Identitätsgrundlagen für mehrinstanzenfähige Verteidigungsorganisationen
Der folgende Leitfaden enthält Grundlagen zur Zero-Trust-Identität für mehrinstanzenfähige Verteidigungsorganisationen und konzentriert sich auf Microsoft Entra ID. Zero Trust ist eine Kernstrategie, um die Integrität und Vertraulichkeit vertraulicher Informationen sicherzustellen. Die Identität ist ein Grundpfeiler von Zero Trust. Microsoft Entra ID ist der Identitätsdienst für Microsoft Cloud. Microsoft Entra ID ist eine wichtige Zero-Trust-Komponente, die alle Cloudkunden von Microsoft verwenden.
Architekt*innen und Entscheidungsträger*innen müssen die Kernfunktionen von Microsoft Entra ID und dessen Rolle in Zero Trust verstehen, bevor sie die Verteidigungsstrategie des Unternehmens entwickeln. Verteidigungsorganisationen können viele Zero-Trust-Anforderungen erfüllen, indem sie Microsoft Entra ID einführen. Viele haben bereits über ihre vorhandenen Microsoft 365-Lizenzen Zugriff auf wichtige Microsoft Entra-Features.
Microsoft Entra-Mandanten
Eine Instanz der Microsoft Entra ID wird als Microsoft Entra-Mandantbezeichnet. Ein Microsoft Entra-Mandant ist eine Identitätsplattform und -grenze. Er ist die Identitätsplattform für Ihre Organisation und eine sichere Identitätsgrenze für die von Ihnen verwendeten Microsoft Cloud Services. Daher ist er ideal für den Schutz vertraulicher Verteidigungsidentitätsdaten.
Konsolidieren von Microsoft Entra-Mandanten. Microsoft empfiehlt einen Mandanten pro Organisation. Ein einzelner Microsoft Entra-Mandant ermöglicht Benutzer*innen und Administrator*innen eine nahtlose Identitätsverwaltung. Er bietet die umfassendsten Zero-Trust-Funktionalitäten. Organisationen mit mehreren Microsoft Entra-Mandanten müssen unterschiedliche Benutzer*innen, Gruppen, Anwendungen und Richtlinien verwalten, was die Kosten und die Verwaltungskomplexität erhöht. Ein einzelner Mandant minimiert auch die Lizenzierungskosten.
Sie sollten versuchen, dass Microsoft 365, Azure-Dienste, Power Platform, Branchenanwendungen, SaaS-Anwendungen (Software-as-a-Service) und andere Cloudanbieter (Cloud Service Providers, CSPs) einen einzelnen Microsoft Entra-Mandanten verwenden.
Microsoft Entra ID im Vergleich zu Active Directory: Microsoft Entra ID ist keine Weiterentwicklung von Active Directory Domain Services (AD DS). Das Mandantenkonzept ähnelt einer Active Directory-Gesamtstruktur, aber die zugrunde liegende Architektur unterscheidet sich. Microsoft Entra ID ist ein moderner und cloudbasierter Hyperscale-Identitätsdienst.
Anfängliche Domänennamen und Mandanten-IDs. Jeder Mandant verfügt über einen eindeutigen anfänglichen Domänennamen und eine Mandanten-ID. Beispielsweise könnte eine Organisation mit dem Namen Contoso den ursprünglichen Domänennamen contoso.onmicrosoft.com für Microsoft Entra ID und contoso.onmicrosoft.us für Microsoft Entra Government verwenden. Mandanten-IDs sind global eindeutige Bezeichner (GUIDs). Jeder Mandant verfügt nur über eine anfängliche Domäne und eine Mandanten-ID. Beide Werte sind unveränderlich und können nach der Erstellung des Mandanten nicht mehr geändert werden.
Benutzer*innen melden sich mit ihrem Benutzerprinzipalnamen (User Principal Name, UPN) bei Microsoft Entra-Konten an. Der UPN ist ein Microsoft Entra-Benutzerattribut und benötigt ein routingfähiges Suffix. Die anfängliche Domäne ist das standardmäßig routingfähige Suffix (user@contoso.onmicrosoft.com). Sie können benutzerdefinierte Domänen hinzufügen, um einen freundlicheren UPN zu erstellen und zu verwenden. Der freundliche UPN entspricht in der Regel der E-Mail-Adresse des Benutzers (user@contoso.com). Der UPN für Microsoft Entra kann sich vom userPrincipalName-Wert Ihrer Benutzer*innen in AD DS unterscheiden. Ein anderer UPN und AD DS-userPrincipalName ist üblich, wenn die userPrincipalName-Werte in AD DS nicht routingfähig sind oder ein Suffix verwenden, das nicht mit einer überprüften benutzerdefinierten Domäne im Mandanten übereinstimmt.
Sie können eine benutzerdefinierte Domäne nur in einem globalen Microsoft Entra-Mandanten überprüfen. Benutzerdefinierte Domänen sind keine Sicherheits- oder Vertrauensgrenzen wie Active Directory Domain Services (AD DS)-Gesamtstrukturen. Es handelt sich um einen DNS-Namespace zum Ermitteln des Basismandanten von Microsoft Entra-Benutzer*innen.
Microsoft Entra-Architektur
Microsoft Entra ID verfügt nicht über Domänencontroller, Organisationseinheiten, Gruppenrichtlinienobjekte, Domänen-/Gesamtstrukturvertrauensstellungen oder FSMO-Rollen (Flexible Single Master Operation). Microsoft Entra ID ist eine Software-as-a-Service-Lösung für die Identitätsverwaltung. Sie können über RESTful-APIs auf Microsoft Entra ID zugreifen. Sie verwenden die moderne Authentifizierung und Autorisierungsprotokolle, um auf durch Microsoft Entra ID geschützte Ressourcen zuzugreifen. Das Verzeichnis verfügt über eine flache Struktur und verwendet ressourcenbasierte Berechtigungen.
Jeder Microsoft Entra-Mandant ist ein hochverfügbarer Datenspeicher für Identitätsverwaltungsdaten. Er speichert Identitäts-, Richtlinien- und Konfigurationsobjekte und repliziert sie über Azure-Regionen hinweg. Ein Microsoft Entra-Mandant bietet Datenredundanz für kritische Verteidigungsinformationen.
Identitätstypen
Microsoft Entra ID weist zwei Arten von Identitäten auf: Die zwei Identitätstypen sind Benutzer und Dienstprinzipale.
Nutzer. Benutzer sind Identitäten für Personen, die auf Microsoft- und verbundene Clouddienste zugreifen. Benutzer*innen können Mitglieder oder Gäste in einer Instanz von Microsoft Entra ID sein. In der Regel sind Mitglieder intern in Ihrer Organisation und Gäste gehören einer externen Organisation wie z. B. einem Missionspartner oder einem Verteidigungsunternehmen an. Weitere Informationen zu Gastbenutzern und zur Zusammenarbeit zwischen Organisationen finden Sie unter Übersicht über die B2B-Zusammenarbeit.
Dienstprinzipale. Dienstprinzipale sind unpersönliche Entitäten (Nonperson Entities, NPEs) in Microsoft Entra ID. Dienstprinzipale können Anwendungen, Dienst-/Automatisierungskonten und Azure-Ressourcen darstellen. Auch Nicht-Azure-Ressourcen, z. B. lokale Server, können über einen Dienstprinzipal in Microsoft Entra ID verfügen und mit anderen Azure-Ressourcen interagieren. Dienstprinzipale sind nützlich bei der Automatisierung von Verteidigungsworkflows und beim Verwalten von Anwendungen, die für Verteidigungsbetrieb kritisch sind. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.
Synchronisieren von Identitäten. Sie können Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloud Sync verwenden, um Benutzer-, Gruppen- und Computerobjekte in Active Directory Domain Services mit Microsoft Entra ID zu synchronisieren. Diese Konfiguration wird als hybride Identität bezeichnet.
Berechtigungen
Microsoft Entra ID verwendet einen anderen Ansatz für Berechtigungen als herkömmliche lokale Active Directory Domain Services-Instanzen (AD DS).
Microsoft Entra-Rollen: Sie weisen Berechtigungen in Microsoft Entra ID mithilfe von Microsoft Entra-Verzeichnisrollen zu. Diese Rollen gewähren Zugriff auf bestimmte APIs und Bereiche. Globaler Administrator ist die Rolle mit den höchsten Berechtigungen in Microsoft Entra ID. Es gibt viele integrierte Rollen für verschiedene eingeschränkte Administratorfunktionen. Sie sollten granulare Berechtigungen delegieren, um die Angriffsoberfläche zu verringern.
Wichtig
Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Dies trägt zur Verbesserung der Sicherheit Ihrer Organisation bei. „Globaler Administrator“ ist eine Rolle mit umfangreichen Berechtigungen, die auf Notfallszenarios beschränkt sein sollte, in denen Sie keine vorhandene Rolle verwenden können.
Zuweisung erhöhter Berechtigungen. Um die Sicherheit zu erhöhen und unnötige Berechtigungen zu reduzieren, bietet Microsoft Entra ID zwei Prinzipien für die Berechtigungszuweisung:
Just-In-Time (JIT): Microsoft Entra-ID unterstützt den Just-In-Time-Zugriff. Mit dem JIT-Feature können Sie Berechtigungen bei Bedarf temporär zuweisen. Der JIT-Zugriff minimiert die Offenlegung unnötiger Berechtigungen und verringert die Angriffsoberfläche.
Just-Enough-Administration (JEA): Microsoft Entra ID folgt dem Just-Enough-Administration-Prinzip. Mit integrierten Rollen können Sie Administratoraufgaben delegieren, ohne übermäßige Berechtigungen zuzuweisen. Verwaltungseinheiten können den Berechtigungsbereich für Microsoft Entra-Rollen weiter einschränken.
Authentifizierung
Im Gegensatz zu Active Directory sind Benutzer*innen in Microsoft Entra ID nicht auf die Authentifizierung per Kennwort oder Smartcard beschränkt. Microsoft Entra-Benutzer*innen können Kennwörter und viele andere Authentifizierungs- und Überprüfungsmethoden verwenden. Microsoft Entra ID verwendet moderne Authentifizierungsprotokolle, schützt vor tokenbasierten Angriffen und erkennt verdächtiges Anmeldeverhalten.
Authentifizierungsmethoden. Microsoft Entra-Authentifizierungsmethoden umfassen native Unterstützung für Smartcardzertifikate und abgeleitete Anmeldeinformationen, die kennwortlose Microsoft Authenticator-App, FIDO2-Sicherheitsschlüssel (Hardwarehauptschlüssel) und Geräteanmeldeinformationen wie Windows Hello for Business. Microsoft Entra ID bietet kennwortlose, gegen Phishing resistente Methoden zur Unterstützung von Memorandum 22-09 und DODCIO-Zero-Trust-Strategiefunktionen.
Authentifizierungsprotokolle. Microsoft Entra ID verwendet weder Kerberos noch NTLM oder LDAP. Es verwendet moderne offene Protokolle, die für die Verwendung über das Internet bestimmt sind, z. B. OpenID Connect, OAuth 2.0, SAML 2.0 und SCIM. Während Entra Kerberos nicht für die eigene Authentifizierung verwendet, kann es Kerberos-Tickets für Hybrididentitäten ausgeben, um Azure-Dateien zu unterstützen und die kennwortlose Anmeldung bei lokalen Ressourcen zu aktivieren. Mit dem Entra-Anwendungsproxy können Sie Entra single sign-on für lokale Anwendungen konfigurieren, die nur ältere Protokolle wie Kerberos und headerbasierte Authentifizierung unterstützen.
Schutzmaßnahmen vor Tokenangriffen. Herkömmliche AD DS sind anfällig für Kerberos-basierte Angriffe. AD DS verwendet Sicherheitsgruppen mit bekannten Sicherheitsbezeichnern (SIDs), z . B. S-1-5-domain-512 für Domänenadministratoren. Wenn ein Domänenadministrator eine lokale oder eine Netzwerkanmeldung durchführt, stellt der Domänencontroller ein Kerberos-Ticket aus, das die Domänenadministrator-SID enthält, und speichert es in einem Anmeldeinformationscache. Bedrohungsakteure nutzen diesen Mechanismus häufig mithilfe von Techniken wie Seitwärtsbewegung und Rechteausweitung wie Pass-the-Hash und Pass-the-Ticket.
Microsoft Entra ID ist jedoch nicht anfällig für Kerberos-Angriffe. Das Cloud-Äquivalent sind Mann-in-der-Mitte (Man-in-the-Middle)-Techniken, z. B. Sitzungsentführung (Session Hijacking) und Sitzungswiederholung (Session Replay), um Sitzungstoken (Anmeldetoken) zu stehlen. Clientanwendungen, der Web Account Manager (WAM) oder der Webbrowser des Benutzers (Sitzungscookies) speichern diese Sitzungstoken. Zum Schutz vor Angriffen über Tokendiebstahl zeichnet Microsoft Entra ID die Verwendung von Token auf, um die Wiedergabe zu verhindern, und kann erzwingen, dass Token kryptografisch an das Gerät des Benutzers oder der Benutzerin gebunden werden.
Weitere Informationen zum Tokendiebstahl finden Sie im Tokendiebstahl-Playbook.
Verdächtiges Anmeldeverhalten erkennen. Microsoft Entra ID Protection verwendet eine Kombination aus Echtzeit- und Offline-Erkennungen, um Risikobenutzer und Anmeldeereignisse zu identifizieren. Sie können Risikobedingungen im bedingten Zugriff von Entra verwenden, um den Zugriff auf Ihre Anwendungen dynamisch zu steuern oder zu blockieren. Mit der Fortlaufenden Zugriffsauswertung (Continuous Access Evaluation, CAE) können Client-Apps Änderungen in der Sitzung eines Benutzers erkennen, um Zugriffsrichtlinien in nahezu Echtzeit zu erzwingen.
Anwendungen
Microsoft Entra ID ist nicht nur für Microsoft-Anwendungen und -Dienste geeignet. Microsoft Entra ID kann als Identitätsanbieter für alle Anwendungen, Cloudanbieter, SaaS-Anbieter oder Identitätssystem fungieren, die dieselben Protokolle verwenden. Es unterstützt problemlos die Interoperabilität mit alliierten Verteidigungskräften und Auftragnehmern.
Richtlinienerzwingungspunkt (Policy Enforcement Point, PEP) und Richtlinienentscheidungspunkt (Policy Decision Point, PDP). Microsoft Entra ID ist ein gemeinsamer Richtlinienerzwingungspunkt (Policy Enforcement Point, PEP) und ein Richtlinienentscheidungspunkt (Policy Decision Point, PDP) in Zero-Trust-Architekturen. Es erzwingt Sicherheitsrichtlinien und Zugriffskontrollen für Anwendungen.
Microsoft Entra ID Governance. Microsoft Entra ID Governance ist ein Microsoft Entra-Feature. Es hilft Ihnen, den Benutzerzugriff zu verwalten und den Zugriffslebenszyklus zu automatisieren. Dadurch wird sichergestellt, dass Benutzer über einen angemessenen und rechtzeitigen Zugriff auf Anwendungen und Ressourcen verfügen.
Bedingter Zugriff: Mit dem bedingten Zugriff können Sie Attribute für eine feingranulare Autorisierung für Anwendungen verwenden. Sie können Zugriffsrichtlinien basierend auf verschiedenen Faktoren definieren. Zu diesen Faktoren gehören Benutzerattribute, Anmeldeinformationsstärke, Anwendungsattribute, Benutzer- und Anmelderisiko, Geräteintegrität und Standort. Weitere Informationen finden Sie unter Zero Trust-Sicherheit.
Geräte
Microsoft Entra ID bietet sicheren und nahtlosen Zugriff auf Microsoft-Dienste über die Geräteverwaltung. Sie können Windows-Geräte ähnlich wie bei Active Directory Domain Services verwalten und mit Microsoft Entra verknüpfen.
Registrierte Geräte. Geräte werden bei Ihrem Entra-Mandanten registriert, wenn Benutzer sich mit ihrem Entra-Konto bei Anwendungen anmelden. Die Registrierung von Entra-Geräten entspricht nicht der Geräteregistrierung oder der Entra-Verknüpfung. Benutzer melden sich mit einem lokalen oder Microsoft-Konto bei registrierten Geräten an. Registrierte Geräte enthalten häufig Bring Your Own Devices (BYOD), z. B. den Heim-PC eines Benutzers oder ein persönliches Telefon.
In Microsoft Entra eingebundene Geräte. Wenn sich Benutzer*innen bei einem in Microsoft Entra verknüpften Gerät anmelden, wird ein an das Gerät gebundener Schlüssel mithilfe einer PIN oder Geste entsperrt. Nach der Überprüfung gibt Microsoft Entra ID ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) für das Gerät aus. Dieses PRT erleichtert den Zugriff mit einmaligem Anmelden auf durch Microsoft Entra ID geschützte Dienste wie Microsoft Teams.
Mit Microsoft Entra verknüpfte Geräte, die in Microsoft Endpoint Manager (Intune) registriert sind, können die Gerätekonformität als Zuweisungskontrolle innerhalb des bedingten Zugriffs verwenden.
In Microsoft Entra hybrid eingebundene Geräte. Die Microsoft Entra-Hybridverknüpfung ermöglicht es, dass Windows-Geräte mit Active Directory Domain Services und Microsoft Entra ID gleichzeitig verknüpft werden. Diese Geräte authentifizieren Benutzer*innen zuerst bei Active Directory und rufen dann ein primäres Aktualisierungstoken aus Microsoft Entra ID ab.
Intune-verwaltete Geräte und Anwendungen. Microsoft Intune erleichtert das Registrieren und Registrieren von Geräten für die Verwaltung. Mit Intune können Sie konforme und sichere Zustände für Benutzergeräte definieren, Geräte mit Microsoft Defender for Endpoint schützen und erfordern, dass Benutzer ein kompatibles Gerät verwenden, um auf Unternehmensressourcen zuzugreifen.
Microsoft 365 und Azure
Microsoft Entra ID ist die Identitätsplattform von Microsoft. Es bedient sowohl Microsoft 365- als auch Azure-Dienste. Microsoft 365-Abonnements erstellen und verwenden einen Microsoft Entra-Mandanten. Azure-Dienste basieren auch auf einem Microsoft Entra-Mandanten.
Microsoft 365-Identität. Microsoft Entra ID ist integraler Bestandteil aller Identitätsvorgänge in Microsoft 365. Es übernimmt die Benutzeranmeldung, Zusammenarbeit, Freigabe und Zuweisung von Berechtigungen. Es unterstützt die Identitätsverwaltung für Office 365-, Intune- und Microsoft Defender XDR-Dienste. Ihre Benutzer*innen verwenden Microsoft Entra jedes Mal, wenn sie sich bei einer Office-Anwendung wie Word oder Outlook anmelden, ein Dokument über OneDrive freigeben, externe Benutzer*innen zu einer SharePoint-Seite einladen oder ein neues Team in Microsoft Teams erstellen.
Azure-Identität. In Azure ist jede Ressource einem Azure-Abonnement zugeordnet, und Abonnements sind mit einem einzelnen Microsoft Entra-Mandanten verknüpft. Sie delegieren Berechtigungen für die Verwaltung von Azure-Ressourcen, indem Sie Azure-Rollen für Benutzer, Sicherheitsgruppen oder Dienstprinzipale zuweisen.
Verwaltete Identitäten spielen eine entscheidende Rolle, damit Azure-Ressourcen sicher mit anderen Ressourcen interagieren können. Diese verwalteten Identitäten sind Sicherheitsprinzipale innerhalb des Microsoft Entra-Mandanten. Sie weisen ihnen Berechtigungen auf Basis der geringsten Rechte zu. Sie können eine verwaltete Identität für den Zugriff auf durch Microsoft Entra ID geschützte APIs wie Microsoft Graph autorisieren. Wenn eine Azure-Ressource eine verwaltete Identität verwendet, ist die verwaltete Identität ein Dienstprinzipalobjekt. Das Dienstprinzipalobjekt befindet sich im gleichen Microsoft Entra-Mandanten wie das Abonnement, das der Ressource zugeordnet ist.
Microsoft Graph
Die Microsoft-Webportale für Microsoft Entra, Azure und Microsoft 365 dienen als grafische Schnittstelle für Microsoft Entra ID. Sie können den programmgesteuerten Zugriff zum Lesen und Aktualisieren von Microsoft Entra-Objekten und Konfigurationsrichtlinien mithilfe von RESTful-APIs namens Microsoft Graph automatisieren. Microsoft Graph unterstützt Clients in verschiedenen Sprachen. Unterstützte Sprachen umfassen PowerShell, Go, Python, Java, .NET, Ruby und mehr. Erkunden Sie die Microsoft Graph-Repositorys auf GitHub.
Azure Government-Clouds
Es gibt zwei separate Versionen von Microsoft Entra-Diensten, die von Verteidigungsorganisationen in öffentlichen Netzwerken (mit dem Internet verbunden) verwendet werden können: Microsoft Entra Global und Microsoft Entra Government.
Microsoft Entra Global: Microsoft Entra Global ist für kommerzielle Angebote von Microsoft 365 und Azure, Microsoft 365 GCC Moderate vorgesehen. Der Anmeldedienst für Microsoft Entra Global ist login.microsoftonline.com.
Microsoft Entra Government: Microsoft Entra Government umfasst Azure Government (IL4), DoD (IL5), Microsoft 365 GCC High und Microsoft 365 DoD (IL5). Der Anmeldedienst für Microsoft Entra Government ist login.microsoftonline.us.
Dienst-URLs. Unterschiedliche Microsoft Entra-Dienste verwenden unterschiedliche Anmelde-URLs. Daher müssen Sie separate Webportale verwenden. Sie müssen auch Umgebungsswitches bereitstellen, um eine Verbindung mit Microsoft Graph-Clients und PowerShell-Modulen für die Verwaltung von Azure und Microsoft 365 herzustellen (siehe Tabelle 1).
Tabelle 1. Azure Government-Endpunkte.
| Endpunkt | Global | GCC High | DoD-Auswirkungsebene 5 (IL5) |
|---|---|---|---|
| Microsoft Entra Admin Center | entra.microsoft.com | entra.microsoft.us | entra.microsoft.us |
| Azure-Portal | portal.azure.com | portal.azure.us | portal.azure.us |
| Defender Admin Center | security.microsoft.com | security.microsoft.us | security.apps.mil |
| MS Graph PowerShell | Connect-MgGraph<br>-Environment Global |
Connect-MgGraph<br>-Environment USGov |
Connect-MgGraph<br>-Environment USGovDoD |
| Az PowerShell-Modul | Connect-AzAccount<br>-Environment AzureCloud |
Connect-AzAccount<br>-Environment AzureUSGovernment |
Connect-AzAccount<br>-Environment AzureUSGovernment |
| Azure CLI | az cloud set --name AzureCloud |
az cloud set --name AzureUSGovernment |
az cloud set --name AzureUSGovernment |