durchführung dieser verschiedenen Phasen müssen Sie je nach Umfang der geöffneten Helpdesk-Tickets möglicherweise langsamer vorgehen und die Arbeit fortsetzen, wenn sich das Volumen verringert hat. Um diese Strategie auszuführen, empfiehlt Microsoft, für jede Welle eine Microsoft Entra ID-Sicherheitsgruppe zu erstellen und jede Gruppe zu Ihren Richtlinien einzeln hinzuzufügen. Dieser Ansatz trägt dazu bei, ihre Supportteams zu überwältigen.

    Erzwingen von Phishing-resistenten Methoden für die Anmeldung

    Dieser Abschnitt konzentriert sich auf Phase 4.

    Diagramm, das die Erzwingungsphase der Bereitstellung hervorhebt.

    Die letzte Phase einer Phishing-widerstandsfähigen kennwortlosen Bereitstellung erzwingt die Verwendung von Phishing-widerstandsfähigen Anmeldedaten. Der wichtigste Mechanismus in Microsoft Entra ID ist die Authentifizierungsstärke des bedingten Zugriffs. Microsoft empfiehlt, die Durchsetzung für jede Persona basierend auf einer Methode für Benutzer-/Gerätepaare zu erreichen. Ein Durchsetzungsrollout könnte z. B. diesem Muster folgen:

    1. Information-Worker unter Windows und iOS
    2. Information-Worker unter macOS und Android
    3. IT-Spezialisten auf iOS und Android
    4. FLWs auf iOS und Android
    5. FLWs auf Windows und macOS
    6. IT-Spezialisten auf Windows und macOS

    Microsoft empfiehlt, einen Bericht aller Benutzer-/Gerätepaare mithilfe von Anmeldedaten aus Ihrem Mandanten zu erstellen. Sie können Abfragetools wie Azure Monitor und Arbeitsmappen verwenden. Versuchen Sie mindestens, alle Benutzer-/Gerätepaare zu identifizieren, die diesen Kategorien entsprechen.

    Verwenden Sie die zuvor behandelte Phishing-Resistant Kennwortlose Arbeitsmappe , um die Erzwingungsphase nach Möglichkeit zu unterstützen.

    Erstellen Sie für jeden Benutzer eine Liste der Betriebssysteme, die sie regelmäßig für die Arbeit verwenden. Ordnen Sie die Liste der Bereitschaft zur Durchsetzung von Phishing-beständigen Anmeldezwecken für dieses Benutzer-/Gerätepaar zu.

    Betriebssystemtyp Bereit für die Durchsetzung Nicht bereit für die Durchsetzung
    Fenster 10+ 8.1 und früher, Windows Server
    Ios 17+ 16 und früher
    Android 14+ 13 und früher
    macOS 13+ (Ventura) 12 und früher
    VDI Abhängig1 Abhängig1
    Andere Abhängig1 Abhängig1

    1Legen Sie für jedes Benutzer/Geräte-Paar, bei dem die Geräteversion nicht sofort für die Durchsetzung bereit ist, fest, wie die Notwendigkeit der Durchsetzung der Phishing-Resistenz erfüllt werden kann. Berücksichtigen Sie die folgenden Optionen für ältere Betriebssysteme, virtuelle Desktopinfrastruktur (VDI) und andere Betriebssysteme wie Linux:

    • Durchsetzen der Phishing-Resistenz mit externer Hardware – FIDO2-Sicherheitsschlüssel
    • Erzwingen der Phishingresistenz mit externer Hardware – Smartcards
    • Erzwingen der Phishing-Resistenz mithilfe von Remote-Anmeldedaten, z. B. Passkeys im geräteübergreifenden Authentifizierungsfluss
    • Erzwingen der Phishing-Resistenz mithilfe von Remote-Anmeldedaten in RDP-Tunneln (insbesondere für VDI)

    Die Hauptaufgabe besteht darin, anhand von Daten zu messen, welche Nutzer und Personas für die Durchsetzung auf bestimmten Plattformen bereit sind. Beginnen Sie Ihre Durchsetzungsmaßnahmen bei Benutzer-/Gerätepaaren, die für die Durchsetzung bereit sind, um „das Bleeding zu stoppen“ und die Anzahl der phishbaren Authentifizierungen in Ihrer Umgebung zu reduzieren.

    Fahren Sie dann mit anderen Szenarien fort, in denen die Benutzer-/Gerätepaare Bereitschaftsbemühungen erfordern. Arbeiten Sie durch die Liste der Benutzer-/Gerätepaare, bis Sie die Phishing-beständige Authentifizierung über das Board erzwingen.

    Erstellen Sie eine Reihe von Microsoft Entra ID-Gruppen, um die Durchsetzung schrittweise einzurichten. Verwenden Sie die Gruppen aus dem vorherigen Schritt wieder, wenn Sie den wellenbasierten Rollout-Ansatz verwendet haben.

    Richten Sie jede Gruppe mit einer bestimmten Richtlinie für bedingten Zugriff an. Mit diesem Ansatz können Sie die Durchsetzungssteuerelemente schrittweise nach Benutzer-/Gerätepaar bereitstellen.

    Politik Gruppenname, der in der Richtlinie ausgerichtet ist Richtlinie – Geräteplattformbedingung Richtlinie – Gewähren der Kontrolle
    1 Windows Phishing-resistente kennwortlose betriebsbereite Benutzer Fenster Erfordert Authentifizierungsstärke – Phishing-beständige MFA
    2 macOS Phishing-resistente kennwortlose betriebsbereite Benutzer macOS Erfordert Authentifizierungsstärke – Phishing-beständige MFA
    3 iOS Phishing-resistente kennwortlose betriebsbereite Benutzer Ios Erfordert Authentifizierungsstärke – Phishing-beständige MFA
    4 Android Phishing-resistente kennwortlose betriebsbereite Benutzer Android Erfordert Authentifizierungsstärke – Phishing-beständige MFA
    5 Andere Phishing-resistente kennwortlose betriebsbereite Benutzer Alle außer Windows, macOS, iOS oder Android Erfordert Authentifizierungsstärke – Phishing-beständige MFA

    Fügen Sie jeden Benutzer zu jeder Gruppe hinzu, wenn Sie feststellen, ob sein Gerät und Betriebssystem bereit ist oder ob er kein Gerät dieses Typs besitzt. Am Ende des Rollouts sollte sich jeder Benutzer in einer der Gruppen befinden.

    Reagieren auf Risiken für kennwortlose Benutzer

    Microsoft Entra ID Protection unterstützt Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beseitigen. Microsoft Entra ID Protection bietet wichtige und nützliche Erkennungen für Ihre Benutzer, auch nachdem diese auf die Verwendung von Phishing-resistenten kennwortlosen Anmeldedaten umgestellt haben. Zu den relevanten Erkennungen für Phishing-widerstandsfähige Benutzer gehören beispielsweise:

    • Aktivität über anonyme IP-Adresse
    • Benutzergefährdung durch Administrator bestätigt
    • Anomales Token
    • Schädliche IP-Adresse
    • Threat Intelligence von Microsoft Entra
    • Verdächtiger Browser
    • Angreifer-in-the-Middle
    • Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen
    • Und andere: Risikoerkennungen, die riskEventType zugeordnet sind

    Microsoft empfiehlt den Kunden von Microsoft Entra ID Protection, die folgenden Maßnahmen zu ergreifen, um ihre kennwortlosen Benutzer optimal vor Phishing zu schützen:

    1. Lesen Sie den Leitfaden zur Bereitstellung von Microsoft Entra ID Protection: Planen einer ID Protection-Bereitstellung
    2. Konfigurieren Ihrer Risikoprotokolle für den Export in ein SIEM
    3. Untersuchen und Reagieren auf ein mittleres Benutzerrisiko
    4. Konfigurieren einer Richtlinie für bedingten Zugriff zum Blockieren von Benutzern mit hohem Risiko

    Nachdem Sie Microsoft Entra ID Protection bereitgestellt haben, sollten Sie den Tokenschutz für bedingten Zugriff verwenden. Da sich Benutzer mit Phishing-resistenten kennwortlosen Anmeldedaten anmelden, entwickeln sich Angriffe und Erkennungen ständig weiter. Wenn beispielsweise Benutzeranmeldeinformationen nicht mehr leicht durch Phishing erlangt werden können, können Angreifer versuchen, Token von Benutzergeräten zu exfiltrieren. Der Tokenschutz trägt dazu bei, dieses Risiko zu verringern, indem Token an die Hardware des Geräts gebunden werden, an das sie ausgegeben wurden.

    Nächste Schritte

    Überlegungen zu bestimmten Personas in einer Phishing-widerstandsfähigen kennwortlosen Authentifizierungsbereitstellung in Microsoft Entra ID

    Überlegungen zu Remotedesktopverbindungen im Rahmen einer phishingsicheren, kennwortlosen Authentifizierungsimplementierung in Microsoft Entra ID