DoD Zero Trust-Strategie für die Benutzersäule
Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Einführung
- Benutzer
- Device
- Anwendungen und Workloads
- Daten
- Network
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
1 Benutzer
Dieser Abschnitt enthält Leitfäden und Empfehlungen von Microsoft für DoD Zero Trust-Aktivitäten in der „Benutzer“-Säule. Weitere Informationen finden Sie unter Sichern der Identität mit Zero Trust.
1.1 Benutzerinventar
Microsoft Entra ID ist die erforderliche Identitätsplattform für Microsoft-Clouddienste. Microsoft Entra ID ist ein Identitätsanbieter (IdP) und eine Governance-Plattform zur Unterstützung von Multicloud- und Hybrididentitäten. Sie können die Microsoft Entra ID verwenden, um den Zugriff auf Nicht-Microsoft-Clouds wie Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) und vieles mehr zu steuern. Microsoft Entra ID verwendet Standardidentitätsprotokolle und macht es zu einem geeigneten IdP für Software as a Service (SaaS), moderne Webanwendungen, Desktop- und mobile Apps, und auch ältere lokale Anwendungen.
Verwenden Sie die Microsoft Entra ID, um Benutzer und nicht-menschliche Entitäten (Nonperson Entities, NPE) zu überprüfen, den Zugriff auf Apps und Daten kontinuierlich zu autorisieren, Identitäten und ihre Berechtigungen nach den Prinzipien der geringsten Rechte zu steuern und just-in-time(JIT)-Administration durchzuführen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.1.1 InventarbenutzerDoD-Organisationen richten ein Benutzerinventar bei Bedarf manuell ein, und bereiten sich so in späteren Phasen auf den automatisierten Ansatz vor. Konten, die zentral von einem IdP/ICAM verwaltet werden und sich lokal auf Systemen befinden, werden identifiziert und inventarisiert. Privilegierte Konten werden für zukünftige Überwachungen identifiziert, und sowohl Standard- als auch privilegierte Benutzerkonten, die sich lokal für Anwendungen und Systeme befinden, werden für zukünftige Migration und/oder Außerbetriebnahme identifiziert. Ergebnisse: – Identifizierte verwaltete reguläre Benutzer – Identifizierte verwaltete privilegierte Benutzer – Identifizierte Anwendungen, die ihre eigene Benutzerkontenverwaltung für nicht administrative und administrative Konten verwenden |
Microsoft Entra ID Identifizieren regulärer und privilegierter Benutzer in Ihrer Organisation mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API. Benutzeraktivitäten werden in Microsoft Entra ID-Anmelde- und Überwachungsprotokollen erfasst, die in SIEM-Systeme (Security Information Event Monitoring) wie Microsoft Sentinel integriert werden können. - Einführung von Microsoft Entra ID - Microsoft Graph-API: Benutzer auflisten - Microsoft Entra-Aktivitätsprotokollintegration Microsoft Entra- und Azure-Rollen Privilegierte Benutzer sind Identitäten, die Microsoft Entra-ID-Rollen zugewiesen sind, Azure-Rollen oder Microsoft Entra ID-Sicherheitsgruppen, die privilegierten Zugriff auf Microsoft 365 oder andere Anwendungen gewähren. Es wird empfohlen, nur Cloudbenutzer für privilegierten Zugriff zu verwenden. - integrierte Rollen Microsoft Defender für Cloud-Apps Verwenden von Defender für Cloud-Apps, um nicht genehmigte Apps mithilfe ihres eigenen Identitätsspeichers zu ermitteln. - Entdecken und Verwalten von Schatten-IT Microsoft Defender for Identity Bereitstellen und Konfigurieren von Microsoft Defender for Identity-Sensoren zum Erstellen eines Identitätsobjektbestands für lokale Active Directory Domain Services-Umgebungen. - Übersicht über Microsoft Defender for Identity - Bereitstellen von Microsoft Defender for Identity - Untersuchen von Ressourcen |
1.2 Bedingter Benutzerzugriff
Microsoft Entra ID hilft Ihrer Organisation, bedingten, dynamischen Benutzerzugriff zu implementieren. Features, die diese Funktion unterstützen, sind Microsoft Entra Conditional Access, Microsoft Entra ID Governance, benutzerdefinierte Rollen, dynamische Sicherheitsgruppen, App-Rollen und benutzerdefinierte Sicherheitsattribute.
Bedingter Zugriff ist das Zero Trust-Richtlinienmodul in Echtzeit in Microsoft Entra ID. Richtlinien für bedingten Zugriff verwenden Sicherheitssignale von Benutzer, Gerät, Anwendung, Sitzung, Risiko und mehr, um adaptive dynamische Autorisierung für Ressourcen anzuwenden, die durch Microsoft Entra ID geschützt sind.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.2.1 Implementieren von appbasierten Berechtigungen pro UnternehmenDas DoD-Unternehmen, das mit den Organisationen arbeitet, richtet einen grundlegenden Satz von Benutzerattributen für die Authentifizierung und Autorisierung ein. Diese sind in den Aktivitätsprozess "Enterprise Identity Life Cycle Management Teil 1" für einen vollständigen Enterprise-Standard integriert. Die Unternehmensidentitäts-, Anmeldeinformations- und Zugriffsverwaltungslösung (Identity, Credential, and Access Management, ICAM) ist für Self-Service-Funktionen zum Hinzufügen/Aktualisieren von Attributen innerhalb der Lösung aktiviert. Verbleibende PAM-Aktivitäten (Privileged Access Management) werden vollständig zur PAM-Lösung migriert. Ergebnisse: – Unternehmensrollen/Attribute, die für die Benutzerautorisierung für Anwendungsfunktionen und/oder Daten erforderlich sind, wurden bei Unternehmens-ICAM registriert – DoD Enterprise ICAM verfügt über Self-Service-Attribut/Rollenregistrierungsdienst, mit dem Anwendungsbesitzer Attribute hinzufügen oder vorhandene Unternehmensattribute verwenden können – Privilegierte Aktivitäten werden vollständig zu PAM migriert |
Microsoft Entra Connect Einrichten einer Hybrididentität mit Microsoft Entra Connect zum Auffüllen von Microsoft Entra ID-Mandanten mit Benutzerattributsdaten aus aktuellen Verzeichnissystemen. - Microsoft Entra Connect Microsoft Entra-Anwendungen Integrieren von Anwendungen mit Microsoft Entra ID. Entwerfen Sie Anwendungsautorisierungs- und Berechtigungsmodelle mithilfe von Sicherheitsgruppen und App-Rollen. Um die App-Verwaltung zu delegieren, weisen Sie Besitzern die Verwaltung der App-Konfiguration und die Registrierung und Zuweisung von App-Rollen zu. - Integrieren von Apps in Microsoft Entra ID - Dynamische Sicherheitsgruppen - App-Rollen für Anwendungen Microsoft Entra ID Governance Konfigurieren von Zugriffspaketen in der Berechtigungsverwaltung, damit Benutzer den Zugriff auf Anwendungsrollen oder -gruppen anfordern können. - Steuern des Zugriffs auf Apps - Delegieren der Zugriffspaketgovernance Bedingter Zugriff Konfigurieren von Richtlinien für bedingten Zugriff für die dynamische Autorisierung für Anwendungen und Dienste, die durch die Microsoft Entra-ID geschützt sind. Verwenden Sie in Richtlinien für bedingten Zugriff benutzerdefinierte Sicherheitsattribute und Anwendungsfilter, um die Autorisierung von Sicherheitsattributen zu beschränken, die Anwendungsobjekten wie Vertraulichkeit zugewiesen sind. - Bedingter Zugriff - Benutzerdefinierte Sicherheitsattribute - Filter für Apps Privileged Identity Management Verwenden von PIM Discovery und Insights zum Identifizieren privilegierter Rollen und Gruppen. Verwenden Sie PIM, um ermittelte Berechtigungen zu verwalten und Benutzerzuweisungen von „Permanent“ in „Berechtigt“ zu konvertieren. - PIM Discovery and Insights |
Target 1.2.2 Regelbasierter dynamischer Zugriff Teil 1DoD-Organisationen verwenden die Regeln aus der Aktivität „Periodische Authentifizierung“, um grundlegende Regeln zu erstellen und Berechtigungen dynamisch zu aktivieren und zu deaktivieren. Benutzerkonten mit hohem Risiko nutzen die PAM-Lösung, um mithilfe von Just-In-Time-Zugriff und Just Enough-Administrationsmethoden auf dynamischen privilegierten Zugriff zu wechseln. Ergebnisse: – Zugriff auf Anwendungen oder Dienstfunktionen und/oder Daten sind auf Benutzer mit entsprechenden Unternehmensattributen beschränkt - Alle möglichen Anwendungen verwenden JIT/JEA-Berechtigungen für administrative Benutzer |
Microsoft Entra ID Verwenden Sie Microsoft Entra ID-Autorisierungs- und -Governancefunktionen, um den Anwendungszugriff basierend auf Benutzerattributen, Rollenzuweisungen, Risiken und Sitzungsdetails einzuschränken. Siehe Microsoft-Leitfaden in 1.2.1. Privileged Identity Management Verwenden Sie PIM für Microsoft Entra- und Azure-Rollen. Erweitern Sie PIM auf andere Microsoft Entra ID-Anwendungen mit PIM für Gruppen. - PIM für Microsoft Entra-Rollen - PIM für Azure-Rollen - PIM für Gruppen |
Advanced 1.2.3 Regelbasierter dynamischer Zugriff Teil 2DoD-Organisationen erweitern die Entwicklung von Regeln für dynamische Zugriffsentscheidungen, die Risiken berücksichtigen. Lösungen, die für den dynamischen Zugriff verwendet werden, sind in die säulenübergreifende Machine Learning- und Künstliche Intelligenz-Funktionalität integriert, die das automatisierte Regelmanagement ermöglicht. Ergebnisse: – Komponenten und Dienste nutzen vollständig Regeln, um den dynamischen Zugriff auf Anwendungen und Dienste zu ermöglichen – Technologie, die für regelbasierten dynamischen Zugriff verwendet wird, unterstützt die Integration mit KI/ML-Tools |
Microsoft Entra ID Protection Microsoft Entra ID Protection verwendet ML-Algorithmen (Machine Learning), um Benutzer und Anmelderisiken zu erkennen. Verwenden Sie Risikobedingungen in Richtlinien für bedingten Zugriff für dynamischen Zugriff basierend auf Risikostufe. - Microsoft Entra ID Protection - Risikoerkennungen - Risikobasierte Zugriffsrichtlinien Microsoft Defender XDR Microsoft Defender XDR ist eine erweiterte Erkennungs- und Reaktionslösung (XDR). Stellen Sie Microsoft Defender for Endpoint und Microsoft Defender für Cloud-Apps bereit und konfigurieren Sie Integrationen. - Integrieren von Defender for Endpoint in Defender for Cloud-Apps |
Advanced 1.2.4 Enterprise Governance-Rollen und -Berechtigungen Teil 1DoD-Organisationen verbinden die verbleibenden Benutzer- und Gruppenattribute entsprechend der ICAM-Lösung (Enterprise Identity, Credential und Access Management). Der aktualisierte Attributsatz wird verwendet, um universelle Rollen für Organisationszwecke zu erstellen. Kernfunktionen des IdP-Anbieters (Identity Provider) und ICAM-Lösungen (Identity, Credential und Access Management) werden zu Clouddiensten und/oder Umgebungen migriert und ermöglichen damit eine verbesserte Resilienz und Leistung. Ergebnisse: – Komponentenattribute und Rollendaten-Repository, das mit dem Unternehmens-ICAM verbunden ist – Cloudbasierte Unternehmens-IDP kann von Cloud- und lokalen Anwendungen verwendet werden – Standardisierter Satz von Rollen und Berechtigungen werden erstellt und an Attributen ausgerichtet |
Microsoft Entra ID Microsoft Entra ID ist eine zentral verwaltete Multicloud-Identität, Plattform für Anmeldeinformationen und Zugriffsverwaltung (ICAM) und Identitätsanbieter (IdP). Einrichten einer Hybrididentität mit Microsoft Entra Connect zum Auffüllen von Benutzerdaten im Verzeichnis. - Microsoft Entra ID - Hybrididentität Microsoft Entra-Anwendungen Integrieren von Anwendungen mit Microsoft Entra ID und Verwenden dynamischer Sicherheitsgruppen, Anwendungsrollen und benutzerdefinierter Sicherheitsattribute, um den Zugriff auf Anwendungen zu steuern. - Verwalten von Apps - Steuern des App-Zugriffs Microsoft Entra-Anwendungsproxy So verwenden Sie die Microsoft Entra-ID für Apps, die ältere Authentifizierungsprotokolle verwenden: Bereitstellen und Konfigurieren von Anwendungsproxys oder Integrieren von SHA-Partnerlösungen (Secure Hybrid Access). - SHA: Schützen von älteren Apps |
Advanced 1.2.5 Enterprise Governance-Rollen und -Berechtigungen Teil 2DoD-Organisationen verschieben alle möglichen Funktionen des Identitätsanbieters (IDP) und der ICAM-Lösungen (Identity, Credential and Access Management) in Cloudumgebungen. Lokale Funktionen für Enklave/DDIL-Umgebungen zur Unterstützung getrennter Funktionen. Letztendlich werden diese jedoch von den zentralen ICAM-Lösungen (Identity, Credential and Access Management) verwaltet. Aktualisierte Rollen werden jetzt für die Verwendung vorgeschrieben, und Ausnahmen werden nach einem risikobasierten Ansatz überprüft. Ergebnisse: – Die Meisten Komponenten nutzen Cloud-IdP-Funktionen, wenn möglich, wird lokale IdP außer Betrieb genommen – Berechtigungen und Rollen werden bei der Auswertung von Attributen für die Verwendung vorgeschrieben |
Microsoft Entra-Anwendungen Migrieren moderner Anwendungen von Active Directory-Verbunddiensten (AD FS) zu Microsoft Entra ID und dann zur Außerbetriebnahme der AD FS-Infrastruktur. - Migrieren der App-Authentifizierung von AD FS zu Microsoft Entra ID Microsoft Entra-App-Bereitstellung Verschieben verbleibender ICAM- und Anwendungsbereitstellungsprozesse von lokalen Identitätsverwaltungssystemen zu Microsoft Entra ID. - API-gesteuerte eingehende Bereitstellung - App-Bereitstellung |
1.3 Multi-Faktor-Authentifizierung
Microsoft Entra ID unterstützt zertifikatbasierte Authentifizierung (CBA), einschließlich DoD Common Access Cards (CAC) und Personal Identity Verification (PIV) ohne Verbund mit einem anderen IdP für Cloud- und Hybridbenutzer (synchronisiert). Microsoft Entra ID unterstützt mehrere branchenübliche mehrstufige phishingresistente kennwortlose Authentifizierungsmethoden einschließlich CBA, Windows Hello for Business, FIDO2-Sicherheitsschlüsseln und Passkeys.
Sie können Richtlinien für bedingten Zugriff erstellen, um die Authentifizierungsstärke zu erzwingen und den Zugriff basierend auf Benutzer-, Geräte- und Umgebungsbedingungen, einschließlich Risikostufe, dynamisch zu autorisieren.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.3.1 Organisations-MFA/IDPDoD-Organisationen beschaffen und implementieren eine zentrale IDP-Lösung (Identity Provider) und MFA-Lösung (Multi-Faktor). Die IdP- und MFA-Lösung kann in einer einzigen Anwendung kombiniert oder bei Bedarf getrennt werden, vorausgesetzt, die automatisierte Integration wird von beiden Lösungen unterstützt. Sowohl IdP als auch MFA unterstützen die Integration mit der Enterprise PKI-Funktion und ermöglichen es Schlüsselpaaren, von den vertrauenswürdigen Stammzertifizierungsstellen signiert zu werden. Einsatz-/aufgabenkritische Anwendungen und -Dienste nutzen die IdP- und MFA-Lösung für die Verwaltung von Benutzern und Gruppen. Ergebnisse: – Komponente verwendet IdP mit MFA für kritische Anwendungen/Dienste - Komponenten haben einen Identitätsanbieter (IdP) implementiert, der die mehrstufige DoD-PKI-Authentifizierung ermöglicht - Organisationsstandardisierte PKI für kritische Dienste |
Microsoft Entra-Authentifizierungsmethoden Konfigurieren von Microsoft Entra CBA mithilfe von DoD PKI. Legen Sie die globale Schutzebene auf die einstufige Authentifizierung fest. Erstellen Sie Regeln für jede DoD-Ausgabezertifizierungsstelle oder Richtlinien-OID, um DoD-PKI als mehrstufige Authentifizierungsschutzstufe zu identifizieren. Nach der Konfiguration melden sich Benutzer mit einer DoD CAC bei Microsoft Entra an. - Authentifizierung in Microsoft Entra ID - Microsoft Entra CBA - Konfigurieren von CBA Mehrstufiger Rollout Verwenden eines mehrstufigen Rollouts zum Migrieren der Benutzerauthentifizierung von einem lokalen Verbunddienst zu Microsoft Entra CBA. Siehe Microsoft-Leitfaden 1.2.4. Microsoft Entra-Authentifizierungsstärke Erstellen einer neuen Authentifizierungsstärke namens DoD CAC. Wählen Sie die zertifikatbasierte Authentifizierung (mehrstufig) aus. Konfigurieren Sie erweiterte Optionen, und wählen Sie Zertifikataussteller für DoD PKI aus. - Authentifizierungsstärke - Benutzerdefinierte Authentifizierungsstärken Microsoft Intune Microsoft Entra unterstützt zwei Methoden zum Verwenden von Zertifikaten auf einem mobilen Gerät: abgeleitete Anmeldeinformationen (Gerätezertifikate) und Hardwaresicherheitsschlüssel. Um von DoD PKI abgeleitete Anmeldeinformationen auf verwalteten mobilen Geräten zu verwenden, verwenden Sie Intune, um DISA Purebred bereitzustellen. - Abgeleitete Anmeldeinformationen - CBA auf iOS-Geräten - CBA auf Android-Geräten |
Advanced 1.3.2 Alternative flexible MFA Teil 1Der IDP der DoD-Organisation unterstützt alternative Methoden der Multi-Faktor-Authentifizierung, die den Anforderungen an die Cybersicherheit entsprechen (z. B. FIPS 140-2, FIPS 197 usw.). Alternative Token können für die anwendungsbasierte Authentifizierung verwendet werden. Multi-Faktor-Optionen unterstützen biometrische Funktionen und können mithilfe eines Self-Service-Ansatzes verwaltet werden. Wenn möglich werden mehrstufige Anbieter in Clouddienste verschoben werden, anstatt lokal gehostet zu werden. Ergebnisse: – IdP stellt dem Benutzer alternative Self-Service-Token zur Verfügung – IdP stellt alt-Token-MFA für genehmigte Anwendungen pro Richtlinie bereit |
Microsoft Entra-Authentifizierungsmethoden Konfigurieren von Microsoft Entra-Authentifizierungsmethoden für Benutzer zum Registrieren von Passkeys (FIDO2-Sicherheitsschlüssel). Verwenden Sie optionale Einstellungen, um eine Schlüsseleinschränkungsrichtlinie für Schlüssel zu konfigurieren, die mit FIPS 140-2 kompatibel sind. - Kennwortlose Anmeldung mit Sicherheitsschlüssel - Authentifizierungsmethoden Befristeter Zugriffspass Konfigurieren eines temporären Zugriffspass (TAP), damit Benutzer alternative kennwortlose Authentifikatoren ohne CAC registrieren können. - Konfigurieren von TAP Bedingter Zugriff Erstellen einer Richtlinie für bedingten Zugriff, um Authentifizierungsstärke zu erfordern: DoD CAC für die Registrierung von Sicherheitsinformationen. Die Richtlinie erfordert, dass CAC andere Authentifikatoren wie FIDO2-Sicherheitsschlüssel registriert. - Registrierung von Sicherheitsinformationen Siehe Microsoft-Leitfaden 1.3.1. Windows Hello for Business Windows Hello for Business mit einer PIN oder biometrischen Geste für die Windows-Anmeldung verwenden. Verwenden Sie Geräteverwaltungsrichtlinien für die Windows Hello for Business-Registrierung für von Unternehmen bereitgestellte Windows-Geräte. - Windows Hello for Business |
Advanced 1.3.3 Alternative flexible MFA Teil 2Alternative Token nutzen Benutzeraktivitätsmuster aus säulenübergreifenden Aktivitäten wie „Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) und Benutzer- und Entitäts-Verhaltensanalysen (User & Entity Behavior Analytics, UEBA)“ zur Unterstützung der Zugriffsentscheidungsfindung (z. B. keinen Zugriff gewähren, wenn eine Musterabweichung auftritt). Diese Funktionalität wird auch auf biometrisch aktivierte alternative Token erweitert. Ergebnis: – Implementierte Benutzeraktivitätsmuster |
Microsoft Entra ID Protection Microsoft Entra ID Protection verwendet ML (Machine Learning) und Threat Intelligence, um riskante Benutzer und Anmeldeereignisse zu erkennen. Verwenden Sie die Anmelde- und Benutzerrisikobedingungen, um Richtlinien für bedingten Zugriff auf Risikostufen abzuzielen. Beginnen Sie mit dem grundlegenden Schutz, der MFA für riskante Anmeldungen erfordert. - Microsoft Entra ID Protection - Bereitstellen von Identitätsschutz Bedingter Zugriff Erstellen sie eine Reihe risikobasierter Richtlinien für bedingten Zugriff, die Gewährungs- und Sitzungssteuerelemente verwenden, um einen stärkeren Schutz zu erfordern, wenn das Risiko zunimmt. - Konfigurieren und Aktivieren von Risikorichtlinien - Bedingter Zugriff: Sitzung - Bedingter Zugriff: Gewähren Beispiele für risikobasierte Richtlinien für bedingten Zugriff: Mittleres Anmelderisiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts – Anmeldehäufigkeit: 1 Stunde Hohes Anmelderisiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts – Anmeldehäufigkeit: jedes Mal Benutzer mit hohem Risiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts – Anmeldehäufigkeit: jedes Mal Microsoft Sentinel Konfigurieren einer Sentinel-Analyseregel und eines Playbooks, um einen Vorfall für Entra ID Protection-Warnungen zu erstellen, wenn das Benutzerrisiko hoch ist. - Microsoft Entra ID Protection Connector für Sentinel - User:revokeSignInSessions |
1.4 Verwaltung des privilegierten Zugriffs
Microsoft Entra ID Governance ermöglicht PAM-Features wie Just-In-Time (JIT)-Verwaltung, Berechtigungsverwaltung und regelmäßige Zugriffsüberprüfungen. Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen zu ermitteln, wie Rollen in Ihrer Organisation zugewiesen werden. Verwenden Sie PIM, um permanente Rollenzuweisungen JIT zu konvertieren, Rollenzuweisungs- und Aktivierungsanforderungen anzupassen und auch Zugriffsüberprüfungen zu planen.
Bedingter Zugriff erzwingt die Authentifizierungsstärke, die Risikostufe und das kompatible Privileged Access Workstation-Gerät (PAW) für privilegierten Zugriff. Administrative Aktionen in der Microsoft Entra ID werden in den Microsoft Entra-Überwachungsprotokollen aufgezeichnet.
| DoD-Aktivitätsbeschreibung und Ergebnis | Microsoft-Anleitungen und Empfehlungen |
|---|---|
Target1.4.1 Implementieren des Systems und Migrieren privilegierter Benutzer Teil 1DoD-Organisationen beschaffen und implementieren eine PAM-Lösung (Privileged Access Management), um alle kritischen privilegierten Anwendungsfälle zu unterstützen. Anwendungs-/Dienstintegrationspunkte werden identifiziert, um den Status der Unterstützung für die PAM-Lösung zu ermitteln. Anwendungen/Dienste, die problemlos in PAM-Lösungen integriert werden, werden auf die Verwendung von Lösungen anstatt statischen und direkten privilegierten Berechtigungen umgestellt. Ergebnisse: – PAM-Tools (Privilege Access Management) werden implementiert – Identifizierung von Anwendungen und Geräten, die PAM-Tools unterstützen und nicht unterstützen – Anwendungen, die PAM unterstützen, verwenden jetzt PAM zum Steuern von Notfall-/integrierten Konten |
Privileged Identity Management Stellen Sie PIM bereit, um Microsoft Entra ID und Azure-Rollen zu schützen. Verwenden Sie PIM Discovery und Insights, um privilegierte Rollen und Gruppen zu identifizieren. Verwenden Sie PIM, um ermittelte Berechtigungen zu verwalten und Benutzerzuweisungen von „permanent“ in „berechtigt“ zu konvertieren. - PIM-Übersicht - Ermittlung und Erkenntnisse für Rollen - Azure-Ressourcen Microsoft Intune Stellen Sie von Intune verwaltete PAW für Microsoft Entra, Microsoft 365 und Azure-Verwaltung bereit. - Strategie für den privilegierten Zugriff Bedingter Zugriff Verwenden Sie die Richtlinie für bedingten Zugriff, um kompatible Geräte erforderlich zu machen. Verwenden Sie Gerätefilter in der Vergabesteuerung des bedingten Zugriffs für konforme Geräte, um PAW zu erzwingen. - Filter für Geräte |
Target 1.4.2 Implementieren des Systems und Migrieren privilegierter Benutzer Teil 2DoD-Organisationen nutzen das Inventar der unterstützten und nicht unterstützten Anwendungen/Dienste für die Integration in die PAM-Lösung (Privileged Access Management), um Integrationen zu erweitern. PAM ist in die anspruchsvolleren Anwendungen/Dienste integriert, um die PAM-Lösungsabdeckung zu maximieren. Ausnahmen werden in einem risikobasierten methodenbasierten Ansatz verwaltet, mit dem Ziel der Migration oder der Außerbetriebsetzung von Anwendungen/Diensten, die PAM-Lösungen nicht unterstützen. Ergebnis: – Privilegierte Aktivitäten werden zu PAM migriert, und der Zugriff wird vollständig verwaltet |
Privileged Identity Management Verwenden von Berechtigungszugriffsgruppen und PIM für Gruppen zum Erweitern des Just-in-Time-Zugriffs (Just-in-Time, JIT) über Microsoft Entra ID und Azure hinaus. Verwenden Sie die Sicherheitsgruppen in Microsoft 365, Microsoft Defender XDR, oder Ansprüche, die privilegierten Rollen zugeordnet sind, für Nicht-Microsoft-Anwendungen, die mit Microsoft Entra ID integriert sind. - Rollenzuweisungsfähige Gruppen - Gruppen zu PIM hinzufügen - Benutzer- und Gruppenzuweisungen zu einer App Bedingter Zugriff Verwenden sie geschützte Aktionen, um eine weitere Schutzebene hinzuzufügen, wenn Administratoren Aktionen ausführen, die hoch privilegierte Berechtigungen in Microsoft Entra ID erfordern. Verwalten Sie beispielsweise Richtlinien für bedingten Zugriff und mandantenübergreifende Zugriffseinstellungen. - Geschützte Aktionen Erstellen Sie eine Richtlinie für bedingten Zugriff für Benutzer mit aktiver Microsoft Entra-Rollenmitgliedschaft. Authentifizierungsstärke voraussetzen: phishingresistente MFA und kompatibles Gerät. Verwenden Sie Gerätefilter, um kompatible PAWs zu erfordern. - Vorschreiben der MFA für Administratoren - Filtern nach Geräten |
Advanced 1.4.3 Echtzeitgenehmigungen & JIT-/JEA-Analysen Teil 1Die Identifizierung der erforderlichen Attribute (Benutzer, Gruppen usw.) sind automatisiert und in die PAM-Lösung (Privileged Access Management) integriert. Berechtigungszugriffsanforderungen werden zur PAM-Lösung für automatisierte Genehmigungen und Ablehnungen migriert. Ergebnisse: – Identifizierte Konten, Anwendungen, Geräte und problematische Daten (von größtem Risiko für DoD-Mission) – Verwendung von PAM-Tools, angewendeter JIT/JEA-Zugriff auf Konten mit hohem Risiko – Berechtigungszugriffsanforderungen werden entsprechend automatisiert |
Privileged Identity Management Identifizieren von Rollen mit hohem Risiko in Ihrer Umgebung, z. B. Microsoft Entra-Rollen, Azure-Rollen wie Besitzer und Benutzerzugriffsadministrator, und auch privilegierte Sicherheitsgruppen. - Bewährte Methoden für Rollen - Privilegierte Rollen Konfigurieren Sie PIM-Rolleneinstellungen, um Genehmigungen zu erfordern. - Azure-Ressourcenrolleneinstellungen - Microsoft Entra-Rolleneinstellungen - PIM für Gruppeneinstellungen Microsoft Entra ID Governance Verwenden Sie Zugriffspakete, um Sicherheitsgruppen für die Rollenberechtigung zu verwalten. Dieser Mechanismus verwaltet berechtigte Administratoren; er fügt Self-Service-Anforderungen, Genehmigungen und Zugriffsüberprüfungen für die Rollenberechtigung hinzu. - Berechtigungsverwaltung Erstellen Sie rollenzuweisungsfähige Gruppen für privilegierte Rollen, um Berechtigungsanforderungen und -genehmigungen zu konfigurieren. Erstellen Sie einen Katalog mit dem Namen „Administratoren, die sich für privilegierte Rollen qualifizieren“. Fügen Sie rollenzuweisungsfähige Gruppen als Ressourcen hinzu. - Rollenzuweisungsfähige Gruppen - Erstellen und Verwalten von Ressourcenkatalogen Erstellen von Zugriffspaketen für rollenzuweisungsfähige Gruppen im Katalog „Administratoren, die sich für privilegierte Rollen qualifizieren“. Sie können eine Genehmigung anfordern, wenn Benutzer die Berechtigung in der Berechtigungsverwaltung anfordern, bei der Aktivierung in PIM, oder Sie können bei beidem eine Genehmigung anfordern. - Zugriffspakete |
Advanced 1.4.4 Echtzeitgenehmigungen & JIT-/JEA-Analysen Teil 2DoD-Organisationen integrieren Benutzer- und Entitätsverhaltensanalysen (User & Entity Behavior Analytics, UEBA) und Lösungen für die Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) mit der PAM-Lösung (Privileged Access Management), die Benutzermusteranalysen für die Entscheidungsfindung bereitstellt. Ergebnis: – UEBA oder ähnliches Analysesystem, das in PAM-Tools für JIT/JEA-Kontogenehmigungen integriert ist |
Bedingter Zugriff Definieren Sie einen Authentifizierungskontext für privilegierten Zugriff. Erstellen Sie eine oder mehrere Richtlinien für den bedingten Zugriff, die auf den Authentifizierungskontext für privilegierten Zugriff abzielen. Verwenden Sie Risikobedingungen in der Richtlinie, und wenden Sie Berechtigungs- und Sitzungssteuerelemente für privilegierten Zugriff an. Es wird empfohlen, dass Sie eine Authentifizierungsstärke erfordern: phishingresistente MFA, kompatible Arbeitsstation für privilegierten Zugriff. - Konfigurieren des Authentifizierungskontexts Siehe Microsoft-Leitfaden 1.4.1. Um privilegierten Zugriff zu blockieren, wenn ein hohes Anmelderisiko vorliegt, erstellen Sie weitere Richtlinien für bedingten Zugriff, die den Authentifizierungskontext mit privilegiertem Zugriff mit einer Bedingung für ein hohes Anmelderisiko anvisieren. Wiederholen Sie diesen Schritt mit einer Richtlinie für ein hohes Benutzerrisiko. - Richtlinienbereitstellung Privileged Identity Management Konfigurieren Sie PIM-Rolleneinstellungen, um einen Authentifizierungskontext zu erfordern. Diese Einstellung erzwingt Richtlinien für den bedingten Zugriff für den ausgewählten Authentifizierungskontext bei der Rollenaktivierung. - Authentifizierungskontext erforderlich |
1.5 Identitätsverbund und Benutzerprüfung
Die Microsoft Entra-ID spielt eine Schlüsselrolle bei der Identitätslebenszyklusverwaltung (Identity Lifecycle Management, ILM). Ein Microsoft Entra-Mandant ist ein Hyperscale-Cloudverzeichnisdienst, eine Identitäts-, Anmeldeinformations- und Zugriffsverwaltungslösung (ICAM) und ein Identitätsanbieter (IdP). Er unterstützt die verzeichnisübergreifende Bereitstellung und App-Bereitstellung, um den Lebenszyklus interner Benutzer in Microsoft Entra ID und anderen Apps zu verwalten.
Microsoft Entra ID Governance-Features helfen Ihnen beim Verwalten des Zugriffslebenszyklus für Berechtigungen wie Apps, Microsoft Teams und Sicherheitsgruppenmitgliedschaft. Die Berechtigungsverwaltung kann auch verwendet werden, um das Onboarding und Steuern externer Gäste durchzuführen. Sie können den Zugriff blockieren und Gastbenutzerobjekte entfernen, sobald das letzte Zugriffspaket entfernt wurde. Informationen dazu, wie Ihre Organisation ILM-Funktionen zu Microsoft Entra ID migrieren kann, finden Sie unter Der Weg zur Cloud.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.5.1 Lebenszyklusverwaltung von organisatorischen IdentitätenDoD-Organisationen richten einen Prozess für die Lebenszyklusverwaltung von sowohl privilegierten als auch Standard-Benutzern ein. Der Prozess wird mithilfe des Organisationsidentitätsanbieters (Organizational Identity Provider, IdP) implementiert und wird von der maximalen Anzahl von Benutzern gefolgt. Alle Benutzer, die außerhalb des Standardprozesses fallen, werden durch risikobasierte Ausnahmen genehmigt, die regelmäßig zur Außerbetriebnahme ausgewertet werden. Ergebnis: – Standardisierter Identitätslebenszyklusprozess |
Microsoft Entra ID Standardisieren des Kontolebenszyklus für Identitäten, einschließlich Benutzer, Administratoren, externer Benutzer und Anwendungsidentitäten (Dienstprinzipale). - Identity Lifecycle Management - Identitäts- und Zugriffsverwaltungs-Ops Microsoft Entra ID Governance Regelmäßige Zugriffsüberprüfungen für privilegierte Benutzer und Anwendungen in einem Mandanten einrichten. - Zugriffsüberprüfungen |
Target 1.5.2 Enterprise Identity Life Cycle Management Teil 1Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um die vorhandenen Identitätslebenszyklusprozesse, -richtlinien und -standards zu überprüfen und auszurichten. Ein abgeschlossener vereinbarter Richtlinien- und Supportprozess wird entwickelt und gefolgt von den DoD-Organisationen. DoD-Organisationen implementieren den Enterprise-Lebenszyklusverwaltungsprozess für die maximale Anzahl von Identitäten, Gruppen und Berechtigungen mithilfe der zentralen oder verbündeten Identitätsanbieter (IdP) und der IdAM-Lösungen (Identity & Access Management). Ausnahmen von der Richtlinie werden in einem risikobasierten methodenbasierten Ansatz verwaltet. Ergebnisse: – Automatisierte Identitätslebenszyklusprozesse – Integriert in Enterprise ICAM-Prozess und -Tools |
Microsoft Entra ID Wenn Ihre Organisation Active Directory verwendet, synchronisieren Sie Benutzer mit Microsoft Entra ID mithilfe von Microsoft Entra Connect Sync oder Microsoft Entra Connect Cloud Sync. Hinweis: Synchronisieren Sie keine privilegierten Active Directory-Konten, oder weisen Sie privilegierte Cloudrollen synchronisierten Konten zu. - Verbinden der Synchronisierung - Cloud Sync - Schützen Sie Microsoft 365 vor lokalen Angriffen - Reduzieren des Angriffsflächenbereichs Privileged Identity Management Verwalten des administrativen Zugriffs mit PIM. Richten Sie ein Intervall für die Zugriffsüberprüfung privilegierter Microsoft Entra- und Azure-Rollen ein. - Privilegierte Konten Microsoft Entra-Authentifizierungsmethoden Verwenden Sie cloudbasierte, Phishing-sichere MFA-Methoden. Richten Sie die zertifikatbasierte Microsoft Entra-Authentifizierung (CBA) mit DoD Common Access Cards (CACs) ein, um andere kennwortlose Anmeldeinformationen zu registrieren. Siehe Microsoft-Leitfaden 1.3.2. |
Advanced 1.5.3 Enterprise Identity Life-Cycle Management Teil 2DoD-Organisationen integrieren die kritischen Automatisierungsfunktionen des Identitätsanbieters (IDP) und der ICAM-Lösungen (Identity, Credential and Access Management) nach dem Enterprise-Lebenszyklusverwaltungsprozess weiter, um Unternehmensautomatisierung und -analysen zu ermöglichen. Primäre Prozesse des Identity Lifecycle Management sind in die cloudbasierte Enterprise ICAM-Lösung integriert. Ergebnisse: – Integration mit kritischen IDM/IDP-Funktionen – Primäre ILM-Funktionen sind cloudbasiert |
Microsoft Entra ID Governance Verwenden der Berechtigungsverwaltung und Zugriffsüberprüfungen zum Verwalten der Benutzerzugriffszyklen Ihrer Organisation und externer Gastidentitätszyklen. - Berechtigungsverwaltung - Governance für externen Benutzerzugriff Verwaltete Identitäten Verwenden verwalteter Identitäten für Azure-Ressourcen und des Workload-ID-Partnerverbunds, um das Risiko der Verwaltung von Anwendungsanmeldeinformationen zu verringern. - Verwaltete Identitäten - Workload-Identitätsverbund Anwendungsverwaltungs-Richtlinie Konfigurieren von App-Verwaltungsrichtlinien, um die Anmeldeinformationstypen zu steuern, die Anwendungen in Ihrem Mandanten hinzugefügt wurden. Verwenden Sie die passwordAddition -Einschränkung, um Zertifikatanmeldeinformationen für Anwendungen anzufordern. - API für App-Methoden - Anmeldeinformationen des App-Authentifizierungszertifikats |
Advanced 1.5.4 Enterprise Identity Life-Cycle Management Teil 3DoD-Organisationen integrieren verbleibende Identity Lifecycle Management-Prozesse in die Enterprise Identitäts-, Anmelde- und Zugriffsverwaltungslösung. Integrieren Sie Enklave/DDIL-Umgebungen, während sie weiterhin autorisiert sind, mit dem Enterprise ICAM mithilfe lokaler Connectors in die Cloudumgebung. Ergebnisse: – Alle ILM-Funktionen wurden entsprechend in die Cloud verschoben – Integration mit allen IDM/IDP-Funktionen |
Microsoft Entra-App-Bereitstellung Microsoft Entra-App-Bereitstellung verwenden, um Identitäten mit SCIM-, SQL-, LDAP-, PowerShell- und Webdienstanwendungen zu synchronisieren. Verwenden Sie die API-gesteuerte App, um Benutzer in unterschiedlichen Active Directory-Instanzen bereitzustellen. - Bereitstellen von Apps - Lokale App-Bereitstellung - Konfigurieren API-gesteuerter Bereitstellungs-App |
1.6 Verhaltens-, Kontext-ID und Biometrie
Microsoft Entra ID Protection hilft Ihnen, Identitätsbedrohungen mithilfe von Machine Learning (ML) und Threat Intelligence zu erkennen, zu beheben und zu verhindern. Dieses Feature erkennt Echtzeitrisiken während der Benutzeranmeldung und Offlinerisiken, die im Laufe der Zeit berechnet werden. Zu den Risiken gehören Tokenanomalien, ungewöhnliche Anmeldeeigenschaften, unmögliche Reiseaktivitäten, verdächtiges Benutzerverhalten und vieles mehr.
Der Identitätsschutz ist in Microsoft Defender XDR integriert, um Identitätsrisiken anzuzeigen, die von anderen Komponenten in der Microsoft Defender-Produktfamilie erkannt wurden.
Weitere Informationen finden Sie unter Was sind Risikoerkennungen?
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.6.1 Implementieren von User & Entity Behavior Analytics(UEBA) und UAM-Tools (User & Entity Behavior Analytics). DoD-Organisationen beschaffen und implementieren UEBA- (User & Entity Behavior Analytics) und UAM-Lösungen (User Activity Monitoring). Der anfängliche Integrationspunkt mit Enterprise IdP wird abgeschlossen, und ermöglicht damit den zukünftigen Verbrauch in der Entscheidungsfindung. Ergebnis: – UEBA- und UAM-Funktionalität wird für Enterprise IDP implementiert |
Microsoft Entra ID Protection Bereitstellen von Microsoft Entra ID Protection, um Echtzeit- und Offlinerisikoverwahrungen für Benutzer und Anmeldeereignisse zu erhalten. Erweitern von Identitätsrisikoerkennungen auf Anwendungsidentitäten (Dienstprinzipale) mithilfe der Microsoft Entra Workload ID, Workload Identities Premium Edition. - Sichere Workload-Identitäten - Risikobasierte Richtlinie für Workloadidentitäten Siehe Microsoft-Leitfaden 1.3.3. Microsoft Defender for Cloud Apps Bereitstellen von Defender for Cloud Apps und Konfigurieren von Integrationen mit Microsoft Defender for Endpoint und externen Lösungen. Konfigurieren von Anomalieerkennungsrichtlinien in Defender for Cloud-Apps. - Integrieren von Defender für Endpunkt in Defender for Cloud Apps - Integration externer Lösungen - Erkennen verdächtiger Benutzeraktivitäten mit UEBA Microsoft Defender for Endpoint Integrieren von Endpunkten in Defender for Endpoint. Konfigurieren von Integrationen zwischen Defender for Endpoint und Microsoft Intune. - Defender for Endpoint und andere Lösungen Microsoft Intune Konfigurieren von Integrationen mit Defender for Endpoint und Verwenden der Risikobewertung von Defender for Endpoint-Computern in Ihrer Gerätecompliancerichtlinie. - Defender for Endpoint-Regeln Bedingter Zugriff Erstellen von Richtlinien für bedingten Zugriff, um kompatible Geräte zu erfordern. Bevor der Zugriff gewährt wird, erfordert das Steuerelement ein Gerät, das in Microsoft Intune als kompatibel gekennzeichnet ist. Die Integration zwischen Defender for Endpoint und Intune bietet ein allgemeines Bild von Geräteintegrität und Risikostufe basierend auf dem Compliancestatus. - Compliancerichtlinien zum Festlegen von Regeln für von Intune verwaltete Geräte Microsoft Sentinel Datenquellen mit Sentinel verbinden und UEBA für Überwachungsprotokolle, Anmeldeprotokolle, Azure-Aktivitäten und Sicherheitsereignisse aktivieren. - Aktivieren von UEBA- - Fortgeschrittene Bedrohungen mit UEBA |
Advanced 1.6.2 Benutzeraktivitätsüberwachung Teil 1DoD-Organisationen integrieren User & Entity Behavior Analytics (UEBA) und User Activity Monitoring-Lösungen (UAM) mit IDP (Organizational Identity Providers) zur erweiterten Sichtbarkeit nach Bedarf. Analysen und Daten, die von UEBA und UAM für kritische Anwendungen und Dienste generiert werden, werden in die Just-in-Time- und Just-Enough-Access-Lösung integriert, um die Entscheidungsfindung weiter zu verbessern. Ergebnisse: – UEBA ist in Organisations-IDPs entsprechend integriert – UEBA ist in JIT/JEA für kritische Dienste integriert |
Privileged Identity Management Bereitstellen von PIM und privilegierte Rollen einführen. Definieren Sie einen Authentifizierungskontext für privilegierten Zugriff. Verwenden Sie Risikobedingungen im Authentifizierungskontext, und konfigurieren Sie PIM-Rolleneinstellungen, um bei der Aktivierung einen Authentifizierungskontext zu erfordern. Siehe Microsoft-Leitfaden 1.4.4 .Microsoft Sentinel Datenquellen mit Sentinel verbinden und UEBA für Überwachungsprotokolle, Anmeldeprotokolle, Azure-Aktivitäten und Sicherheitsereignisse aktivieren. - Aktivieren von UEBA - Erweiterten Bedrohungen mit UEBA Microsoft Defender für Cloud-Apps Überwachen und Steuern von Sitzungen für Cloudanwendungen mit Defender für Cloud-Apps. - Schützen von Apps mit App Control - Sitzungsrichtlinien - Untersuchen riskanter Benutzer |
Advanced 1.6.3 Benutzeraktivitätsüberwachung Teil 2DoD-Organisationen setzen die Analysenutzung aus den UEBA- (User & Entity Behavior Analytics) und UAM-Lösungen (User Activity Monitoring) fort, indem generierte Daten für alle überwachten Anwendungen und Dienste verwendet werden, wenn die Entscheidungsfindung in der Just-in-Time- und Just-Enough-Access-Lösung erfolgt. Ergebnis: – UEBA/Entity Monitoring ist in JIT/JEA für alle Dienste integriert |
Privileged Identity Management Verwenden von PIM für Gruppen, um den Just-in-Time-Zugriff (JIT) auf Anwendungen, die App-Rollen verwenden, zu erweitern. Weisen Sie den privilegierten App-Rollen Gruppen zu, die von PIM verwaltet werden. - PIM für Gruppen - Hinzufügen von App-Rollen zu einer App |
1.7 Geringster privilegierter Zugriff
Der Zugriff auf Anwendungen mit Microsoft Entra ID wird standardmäßig verweigert. Microsoft Entra ID Governance-Features wie Berechtigungsverwaltung und Zugriffsüberprüfungen stellen sicher, dass der Zugriff zeitgebunden ist, dem Prinzip der geringsten Berechtigungen entspricht und Kontrollen zur Trennung von Aufgaben erzwingt.
Verwenden Sie integrierte Microsoft Entra-Rollen, um die geringsten Berechtigungen nach Aufgabe zuzuweisen. Mit administrativen Einheiten können Sie ressourcenbasierte Berechtigungen für Microsoft Entra ID-Benutzer und -Geräte festlegen.
| Beschreibung und Ergebnis der DoD-Aktivität | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.7.1 Richtlinie zum standardmäßigen Ablehnen von BenutzernDoD-Organisationen überwachen die interne Benutzer- und Gruppennutzung bzgl. Berechtigungen und widerrufen diese, wenn möglich. Diese Aktivität umfasst den Widerruf und/oder die Außerbetriebnahme übermäßiger Berechtigungen und des Zugriffs für anwendungs-/dienstbasierte Identitäten und Gruppen. Wenn möglich, werden statische privilegierte Benutzer außer Betrieb genommen oder eingeschränkte Berechtigungen für zukünftigen Regel- bzw. dynamischen basierten Zugriff vorbereitet. Ergebnisse: – Anwendungen, die auf die standardmäßige Ablehnung oder auf „Funktionen/Daten erfordern bestimmte Rollen/Attribute für den Zugriff“, aktualisiert wurden – Reduzierte Standardberechtigungsstufen werden implementiert – Anwendungen/Dienste haben alle privilegierten Benutzer überprüft/überwacht und die Benutzer entfernt, die diese Zugriffsebene nicht benötigen |
Microsoft Entra ID Überprüfen und Einschränken von Standardbenutzer- und Gastberechtigungen in Microsoft Entra ID. Beschränken Sie die Benutzerzustimmung auf Anwendungen, und überprüfen Sie die aktuelle Zustimmung in Ihrer Organisation. - Standardbenutzerberechtigungen - Einschränken von Benutzerzustimmungsberechtigungen Microsoft Entra-Anwendungen Zugriff auf Microsoft Entra-Apps wird standardmäßig verweigert. Die Microsoft Entra ID überprüft Berechtigungen und wendet Richtlinien für bedingten Zugriff an, um den Ressourcenzugriff zu autorisieren. - Integrieren von Apps - App-Integration Microsoft Entra ID Governance Verwenden der Funktion für die Berechtigungsverwaltungsidentitätsgovernance zur Verwaltung von Identitäts- und Zugriffszyklen. Suchen Sie automatisierte Zugriffsanforderungsworkflows, Zugriffszuweisungen, Rezensionen und Ablaufsdaten. - Berechtigungsverwaltung - Zugriffsrezensionen Benutzerdefinierte Rollen Verwenden von integrierten Microsoft Entra ID-Rollen für die Ressourcenverwaltung. Wenn Rollen jedoch nicht den Organisationsanforderungen entsprechen oder Sie Berechtigungen für Ihre Administrativen Benutzer minimieren möchten, erstellen Sie eine benutzerdefinierte Rolle. Gewähren Sie benutzerdefinierten Rollen präzise Berechtigungen zum Verwalten von Benutzern, Gruppen, Geräten, Anwendungen und mehr. - Benutzerdefinierte Rollen Administrative Einheiten Eine administrative Einheit ist eine Microsoft Entra-Ressource, die andere Microsoft Entra-Ressourcen enthält, z. B. Benutzer, Gruppen oder Geräte. Verwenden Sie administrative Einheiten, um Berechtigungen an eine Teilmenge von Administratoren zu delegieren, basierend auf der Organisationsstruktur. - administrativen Einheiten - Administrative Einheiten für eingeschränkte Verwaltung - Erstellen oder Löschen administrativer Einheiten Privileged Identity Management Verwenden von PIM Discovery und Insights zum Verwalten von Berechtigungen und reduzieren die Anzahl der Administratoren. Konfigurieren Sie PIM-Warnungen, wenn privilegierte Rollen außerhalb von PIM zugewiesen werden. - Privilegierter Zugriff für Hybrid und Cloud - Sicherheitswarnungen für Microsoft Entra-Rollen - Sicherheitswarnungen für Azure-Rollen Microsoft Defender for Cloud-Apps Erteilte Berechtigungen für Anwendungen überprüfen. Untersuchen Sie riskante OAuth-Anwendungen in Defender for Cloud-Apps. - Berechtigungen überprüfen, die Apps erteilt wurden - Untersuchen riskanter OAuth-Apps Microsoft Sentinel Verwenden von PIM zum Zuweisen von Azure-Rollen für den Sentinel-Zugriff und für regelmäßige Überwachungsabfragen und -aktivitäten. - Überwachungsabfragen und -aktivitäten |
1.8 Kontinuierliche Authentifizierung
Microsoft Entra ID verwendet kurz- und langlebige Token, um Benutzer regelmäßig für Anwendungen und Dienste zu authentifizieren, die Von Microsoft Entra geschützt werden. Microsoft Entra ID verfügt über den Mechanismus zur Kontinuierlichen Zugriffsauswertung (Continuous Access Evaluation, CAE), um das Standardprotokoll zu verbessern. Das Richtlinienmodul reagiert auf Umweltänderungen in nahezu Echtzeit und erzwingt adaptive Zugriffsrichtlinien.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.8.1 Einfache AuthentifizierungDoD-Organisationen verwenden grundlegende Authentifizierungsprozesse, um Benutzer und NPEs mindestens einmal pro Sitzung zu authentifizieren (z. B. bei der Anmeldung). Wichtig ist, dass Benutzer, die authentifiziert werden, von der parallelen Aktivität "Organisations-MFA/IDP" mit dem IdP (Organizational Identity Provider) im Vergleich zur Verwendung von anwendungs-/dienstbasierten Identitäten und Gruppen verwaltet werden. Ergebnis: – Authentifizierung, die pro Sitzung über Anwendungen hinweg implementiert wird |
Microsoft Entra ID Microsoft Entra ID ist ein zentraler Identitätsanbieter (IdP), der einmaliges Anmelden (Single Sign-On, SSO) zwischen Microsoft-Cloudanwendungen und Anwendungen erleichtert, die Ihre Organisation verwendet. - Microsoft Entra ID Einmaliges Anmelden Die SSO-Authentifizierungsmethode (Single Sign-On) ermöglicht Benutzern die Verwendung ihrer Microsoft Entra ID-Anmeldeinformationen zur Authentifizierung von Anwendungen und Diensten. Die Apps können SaaS, benutzerdefinierte Branchenanwendungen oder lokale Anwendungen sein. Verwenden Sie die Microsoft Entra-Authentifizierungs- und Zero Trust-Funktionen, um einen sicheren und einfachen Zugriff auf Anwendungen zu ermöglichen. - Was ist SSO? - Microsoft Entra-Integrationen mit Authentifizierungsprotokollen Microsoft Entra-App-Bereitstellung Microsoft Entra-App-Bereitstellung erstellt, aktualisiert und entfernt Benutzer, Rollen und Gruppen in SaaS-Anwendungen sowie benutzerdefinierte oder lokale Anwendungen. Verwenden Sie Microsoft Entra ID als zentrale Identitätsquelle für Apps. Minimieren Sie Anwendungs- oder Dienstidentitäten und Benutzer. - Automatisierte Bereitstellung - App-Bereitstellung Microsoft Entra ID Workload Dienstprinzipale und verwaltete Identitäten sind nicht-menschliche Identitäten (Nonperson Entity, NPE) in Microsoft Entra. Verwenden Sie Dienstprinzipale für den automatisierten (nicht interaktiven) Zugriff auf APIs, die von Microsoft Entra geschützt sind. - Workloadidentitäten - Dienstprinzipale in Microsoft Entra ID |
Target 1.8.2 Regelmäßige AuthentifizierungDoD-Organisationen ermöglichen die Anforderungen für die regelmäßige Authentifizierung für Anwendungen und Dienste. Diese basieren traditionell auf der Dauer und/oder einem Timeout der Dauer, aber andere zeitraumbasierte Analysen können verwendet werden, um die erneute Authentifizierung von Benutzersitzungen zu beauftragen. Ergebnis: – Authentifizierung, die pro Sitzung mehrmals basierend auf Sicherheitsattributen implementiert wurde |
Microsoft Entra-Anwendungen Microsoft Entra-Anwendungen verwalten die Sitzungsaktualisierung automatisch ohne Benutzerinteraktion. Siehe Microsoft-Leitfaden 1.8.1. Bedingter Zugriff Konfigurieren der Anmeldehäufigkeit Sitzungssteuerung im bedingten Zugriff, um Benutzersitzungen erneut zu authentifizieren. Verwenden Sie das Feature, wenn Anmeldungen riskant sind oder ein Benutzergerät nicht verwaltet oder nicht konform ist. - Konfigurieren der Authentifizierungssitzungsverwaltung - Zugriffsrichtlinien in Defender for Cloud Apps |
Advanced 1.8.3 Fortlaufende Authentifizierung Teil 1Anwendungen/Dienste von DoD-Organisationen nutzen mehrere Sitzungsauthentifizierungen basierend auf Sicherheitsattributen und angeforderten Zugriffen. Berechtigungsänderungen und zugeordnete Transaktionsanforderungen erfordern zusätzliche Authentifizierungsebenen wie Pushes der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) an Benutzer. Ergebnis: – Transaktionsauthentifizierung pro Sitzung basierend auf Sicherheitsattributen implementiert |
Kontinuierliche Zugriffsauswertung CAE basiert auf einem OpenID-Standard, der zeitbasierte Tokenablauf- und Aktualisierungsmechanismen verbessert, um eine rechtzeitigere Reaktion auf Richtlinienverstöße zu erzielen. CAE erfordert ein neues Zugriffstoken als Reaktion auf kritische Ereignisse, z. B. einen Benutzer, der von einem vertrauenswürdigen Netzwerkspeicherort zu einem Gerät wechselt, das nicht vertrauenswürdig ist. Implementieren Sie CAE mit Clientanwendungen und die Back-End-Dienst-APIs. - Kontinuierliche Zugriffsauswertung - Kritische Ereignisauswertungen Microsoft Office-Anwendungen, die Microsoft Graph-API, Outlook Online-API und SharePoint Online-API verwenden, unterstützen CAE. Entwickeln Sie Anwendungen mit den neuesten Microsoft-Authentifizierungsbibliotheken (Microsoft Authentication Libraries, MSAL), um auf CAE-fähige APIs zuzugreifen. - CAE für Microsoft 365 - CAE-aktivierte APIs in Apps Bedingter Zugriff Definieren und Verwenden des Authentifizierungskontexts für bedingten Zugriff zum Schutz vertraulicher SharePoint-Websites, Microsoft Teams, Microsoft Defender for Cloud-Apps geschützte Anwendungen, PIM-Rollenaktivierung und benutzerdefinierte Anwendungen. - Authentifizierungskontext - Richtlinie für SharePoint-Websites und OneDrive - Sitzungsrichtlinien in Defender für Cloud Apps - Authentifizierungskontext für PIM-Rollen - Authentifizierungskontextleitfaden Verwenden von geschützten Aktionen zum Hinzufügen einer weiteren Schutzebene, wenn Administratoren Aktionen ausführen, die hoch privilegierte Berechtigungen in Microsoft Entra ID erfordern, z. B. Verwalten von Richtlinien für bedingten Zugriff und mandantenübergreifenden Zugriffseinstellungen. Schützen Sie Benutzeraktionen wie das Registrieren von Sicherheitsinformationen und das Verknüpfen von Geräten. - Geschützten Aktionen - Zielressource Privileged Identity Management Erfordern des Authentifizierungskontexts für die PIM-Rollenaktivierung. Siehe Microsoft-Leitfaden 1.4.4. |
Advanced1.8.4 Fortlaufende Authentifizierung Teil 2DoD-Organisationen verwenden weiterhin transaktionsbasierte Authentifizierung, um Integration wie Benutzermuster einzuschließen. Ergebnis: – Transaktionsauthentifizierung pro Sitzung basierend auf Sicherheitsattributen, inklusive Benutzermustern, implementiert |
Microsoft Entra ID Protection Wenn Microsoft Entra ID Protection Anomalien, verdächtiges oder riskantes Verhalten erkennt, erhöht sich das Risikoniveau des Benutzers. Erstellen Sie Richtlinien für bedingten Zugriff mithilfe von Risikobedingungen, wodurch der Schutz mit Risikostufe erhöht wird. - Risikoerkennungen Siehe Microsoft-Leitfaden 1.3.3. Kontinuierliche Zugriffsauswertung Die Erhöhung des Risikoniveaus ist ein kritisches CAE-Ereignis. Dienste, die CAE implementieren, z. B. Exchange Online-API, erfordern den Client (Outlook), um sich für die nächste Transaktion erneut zu authentifizieren. Richtlinien für bedingten Zugriff für die erhöhte Risikostufe sind erfüllt, bevor Microsoft Entra ID ein neues Zugriffstoken für den Exchange Online-Zugriff ausgibt. - Kritische Ereignisauswertung |
1.9 Integrierte ICAM-Plattform
Microsoft Entra ID unterstützt die Zertifikatauthentifizierung mit Zertifikaten, die von einer externen Public Key-Infrastruktur (PKI) für Benutzer- und nicht-menschliche Entitäten (Nonperson Entities, NPE) ausgestellt wurden. NPEs in Microsoft Entra ID sind Anwendungs- und Geräteidentitäten. Mandantenübergreifende Zugriffseinstellungen von Microsoft Entra External ID helfen Multi-Mandantenorganisationen wie DoD bei der nahtlosen Zusammenarbeit in verschiedenen Mandanten.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
Target 1.9.1 Enterprise PKI/IDP Teil 1Das DoD Unternehmen arbeitet mit Organisationen zusammen, um Lösungen für Enterprise Public Key-Infrastruktur (PKI) und Identitätsanbieter (IDP) zentral und/oder verbundweise zu implementieren. Die Enterprise-PKI-Lösung verwendet eine einzelne oder eine Gruppe von Stammzertifizierungsstellen auf Unternehmensebene, die dann von Organisationen als vertrauenswürdig eingestuft werden können, um zwischengeschaltete Zertifizierungsstellen zu erstellen. Die Identitätsanbieterlösung kann entweder eine einzelne Lösung oder ein Verbundsatz von Organisations-IdPs mit Standardzugriffsebene für Organisationen und standardisierte Gruppen von Attributen sein. Organisations-IdPs und PKI-Zertifizierungsstellen sind in die Enterprise IdP- und PKI-Lösungen integriert. Ergebnisse: – Komponenten verwenden IdP mit MFA für alle Anwendungen/Dienste – Organisations-MFA/PKI integriert in Enterprise MFA/PKI – Organisationsstandard PKI für alle Dienste |
Microsoft Entra ID-Authentifizierungsmethoden Verwenden der Authentifizierungsmethodenrichtlinie in Microsoft Entra ID zum Steuern von Benutzerauthentifizierungsmethoden. - Microsoft Entra CBA Siehe Microsoft-Leitfaden 1.3.1. Authentifizierungsstärke Verwenden Sie die Authentifizierungsstärke, um den Benutzerzugriff auf Ressourcen zu steuern. - Authentifizierungsstärke Microsoft Entra External ID Konfigurieren des mandantenübergreifenden Zugriffs für DoD Microsoft Entra ID-Mandanten. Verwenden Sie Vertrauenseinstellungen, um MFA- und kompatible Geräteansprüche für externe Identitäten von vertrauenswürdigen DoD-Mandanten zu akzeptieren. - Mandantenübergreifender Zugriff Anwendungsverwaltungsrichtlinie Die Mandanten-App-Verwaltungsrichtlinie ist ein Framework zur Implementierung bewährter Sicherheitsmethoden für Anwendungen im Mandanten. Verwenden Sie die Richtlinie, um Anwendungsanmeldeinformationen auf Zertifikate zu beschränken, die von einer vertrauenswürdigen PKI ausgestellt wurden. Um eine Zertifikatkette mit Vertrauensstellung zu erstellen, fügen Sie eine neue Zertifizierungsstellen-Sammlung (Certificate Authority, CA) zu Zwischen- und Stammzertifizierungsstellenzertifikaten für Ihre Unternehmens-PKI hinzu. - certificateBasedApplicationConfiguration-Ressourcentyp Um eine Anwendungsverwaltungsrichtlinie zu erstellen, um von vertrauenswürdigen Zertifizierungsstellen ausgestellte Zertifikate zu erfordern, konfigurieren Sie Einschränkungen, um passwordAddition zu verbieten und trustedCertificateauthority zu erfordern. Geben Sie die vertrauenswürdige CA Collection-ID an, die Sie erstellt haben. - API-Authentifizierungsmethoden der App Microsoft Intune Intune unterstützt private und öffentliche PKCS-Zertifikate (Public Key Cryptography Standards). - PKCS-Zertifikate |
Advanced 1.9.2 Enterprise PKI/IDP Teil 2DoD-Organisationen ermöglichen ggf. die biometrische Unterstützung im Identitätsanbieter (IDP) für aufgabenkritische Anwendungen und Dienste. Biometrische Funktionen werden von Organisationslösungen in das Unternehmen verschoben. MFA (Organizational Multi-Factor) auf Unternehmensebene und Public Key Infrastructure (PKI) werden außer Betrieb genommen und nach Bedarf in das Unternehmen migriert. Ergebnisse: – Kritische Unternehmensdienste integriert mit Biometrie – Außerbetriebnahme organisatorischer MFA/PKI wo angemessen anstelle von MFA/PKI des Unternehmens – Implementierte biometrische Unternehmensfunktionen |
Microsoft Entra ID Microsoft unterstützt biometrische Daten in mehreren Komponenten, die mit der Microsoft Entra ID-Authentifizierung kompatibel sind. Authentifizierungsmethoden Microsoft Entra ID unterstützt Hardwarepasskeys (FIDO2-Sicherheitsschlüssel), die Anwesenheit oder Fingerabdruck verwenden. - FIDO-Sicherheitsschlüssel Windows Hello for Business Windows Hello for Business verwendet biometrische Gesten wie Fingerabdruck und Gesichtserkennung. - Identitätsschutzprofileinstellungen MacOS MacOS-Geräte verfügen über Biometrie, z. B. Touch-ID, um sich mit gerätegebundenen Anmeldeinformation anzumelden. - SSO-Plug-In für Apple-Geräte Microsoft Authenticator Mobile Geräte und Authenticator verwenden Berührung und Gesichtserkennung für die kennwortlose Authentifizierung. Die Passkey-Unterstützung ist eine weitere phishingresistente Authentifizierungsmethode in Authenticator. - Authenticator - Kennwortlose Anmeldung - Erweiterte phishingresistente Authentifizierung |
Advanced 1.9.3 Enterprise PKI/IDP Pt3DoD-Organisationen integrieren biometrische Funktionen in die verbleibenden Anwendungen/Dienste. Alternative Multi-Factor (MFA)-Token können verwendet werden. Ergebnis: - Alle organisatorischen Dienste werden in die Biometrie integriert |
Microsoft Entra Verified ID Dezentrale Identitätsszenarien, die Verified ID verwenden, können eine Gesichtsverifizierung bei der Vorlage des Ausweises erfordern. - Verfied ID - Gesichtsüberprüfung |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie: