Freigeben über


Einführung in die Azure-Sicherheit

Übersicht

Wir wissen, dass Sicherheit in der Cloud an erster Stelle steht und wie wichtig es ist, dass Sie präzise und zeitnahe Informationen zur Azure-Sicherheit finden. Eines der schlagkräftigsten Argumente dafür, Azure für Anwendungen und Dienste zu verwenden, ist die Vielzahl an Sicherheitstools und -funktionen. Diese Tools und Funktionen ermöglichen die Erstellung sicherer Lösungen auf der Grundlage der sicheren Azure-Plattform. Microsoft Azure bietet sowohl Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten als auch eine transparente Verantwortlichkeit.

Dieser Artikel bietet einen umfassenden Überblick über die Sicherheitsfeatures von Azure.

Azure Platform

Azure ist eine öffentliche Clouddienstplattform, die eine breite Palette an Betriebssystemen, Programmiersprachen, Frameworks, Tools, Datenbanken und Geräten unterstützt. Es kann Linux-Container mit Docker-Integration ausführen, Apps mit JavaScript, Python, .NET, PHP, Java und Node.js sowie Back-Ends für iOS-, Android- und Windows-Geräte erstellen.

Die öffentlichen Azure-Clouddienste unterstützen dieselben Technologien, die bereits von Millionen von Entwicklern und IT-Profis zuverlässig eingesetzt werden. Wenn Sie den Dienstanbieter einer öffentlichen Cloud in Anspruch nehmen oder IT-Ressourcen dorthin migrieren, verlassen Sie sich auf die Fähigkeit dieser Organisation, Ihre Anwendungen und Daten zu schützen. Diese Anbieter stellen Dienste und Steuerungsmechanismen bereit, um die Sicherheit Ihrer cloudbasierten Ressourcen zu verwalten.

Die Infrastruktur von Azure wird von Grund auf sorgfältig gestaltet und umfasst alles von physischen Einrichtungen bis hin zu Anwendungen, um Millionen von Kunden gleichzeitig zu hosten. Mit dieser robusten Grundlage können Unternehmen ihre Sicherheitsanforderungen zuverlässig erfüllen.

Darüber hinaus bietet Azure Ihnen ein breites Spektrum an konfigurierbaren Sicherheitsoptionen, die Sie selbst steuern können, um die Sicherheit an die individuellen Anforderungen der Bereitstellungen Ihrer Organisation anzupassen. Dieses Dokument hilft Ihnen dabei zu verstehen, wie Ihnen die Azure-Sicherheitsfunktionen dabei helfen können, diese Anforderungen zu erfüllen.

Hinweis

Der Hauptfokus in diesem Dokument richtet sich auf Steuerelemente für Kunden, mit denen Sie die Sicherheit für Ihre Anwendungen und Dienste anpassen und erhöhen können.

Informationen zu den Schutzmaßnahmen von Microsoft für die eigentliche Azure-Plattform finden Sie unter Sicherheit der Azure-Infrastruktur.

Zusammenfassung der Azure-Sicherheitsfunktionen

In Abhängigkeit vom Clouddienstmodell besteht dahingehend eine variable Verantwortlichkeit, wer für die Verwaltung der Sicherheit der Anwendungen oder Dienste zuständig ist. Azure Platform verfügt über Funktionen, die Sie beim Erfüllen dieser Aufgaben durch integrierte Features sowie durch Partnerlösungen unterstützen, die in ein Azure-Abonnement implementiert werden können.

Die integrierten Funktionen sind in sechs Funktionsbereiche unterteilt: Vorgänge, Anwendungen, Speicher, Netzwerk, Compute und Identität. Weitere Details zu den Features und Funktionen, die in der Azure-Plattform in diesen sechs Bereichen zur Verfügung stehen, werden als zusammenfassende Informationen bereitgestellt.

Vorgänge

Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features von Sicherheitsvorgängen und zusammenfassende Informationen zu diesen Funktionen.

Microsoft Sentinel

Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation, and Response). Microsoft Sentinel bietet intelligente Sicherheitsanalysen und Threat Intelligence im gesamten Unternehmen. Microsoft Sentinel ist eine einzelne Lösung für die Angriffserkennung, Einblicke in Bedrohungen, proaktives Hunting und die Reaktion auf Bedrohungen.

Microsoft Defender für Cloud

Microsoft Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen. Mit dieser Cloudlösung gewinnen Sie mehr Transparenz und bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Microsoft Defender für Cloud bietet eine integrierte Sicherheitsüberwachung und Richtlinienverwaltung für all Ihre Azure-Abonnements. Microsoft Defender for Cloud hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum von Sicherheitslösungen verwendet werden.

Außerdem hilft Defender for Cloud Ihnen bei Sicherheitsvorgängen, indem Ihnen ein einzelnes Dashboard bereitgestellt wird, das als Oberfläche für Warnungen und Empfehlungen dient, auf die sofort reagiert werden kann. Häufig lassen sich Probleme mit einer einzigen Auswahl in der Konsole von Defender for Cloud beseitigen.

Azure Resource Manager

Mit dem Azure Resource Manager können Sie als Gruppe mit den Ressourcen in Ihrer Lösung arbeiten. Sie können alle Ressourcen für Ihre Lösung in einem einzigen koordinierten Vorgang bereitstellen, aktualisieren oder löschen. Sie verwenden eine Azure Resource Manager-Vorlage für die Bereitstellung, die für unterschiedliche Umgebungen geeignet sein kann, z. B. Testing, Staging und Produktion. Der Ressourcen-Manager bietet Sicherheits-, Überwachungs- und Kennzeichnungsfunktionen, mit denen Sie Ihre Ressourcen nach der Bereitstellung verwalten können.

Auf Azure Resource Manager-Vorlagen basierte Bereitstellungen helfen dabei, die Sicherheit von Lösungen zu verbessern, die in Azure bereitgestellt werden, da standardmäßige Einstellungen für die Sicherheitskontrolle in standardisierte vorlagenbasierte Bereitstellungen integriert werden können. Vorlagen verringern das Risiko von Fehlern bei der Sicherheitskonfiguration, die möglicherweise bei manuellen Bereitstellungen auftreten können.

Application Insights

Application Insights ist ein flexibler APM-Dienst (Application Performance Management), der für Webentwickler konzipiert wurde. Sie können damit Ihre aktiven Webanwendungen überwachen und automatisch Leistungsanomalien erkennen. Mithilfe von leistungsstarken Analysetools können Sie Probleme diagnostizieren und Einblicke in Benutzerinteraktionen mit Ihren Apps erhalten. Application Insights überwacht Ihre Anwendung kontinuierlich, von der Entwicklung über Tests bis hin zur Produktion.

Application Insights generiert aufschlussreiche Diagramme und Tabellen. Diese zeigen Zeiten mit der höchsten Benutzeraktivität, die Reaktionsfähigkeit der App und die Leistung aller zugrunde liegenden externen Dienste.

Im Falle von Abstürzen, Fehlern oder Leistungsproblemen können Sie die Daten im Detail durchsuchen, um die Fehlerursache zu ermitteln. Darüber hinaus informiert Sie der Dienst per E-Mail, falls sich die Verfügbarkeit oder Leistung Ihrer App ändert. Application Insights wird daher zu einem wertvollen Sicherheitstool, da es bei der Verfügbarkeit hilft, die zu den drei Sicherheitsbereichen zählt: Vertraulichkeit, Integrität und Verfügbarkeit.

Azure Monitor

Azure Monitor bietet Visualisierung, Abfrage, Weiterleitung, Warnung, automatische Skalierung und Automatisierung für Daten sowohl aus dem Azure-Abonnement (Aktivitätsprotokoll) als auch aus jeder einzelnen Azure-Ressource (Ressourcenprotokolle). Mit Azure Monitor können Sie sich bei sicherheitsrelevanten Ereignissen warnen lassen, die in Azure-Protokollen generiert werden.

Azure Monitor-Protokolle

Azure Monitor-Protokolle: Bietet eine IT-Verwaltungslösung für lokale Infrastrukturen und cloudbasierte Infrastrukturen von anderen Anbietern als Microsoft (z. B. Amazon Web Services) zusätzlich zu Azure-Ressourcen. Daten von Azure Monitor können direkt an Azure Monitor-Protokolle weitergeleitet werden, sodass Sie die Metriken und Protokolle für Ihre gesamte Umgebung an einem Ort finden.

Azure Monitor-Protokolle kann ein hilfreiches Tool bei forensischen und anderen Sicherheitsanalysen sein, da Sie mit dem Tool schnell große Mengen von sicherheitsbezogenen Einträgen mit einem flexiblen Abfrageansatz durchsuchen können. Darüber hinaus können lokale Firewall- und Proxyprotokolle in Azure exportiert und für die Analyse mit Azure Monitor-Protokolle zur Verfügung gestellt werden.

Azure Advisor

Beim Azure Advisor handelt es sich um einen personalisierten Cloudberater, der Sie beim Optimieren von Azure-Bereitstellungen unterstützt. Diese Lösung analysiert Ihre Ressourcenkonfiguration und Nutzungsdaten. Anschließend schlägt er Lösungen vor, um die Leistung, Sicherheit und Zuverlässigkeit Ihrer Ressourcen zu verbessern, und sucht gleichzeitig nach Möglichkeiten, Ihre Azure-Gesamtausgaben zu reduzieren. Der Azure Advisor bietet Sicherheitsempfehlungen, die den Gesamtsicherheitsstatus für Lösungen erheblich verbessern können, die Sie in Azure bereitstellen. Diese Empfehlungen stammen aus der Sicherheitsanalyse, die vom Microsoft Defender für Cloud durchgeführt wurde.

Anwendungen

Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Anwendungssicherheit und zusammenfassende Informationen zu diesen Funktionen.

Penetrationstests

Wir führen keinen Penetrationstest Ihrer Anwendung durch, aber wir verstehen, dass Sie Tests Ihrer eigenen Anwendungen durchführen möchten und müssen. Obwohl Microsoft nicht mehr über Penetrationstestaktivitäten benachrichtigt werden muss, müssen Kunden weiterhin die Einsatzregeln für Penetrationstests für die Microsoft Cloud einhalten.

Web Application Firewall

Die Web Application Firewall (WAF) in Azure Application Gateway hilft beim Schutz von Webanwendungen vor gängigen webbasierten Angriffen wie der Einschleusung von SQL-Code, Angriffen durch websiteübergreifende Skripts und der Übernahme von Sitzungen. Dazu bietet sie Schutz vor den Sicherheitsrisiken, die das Open Web Application Security Project (OWASP) als die zehn häufigsten ermittelt hat.

Authentifizierung und Autorisierung in Azure App Service

Mithilfe des Authentifizierungs-/Autorisierungsfeatures von App Service kann Ihre Anwendung Benutzer anmelden, sodass Sie keine Codeänderungen für das Back-End der App vornehmen müssen. Es stellt eine einfache Möglichkeit zum Schutz Ihrer Anwendung und für die Arbeit mit benutzerspezifischen Daten bereit.

Mehrstufige Sicherheitsarchitektur

Da App Service-Umgebungen eine in einem Azure Virtual Network bereitgestellte isolierte Laufzeitumgebung bieten, können Entwickler eine mehrstufige Sicherheitsarchitektur erstellen, in der sie abgestuften Netzwerkzugriff für jede Anwendungsschicht gewähren können. Üblicherweise sollte der Zugriff auf API-Back-Ends nicht über den allgemeinen Internetzugriff möglich sein, und APIs sollten nur von Upstream-Web-Apps aufgerufen werden können. Um den öffentlichen Zugriff auf API-Anwendungen zu beschränken, können Netzwerksicherheitsgruppen (Network Security Groups, NSGs) in Azure Virtual Network-Subnetzen mit App Service-Umgebungen verwendet werden.

App Service-Web-Apps bieten robuste Diagnosefunktionen zum Erfassen von Protokollen sowohl vom Webserver als auch von der Webanwendung. Diese Diagnosefunktionen sind in Webserverdiagnose und Anwendungsdiagnose kategorisiert. Die Webserverdiagnose bietet erhebliche Fortschritte bei der Diagnose und Problembehandlung von Sites und Anwendungen.

Das erste neue Feature sind Zustandsinformationen in Echtzeit zu Anwendungspools, Workerprozessen, Websites, Anwendungsdomänen und aktiven Anforderungen. Der zweite Vorteil sind ausführliche Ablaufverfolgungsereignisse, die eine Anforderung während des vollständigen Prozesses (Anforderung und Antwort) nachverfolgen.

Um die Sammlung dieser Ablaufverfolgungsereignisse zu ermöglichen, kann IIS 7 so konfiguriert werden, dass automatisch umfassende Ablaufverfolgungsprotokolle im XML-Format für bestimmte Anforderungen erfasst werden. Die Sammlung kann auf der verstrichenen Zeit oder auf Fehlerantwortcodes basieren.

Storage

Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Azure-Speichersicherheit und zusammenfassende Informationen zu diesen Funktionen.

Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)

Sie können Ihr Speicherkonto mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) sichern. Das Einschränken des Zugriffs auf der Grundlage der Sicherheitsprinzipien Need to know und Least Privilege ist für Organisationen unerlässlich, die Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten. Diese Zugriffsrechte werden gewährt, indem Gruppen und Anwendungen die jeweils geeignete Azure-Rolle für einen bestimmten Bereich zugewiesen wird. Sie können in Azure integrierte Rollen (z. B. „Speicherkontomitwirkender“) verwenden, um Benutzern Berechtigungen zuzuweisen. Zugriff auf die Speicherschlüssel für ein Speicherkonto mit dem Azure Resource Manager-Modell kann über rollenbasierte Azure RBAC gesteuert werden.

Shared Access Signature (SAS)

Shared Access Signatures (SAS) ermöglichen den delegierten Zugriff auf Ressourcen in Ihrem Speicherkonto. Eine SAS bietet die Möglichkeit, einem Client für einen bestimmten Zeitraum spezielle eingeschränkte Berechtigungen für Objekte in Ihrem Speicherkonto zu erteilen. Dazu müssen Sie nicht Ihre Kontozugriffsschlüssel freigeben.

Verschlüsselung während der Übertragung

Verschlüsselung während der Übertragung ist ein Mechanismus zum Schutz der Daten bei der Übertragung über Netzwerke hinweg. Mit Azure Storage können Sie Daten mit folgenden Verfahren schützen:

Verschlüsselung von ruhenden Daten

Für viele Organisationen ist die Verschlüsselung von ruhenden Daten ein obligatorischer Schritt in Richtung Datenschutz, Compliance und Datenhoheit. Für die Verschlüsselung ruhender Daten stehen drei Azure-Speichersicherheitsfeatures zur Verfügung:

Speicheranalyse

Die Azure-Speicheranalyse führt die Protokollierung aus und stellt Metrikdaten für ein Speicherkonto bereit. Mit diesen Daten können Sie Anforderungen verfolgen, Verwendungstrends analysieren und Probleme mit dem Speicherkonto diagnostizieren. Storage Analytics protokolliert ausführliche Informationen zu erfolgreichen und nicht erfolgreichen Anforderungen an einen Speicherdienst. Anhand dieser Informationen können einzelne Anforderungen überwacht und Probleme mit einem Speicherdienst untersucht werden. Anforderungen werden auf Grundlage der besten Leistung protokolliert. Die folgenden Typen authentifizierter Anforderungen werden protokolliert:

  • Erfolgreiche Anforderungen
  • Fehlerhafte Anforderungen, einschließlich Timeout-, Drosselungs-, Netzwerk- und Autorisierungsfehler sowie anderer Fehler
  • Anforderungen mithilfe einer SAS (Shared Access Signature), einschließlich fehlerhafter und erfolgreicher Anforderungen
  • Anforderungen von Analysedaten

Aktivieren browserbasierter Clients über CORS

Ressourcenfreigabe zwischen verschiedenen Ursprüngen (Cross-Origin Resource Sharing, CORS) ist ein Mechanismus, der es Domänen gestattet, sich gegenseitig die Zugriffsberechtigung für die Ressourcen der anderen Domänen zu erteilen. Der Benutzer-Agent sendet zusätzliche Header, um sicherzustellen, dass der von einer bestimmten Domäne geladene JavaScript-Code auf Ressourcen zugreifen kann, die sich in einer anderen Domäne befinden. Die letztere Domäne antwortet dann mit zusätzlichen Headern, die der ursprünglichen Domäne den Zugriff auf ihre Ressourcen gestattet oder verweigert.

Die Azure-Speicherdienste unterstützten jetzt CORS, damit nach dem Festlegen der CORS-Regeln für den Dienst eine ordnungsgemäß authentifizierte Anforderung ausgewertet wird, die von einer anderen Domäne an den Dienst gesendet wurde, um zu ermitteln, ob die Anforderung gemäß den von Ihnen festgelegten Regeln zulässig ist.

Netzwerk

Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features der Azure-Netzwerksicherheit und zusammenfassende Informationen zu diesen Funktionen.

Kontrollen der Vermittlungsschicht

Netzwerkzugriffssteuerung bedeutet, die Konnektivität zu oder ausgehend von bestimmten Geräten oder Subnetzen zu begrenzen. Dies stellt den Kern der Netzwerksicherheit dar. Das Ziel der Netzwerkzugriffssteuerung ist sicherzustellen, dass Ihre virtuellen Computer und Dienste nur denjenigen Benutzern und Geräten zugänglich sind, denen Sie den Zugriff auch erlauben möchten.

Netzwerksicherheitsgruppen

Eine Netzwerksicherheitsgruppe (NSG) ist eine einfache Firewall, die zustandsbehaftete Pakete filtert und die Zugriffssteuerung auf Grundlage eines 5-Tupels ermöglicht. NSGs bieten weder eine Inspektion auf Anwendungsebene noch authentifizierte Zugriffssteuerungen. Sie können dazu verwendet werden, um den Datenverkehr zu steuern, der zwischen Subnetzen in einem Azure Virtual Network und zwischen einem Azure Virtual Network und dem Internet bewegt wird.

Azure Firewall

Azure Firewall ist ein cloudnativer, intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre cloudbasierten, in Azure ausgeführten Workloads bietet. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie ermöglicht die Untersuchung von Ost-West- und Nord-Süd-Datenverkehr.

Azure Firewall wird in zwei SKUs angeboten: Standard und Premium. Azure Firewall Standard bietet L3- bis L7-Filterung und Threat Intelligence-Feeds direkt von Microsoft Cyber Security. Azure Firewall Premium bietet erweiterte Funktionen wie signaturbasiertes IDPS, um eine schnelle Erkennung von Angriffen zu ermöglichen, indem nach bestimmten Mustern gesucht wird.

Routensteuerung und Tunnelerzwingung

Die Steuerung des Routingverhaltens in Ihren virtuellen Azure-Netzwerken ist eine entscheidende Funktion in den Bereichen Netzwerksicherheit und Zugriffssteuerung. Wenn Sie z. B. sicherstellen möchten, dass der gesamte Datenverkehr zu und ausgehend von Ihrem Azure Virtual Network Ihr virtuelles Sicherheitsgerät passiert, müssen Sie das Routingverhalten steuern und anpassen können. Sie erreichen dies über die Konfiguration der benutzerdefinierten Routen in Azure.

Benutzerdefinierte Routen ermöglichen Ihnen, eingehende und ausgehende Pfade für den Datenverkehr anzupassen, der zu oder von einzelnen virtuellen Computern oder Subnetzen bewegt wird, um möglichst die sicherste Route zu gewährleisten. Mithilfe der Tunnelerzwingung können Sie sicherstellen, dass Ihre Dienste nicht über die Erlaubnis verfügen, eine Verbindung mit Geräten im Internet zu initiieren.

Dieser Mechanismus unterscheidet sich von der Möglichkeit zur Annahme eingehender Verbindungen und der Antwort auf diese. Front-End-Webserver müssen auf Anforderungen von Internethosts antworten. Aus dem Internet stammender, auf diesen Webservern eingehender Datenverkehr wird daher erlaubt und die Webserver dürfen antworten.

Die Tunnelerzwingung wird häufig verwendet, um für ausgehenden Datenverkehr für das Internet zu erzwingen, dass dieser lokale Sicherheitsproxys und Firewalls durchläuft.

Appliances für die Sicherheit des virtuellen Netzwerks

Netzwerksicherheitsgruppen, benutzerdefinierte Routen und die Tunnelerzwingung bieten Sicherheit in der Netzwerk- und Transportschicht des OSI-Modells. Manchmal möchten Sie aber möglicherweise auch die Sicherheit auf höheren Ebenen des Stapels aktivieren. Sie können mit einer Azure-Partnerlösung für Appliances für die Sicherheit des Netzwerks auf diese erweiterten Netzwerksicherheitsfeatures zugreifen. Die aktuellen Azure-Partnerlösungen für die Netzwerksicherheit finden Sie, indem Sie im Azure Marketplace nach den Begriffen Sicherheit und Netzwerksicherheit suchen.

Azure Virtual Network

Ein virtuelles Azure-Netzwerk (VNet) ist eine Darstellung Ihres eigenen Netzwerks in der Cloud. Dies ist eine logische Isolierung der Azure-Netzwerkfabric für Ihr Abonnement. Sie können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routentabellen in diesem Netzwerk vollständig steuern. Sie können Ihr VNet in Subnetze segmentieren und virtuelle Azure IaaS-Computer (VMs) und/oder Cloud Services (PaaS-Rolleninstanzen) in Azure Virtual Networks platzieren.

Zudem können Sie das virtuelle Netzwerk mit einer der Konnektivitätsoptionen in Azure mit Ihrem lokalen Netzwerk verbinden. Im Wesentlichen können Sie Ihr Netzwerk mit vollständiger Kontrolle über IP-Adressblöcke auf Azure ausdehnen und von der Azure-Skalierung auf Unternehmensebene profitieren.

Azure-Netzwerke unterstützen verschiedene Szenarien für den sicheren Remotezugriff. Dazu zählen:

Azure Virtual Network Manager

Azure Virtual Network Manager bietet eine zentrale Lösung zum Schutz Ihrer virtuellen Netzwerke im großen Maßstab. Es verwendet Sicherheitsadministratorregeln , um Sicherheitsrichtlinien für Ihre virtuellen Netzwerke in Ihrer gesamten Organisation zentral zu definieren und zu erzwingen. Sicherheitsadministratorregeln haben Vorrang vor Netzwerksicherheitsgruppenregeln (NSGs) und werden auf das virtuelle Netzwerk angewendet. Auf diese Weise können Organisationen Kernrichtlinien mit Sicherheitsadministratorregeln erzwingen und gleichzeitig nachgelagerte Teams die NSGs entsprechend ihren spezifischen Anforderungen auf subnetz- und NIC-Ebene anpassen. Abhängig von den Anforderungen Ihrer Organisation können Sie Regelaktionen Zulassen, Verweigern oder Immer zulassen verwenden, um Sicherheitsrichtlinien zu erzwingen.

Regelaktion Beschreibung
Zulassen Lässt den angegebenen Datenverkehr standardmäßig zu. Nachgeschaltete NSGs erhalten diesen Datenverkehr weiterhin und können ihn möglicherweise verweigern.
Immer zulassen Lassen Sie den angegebenen Datenverkehr immer zu, unabhängig von anderen Regeln mit niedrigerer Priorität oder NSGs. Hiermit kann sichergestellt werden, dass der Überwachungsagent, der Domänencontroller oder der Verwaltungsdatenverkehr nicht blockiert wird.
Deny (Verweigern) Blockieren sie den angegebenen Datenverkehr. Nachgeschaltete NSGs werten diesen Datenverkehr nicht aus, nachdem er von einer Sicherheitsadministratorregel verweigert wurde. So wird sichergestellt, dass Ihre Hochrisikoports für vorhandene und neue virtuelle Netzwerke standardmäßig geschützt sind.

In Azure Virtual Network Manager können Sie virtuelle Netzwerke für die zentrale Verwaltung und Durchsetzung von Sicherheitsrichtlinien gruppieren. Netzwerkgruppen sind eine logische Gruppierung virtueller Netzwerke basierend auf Ihren Anforderungen aus einer Topologie und Sicherheitsperspektive. Sie können die virtuelle Netzwerkmitgliedschaft Ihrer Netzwerkgruppen manuell aktualisieren oder bedingte Anweisungen mit Azure Policy definieren, um Netzwerkgruppen dynamisch zu aktualisieren, um Ihre Netzwerkgruppenmitgliedschaft automatisch zu aktualisieren.

Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-PaaS-Dienste (beispielsweise Azure Storage und SQL Database) sowie auf in Azure gehostete kundeneigene Dienste/Partnerdienste zugreifen. Die Einrichtung und Nutzung von Azure Private Link ist in Azure PaaS-, Kunden- und gemeinsam genutzten Partnerdiensten einheitlich. Der Datenverkehr aus Ihrem virtuellen Netzwerk an den Azure-Dienst verbleibt immer im Backbone-Netzwerk von Microsoft Azure.

Private Endpunkte ermöglichen es Ihnen, Ihre kritischen Azure-Dienstressourcen auf Ihre virtuellen Netzwerke zu beschränken und so zu schützen. Private Azure-Endpunkte verwenden eine private IP-Adresse Ihres virtuellen Netzwerks (VNet), um eine private und sichere Verbindung mit einem von Azure Private Link unterstützten Dienst herzustellen, wodurch der Dienst im Grunde in Ihr VNet eingebunden wird. Es ist nicht mehr erforderlich, Ihr virtuelles Netzwerk im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu nutzen.

Sie können auch Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen. Der Azure Private Link-Dienst ist der Verweis auf Ihren eigenen Dienst, der von Azure Private Link unterstützt wird. Ihr Dienst, der hinter Azure Load Balancer Standard ausgeführt wird, kann für den Zugriff auf Private Link aktiviert werden, sodass die Benutzer Ihres Diensts privat über ihre eigenen virtuellen Netzwerke auf diesen zugreifen können. Ihre Kunden können einen privaten Endpunkt in ihrem virtuellen Netzwerk erstellen und diesem Dienst zuordnen. Es ist nicht mehr erforderlich, Ihren Dienst im öffentlichen Internet zur Verfügung zu stellen, um Dienste in Azure zu rendern.

VPN Gateway

Wenn Sie Netzwerkdatenverkehr zwischen Ihrem Azure Virtual Network und Ihrem lokalen Standort senden möchten, müssen Sie für Ihr Azure Virtual Network ein VPN Gateway erstellen. Ein VPN Gateway ist eine Art von Gateway für virtuelle Netzwerke, mit dem verschlüsselter Datenverkehr über eine öffentliche Verbindung gesendet wird. Sie können VP Gateways auch verwenden, um Datenverkehr zwischen Azure Virtual Networks über das Azure-Netzwerkfabric zu senden.

ExpressRoute

Microsoft Azure ExpressRoute ist ein dedizierter WAN-Link, mit dem Sie Ihre lokalen Netzwerke über eine dedizierte private Verbindung, die von einem Konnektivitätsanbieter bereitgestellt wird, in die Microsoft Cloud erweitern können.

ExpressRoute

Mit ExpressRoute können Sie Verbindungen mit Microsoft-Clouddiensten herstellen, z. B. Microsoft Azure, Microsoft 365 und CRM Online. Die Konnektivität kann über ein Any-to-Any-Netzwerk (IP VPN), ein Point-to-Point-Ethernet-Netzwerk oder eine virtuelle Querverbindung über einen Konnektivitätsanbieter in einer Co-Location-Einrichtung bereitgestellt werden.

ExpressRoute-Verbindungen verlaufen nicht über das öffentliche Internet und können somit als sicherer angesehen werden als VPN-basierte Lösungen. Auf diese Weise können ExpressRoute-Verbindungen eine höhere Sicherheit, größere Zuverlässigkeit und schnellere Geschwindigkeit bei geringerer Latenz als herkömmliche Verbindungen über das Internet bieten.

Application Gateway

Microsoft Azure Application Gateway verfügt über einen ADC (Application Delivery Controller) als Dienst und damit für Ihre Anwendung über verschiedene Lastenausgleichsfunktionen auf Schicht 7.

Application Gateway

Sie können damit die Produktivität von Webfarmen steigern, indem Sie die CPU-intensive TLS-Terminierung an Application Gateway auslagern (auch als TLS-Auslagerung oder TLS-Bridging bekannt). Darüber hinaus werden noch weitere Routingfunktionen der Ebene 7 bereitgestellt. Hierzu zählen etwa die Roundrobin-Verteilung des eingehenden Datenverkehrs, cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis und die Möglichkeit zum Hosten mehrerer Websites hinter einer einzelnen Application Gateway-Instanz. Azure Application Gateway verwendet einen Load Balancer auf der Schicht 7 (Anwendungsschicht).

Das Application Gateway ermöglicht ein Failover sowie schnelles Routing von HTTP-Anforderungen zwischen verschiedenen Servern in der Cloud und der lokalen Umgebung.

Application Gateway bietet zahlreiche Application Delivery Controller-Funktionen (ADC), u.a. HTTP-Lastenausgleich, cookiebasierte Sitzungsaffinität, TLS-Auslagerung, benutzerdefinierte Integritätstests und Unterstützung für mehrere Websites.

Web Application Firewall

Web Application Firewall ist ein Feature von Azure Application Gateway, das Schutz für Webanwendungen bietet, die Application Gateway für ADC-Standardfunktionen (Application Delivery Control, Steuerung der Anwendungsbereitstellung) nutzen. Web Application Firewall schützt sie vor den nach OWASP 10 häufigsten Web-Sicherheitslücken.

Web Application Firewall

  • Schutz vor Einschleusung von SQL-Befehlen

  • Schutz vor allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion

  • Schutz vor Verletzungen des HTTP-Protokolls

  • Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des Hosts

  • Verhindern von Bots, Crawlern und Scannern

  • Erkennung häufiger Fehler bei der Anwendungskonfiguration (d. h. Apache, IIS usw.)

Eine zentrale Webanwendungsfirewall zum Schutz vor Webangriffen vereinfacht die Sicherheitsverwaltung und verleiht der Anwendung einen besseren Schutz vor Bedrohungen durch Angriffe. Mit einer WAF-Lösung können Sie ebenfalls schneller auf ein Sicherheitsrisiko reagieren, da eine bekannte Schwachstelle an einem zentralen Ort gepatcht wird, statt jede einzelne Webanwendung separat zu sichern. Vorhandene Anwendungsgateways können problemlos in ein Anwendungsgateway mit Web Application Firewall konvertiert werden.

Traffic Manager

Microsoft Azure Traffic Manager ermöglicht die Verteilung von Benutzerdatenverkehr für Dienstendpunkte in unterschiedlichen Rechenzentren. Zu den von Traffic Manager unterstützten Dienstendpunkten zählen virtuelle Azure-Computer, Web-Apps und Clouddienste. Darüber hinaus kann Traffic Manager auch mit externen, Azure-fremden Endpunkten verwendet werden. Traffic Manager verwendet das Domain Name System (DNS), um Clientanforderungen auf der Grundlage einer Datenverkehrsrouting-Methode und der Integrität der Endpunkte an den optimalen Endpunkt weiterzuleiten.

Traffic Manager bietet eine Reihe von Datenverkehrsrouting-Methoden, die verschiedene Anwendungsanforderungen erfüllen und die Überwachung der Integrität von Endpunkten sowie automatisches Failover ermöglichen. Traffic Manager zeichnet sich durch eine geringe Fehleranfälligkeit aus, selbst wenn es zu einem Ausfall einer ganzen Azure-Region kommt.

Azure Load Balancer

Der Azure Load Balancer bietet Hochverfügbarkeit und Netzwerkleistung für Ihre Anwendungen. Es ist ein Layer-4-Lastenausgleichsmodul (TCP, UDP), das eingehenden Datenverkehr auf funktionierende Dienstinstanzen verteilt, die in einer Lastenausgleichsgruppe definiert sind. Azure Load Balancer kann für Folgendes konfiguriert werden:

  • Lastenausgleich des eingehenden Internetdatenverkehrs für virtuelle Computer. Diese Konfiguration wird als öffentlicher Lastenausgleich bezeichnet.

  • Lastenausgleich für Datenverkehr zwischen virtuellen Computern in einem virtuellen Netzwerk, zwischen virtuellen Computern in Clouddiensten oder zwischen lokalen und virtuellen Computern in einem standortübergreifenden virtuellen Netzwerk. Diese Konfiguration wird als interner Lastenausgleichbezeichnet.

  • Weiterleiten von externem Datenverkehr an eine bestimmte Instanz eines virtuellen Computers

Internes DNS

Sie können die Liste der in einem VNet verwendeten DNS-Server im Verwaltungsportal oder mithilfe der Netzwerkkonfigurationsdatei verwalten. Kunden können bis zu 12 DNS-Server für jedes VNet hinzufügen. Beim Angeben von DNS-Servern müssen Sie darauf achten, dass Sie die DNS-Server des Kunden in der richtigen Reihenfolge für dessen Umgebung auflisten. DNS-Serverlisten werden nicht per Roundrobin verarbeitet. Sie werden in der Reihenfolge verwendet, in der sie angegeben sind. Wenn der erste DNS-Server in der Liste erreicht werden kann, verwendet der Client diesen DNS-Server unabhängig davon, ob der DNS-Server ordnungsgemäß funktioniert. Um die Reihenfolge der DNS-Server für das virtuelle Netzwerk des Kunden zu ändern, entfernen Sie die DNS-Server aus der Liste, und fügen Sie sie in der vom Kunden gewünschten Reihenfolge wieder hinzu. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.

Azure DNS

Das Domain Name System (DNS) ist für die Übersetzung (oder Auflösung) eines Website- oder Dienstnamens in die IP-Adresse verantwortlich. Azure DNS ist ein Hostingdienst für DNS-Domänen, der die Namensauflösung mithilfe der Microsoft Azure-Infrastruktur durchführt. Durch das Hosten Ihrer Domänen in Azure können Sie Ihre DNS-Einträge mithilfe der gleichen Anmeldeinformationen, APIs, Tools und Abrechnung wie für die anderen Azure-Dienste verwalten. DNS unterstützt den Verfügbarkeitsaspekt der drei Sicherheitsbereiche „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.

Netzwerksicherheitsgruppen in Azure Monitor-Protokolle

Sie können die folgenden Diagnoseprotokoll-Kategorien für Netzwerksicherheitsgruppen aktivieren:

  • Ereignis: Enthält Einträge, für die anhand der MAC-Adresse NSG-Regeln auf virtuelle Computer und Instanzrollen angewendet werden. Der Status für diese Regeln wird alle 60 Sekunden erfasst.

  • Regelzähler: Enthält Einträge darüber, wie oft jede NSG-Regel angewendet wurde, um Datenverkehr zuzulassen oder zu verweigern.

Microsoft Defender für Cloud

Microsoft Defender für Cloud analysiert ständig den Sicherheitsstatus Ihrer Azure-Ressourcen anhand bewährter Methoden für Netzwerksicherheit. Werden potenzielle Sicherheitslücken erkannt, erstellt Defender für Cloud Empfehlungen, die Sie beim Konfigurieren der erforderlichen Steuerelemente zum Schutz Ihrer Ressourcen unterstützen.

Erweiterte Container-Netzwerkdienste (ACNS)

Erweiterte Container-Netzwerkdienste (Advanced Container Networking Services, ACNS) ist eine umfassende Lösung, die die betriebliche Effizienz Ihrer Azure Kubernetes Service-Cluster (AKS) verbessern soll. Die Lösung bietet erweiterte Features für Sicherheit und Einblicke, die die Verwaltung der Microservices-Infrastruktur im großen Maßstab vereinfachen.

Diese Features sind in zwei Hauptbereiche unterteilt:

  • Sicherheit: Bei Clustern mit „Azure CNI Powered by Cilium“ umfassen Netzwerkrichtlinien die Filterung nach vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zur Bewältigung der Komplexität der Konfiguration.

  • Einblick: Dieses Feature von „Erweiterte Container-Netzwerkdienste“ stellt die Leistungsfähigkeit der Hubble-Steuerungsebene für Linux-Datenebenen von Cilium und anderen Anbietern bereit und bietet so eine bessere Sichtbarkeit in Netzwerke und Leistung.

Compute

Dieser Abschnitt enthält zusätzliche Informationen zu den wichtigsten Features in diesem Bereich und zusammenfassende Informationen zu diesen Funktionen.

Azure Confidential Computing

Azure Confidential Computing stellt den letzten, fehlenden Bestandteil beim Datenschutzvorhaben dar. Damit können Sie Ihre Daten immer verschlüsselt halten. Dabei ist es egal, ob sie ruhend sind, über das Netzwerk übertragen werden oder schon im Arbeitsspeicher geladen sind und genutzt werden. Darüber hinaus können Sie durch den Remotenachweis kryptografisch überprüfen, ob der von Ihnen bereitgestellte virtuelle Computer sicher gestartet und ordnungsgemäß konfiguriert wurde, bevor Sie Ihre Daten entsperren.

Das Spektrum der Optionen reicht von der Aktivierung von „Lift and Shift“-Szenarios bei vorhandenen Anwendungen bis hin zu einer vollständigen Kontrolle über die verschiedenen Sicherheitsfeatures. Für Infrastructure-as-a-Service (IaaS) können Sie vertrauliche virtuelle Computer (unterstützt von AMD SEV-SNP) oder vertrauliche Anwendungsenclaves für virtuelle Computer verwenden, auf denen Intel Software Guard Extensions (SGX) ausgeführt wird. Für Platform-as-a-Service verfügen wir über mehrere containerbasierte Optionen, einschließlich Integrationen mit Azure Kubernetes Service (AKS).

Antischadsoftware und Antivirus

Mit Azure IaaS können Sie zum Schützen der virtuellen Computer vor Dateien mit schädlichem Inhalt, Adware und anderen Bedrohungen Antischadsoftware von Anbietern wie Microsoft, Symantec, Trend Micro, McAfee und Kaspersky verwenden. Microsoft Antimalware for Azure Cloud Services and Virtual Machines ist eine Echtzeit-Schutzfunktion zum Bestimmen und Entfernen von Viren, Spyware und anderer Schadsoftware. Microsoft Antimalware gibt konfigurierbare Warnungen aus, wenn bekannte schädliche oder unerwünschte Software versucht, sich selbst auf Ihren Azure-Systemen zu installieren oder dort auszuführen. Microsoft Antimalware kann auch mit Microsoft Defender für Cloud bereitgestellt werden.

Hardwaresicherheitsmodul

Verschlüsselung und Authentifizierung verbessern die Sicherheit nur dann, wenn die Schlüssel selbst geschützt sind. Sie können die Verwaltung und Sicherheit Ihrer geschäftskritischen geheimen Daten und Schlüssel vereinfachen, indem Sie diese in Azure Key Vault speichern. Key Vault bietet die Möglichkeit, Ihre Schlüssel in Hardware-Sicherheitsmodulen (HSMs) zu speichern, die nach den FIPS 140-validierten Standards zertifiziert sind. Sie können Ihre SQL Server-Verschlüsselungsschlüssel für Sicherungen oder transparente Datenverschlüsselung gemeinsam mit den Schlüsseln oder geheimen Daten Ihrer Anwendungen in Key Vault speichern. Die Berechtigungen für und der Zugriff auf diese geschützten Elemente werden über Microsoft Entra ID verwaltet.

Sicherung virtueller Computer

Azure Backup ist eine Lösung, die Ihre Anwendungsdaten schützt – ganz ohne Investitionskosten und mit sehr niedrigen Betriebskosten. Anwendungsfehler können Ihre Daten beschädigen, und menschliche Fehler können Bugs in Ihren Anwendungen verursachen, die zu Sicherheitsproblemen führen können. Mit Azure Backup sind Ihre virtuellen Windows- und Linux-Computer geschützt.

Azure Site Recovery

Ein wichtiger Teil der BCDR-Strategie (Geschäftskontinuität/Notfallwiederherstellung) Ihrer Organisation ist die Ermittlung, wie geschäftliche Workloads und Apps verfügbar gehalten werden können, wenn geplante und ungeplante Ausfälle auftreten. Azure Site Recovery unterstützt die Orchestrierung von Replikation, Failover und Wiederherstellung von Workloads und Apps, damit diese Komponenten über einen sekundären Standort zur Verfügung stehen, wenn der primäre Standort ausfällt.

SQL VM TDE

Transparent Data Encryption (TDE) und Column Level Encryption (CLE) sind SQL Server-Verschlüsselungsfeatures. Bei dieser Art der Verschlüsselung müssen Kunden die kryptografischen Schlüssel verwalten und speichern, die Sie für die Verschlüsselung verwenden.

Der Azure-Schlüsseltresor-Dienst (Azure Key Vault, AKV) ist dafür ausgelegt, die Sicherheit und Verwaltung dieser Schlüssel an einem sicheren und hoch verfügbaren Speicherort zu verbessern. Mit dem SQL Server-Connector kann SQL Server diese Schlüssel aus Azure Key Vault verwenden.

Wenn Sie SQL Server mit lokalen Computern ausführen, können Sie Schritte zum Zugreifen auf Azure Key Vault von Ihrer lokalen SQL Server-Instanz ausführen. Sie können für SQL Server auf virtuellen Azure-Computern aber Zeit sparen, indem Sie die Funktion für die Azure-Schlüsseltresor-Integration verwenden. Mit einigen Azure PowerShell-Cmdlets zum Aktivieren dieser Funktion können Sie die Konfiguration automatisieren, die ein virtueller SQL-Computer zum Zugreifen auf Ihren Schlüsseltresor benötigt.

Datenträgerverschlüsselung für virtuelle Computer

Azure Disk Encryption für Linux-VMs und Azure Disk Encryption für Windows-VMs unterstützen Sie beim Verschlüsseln der Datenträger Ihrer virtuellen IaaS-Computer. Diese Funktion verwendet das Branchen-Standardfeature BitLocker von Windows und das Feature DM-Crypt von Linux, um Volumeverschlüsselung für das Betriebssystem und die Datenträger bereitzustellen. Die Lösung ist in Azure Key Vault integriert, damit Sie die Verschlüsselungsschlüssel und Geheimnisse für die Datenträgerverschlüsselung in Ihrem Key Vault-Abonnement steuern und verwalten können. Diese Lösung stellt außerdem sicher, dass alle ruhenden Daten auf den Datenträgern der virtuellen Computer in Azure Storage verschlüsselt sind.

Virtuelle Netzwerke

Virtuelle Computer benötigen Netzwerkkonnektivität. Azure erfordert von einem virtuellen Computer eine Verbindung mit einem virtuellen Azure-Netzwerk, damit die Konnektivitätsanforderung unterstützt wird. Ein virtuelles Azure-Netzwerk ist ein logisches Konstrukt, das auf dem physischen Azure-Netzwerkfabric basiert. Jedes logische Azure Virtual Network ist von allen anderen virtuellen Azure-Netzwerken isoliert. Mit dieser Isolierung wird sichergestellt, dass der Netzwerkdatenverkehr in Ihren Bereitstellungen nicht für andere Microsoft Azure-Kunden zugänglich ist.

Patch-Updates

Patch-Updates bilden die Grundlage zum Ermitteln und Beheben potenzieller Probleme und zur Vereinfachung des Verwaltungsprozesses von Softwareupdates. Beides wird dadurch erreicht, dass einerseits die Anzahl von Softwareupdates verringert wird, die Sie in Ihrem Unternehmen bereitstellen müssen, und andererseits die Möglichkeiten verbessert werden, die Einhaltung der Vorgaben zu überwachen.

Verwaltung von Sicherheitsrichtlinien und Berichtserstellung

Defender für Cloud unterstützt Sie bei der Vermeidung, Erkennung und Behandlung von Bedrohungen und verschafft Ihnen mehr Transparenz und somit eine bessere Kontrolle über die Sicherheit Ihrer Azure-Ressourcen. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Azure-Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Spektrum an Sicherheitslösungen verwendet werden.

Identitäts- und Zugriffsverwaltung

Das Schützen von Systemen, Anwendungen und Daten beginnt mit der identitätsbasierten Zugriffssteuerung. Die Features zur Identitäts- und Zugriffsverwaltung, die in Microsoft Business-Produkten und -Diensten integriert sind, unterstützen Sie beim Schützen Ihrer organisationsbezogenen und privaten Informationen vor nicht autorisiertem Zugriff, während sie für berechtigte Benutzer jederzeit und überall verfügbar sind.

Schützen der Identität

Microsoft verwendet mehrere Sicherheitsmaßnahmen und -technologien für seine Produkte und Dienste für die Identitäts- und Zugriffsverwaltung.

  • Multi-Faktor-Authentifizierung erfordert, dass Benutzer mehrere Zugriffsmethoden (lokal und in der Cloud) verwenden. Mit einer Reihe einfacher Verifizierungsoptionen wird für eine leistungsstarke Authentifizierung gesorgt und gleichzeitig die Benutzeranforderungen an einen einfachen Anmeldeprozess erfüllt.

  • Microsoft Authenticator bietet eine benutzerfreundliche Erfahrung für die Multi-Faktor-Authentifizierung, die sowohl mit Microsoft Entra ID als auch mit Microsoft-Konten funktioniert und Unterstützung für Wearables und fingerabdruckbasierte Genehmigungen enthält.

  • Erzwingung der Kennwortrichtlinie erhöht die Sicherheit herkömmlicher Kennwörter, indem Anforderungen hinsichtlich Länge und Komplexität sowie eine regelmäßige erzwungene Rotation und Kontosperrungen nach fehlgeschlagenen Authentifizierungsversuchen durchgesetzt werden.

  • Die tokenbasierte Authentifizierung ermöglicht die Authentifizierung über Microsoft Entra ID.

  • Die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) ermöglicht es Ihnen, den Zugriff auf Grundlage einer zugewiesenen Benutzerrolle zu gewähren. Dies erleichtert es Ihnen, Benutzern nur den zum Ausführen ihrer Aufgaben erforderlichen Zugriff zu erteilen. Sie können Azure RBAC gemäß dem Geschäftsmodell und der Risikotoleranz Ihrer Organisation anpassen.

  • Integrierte Identitätsverwaltung (Hybrididentität) ermöglicht es Ihnen, den Benutzerzugriff auf interne Rechenzentren und Cloudplattformen zu kontrollieren, indem Sie eine einzelne Benutzeridentität für die Authentifizierung und Autorisierung für alle Ressourcen erstellen.

Schützen von Apps und Daten

Microsoft Entra ID ist eine umfassende Cloudlösung zur Identitäts- und Zugriffsverwaltung und unterstützt Sie beim Sichern des Zugriffs auf Daten in lokalen Anwendungen und in der Cloud und vereinfacht die Verwaltung von Benutzern und Gruppen. Es kombiniert wesentliche Verzeichnisdienste, erweiterte Identitätskontrolle, Sicherheit und Anwendungszugriffsverwaltung und gestaltet es für Entwickler einfach, eine richtlinienbasierte Identitätsverwaltung in ihre Apps zu integrieren. Um Ihre Microsoft Entra ID-Erfahrung zu verbessern, können Sie kostenpflichtige Funktionen mithilfe der Editionen Microsoft Entra Basic, Premium P1 und Premium P2 hinzufügen.

Kostenlose/Gemeinsame Features Basic-Features Premium P1-Features Premium P2-Features Microsoft Entra-Beitritt – Nur Windows 10-bezogene Features
Verzeichnisobjekte, Benutzer-/Gruppenverwaltung (hinzufügen/aktualisieren/löschen)/benutzerbasierte Bereitstellung, Geräteregistrierung, Einmaliges Anmelden (SSO), Self-Service-Kennwortänderung für Cloudbenutzer, Verbinden (Synchronisierungsmodul, das lokale Verzeichnisse auf Microsoft Entra ID ausweitet), Sicherheits-/Nutzungsberichte Gruppenbasierte Zugriffsverwaltung/Bereitstellung, Self-Service-Kennwortzurücksetzung für Cloudbenutzer, Unternehmensbranding (Anpassen von Anmeldeseiten/Zugriffsbereich), Anwendungsproxy, SLA 99,9 % Self-Service-Verwaltung von Gruppen und Apps/Self-Service-Hinzufügung von Anwendungen/Dynamische Gruppen, Self-Service-Kennwortzurücksetzung, -änderung, -entsperrung mit lokalem Rückschreiben, Multi-Faktor-Authentifizierung (cloudbasiert und lokal [MFA-Server]), MIM-CAL + MIM-Server, Cloud App Discovery, Connect Health, Automatischer Kennwortrollover für Gruppenkonten Identity Protection, Privileged Identity Management Verbinden eines Geräts mit Microsoft Entra ID, Desktop SSO, Microsoft Passport für Microsoft Entra ID, Administrator BitLocker-Wiederherstellung, automatische MDM-Registrierung, Self-Service-BitLocker-Wiederherstellung, zusätzliche lokale Administratoren für Windows 10-Geräte über den Microsoft Entra-Beitritt
  • Cloud App Discovery ist ein Premium-Feature von Microsoft Entra ID, mit dem Sie Cloudanwendungen identifizieren können, die von den Mitarbeitern in Ihrer Organisation verwendet werden.

  • Microsoft Entra ID-Schutz ist ein Sicherheitsdienst, der die Funktionen von Microsoft Entra ID zur Erkennung von Anomalien verwendet, um eine konsolidierte Ansicht zu Risikoerkennungen und potenziellen Sicherheitslücken zu bieten, die sich auf die Identitäten Ihrer Organisation auswirken könnten.

  • Mit Microsoft Entra Domain Services können Sie Azure-VMs in eine Domäne einbinden, ohne Domänencontroller bereitstellen zu müssen. Die Benutzer melden sich mit den Active Directory-Anmeldeinformationen ihres Unternehmens an diesen virtuellen Computern an und können nahtlos auf Ressourcen zugreifen.

  • Microsoft Entra B2C ist ein hoch verfügbarer, globaler Identitätsverwaltungsdienst für kundenorientierte Apps, der für Hunderte Millionen von Identitäten skaliert und plattformübergreifend (mobil und Web) integriert werden kann. Ihre Kunden können sich über anpassbare Benutzeroberflächen, die vorhandene Konten für soziale Netzwerke verwenden, bei all Ihren Apps anmelden. Sie können aber auch neue eigenständige Anmeldeinformationen erstellen.

  • Die Microsoft Entra B2B Collaboration ist eine sichere Lösung zur Partnerintegration, die Partnern den gezielten Zugriff auf Ihre Unternehmensanwendungen und Unternehmensdaten über ihre selbstverwalteten Identitäten ermöglicht und so Ihre unternehmensübergreifenden Beziehungen unterstützt.

  • In Microsoft Entra eingebunden ermöglicht Ihnen das Erweitern von Cloudfunktionen auf Windows 10-Geräte für die zentrale Verwaltung. Dadurch erhalten Benutzer die Möglichkeit, über Microsoft Entra ID eine Verbindung mit der Cloud des Unternehmens oder der Organisation herzustellen, und der Zugriff auf Apps und Ressourcen wird vereinfacht.

  • Der Microsoft Entra-Anwendungsproxy ermöglicht das einmalige Anmelden (SSO) und den sicheren Remotezugriff für lokal gehostete Webanwendungen.

Nächste Schritte