Microsoft 365- und Entra ID-Sicherheit
Microsoft 365-Mandanten und das zugrunde liegende Authentifizierungssystem Entra ID (Azure AD) verfügen über viele verschiedene Konfigurationsoptionen, mit denen Ihr Unternehmen verschiedene Sicherheitsebenen umsetzen kann. Viele dieser Optionen sind standardmäßig nicht aktiviert. Auch wenn dieses Dokument nicht alle verfügbaren Sicherheitsoptionen behandelt oder andere Technologien wie Geräteverwaltung und Data Loss Prevention (DLP) erörtert, bietet es dennoch eine Anleitung zu empfohlenen Einstellungen, die den Identitätsschutz verbessern und die Wahrscheinlichkeit von Business Email Compromise (BEC) verringern.
Die Anleitung ist in zwei Abschnitte unterteilt: Empfohlene Einstellungen und optionale Einstellungen. Wir raten allen Kunden dringend, empfohlene Einstellungen zu implementieren. Wir empfehlen Ihnen auch, die optionalen Einstellungen zu berücksichtigen und sie entsprechend Ihrer Umgebung anzuwenden.
Alle Änderungen an Ihrer Umgebung, die Sie in Betracht ziehen, sollten unter Bezug auf die Dokumentation von Microsoft in Ihrem Unternehmen geprüft und getestet werden. Wir empfehlen Ihnen, Änderungen gestaffelt vorzunehmen und Sie zunächst auf Testkonten, für Pilotbenutzer und in kleinen Abteilungen und erst dann im gesamten Unternehmen umzusetzen. Stellen Sie sicher, dass Sie wie unten beschrieben über ein Notfallkonto verfügen, um eine Sperrung zu vermeiden.
Lizenzrichtlinien
Einige der unten aufgeführten Konfigurationselemente sind unabhängig von den verwendeten Lizenzen für alle M365-Mandanten verfügbar. Für die meisten sind jedoch mindestens „Entra ID P1“-Lizenzen in Ihrem Mandanten erforderlich, einige davon benötigen „Entra ID P2“-Lizenzen. „Entra ID P1“ ist im Lieferumfang der Bundles „M365 Business Premium E3/A3“ enthalten, die Lizenzen für „Entra ID P2“ sind in den Bundles „M365 E5/A5“ erhältlich.
Wenn Sie nicht mindestens über „Entra ID P1“-Lizenzierung verfügen, empfehlen wir dringend die Verwendung der Sicherheitsstandardwerte von Microsoft. Dabei handelt es sich um einen grundlegenden Satz von Sicherheitsrichtlinien, die von Microsoft kontrolliert werden. Siehe Sicherheitsstandards in Microsoft Entra ID – Microsoft Entra.
Bei der Integration von Microsoft-Warnmeldungen in den Sophos MDR-Service ist „Entra ID P1“ die Mindestlizenz, die Sie verwenden sollten. Wir empfehlen jedoch „Entra ID P2“ aufgrund der erhöhten Anzahl an Warnmeldungen, die von Microsoft generiert werden. In diesen Artikeln finden Sie Beispiele für diese Warnmeldungen:
- Microsoft 365-Richtlinien für Warnmeldungen
- Was sind Risiken bei Microsoft Entra ID Protection – Microsoft Entra ID Protection?
Wir empfehlen Ihnen, weitere Lizenzinformationen bei Ihrem Microsoft-Lizenzspezialisten zu erfragen.
Empfohlene Konfigurationselemente
-
Wenden Sie das Prinzips der geringsten Rechte an
Verwenden Sie separate Administratorkonten und RBAC-Rollen, um Administratorberechtigungen einzuschränken. Teilen Sie nur die Rollen zu, die für die Tätigkeit erforderlich sind. Microsoft empfiehlt maximal fünf globale Administratorkonten. Verwenden Sie Administrator-Zugangsdaten nicht über Domänen oder Dienste hinweg.
Impact (Auswirkung): Benutzer sollten nur Zugriff auf Bereiche haben, die für ihre Tätigkeit zulässig sind. Administratoren sollten separate Konten verwenden.
Standort: Entra ID > Rollen und Administratoren
Referenzen:
-
Konfigurieren Sie Authentifizierungsmethoden
Mit dieser Einstellung werden die Authentifizierungsmethoden konfiguriert, die Ihren Benutzern für den Zugriff auf die Umgebung zur Verfügung stehen. Es wird empfohlen, mindestens Microsoft Authenticator, Einmal-Kennwort und befristeten Zugriffspass festzulegen und Call-to-Phone als Option zu deaktivieren.
Standort: Entra ID > Schutz > Authentifizierungsmethoden > Richtlinien
Referenzen:
- Funktionsweise des Nummernabgleichs in MFA-Pushbenachrichtigungen für Authenticator – Richtlinie für Authentifizierungsmethoden – Microsoft Entra ID
- Steuern der Registrierung von Sicherheitsinformationen mit bedingtem Zugriff – Microsoft Entra ID
- Kennwortlose Anmeldung mit Microsoft Authenticator – Microsoft Entra ID
-
MFA für Geräteregistrierung oder -verbindung erfordern
Dadurch wird sichergestellt, dass mehrstufige Authentifizierung für Benutzer erforderlich ist, die versuchen, neue Windows-Geräte mit Entra ID zu verbinden.
Standort: Entra ID > Schutz > Bedingter Zugriff
- Name: MFA für Geräteregistrierung oder -verbindung erfordern.
- Benutzer: Alle Benutzer; stellen Sie sicher, dass Sie alle „Notfallzugriff“-Konten oder -Gruppen ausschließen.
- Cloud-Apps oder -Aktionen: Benutzeraktionen > Geräte registrieren oder verbinden.
- Bedingungen: Keine.
- Zugriffssteuerungen > Erteilen: Multi-Faktor-Authentifizierung erforderlich.
-
Nur Anmeldungen aus autorisierten Ländern zulassen
Wir empfehlen, das Risiko einer Beeinträchtigung des Kontos zu verringern, indem die Anzahl der Länder, aus denen sich Benutzer bei Ihrer Umgebung anmelden können, begrenzt wird. Wenn Sie keine Mitarbeiter haben, die ins Ausland reisen, verhindern Sie, dass alle Benutzer in Ihrem Unternehmen außerhalb Ihres Landes auf Ihre Umgebung zugreifen. Wenn Sie Benutzer haben, die reisen, können diese Richtlinien pro Gruppe implementiert werden. Sie können zum Beispiel den Zugriff von allen Ländern oder einer Untergruppe von Ländern für eine bestimmte Gruppe von Benutzern zulassen, die reisen, oder Benutzer in geografische Regionen aufteilen, wodurch ihr Zugriff nach Regionen beschränkt wird.
Dies erreichen Sie mithilfe von Richtlinien für bedingten Zugriff. Erstellen Sie eine Liste mit benannten Standorten, zum Beispiel „zulässige Länder“, und fügen Sie Länder hinzu, auf die Sie zugreifen möchten. Erstellen Sie dann eine Richtlinie für bedingten Zugriff, um den Zugriff für alle Benutzer, für alle Cloud-Apps, mit Ausnahme der „zulässigen Länder“ und aller „Notfallbenutzer oder -Gruppen“ zu blockieren.
Warnung
Testen Sie diese Richtlinie sorgfältig, bevor Sie sie auf alle Benutzer anwenden.
Standort: Entra ID > Schutz > Bedingter Zugriff
-
Hochrisiko-Benutzer blockieren
Die Benutzerrisikostufe in M365, mit der das Risiko eines Benutzerkontos in Entra ID bestimmt werden kann. Sie ist Teil von Entra ID Identity Protection und wird durch Analyse verschiedener Signale aus dem Benutzerkonto wie IP-Adressen, Gerätestatus, verdächtige Aktivitäten und bekannte kompromittierte Zugangsdaten durchgeführt.
Die Risikostufe des Benutzers ist in drei Kategorien unterteilt:
- Niedriges Risiko: Benutzerkonten mit geringem Risiko werden als legitim betrachtet.
- Mittleres Risiko: Benutzerkonten mit mittlerem Risiko können legitim sein. Dennoch ist bei diesen Konten auch die Wahrscheinlichkeit erhöht, dass sie von einem Bedrohungsakteur kompromittiert oder angegriffen werden.
- Hohes Risiko: Benutzerkonten mit hohem Risiko werden als kompromittiert betrachtet.
Wir empfehlen, Benutzerkonten zu blockieren, die als hochriskant gelten, und bei einem Benutzer, der als mittleres Risiko eingestuft wird, eine sichere Kennwortänderung zu verlangen.
Standort: Entra ID > Schutz > Bedingter Zugriff
Referenz:
Optionale Konfigurationselemente
-
Notfallzugriffskonten
Microsoft empfiehlt Administratorkonten für Notfallzugriff, die von den Richtlinien für bedingten Zugriff ausgeschlossen sind. Diese Konten sollten die Rolle „globaler Administrator“ haben und mit extrem langen und komplexen Kennwörtern gesichert werden, die in einem sicheren Kennwortspeicher gespeichert und nur für Notfälle verwendet werden.
Referenz:
-
Anwendungseinwilligung und -berechtigungen der Anwendung
Standardmäßig können alle Benutzer Anwendungen und Add-ins von Drittanbietern Berechtigungen erteilen. Dies kann riskant sein, da Bedrohungsakteure schädliche Anwendungen erstellen und Phishing-E-Mails an Benutzer senden können, die Ihre Benutzer dazu auffordern, unbeabsichtigten Zugriff auf ihre Postfächer und Dateien zu gewähren. Wir empfehlen, dies auf vertrauenswürdige Herausgeber zu beschränken oder zu blockieren und die Einwilligung des Administrators erfordern.
Standort: Entra ID > Anwendungen > Unternehmensanwendungen > Einwilligung und Berechtigungen
Referenz: