Erste Schritte mit der Phishing-resistenten Bereitstellung mit kennwortloser Authentifizierung in Microsoft Entra ID
Passwörter sind der primäre Angriffsvektor für moderne Angreifer und eine Quelle der Reibung für Benutzer und Administratoren. Als Teil einer allgemeinen Zero Trust-Sicherheitsstrategie empfiehlt Microsoft, in Ihrer Authentifizierungslösung auf Phishing-beständige Kennwörter zu wechseln. Dieser Leitfaden hilft Ihnen bei der Auswahl, Vorbereitung und Bereitstellung der richtigen kennwortlosen Anmeldedaten für Ihr Unternehmen, die vor Phishing geschützt sind. Verwenden Sie dieses Handbuch, um Ihr kennwortloses Phishing-Projekt zu planen und auszuführen.
Features wie die Multi-Faktor-Authentifizierung (MFA) bieten hervorragende Möglichkeiten, Ihre Organisation zu schützen. Aber die Benutzer sind oft frustriert, weil sie sich zusätzlich zu den Passwörtern noch eine weitere Sicherheitsebene merken müssen. Phishing-beständige kennwortlose Authentifizierungsmethoden sind bequemer. Eine Analyse von Microsoft-Heimanwenderkonten zeigt beispielsweise, dass die Anmeldung mit einem Passwort im Durchschnitt bis zu neun Sekunden dauern kann, aber Passkeys dauern in den meisten Fällen nur etwa drei Sekunden. Die Geschwindigkeit und Leichtigkeit der Passkeyanmeldung ist im Vergleich zur herkömmlichen Passwort- und MFA-Anmeldung sogar noch größer. Passkey-Benutzer müssen sich ihr Passwort nicht merken oder auf SMS warten.
Hinweis
Diese Daten basieren auf der Analyse der Anmeldungen von Microsoft-Heimanwenderkonten.
Phishing-beständige kennwortlose Methoden haben auch zusätzliche Sicherheit. Sie gelten automatisch als MFA, da sie etwas verwenden, das der Benutzer hat (ein physisches Gerät oder einen Sicherheitsschlüssel) und etwas, das der Benutzer kennt oder ist, wie ein biometrisches Merkmal oder eine PIN. Und im Gegensatz zu herkömmlichen MFA-Methoden werden Phishing-Angriffe auf Ihre Benutzer durch die Verwendung von hardwaregestützten Anmeldedaten abgewehrt, die nicht so leicht kompromittiert werden können.
Microsoft Entra ID bietet die folgenden Phishing-widerstandsfähigen kennwortlosen Authentifizierungsoptionen:
- Passkeys (FIDO2)
- Windows Hello for Business
- Platform Credentials für macOS (Vorschau)
- Microsoft Authenticator App Passkeys (Vorschau)
- FIDO2-Sicherheitsschlüssel
- Andere Passkeys und Anbieter, z. B. iCloud Keychain – auf der Roadmap
- Zertifikatsbasierte Authentifizierung/Smartcards
Voraussetzungen
Bevor Sie Ihr Microsoft Entra Phishing-widerstandsfähiges Bereitstellungsprojekt ohne Kennwort starten, führen Sie die folgenden Voraussetzungen aus:
- Überprüfen von Lizenzanforderungen
- Überprüfen sie die Rollen, die zum Ausführen privilegierter Aktionen erforderlich sind
- Identifizieren von Stakeholder-Teams, die zusammenarbeiten müssen
Lizenzanforderungen
Für die Registrierung und die kennwortlose Anmeldung bei Microsoft Entra ist keine Lizenz erforderlich, es wird jedoch mindestens eine Microsoft Entra ID P1-Lizenz für den vollständigen Satz von Funktionen empfohlen, die einer kennwortlosen Bereitstellung zugeordnet sind. Mit einer Microsoft Entra ID P1-Lizenz können Sie beispielsweise die kennwortlose Anmeldung über bedingten Zugriff durchsetzen und die Bereitstellung mit einem Aktivitätsbericht für Authentifizierungsmethoden verfolgen. Die spezifischen Lizenzierungsanforderungen für die in diesem Leitfaden genannten Features finden Sie in der Anleitung zu den Lizenzierungsanforderungen.
Integrieren von Apps mit Microsoft Entra ID
Microsoft Entra ID ist ein cloudbasiertes Identity & Access Management (IAM), das in viele Arten von Anwendungen integriert ist, einschließlich SaaS-Apps (Software-as-a-Service), Branchen-Apps, lokale Apps und vieles mehr. Sie müssen Ihre Anwendungen in Microsoft Entra ID integrieren, um die Vorteile Ihrer Investition in kennwortlose und phishingsichere Authentifizierung optimal zu nutzen. Je mehr Anwendungen Sie mit Microsoft Entra ID integrieren, desto mehr können Sie Ihre Umgebung mit Richtlinien für den bedingten Zugriff schützen, die die Verwendung von phishing-resistenten Authentifizierungsmethoden erzwingen. Weitere Informationen zum Integrieren von Apps mit Microsoft Entra ID finden Sie in fünf Schritten zur Integration Ihrer Apps mit Microsoft Entra ID.
Wenn Sie Ihre eigenen Anwendungen entwickeln, befolgen Sie die Entwickleranleitungen zur Unterstützung kennwortloser und phishingsicherer Authentifizierung. Weitere Informationen finden Sie unter Unterstützen der kennwortlosen Authentifizierung mit FIDO2-Schlüsseln in von Ihnen entwickelten Apps.
Erforderliche Rollen
In der folgenden Tabelle sind die Anforderungen an die am wenigsten privilegierten Rollen für eine passwortlose Bereitstellung mit Phishing-Schutz aufgeführt. Es wird empfohlen, die kennwortlose Phishing-Authentifizierung für alle privilegierten Konten zu aktivieren.
| Microsoft Entra-Rolle | Beschreibung |
|---|---|
| Benutzeradministrator | Für die Implementierung einer kombinierten Registrierung |
| Authentifizierungsadministrator | Für die Implementierung und Verwaltung von Authentifizierungsmethoden |
| Authentifizierungsadministrator Richtlinien | So implementieren und verwalten Sie die Richtlinie für Authentifizierungsmethoden |
| Benutzer | So konfigurieren Sie die Authenticator-App auf dem Gerät; so registrieren Sie das Gerät mit dem Sicherheitsschlüssel für die Web- oder Windows 10/11-Anmeldung |
Kunden-Projektbeteiligten-Teams
Um den Erfolg zu gewährleisten, müssen Sie sicherstellen, dass Sie mit den richtigen Stakeholdern zusammenarbeiten und dass diese ihre Rollen verstehen, bevor Sie mit der Planung und Einführung beginnen. In der folgenden Tabelle sind häufig empfohlene Stakeholderteams aufgeführt.
| Stakeholder-Team | Beschreibung |
|---|---|
| Identity & Access Management (IAM) | Verwaltet den täglichen Betrieb des IAM-Systems |
| Informationssicherheitsarchitektur | Pläne und Entwürfe der Informationssicherheitspraktiken der Organisation |
| Informationssicherheitsvorgänge | Führt Verfahren zur Informationssicherheit für die Informationssicherheitsarchitektur aus und überwacht sie |
| Sicherheitsgarantie und -überwachung | Trägt dazu bei, dass IT-Prozesse sicher und konform sind. Sie führen regelmäßige Audits durch, bewerten Risiken und empfehlen Sicherheitsmaßnahmen, um identifizierte Sicherheitsrisiken zu mindern und den Gesamtsicherheitsstatus zu verbessern. |
| Helpdesk und Support | Unterstützung von Endbenutzern, die bei der Einführung neuer Technologien und Richtlinien auf Probleme stoßen, oder wenn Probleme auftreten |
| Kommunikation mit Endbenutzern | Nachrichtenänderungen an die Endbenutzer in Vorbereitung auf die Einführung von benutzerseitigen Technologien |