Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft empfiehlt, den Zugang zu allen Microsoft-Verwaltungsportalen wie Microsoft Entra, Microsoft 365, Exchange und Azure zu sichern. Mithilfe der Microsoft Admin Portals-App können Organisationen den interaktiven Zugriff auf Microsoft-Verwaltungsportale steuern.
Microsoft empfiehlt, dass Sie eine Phishing-resistente Multi-Faktor-Authentifizierung mindestens für die folgenden Rollen verlangen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für bedingten Zugriff
- Exchange-Administrator
- Helpdeskadministrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:
-
Notfallzugang oder Notfall-Benutzerkonten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.
Vorlagenbereitstellung
Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.
Erstellen Sie eine Richtlinie für bedingten Zugriff
- Melden Sie sich im Microsoft Entra Verwaltungszentrum als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie "Neue Richtlinie" aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Assignments die Option Benutzer oder Workloadidentitäten aus.
Unter "Einschließen" wählen Sie Verzeichnisrollen aus und entscheiden sich für mindestens die zuvor aufgeführten Rollen.
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen, die auf Verwaltungseinheiten beschränkt sind, oder benutzerdefinierte Rollen.
Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus, und wählen Sie die Notfallzugangs- oder Break-Glass-Konten Ihrer Organisation aus.
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>einschließen, Ressourcen auswählen, die Option Microsoft Admin Portals aus.
- Wählen Sie unter „Zugriffssteuerungen>gewähren“ die Option „Zugriff gewähren“,„Authentifizierungsstärke erforderlich“, wählen Sie Multifaktor-Authentifizierung und dann „Auswählen“ aus.
- Bestätigen Sie Ihre Einstellungen und setzen Sie die Option Richtlinie aktivieren auf Nur Bericht.
- Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".