CISA Zero Trust Maturity Model für die Säule „Identität”
Ein einheitlicher Identitätsanbieter (IdP) ist entscheidend, um den Zugriff effektiv zu verwalten; er stellt sicher, dass Benutzer und Entitäten den richtigen Zugriff auf Ressourcen ohne übermäßige Berechtigungen haben. Die Integration von Identitäts-, Anmeldeinformations- und Zugriffsverwaltungslösungen schafft eine starke Authentifizierung, eine maßgeschneiderte kontextbasierte Autorisierung und identitätsbasierte Risikobewertung.
Das Memorandum-22-09 des Office of Management and Budget (OMB), das zur Unterstützung der Durchführungsverordnung 14028 zur Verbesserung der nationalen Cybersicherheit veröffentlicht wurde, verpflichtet Bundesbehörden, zentrale Identitätsverwaltungssysteme für ihre Benutzer einzusetzen. Diese Systeme können in Anwendungen und gängige Plattformen integriert werden, um einen einheitlichen Ansatz für die Identitätsverwaltung sicherzustellen. Diese Anforderung ist Teil der Zero Trust-Strategie, die Cybersicherheit und Datenschutz verbessert. Wir empfehlen die Konsolidierung von IdPs, Identitätsspeichern und Identitätsverwaltungssystemen durch Verwendung von Microsoft Entra ID als IdP.
Weitere Informationen finden Sie unter Erfüllen der Identitätsanforderungen des Memorandums 22-09 mit Microsoft Entra ID.
Verwenden Sie die folgenden Links, um zu Abschnitten des Leitfadens zu wechseln.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten
1 Identität
Dieser Abschnitt enthält Anleitungen und Empfehlungen von Microsoft für das CISA Zero Trust Maturity Model in der Säule „Identität”. Die Cybersecurity & Infrastructure Security Agency (CISA) definiert Identität als ein Attribut oder einen Attributsatz, das/der einen Behördenbenutzer oder eine Entität, einschließlich nicht menschlicher Entitäten, eindeutig beschreibt. Weitere Informationen finden Sie unter Sichern der Identität mit Zero Trust.
1.1 Funktion: Authentifizierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegrad Das Unternehmen authentifiziert die Identität mithilfe von MFA, wobei Kennwörter als ein Faktor enthalten sein können, und erfordert eine Überprüfung mehrerer Attribute der Entität (z. B. Gebietsschema oder Aktivität). |
Microsoft Entra ID Erstellen Sie eine Identitätsgrundlage, indem Sie Identitätsanbieter konsolidieren und Microsoft Entra ID in den Pfad jeder Zugriffsanforderung einfügen. Während Sie Anwendungen für die Migration zu Microsoft Entra ID identifizieren und auswählen, implementieren Sie eine Richtlinie, die vorschreibt, dass neue Anwendungen mit Microsoft Entra ID integriert werden. Diese Aktion stellt sicher, dass Sicherheitsrichtlinien wie die mehrstufige Authentifizierung (Multifactor Authentication, MFA) und die Überprüfung von Entitätsattributen konsistent für den Zugriff auf Enterprise-Ressourcen angewendet werden. Im Verlauf der Jahre 2024 und 2025 beginnt Microsoft mit der Durchsetzung von MFA für Administratorportale. Microsoft empfiehlt Konten, MFA zu verwenden. - Migrieren von Apps und Authentifizierung zu Microsoft Entra ID - Obligatorische Microsoft Entra-MFA - Sichern der Identität mit Zero Trust Microsoft Entra-Authentifizierungsmethoden Aktivieren Sie die im Unternehmen zugelassenen MFA-Methoden mit Richtlinieneinstellungen in Microsoft Entra. Aktivieren Sie Methoden, die Benutzer während der Anmeldung auswählen oder verwenden. - Verwalten der Authentifizierungsmethoden - Übersicht über Microsoft Entra MFA Microsoft Entra Conditional Access Erstellen Sie eine Richtlinie für bedingten Zugriff, um MFA für alle Cloud-Anwendungen zu verlangen. Jede Methode zur Multi-Faktor-Authentifizierung besteht die Zugriffskontrolle „MFA erforderlich“ im bedingten Zugriff. Beziehen Sie eine Überprüfung mehrerer Entitätsattribute, wie z. B. Gebietsschema und Aktivität, mit ein. Verwenden Sie Anwendungszielgruppenansprache und berücksichtigen Sie Netzwerkbedingungen. - Aktivieren der Multi-Faktor-Authentifizierung - Cloud-Apps, Aktionen und Authentifizierung im bedingten Zugriff - Netzwerk in Richtlinie für bedingten Zugriff Microsoft Entra External ID Verlangen Sie eine Multi-Faktor-Authentifizierung für alle Benutzer, einschließlich externer Gäste. Konfigurieren Sie mandantenübergreifende Zugriffsvertrauenseinstellungen, um die Zusammenarbeit der Partner zu verbessern. Mandantenübergreifender Zugriff für B2B-Zusammenarbeit |
| Fortgeschrittener Reifegrad Das Unternehmen beginnt, alle Identitäten unter Verwendung von Phishing-resistenter MFA und Attributen zu authentifizieren, einschließlich der ersten Implementierung einer kennwortlosen MFA über FIDO2 oder PIV. |
Microsoft Entra ID Migrieren Sie aktuelle Anwendungen, um Microsoft Entra ID als Identitätsanbieter (IdP) zu verwenden. Erfordern Sie für neue Anwendungen eine Integration mit Microsoft Entra ID. Beziehen Sie Anwendungen, die ältere Authentifizierungsprotokolle verwenden, mit dem Microsoft Entra-Anwendungsproxy ein. Migrieren Sie in einem gestaffelten Rollout von verbundenen IdPs zu einer Cloudauthentifizierung und verwalteten Authentifizierung. Diese Aktionen stellen sicher, dass Phishing-beständige MFA für den Zugriff auf Unternehmensressourcen konsistent angewendet wird. - Migrieren von Apps und Authentifizierung zu Microsoft Entra ID - Microsoft Entra-App-Katalog - Microsoft Entra-Anwendungsproxy zum Veröffentlichen lokaler Apps - Cloudauthentifizierung mithilfe eines gestaffelten Rollouts Bedingter Zugriff Konfigurieren Sie die Authentifizierungsstärken für den bedingten Zugriff, um eine Phishing-resistente MFA zu erfordern, einschließlich kennwortloser MFA wie FIDO2-Hauptschlüssel (Fast IDentity Online 2) oder zertifikatbasierte Authentifizierung (Certificate-Based Authentification, CBA) mit PIV-Karten (Personal Identity Verification). Microsoft Entra-Authentifizierungsstärken Microsoft Entra-Authentifizierungsmethoden Implementieren Sie Authentifizierungsrichtlinien mit Phishing-resistenten Methoden, z. B. Hauptschlüssel in Microsoft Authenticator, Microsoft Entra CBA, Windows Hello for Business und Hauptschlüssel. Siehe auch FIDO2-Sicherheitsschlüssel. Schließen Sie Benutzer von schwächeren Authentifizierungsmethoden aus, um sie von nicht Phishing-resistenter MFA umzustellen. - Authentifizierungsmethoden - Microsoft Entra CBA - Kennwortlose Anmeldung mit Sicherheitsschlüsseln - Hauptschlüssel in Authenticator - Windows Hello for Business - MFA-Anforderungen von M-22-09 Microsoft Entra External ID Konfigurieren Sie mandantenübergreifende Zugriffsrichtlinien, um der MFA von Partnern vertrauen zu können. Ermöglichen Sie externen Benutzern die Verwendung von phishingresistenten Authentifizierungsmethoden für den Zugriff auf Ressourcen. Mandantenübergreifender Zugriff für B2B |
| Optimaler Reifegrad Das Unternehmen überprüft die Identität mithilfe von Phishing-resistenter MFA kontinuierlich, nicht nur, bei der ersten Gewährung von Zugriff. |
Bedingter Zugriff Richtlinien für bedingten Zugriff werden während der gesamten Sitzung eines Benutzers kontinuierlich evaluiert. Konfigurieren Sie die Sitzungssteuerungen, um die erforderliche Anmeldehäufigkeit unter bestimmten Bedingungen zu erhöhen, z. B. wenn der Benutzer oder die Anmeldung in Microsoft Entra ID Protection als riskant erkannt wird. Sitzungssteuerungen Fortlaufende Zugriffsauswertung Aktivieren Sie die Fortlaufende Zugriffsauswertung (Continuous Access Evaluation, CAE) für kritische Ereignisse und die nahezu in Echtzeit erfolgende kontinuierliche Zugriffsüberprüfung. - Fortlaufende Zugriffsevaluierung - Fortlaufende Zugriffsevaluierung für Microsoft 365 - -APIs mit aktivierter fortlaufender Zugriffsevaluierung in Apps |
1.2 Funktion: Identitätsspeicher
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegrad Das Unternehmen verfügt über eine Kombination aus selbstverwalteten Identitätsspeichern und gehosteten Identitätsspeichern (z. B. in der Cloud oder bei einem anderen Unternehmen) mit minimaler Integration zwischen den Speichern (z. B. Single Sign-On). |
Microsoft Entra ID Unternehmen haben möglicherweise Apps in mehreren Identitätsspeichern und/oder bei mehreren Identitätsanbietern (IdPs) integriert. Konsolidieren Sie dies, und verwenden Sie Microsoft Entra ID als Unternehmens-IdP. Plan zur Einführung der Cloud und zur Reduzierung der Abhängigkeiten von lokalen Identitätsspeichern. - Identität und Zugriff zu Microsoft Entra ID verschieben - Apps und Authentifizierung zu Microsoft Entra ID migrieren Inventur von Apps, Benutzern, Gruppen und Geräten. Führen Sie eine genaue Zählung der Identitätsspeicher. Schließen Sie Identitätsspeicher oder IdPs, wie z. B. Active Directory-Verbunddienste (AD FS) oder Drittanbieter-IdPs, ein. Um sicherzustellen, dass Benutzer-, Gruppen- und Geräteattribute auf allen Plattformen konsistent aktualisiert werden, synchronisieren Sie Identitäten zwischen lokalen Active Directory Domain Services (AD DS) und Microsoft Entra ID. - Microsoft Entra Connect Sync - Microsoft Entra Cloud Sync - Einmaliges Anmelden (Single Sign-On, SSO) - App-Migration zu Microsoft Entra ID - Microsoft Entra-Integrationen mit Authentifizierungsprotokollen Microsoft Intune Führen Sie eine Microsoft Entra-Hybrideinbindung aktueller, in die AD DS-Domäne eingebundener Geräte durch. Um die Geräteverwaltung zu modernisieren, sollten Sie es vermeiden, neue Arbeitsstationen in die Domäne aufzunehmen. Verwalten von Geräten mit Microsoft Intune. - Cloud-First-Ansatz - Hybrid eingebundene Geräte - Einmaliges Anmelden bei lokalen Ressourcen mit eingebundenen Geräten - Microsoft Intune |
| Fortgeschrittener Reifegrad Das Unternehmen beginnt mit der sicheren Konsolidierung und Integration einiger selbstverwalteter und gehosteter Identitätsspeicher. |
Microsoft Entra ID Das Unternehmen hat Microsoft Entra ID als Identitätsspeicher und IdP eingeführt. Neue Apps sind in Microsoft Entra ID integriert. Um die Migration vorzubereiten, erstellen Sie ein Inventar der aktuellen Apps, die nicht mit Microsoft Entra ID integriert sind. Ältere Apps, die die moderne Authentifizierung nicht unterstützen, können den sicheren Hybridzugriff (Secure Hybrid Access, SHA) von Microsoft Entra ID mit dem Microsoft Entra-Anwendungsproxy verwenden. Um moderne Authentifizierungsprotokolle zu verwenden, ersetzen, umgestalten oder konfigurieren Sie Apps. - Microsoft Entra-App-Katalog - Migrieren von Apps und Authentifizierung zu Microsoft Entra ID |
| Optimaler Reifegrad Das Unternehmen integriert seine Identitätsspeicher sicher über alle Partner und Umgebungen hinweg, soweit dies erforderlich ist. |
Microsoft Entra ID App-Migration zu Microsoft Entra ID ist abgeschlossen. Der Zugriff auf Unternehmensressourcen erfordert eine Authentifizierung mit der Microsoft Entra-ID. Microsoft Entra External ID Sichere Zusammenarbeit mit externer ID aktivieren. Konfigurieren Sie die mandantenübergreifende Synchronisierung, um den IT-Verwaltungsaufwand zu verringern. Sorgen Sie für nahtlose und automatisierte Benutzeroberflächen. - External ID - Mandantenübergreifende Synchronisierung in Microsoft Entra ID Anwendungsbereitstellung in Microsoft Entra Konfigurieren Sie für Anwendungen mit Identitätsspeichern die App-Bereitstellung, um Identitäten und Rollen zu verwalten. - App-Bereitstellung - Lokale App-Bereitstellung - Konfigurieren einer API-gesteuerten Bereitstellungs-App - Microsoft Entra-Anwendungsproxy zum Veröffentlichen lokaler Apps Eingehende Personalbereitstellung von Microsoft Entra Modernisieren Sie mit einer personalbasierten Identitätsbereitstellung. Erstellen Sie digitale Identitäten basierend auf einem HR-System, der autoritativen Quelle für neue digitale Identitäten. Die Bereitstellung beginnt häufig an diesem Punkt. Verwenden Sie Microsoft Entra mit lokalen HR-Systemen, um Benutzer in Active Directory oder Microsoft Entra ID zu erstellen und zu aktualisieren. Personalbasierte Bereitstellung Microsoft 365 for Enterprise Verwenden Sie die Funktion für mehrmandantenfähige Organisationen in Microsoft Entra ID und Microsoft 365, um eine Mandantengruppe zu bilden und die organisationsinterne mandantenübergreifende Zusammenarbeit zu optimieren. Mehrmandantenfähige Organisationen in Microsoft Entra ID und Microsoft 365 ermöglichen eine einheitliche Erfahrung bei der Personensuche, eine globale Adressliste (GAL) und eine verbesserte Microsoft Teams-Zusammenarbeit in mehreren Mandanten. - Multitenant-Organisationsfunktionen - Multitenant-Organisationen in Microsoft 365 |
1.3 Funktion: Risikobewertungen
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Ursprünglicher Reifegradstatus Das Unternehmen bestimmt das Identitätsrisiko mithilfe manueller Methoden und statischer Regeln, um die Sichtbarkeit zu erhöhen. |
Unternehmen können Sicherheitsereignisse und Konfigurationsgrundlagen manuell überprüfen. Microsoft Entra ID Verwenden Sie die Microsoft Entra-Protokolle, um Aspekte des Microsoft Entra-Mandanten zu bewerten. Die Microsoft Entra-ID verfügt über Optionen für den Zugriff auf Aktivitätsprotokolldaten und -berichte für verschiedene Szenarien. - Streamen von Aktivitätsprotokollen zur Integration von Tools - Aktivitätsprotokolle mit der Microsoft Graph-API - Integrieren von Aktivitätsprotokollen - Echtzeitaktivität mit Sentinel - Aktivitätsprotokolle und Berichte im Azure-Portal - Exportieren von Aktivitätsprotokollen für Speicher und Abfragen Konfigurieren Sie Diagnoseeinstellungen in Microsoft Entra ID, um Protokolle in Azure Monitor zu integrieren. Streamen Sie Protokolle an einen Event Hub, oder archivieren Sie Protokolle in einem Speicherkonto. Diagnoseeinstellungen |
| Fortgeschrittener Reifegrad
Das Unternehmen bestimmt das Identitätsrisiko mithilfe von automatisierten Analysen und dynamischen Regeln, um fundierte Zugriffsentscheidungen zu treffen und Reaktionsmaßnahmen zu ergreifen. | Microsoft Entra ID Protection
Konfigurieren Sie risikobasierte Microsoft Entra-Richtlinien für bedingten Zugriff für Benutzer- und Anmelderisiken. Konfigurieren Sie Richtlinien für bedingten Zugriff mit Reaktionsaktivitäten basierend auf einer Bewertung der Auswirkungen des Benutzers. Blockieren Sie beispielsweise bei hohem Benutzer- und Anmelderisiko den Zugriff, oder konfigurieren Sie eine Sitzungssteuerung für die Anmeldungshäufigkeit. Verwenden Sie Authentifizierungsstärken, die eine PIV-Karte (Personal Identity Verification) oder Phishing-resistente Authentifizierungsmethoden erfordern.
- Microsoft Entra ID Protection
- MFA-Registrierungsrichtlinie
- Sichere Workload-Identitäten
- Risikobasierter bedingter Zugriff
Microsoft Sentinel
Microsoft Entra ID Protection-Warnungen werden automatisch in Microsoft Defender XDR angezeigt. Verbinden Sie Microsoft Defender XDR mit Microsoft Sentinel, um die Sichtbarkeit zu erhöhen, Korrelation mit Nicht-XDR-Daten zu ermöglichen, eine längere Datenaufbewahrung zu erreichen und eine anpassbare Reaktionsautomatisierung zu nutzen.
- Defender XDR
- Verbinden von Defender XDR mit Sentinel
| |Optimaler Reifegrad
Das Unternehmen bestimmt das Identitätsrisiko in Echtzeit basierend auf kontinuierlichen Analysen und dynamischen Regeln, um fortlaufenden Schutz zu bieten. | Bedingter Zugriff
Konfigurieren Sie die App-Steuerung für bedingten Zugriff für Cloud-Apps. Schützen Sie Geräte mit Microsoft Defender for Endpoint, und aktivieren Sie Microsoft Defender for Office 365, um Schutz vor Bedrohungen in E-Mails, Links (URLs), Dateianhängen und Tools für die Zusammenarbeit zu bieten.
- Überwachen des App-Zugriffs mit Defender for Cloud-Apps und Microsoft Entra ID
- Bereitstellen von Defender for Endpoint
- Bereitstellen von Defender for Office 365
Microsoft Purview Insider-Risikomanagement
Konfigurieren Sie das Insider-Risikomanagement, um böswillige oder versehentliche Aktivitäten zu erkennen, zu untersuchen und darauf zu reagieren. Verwenden Sie Insider-Risikorichtlinien, um Risikotypen zu definieren, um Risikotypen zu identifizieren und zu erkennen. Reagieren Sie auf Fälle, oder eskalieren Sie diese bei Bedarf an Microsoft Purview eDiscovery (Premium).
- Microsoft Purview
- Insider-Risikomanagement
- Blockieren des Zugriffs für Benutzer mit Insider-Risiko
Microsoft Defender XDR
Microsoft Defender for Endpoint, Defender for Cloud Apps und Defender for Office erkennen ungewöhnliche Aktivitäten und tragen mit Risikosignalen zur Bewertung von Benutzer- und Anmelderisiken in Microsoft Entra ID Protection bei.
Risikoerkennungen|
1.4 Funktion: Zugriffsverwaltung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegrad Das Unternehmen autorisiert den Zugriff, auch für Anforderungen von privilegiertem Zugriff. Dieser läuft nach einer automatisierten Überprüfung ab. |
Microsoft Entra Conditional Access Konfigurieren Sie Conditional Access, um Richtlinien auf die App-Nutzung anzuwenden. Bedingter Zugriff nimmt Signale aus verschiedenen Quellen entgegen, um den Zugriff zu autorisieren. Bedingter Zugriff Microsoft Entra-Berechtigungsverwaltung Konfigurieren Sie Zugriffspakete in der Berechtigungsverwaltung für Zugriffsanforderungen und Genehmigungsworkflows in Rollen und Gruppen, einschließlich privilegierter Rollen und Gruppen. Konfigurieren Sie eine Automatisierung der Zugriffsüberprüfung, einschließlich des Ablaufens und der Entfernung aus Rollen und Gruppen. - Berechtigungsverwaltung - Berechtigungsverwaltung und Zugriffspakete - Zugriffsüberprüfungen |
| Fortgeschrittener Reifegrad Das Unternehmen autorisiert bedarfs- und sitzungsbasierten Zugriff, auch für Anforderungen von privilegiertem Zugriff. Dieser ist auf die Aktionen und Ressourcen zugeschnitten. |
Bedingter Zugriff Konfigurieren Sie bedingten Zugriff, um den Zugriff, einschließlich des sitzungsbasierten Zugriffs, zu autorisieren. Visieren Sie Ressourcen, Rollen und privilegierte Rollen an. Bedingter Zugriff Microsoft Entra Privileged Identity Manager Konfigurieren Sie PIM, um den Zugriff auf wichtige Ressourcen wie benutzerdefinierte Rollen und Gruppen zu verwalten, zu steuern und zu überwachen. Passen Sie den Zugriff auf bestimmte Aktionen und Ressourcen an. - Privileged Identity Management - Benutzerdefinierte Azure-Rollen in PIM - PIM für Gruppen Microsoft Purview Privileged Access Management Konfigurieren Sie Privileged Access Management für eine präzise Zugriffssteuerung von privilegierten Administratoraufgaben in Office 365. - Privileged Access Management - Erste Schritte mit PAM |
| Optimaler Reifegrad Das Unternehmen verwendet Automatisierung, um Just-in-Time- und Just-Enough-Zugriff zu autorisieren, der auf einzelne Aktionen und Ressourcenanforderungen zugeschnitten ist. |
Microsoft Entra ID Governance Konfigurieren Sie Microsoft Entra ID Governance-Zugriffspakete, um die Autorisierung von Just-in-Time (JIT)- und Just-Enough (JEA)-Zugriff zu automatisieren, der auf einzelne Aktionen und Ressourcenanforderungen zugeschnitten ist. - Berechtigungsverwaltung - Zugangspakete |
1.5 Funktion: Sichtbarkeit und Analyse
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifestatus Enterprise erfasst Benutzer- und Entitätsaktivitätsprotokolle und führt eine manuelle Routineanalyse sowie einige automatisierte Analysen mit eingeschränkter Korrelation zwischen Protokolltypen durch. |
Microsoft Entra ID, Azure Monitor Archivieren Sie Microsoft Entra-Protokolle in einem Speicherkonto, oder integrieren Sie sie in Azure Monitor. Vereinfachen Sie die manuelle Routineanalyse mit der Kusto Data-Bibliothek und vordefinierten Identitätsarbeitsmappen mit Korrelation von Protokolltypen. - Microsoft Entra-Überwachung und -Integrität - Archivieren von Aktivitätsprotokollen in Azure Storage - Integration von Protokollen in Azure Monitor-Protokolle - Aktivitätsprotokolle und Log Analytics - Microsoft Entra Arbeitsmappen |
| Fortgeschrittener Reifegrad Das Unternehmen führt automatisierte Analysen für einige Arten von Benutzer- und Entitätsaktivitätsprotokollen durch und erweitert die Sammlung, um Lücken in der Transparenz zu schließen. |
Microsoft Entra ID, Microsoft Defender XDR, Microsoft Sentinel Integrieren Sie Microsoft Entra Identity-Aktivitätsprotokolle zusammen mit anderen Kategorien von Identitätsprotokollen aus Diagnoseeinstellungen und Defender XDR in eine SIEM-Lösung (Security Information and Event Management) wie Sentinel. - Microsoft Entra-Überwachung und -Integrität - Anmeldeprotokolle in Microsoft Entra ID - Microsoft Sentinel - Verbinden von Microsoft Entra-Daten mit Sentinel - Defender for Identity - Verbinden von Defender XDR-Daten mit Sentinel - Defender for Cloud Apps |
| Optimaler Reifegrad Das Unternehmen sorgt unternehmensübergreifend für umfassende Transparenz und ein Bewusstsein für die Situation, indem automatisierte Analysen von Benutzeraktivitätsprotokollen durchgeführt werden, einschließlich verhaltensbasierter Analysen. |
Microsoft Entra ID-Schutz Aktivieren Sie den Identitätsschutz, um Benutzerverhaltensmuster auf Risiken zu überwachen. Konfigurieren Sie die Erkennung von Insiderrisiken, und integrieren Sie sie in den bedingten Zugriff. - ID Protection - Risikorichtlinien Sentinel, Identity Threat Detection and Response Die Sentinel-Analyseregeln und die in Quasi-Echtzeit erfolgende Ereignisanalyse erfassen und analysieren Microsoft Entra-Protokolle. Ermöglichen Sie eine proaktive Identifizierung von und Reaktion auf Sicherheitsereignisse und Risiken mit erweiterten Analysen, Vorfallverwaltungsworkflows und der Integration von Bedrohungsinformationen. Optimieren Sie die Vorfalluntersuchung und verbessern Sie den Sicherheitsstatus des Unternehmens. - Microsoft Sentinel - Analyseregeln für die Erkennung in Quasi-Echtzeit - Datenconnector für Threat Intelligence - Benutzer- und Entitätsverhalten (User and Entity Behavior, UEBA) |
1.6 Funktion: Automatisierung und Orchestrierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Erste Fälligkeitsstufe Das Unternehmen koordiniert manuell privilegierte und externe Identitäten und automatisiert die Orchestrierung von nicht privilegierten Benutzern und selbstverwalteten Entitäten. |
Microsoft Entra Connect, Microsoft Entra Cloud Sync Mit lokalem Active Directory automatisieren Sie die Orchestrierung von nicht privilegierten Benutzern mit Entra Connect und/oder Entra Cloud Sync. Synchronisieren Sie privilegierte Benutzer nicht aus lokalem Active Directory. Auf dem Weg zur Cloud-orientierten Identität orchestrieren Sie Benutzer ohne Privilegien mit Microsoft Entra HR Provisioning. - Microsoft Entra Connect v2 - Microsoft Entra-Cloudsynchronisierung - Schützen vor Microsoft 365 vor lokalen Angriffen - Cloud HR-App zur Microsoft Entra-Benutzerbereitstellung |
| Fortgeschrittener Reifegrad Das Unternehmen orchestriert privilegierte Benutzeridentitäten manuell und automatisiert die Orchestrierung aller Identitäten mit Integration in alle Umgebungen. |
Microsoft Entra-App-Bereitstellung Mit der Microsoft Entra-App-Bereitstellung automatisieren Sie die Orchestrierung von Identitäten über verschiedene Umgebungen hinweg, z. B. Cloud-Anbieter oder Software as a Service (SaaS)-Apps). - App-Bereitstellung in Microsoft Entra ID - System for Cross-Domain Identity Management (SCIM)-Synchronisierung mit Microsoft Entra ID Microsoft Entra External ID Konfigurieren Sie eine mandantenübergreifende Synchronisierung, um die Orchestrierung von Identitäten über Partnerumgebungen hinweg zu automatisieren. - External ID - Mandantenübergreifende Synchronisierung in Microsoft Entra ID - Konfigurieren von mandantenübergreifender Synchronisierung |
| Optimaler Reifegrad Das Unternehmen automatisiert die Orchestrierung aller Identitäten mit vollständiger Integration über alle Umgebungen hinweg, basierend auf Verhaltensweisen, Registrierungen und Bereitstellungsanforderungen. |
Microsoft Entra ID Governance Bei diesem Reifegrad ist die Identitätsorchestrierung abgeschlossen. Siehe ReifegradFortgeschritten. Die Microsoft Entra-Berechtigungsverwaltung wird implementiert, um den verwalteten Benutzer-, Anwendungs-, Rollen- und Gruppenzugriff zu orchestrieren. Vollständige Identitätsintegration durch Konfigurieren privilegierter Benutzeridentitäten mit Privileged Identity Management (PIM). Verwenden Sie Lebenszyklus-Workflows, um den Wechsel zwischen Eintritts-, Versetzungs- und Austrittsszenarien (Joiner, Mover und Leaver) zu automatisieren. - Berechtigungsverwaltung - Weitere Informationen über PIM - Lebenszyklus-Workflows |
1.7 Funktion: Regierungsführung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegradstatus Das Unternehmen definiert Identitätsrichtlinien und beginnt mit deren Implementierung zur unternehmensweiten Durchsetzung. Dabei wird minimale Automatisierung eingesetzt, und manuelle Updates sind erforderlich. |
Microsoft Entra ID Microsoft Entra ID als Identitätsanbieter (IdP) für neue App-Integrationen verwenden. Migrieren Sie aktuelle Apps zu Microsoft Entra ID. Konfigurieren Sie Microsoft Entra-Richtlinien für bedingten Zugriff, die die Einhaltung unternehmensweiter Anforderungen durchsetzen und als Richtlinienerzwingungspunkt (Policy Enforcement Point, PEP) für den Zugriff auf Anwendungen und Ressourcen dienen sollen. Implementieren Sie die Autorisierung und Rollenzuordnung für aktuelle und zukünftige Apps mithilfe der rollenbasierten Zugriffssteuerung (RBAC), der Zuordnung von Ansprüchen und der ausgehenden Bereitstellung. - Microsoft Entra ID Governance - Bedingter Zugriff |
| Fortgeschrittener Reifegrad Das Unternehmen implementiert Identitätsrichtlinien für die unternehmensweite Durchsetzung mit Automatisierung und aktualisiert diese Richtlinien regelmäßig. |
Bedingter Zugriff Nutzen Sie Bedingten Zugriff für die Erzwingung von Identitätsrichtlinien im gesamten Unternehmen. Überprüfen und implementieren Sie Empfehlungen für Microsoft Entra ID aus dem CISA Secure Cloud Business Applications (SCuBA) Project, und automatisieren Sie die Konfiguration des bedingten Zugriffs mithilfe der APIs. - Bereitstellung für bedingten Zugriff - CISA SCuBA und Microsoft Entra ID - condtionalAccessPolicy-Ressourcentyp |
| Optimaler Reifegradstatus Enterprise implementiert und automatisiert unternehmensweite Identitätsrichtlinien für alle Benutzer und Entitäten in allen Systemen mit durchgängiger Durchsetzung und dynamischen Updates. |
Microsoft Entra-ID Erfordern Sie App-Zugriff für die Nutzung von Microsoft Entra-ID, und erzwingen Sie auf diese Weise eine Evaluierung des bedingten Zugriffs. Verwenden Sie die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) von Microsoft Entra ID für die Erzwingung in Quasi-Echtzeit und den Identitätsschutz. Diese Aktion ermöglicht eine dynamische Anpassung an Umweltrisiken. Um kontinuierliche Auswertung zu gewährleisten, integrieren Sie CAE in benutzerdefinierte Apps und APIs mittels Code. - Fortlaufende Zugriffsevaluierung - APIs mit aktivierter fortlaufender Zugriffsevaluierung in Apps - Microsoft Entra ID Protection Global Secure Access Konfigurieren Sie eine kompatible Netzwerkerzwingung, um das Risiko eines Tokendiebstahls und von Replay-Angriffen zu verringern. Die Erzwingung funktioniert mit Diensten, die die fortlaufende Zugriffsevaluierung unterstützen. Die App weist gestohlene Zugriffstoken, die außerhalb des mandantenkonformen Netzwerks wiedergegeben werden, in Quasi-Echtzeit zurück. - Global Secure Access - Microsoft Entra Internet Access - Konforme Netzwerküberprüfung mit bedingtem Zugriff |
Nächste Schritte
Konfigurieren Sie Microsoft Cloud Services für das CISA Zero Trust Maturity-Modell.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten