Zum Inhalt

Microsoft 365- und Entra ID-Sicherheit

Microsoft 365-Mandanten und das zugrunde liegende Authentifizierungssystem Entra ID (Azure AD) verfügen über viele verschiedene Konfigurationsoptionen, mit denen Ihr Unternehmen verschiedene Sicherheitsebenen umsetzen kann. Viele dieser Optionen sind standardmäßig nicht aktiviert. Auch wenn dieses Dokument nicht alle verfügbaren Sicherheitsoptionen behandelt oder andere Technologien wie Geräteverwaltung und Data Loss Prevention (DLP) erörtert, bietet es dennoch eine Anleitung zu empfohlenen Einstellungen, die den Identitätsschutz verbessern und die Wahrscheinlichkeit von Business Email Compromise (BEC) verringern.

Die Anleitung ist in zwei Abschnitte unterteilt: Empfohlene Einstellungen und optionale Einstellungen. Wir raten allen Kunden dringend, empfohlene Einstellungen zu implementieren. Wir empfehlen Ihnen auch, die optionalen Einstellungen zu berücksichtigen und sie entsprechend Ihrer Umgebung anzuwenden.

Alle Änderungen an Ihrer Umgebung, die Sie in Betracht ziehen, sollten unter Bezug auf die Dokumentation von Microsoft in Ihrem Unternehmen geprüft und getestet werden. Wir empfehlen Ihnen, Änderungen gestaffelt vorzunehmen und Sie zunächst auf Testkonten, für Pilotbenutzer und in kleinen Abteilungen und erst dann im gesamten Unternehmen umzusetzen. Stellen Sie sicher, dass Sie wie unten beschrieben über ein Notfallkonto verfügen, um eine Sperrung zu vermeiden.

Lizenzrichtlinien

Einige der unten aufgeführten Konfigurationselemente sind unabhängig von den verwendeten Lizenzen für alle M365-Mandanten verfügbar. Für die meisten sind jedoch mindestens „Entra ID P1“-Lizenzen in Ihrem Mandanten erforderlich, einige davon benötigen „Entra ID P2“-Lizenzen. „Entra ID P1“ ist im Lieferumfang der Bundles „M365 Business Premium E3/A3“ enthalten, die Lizenzen für „Entra ID P2“ sind in den Bundles „M365 E5/A5“ erhältlich.

Wenn Sie nicht mindestens über „Entra ID P1“-Lizenzierung verfügen, empfehlen wir dringend die Verwendung der Sicherheitsstandardwerte von Microsoft. Dabei handelt es sich um einen grundlegenden Satz von Sicherheitsrichtlinien, die von Microsoft kontrolliert werden. Siehe Sicherheitsstandards in Microsoft Entra ID – Microsoft Entra.

Bei der Integration von Microsoft-Warnmeldungen in den Sophos MDR-Service ist „Entra ID P1“ die Mindestlizenz, die Sie verwenden sollten. Wir empfehlen jedoch „Entra ID P2“ aufgrund der erhöhten Anzahl an Warnmeldungen, die von Microsoft generiert werden. In diesen Artikeln finden Sie Beispiele für diese Warnmeldungen:

Wir empfehlen Ihnen, weitere Lizenzinformationen bei Ihrem Microsoft-Lizenzspezialisten zu erfragen.

Empfohlene Konfigurationselemente

  • Wenden Sie das Prinzips der geringsten Rechte an


    Verwenden Sie separate Administratorkonten und RBAC-Rollen, um Administratorberechtigungen einzuschränken. Teilen Sie nur die Rollen zu, die für die Tätigkeit erforderlich sind. Microsoft empfiehlt maximal fünf globale Administratorkonten. Verwenden Sie Administrator-Zugangsdaten nicht über Domänen oder Dienste hinweg.

    Impact (Auswirkung): Benutzer sollten nur Zugriff auf Bereiche haben, die für ihre Tätigkeit zulässig sind. Administratoren sollten separate Konten verwenden.

    Standort: Entra ID > Rollen und Administratoren

    Referenzen:

- **Ersetzen Sie „Sicherheitsstandards“ durch Richtlinien für bedingten Zugriff** --- Wenn Sie „Entra ID P1“-Lizenzen und höher verwenden, können Sie benutzerdefinierte Richtlinien für bedingten Zugriff erstellen, um Ihre Sicherheit zu erhöhen. Um diese Richtlinien zu erstellen, müssen Sie „Sicherheitsstandards“ deaktivieren und Richtlinien für bedingten Zugriff aus Microsoft-Vorlagen erstellen, um beispielsweise MFA durchzusetzen. Stellen Sie sicher, dass Sie beim Erstellen dieser Richtlinien alle „Notfallzugriff“-Konten oder -Gruppen ausschließen. **Standort**: - Entra ID > Übersicht > Eigenschaften - Entra ID > Schutz > Bedingter Zugriff **Referenzen**: - Vorlagen für bedingten Zugriff: - [Legacyauthentifizierung blockieren: Blockieren der Legacyauthentifizierung bei bedingtem Zugriff – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy) - [MFA für Administratoren erfordern: MFA für Administratoren mit bedingtem Zugriff erfordern – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa) - [MFA für Azure Management erfordern: MFA für Azure Management mit bedingtem Zugriff erfordern – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/howto-conditional-access-policy-azure-management) - [MFA für alle Benutzer erfordern: MFA für alle Benutzer mit bedingtem Zugriff erfordern – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/howto-conditional-access-policy-all-users-mfa) - Hinweise zu Richtlinien für bedingten Zugriff: - [Planen einer Bereitstellung für bedingten Zugriff – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/plan-conditional-access#follow-best-practices) - [Hilfe zu einem Arbeits- oder Schulkonto – Microsoft Support](https://docs.microsoft.com/azure/active-directory/user-help/) - [Durchführen einer Registrierungskampagne zum Einrichten von Microsoft Authenticator – Microsoft Entra ID](https://docs.microsoft.com/de-de/azure/active-directory/authentication/how-to-mfa-registration-campaign)
  • MFA für Geräteregistrierung oder -verbindung erfordern


    Dadurch wird sichergestellt, dass mehrstufige Authentifizierung für Benutzer erforderlich ist, die versuchen, neue Windows-Geräte mit Entra ID zu verbinden.

    Standort: Entra ID > Schutz > Bedingter Zugriff

    • Name: MFA für Geräteregistrierung oder -verbindung erfordern.
    • Benutzer: Alle Benutzer; stellen Sie sicher, dass Sie alle „Notfallzugriff“-Konten oder -Gruppen ausschließen.
    • Cloud-Apps oder -Aktionen: Benutzeraktionen > Geräte registrieren oder verbinden.
    • Bedingungen: Keine.
    • Zugriffssteuerungen > Erteilen: Multi-Faktor-Authentifizierung erforderlich.
  • Nur Anmeldungen aus autorisierten Ländern zulassen


    Wir empfehlen, das Risiko einer Beeinträchtigung des Kontos zu verringern, indem die Anzahl der Länder, aus denen sich Benutzer bei Ihrer Umgebung anmelden können, begrenzt wird. Wenn Sie keine Mitarbeiter haben, die ins Ausland reisen, verhindern Sie, dass alle Benutzer in Ihrem Unternehmen außerhalb Ihres Landes auf Ihre Umgebung zugreifen. Wenn Sie Benutzer haben, die reisen, können diese Richtlinien pro Gruppe implementiert werden. Sie können zum Beispiel den Zugriff von allen Ländern oder einer Untergruppe von Ländern für eine bestimmte Gruppe von Benutzern zulassen, die reisen, oder Benutzer in geografische Regionen aufteilen, wodurch ihr Zugriff nach Regionen beschränkt wird.

    Dies erreichen Sie mithilfe von Richtlinien für bedingten Zugriff. Erstellen Sie eine Liste mit benannten Standorten, zum Beispiel „zulässige Länder“, und fügen Sie Länder hinzu, auf die Sie zugreifen möchten. Erstellen Sie dann eine Richtlinie für bedingten Zugriff, um den Zugriff für alle Benutzer, für alle Cloud-Apps, mit Ausnahme der „zulässigen Länder“ und aller „Notfallbenutzer oder -Gruppen“ zu blockieren.

    Warnung

    Testen Sie diese Richtlinie sorgfältig, bevor Sie sie auf alle Benutzer anwenden.

    Standort: Entra ID > Schutz > Bedingter Zugriff

  • Hochrisiko-Benutzer blockieren


    Die Benutzerrisikostufe in M365, mit der das Risiko eines Benutzerkontos in Entra ID bestimmt werden kann. Sie ist Teil von Entra ID Identity Protection und wird durch Analyse verschiedener Signale aus dem Benutzerkonto wie IP-Adressen, Gerätestatus, verdächtige Aktivitäten und bekannte kompromittierte Zugangsdaten durchgeführt.

    Die Risikostufe des Benutzers ist in drei Kategorien unterteilt:

    • Niedriges Risiko: Benutzerkonten mit geringem Risiko werden als legitim betrachtet.
    • Mittleres Risiko: Benutzerkonten mit mittlerem Risiko können legitim sein. Dennoch ist bei diesen Konten auch die Wahrscheinlichkeit erhöht, dass sie von einem Bedrohungsakteur kompromittiert oder angegriffen werden.
    • Hohes Risiko: Benutzerkonten mit hohem Risiko werden als kompromittiert betrachtet.

    Wir empfehlen, Benutzerkonten zu blockieren, die als hochriskant gelten, und bei einem Benutzer, der als mittleres Risiko eingestuft wird, eine sichere Kennwortänderung zu verlangen.

    Standort: Entra ID > Schutz > Bedingter Zugriff

    Referenz:

- **Blockieren Sie Anmeldungen mit hohem Risiko** --- Die Anmelderisikostufe in M365, mit der das Risiko eines individuellen Anmeldeversuchs in Entra ID bestimmt werden kann. Sie ist Teil von Entra ID Identity Protection und analysiert mehrere Signale im Rahmen des Anmeldeprozesses, um die Risikostufe zu bestimmen. Die Risikostufe für die Anmeldung ist in drei Kategorien unterteilt: - **Niedriges Risiko**: Anmeldeversuche mit geringem Risiko werden als legitim angesehen. - **Mittleres Risiko**: Anmeldeversuche mit mittlerem Risiko können legitim sein. Dennoch ist bei diesen Anmeldeversuchen auch die Wahrscheinlichkeit erhöht, dass sie von einem Bedrohungsakteur kompromittiert oder angegriffen werden. - **Hohes Risiko**: Anmeldeversuche mit hohem Risiko gelten als kompromittiert. Wir empfehlen, Anmeldeversuche zu blockieren, die als hohes Risiko gelten, und MFA für Anmeldungen mit mittlerem Risiko zu erfordern. **Standort**: Entra ID > Schutz > Bedingter Zugriff **Referenz**: - [Microsoft Entra ID-Schutz risikobasierte Zugriffsrichtlinien – Microsoft Entra ID-Schutz](https://learn.microsoft.com/de-de/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

Optionale Konfigurationselemente

  • Notfallzugriffskonten


    Microsoft empfiehlt Administratorkonten für Notfallzugriff, die von den Richtlinien für bedingten Zugriff ausgeschlossen sind. Diese Konten sollten die Rolle „globaler Administrator“ haben und mit extrem langen und komplexen Kennwörtern gesichert werden, die in einem sicheren Kennwortspeicher gespeichert und nur für Notfälle verwendet werden.

    Referenz:

- **Kennwortablaufrichtlinie konfigurieren** --- Stellen Sie sicher, dass das Ablaufdatum Ihres Kennworts mit den Unternehmensrichtlinien und Compliance-Anforderungen übereinstimmt. !!! note "Hinweis" Microsoft empfiehlt, dass Kennwörter auf „nie ablaufen“ gesetzt werden, wenn MFA unternehmensweit durchgesetzt wird. **Standort**: Microsoft 365 Admin Center > Einstellungen > Sicherheit und Datenschutz
  • Anwendungseinwilligung und -berechtigungen der Anwendung


    Standardmäßig können alle Benutzer Anwendungen und Add-ins von Drittanbietern Berechtigungen erteilen. Dies kann riskant sein, da Bedrohungsakteure schädliche Anwendungen erstellen und Phishing-E-Mails an Benutzer senden können, die Ihre Benutzer dazu auffordern, unbeabsichtigten Zugriff auf ihre Postfächer und Dateien zu gewähren. Wir empfehlen, dies auf vertrauenswürdige Herausgeber zu beschränken oder zu blockieren und die Einwilligung des Administrators erfordern.

    Standort: Entra ID > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen

    Referenz:

- **MFA erfordern für Gäste** --- Wir empfehlen, für Gäste MFA zu erfordern, die eingeladen werden, auf Ressourcen in Ihrer Umgebung zuzugreifen, um die Wahrscheinlichkeit zu verringern, dass ein kompromittiertes Drittanbieterkonto auf Ihre Daten zugreifen kann. Dies kann mithilfe einer Richtlinienvorlage für bedingten Zugriff bereitgestellt werden. **Standort**: Entra ID > Schutz > Bedingter Zugriff