Voraussetzungen für die Implementierung von Zero-Trust-Identitäts- und Gerätezugriffsrichtlinien
In diesem Artikel werden die Voraussetzungen beschrieben, die Administratoren erfüllen müssen, um empfohlene Zero-Trust-Identitäts- und Gerätezugriffsrichtlinien zu verwenden und bedingten Zugriff zu verwenden. Außerdem werden die empfohlenen Standardwerte für die Konfiguration von Clientplattformen für die beste SSO-Erfahrung (Single Sign-On, Einmaliges Anmelden) erläutert.
Voraussetzungen
Bevor Sie die empfohlenen Zero-Trust-Identitäts- und Gerätezugriffsrichtlinien verwenden, muss Ihre Organisation die Voraussetzungen erfüllen. Die Anforderungen sind für die verschiedenen Identitäts- und Authentifizierungsmodelle unterschiedlich:
- Rein cloudbasiert
- Hybrid mit PHS-Authentifizierung (Password Hash Sync, Kennworthashsynchronisierung)
- Hybrid mit Passthrough-Authentifizierung (PTA)
- Im Verbund
In der folgenden Tabelle sind die erforderlichen Features und ihre Konfiguration aufgeführt, die für alle Identitätsmodelle gelten, es sei denn, etwas anderes ist angegeben.
| Konfiguration | Ausnahmen | Lizenzierung |
|---|---|---|
| Konfigurieren von PHS: Dieses Feature muss aktiviert sein, um freigegebene Anmeldeinformationen zu erkennen und für risikobasierten bedingten Zugriff auf sie zu reagieren. Beachten Sie, dass dies unabhängig davon erforderlich ist, ob Ihre Organisation die Verbundauthentifizierung verwendet. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Aktivieren Sie nahtloses einmaliges Anmelden, um Benutzer automatisch anzumelden, wenn sie Organisationsgeräte verwenden, die mit Ihrem Organisationsnetzwerk verbunden sind. | Nur Cloud und Verbund | Microsoft 365 E3 oder E5 |
| Konfigurieren benannter Standorte: Microsoft Entra ID Protection sammelt und analysiert alle verfügbaren Sitzungsdaten, um eine Risikobewertung zu generieren. Es wird empfohlen, die öffentlichen IP-Bereiche Ihrer Organisation für Ihr Netzwerk in der Konfiguration mit den benannten Standorten von Microsoft Entra ID anzugeben. Datenverkehr aus diesen Bereichen erhält eine niedrigere Risikobewertung, und Datenverkehr von außerhalb der Organisationsumgebung erhält eine höhere Risikobewertung. | Microsoft 365 E3 oder E5 | |
| Registrieren aller Benutzer für die Self-Service-Kennwortzurücksetzung (SSPR) und die Multi-Faktor-Authentifizierung (MFA): Es wird empfohlen, Benutzer vorab für die Multi-Faktor-Authentifizierung von Microsoft Entra zu registrieren. Microsoft Entra ID Protection verwendet die Multi-Faktor-Authentifizierung von Microsoft Entra, um zusätzliche Sicherheitsüberprüfungen durchzuführen. Darüber hinaus empfehlen wir Benutzern, die Microsoft Authenticator-App und die Microsoft-Unternehmensportal-App auf ihren Geräten zu installieren. Diese können über den App Store für die jeweilige Plattform installiert werden. | Microsoft 365 E3 oder E5 | |
| Planen Ihrer Microsoft Entra-Hybridbeitritt-Implementierung: Der bedingte Zugriff stellt sicher, dass Geräte, die eine Verbindung mit Apps herstellen, in die Domäne eingebunden oder kompatibel sind. Um dies für Windows-Computer zu unterstützen, muss das Gerät bei Microsoft Entra ID registriert sein. In diesem Artikel wird das Konfigurieren der automatischen Geräteregistrierung erläutert. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Vorbereiten Ihres Supportteams. Treffen Sie Vorkehrungen für Benutzer, die keine MFA ausführen können. Sie können sie zu diesem Zweck einer Richtlinienausschlussgruppe hinzufügen oder neue MFA-Informationen für sie registrieren. Bevor Sie eine dieser sicherheitsrelevanten Änderungen vornehmen, müssen Sie sicherstellen, dass der tatsächliche Benutzer die Anforderung stellt. Dabei ist es hilfreich, von den Vorgesetzten der Benutzer die Unterstützung bei der Genehmigung anzufordern. | Microsoft 365 E3 oder E5 | |
| Konfigurieren Sie das Rückschreiben von Kennwörtern in das lokale AD. Durch das Kennwortrückschreiben ermöglicht Microsoft Entra ID, dass Benutzer ihre lokalen Kennwörter ändern müssen, wenn eine Kompromittierung mit hohem Risiko erkannt wird. Sie können dieses Feature mithilfe von Microsoft Entra Connect auf eine von zwei Arten aktivieren: Aktivieren Sie Kennwortrückschreiben auf dem Bildschirm „Optionale Features“ des Microsoft Entra Connect-Setups oder über Windows PowerShell. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Bereitstellen des Microsoft Entra-Kennwortschutzes: Der Microsoft Entra-Kennwortschutz erkennt und blockiert bekannte unsichere Kennwörter und deren Varianten und kann außerdem unsichere Ausdrücke blockieren, die spezifisch für Ihre Organisation sind. Die Standardliste mit global gesperrten Kennwörtern wird automatisch auf alle Benutzer in einem Microsoft Entra-Mandanten angewendet. Sie können zusätzliche Einträge in einer Liste benutzerdefinierter gesperrter Kennwörter definieren. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese anhand dieser Listen mit gesperrten Kennwörtern überprüft, um die Nutzung von sicheren Kennwörtern zu erzwingen. | Microsoft 365 E3 oder E5 | |
| Aktivieren von Microsoft Entra ID Protection: Mit Microsoft Entra ID Protection können Sie potenzielle Sicherheitslücken erkennen, die Auswirkungen auf die Identitäten Ihres Unternehmens haben und automatische Korrekturrichtlinien für bedingten Zugriff bei geringem, mittlerem und hohem Anmelde- und Benutzerrisiko konfigurieren. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit | |
| Aktivieren Sie die moderne Authentifizierung für Exchange Online und für Skype for Business Online. Die moderne Authentifizierung ist eine Voraussetzung für die Verwendung von MFA. Die moderne Authentifizierung ist standardmäßig für Office 2016- und 2019-Clients, SharePoint und OneDrive for Business aktiviert. | Microsoft 365 E3 oder E5 | |
| Aktivieren Sie die fortlaufende Zugriffsevaluierung für Microsoft Entra ID. Die fortlaufende Zugriffsevaluierung beendet proaktiv aktive Benutzersitzungen und erzwingt Mandantenrichtlinienänderungen in Quasi-Echtzeit. | Microsoft 365 E3 oder E5 |
Empfohlene Clientkonfigurationen
In diesem Abschnitt werden die empfohlenen Standardplattform-Clientkonfigurationen beschrieben, die Ihren Benutzern eine optimale SSO-Erfahrung bieten, sowie die technischen Voraussetzungen für bedingten Zugriff erläutert.
Windows-Geräte
Es wird Windows 11 oder Windows 10 (Version 2004 oder höher) empfohlen, da Azure für lokale Umgebungen und Microsoft Entra ID eine besonders nahtlose SSO-Erfahrung bietet. Vom Arbeitgeber oder der Bildungseinrichtung ausgegebene Geräte sollten für den direkten Beitritt zu Microsoft Entra ID konfiguriert werden. Wenn die Organisation den Beitritt zu einer lokalen AD-Domäne verwendet, sollten diese Geräte für die automatische und unbeaufsichtigte Registrierung bei Microsoft Entra ID konfiguriert werden.
Für BYOD-Windows-Geräte können Benutzer die Option Geschäfts-, Schul- oder Unikonto hinzufügen verwenden. Beachten Sie, dass Benutzer des Google Chrome-Browsers auf Windows 11- oder Windows 10-Geräten eine Erweiterung installieren müssen, um die gleiche reibungslose Anmeldung wie Microsoft Edge-Benutzer nutzen zu können. Wenn Ihre Organisation über Windows 8 oder Windows 8.1-Geräte verfügt, die Mitglied einer Domäne sind, können Sie für Computer mit früheren Versionen als Windows 10 „Microsoft Workplace Join“ installieren. Laden Sie das Paket herunter, um Geräte bei Microsoft Entra ID zu registrieren.
iOS-Geräte
Wir empfehlen, die Microsoft Authenticator-App auf den Geräten der Benutzer zu installieren, bevor Sie Richtlinien für bedingten Zugriff oder MFA-Richtlinien bereitstellen. Die App sollte unbedingt installiert werden, wenn Benutzer aufgefordert werden, ihr Gerät bei Microsoft Entra ID zu registrieren, indem sie ein Geschäfts-, Schul- oder Unikonto hinzufügen, oder wenn sie die Intune-Unternehmensportal-App installieren, um ihr Gerät bei der Verwaltung zu registrieren. Dies hängt von der Konfiguration der Richtlinie für bedingten Zugriff auf.
Android-Geräte
Es wird empfohlen, dass Benutzer die Intune-Unternehmensportal-App und die Microsoft Authenticator-App installieren, bevor Richtlinien für bedingten Zugriff bereitgestellt werden oder wenn diese für bestimmte Authentifizierungsversuche erforderlich sind. Nach der Installation der App werden die Benutzer möglicherweise aufgefordert, sich bei Microsoft Entra ID zu registrieren oder ihr Gerät bei Intune zu registrieren. Dies hängt von der Konfiguration der Richtlinie für bedingten Zugriff auf.
Es wird außerdem empfohlen, organisationseigene Geräte im Hinblick auf OEMs und Versionen zu standardisieren, die Android for Work oder Samsung Knox unterstützen, damit E-Mail-Konten mit der Intune-MDM-Richtlinie verwaltet und geschützt werden können.
Empfohlene E-Mail-Clients
Die folgenden E-Mail-Clients unterstützen moderne Authentifizierung und bedingten Zugriff.
| Plattform | Client | Version/Hinweise |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook für iOS | Neueste |
| Android | Outlook für Android | Neueste |
| macOS | Outlook | 2019 und 2016 |
| Linux | Nicht unterstützt |
Empfohlene Clientplattformen beim Schützen von Dokumenten
Die folgenden Clients werden empfohlen, wenn eine Richtlinie für sichere Dokumente angewendet wurde.
| Plattform | Word/Excel/PowerPoint | OneNote | OneDrive-App | SharePoint-App | OneDrive-Synchronisierungsclient |
|---|---|---|---|---|---|
| Windows 11 oder Windows 10 | Unterstützt | Unterstützt | – | – | Unterstützt |
| Windows 8.1 | Unterstützt | Unterstützt | – | – | Unterstützt |
| Android | Unterstützt | Unterstützt | Unterstützt | Unterstützt | N/V |
| iOS | Unterstützt | Unterstützt | Unterstützt | Unterstützt | N/V |
| macOS | Unterstützt | Unterstützt | – | NICHT ZUTREFFEND | Nicht unterstützt |
| Linux | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
Microsoft 365-Clientunterstützung
Weitere Informationen zur Clientunterstützung in Microsoft 365 finden Sie in den folgenden Artikeln:
- Microsoft 365-Client-App-Unterstützung – bedingter Zugriff
- Microsoft 365-Client-App-Unterstützung – Multi-Faktor-Authentifizierung
Schützen von Administratorkonten
Für Microsoft 365 E3 oder E5 oder mit separaten Microsoft Entra ID P1- oder P2-Lizenzen können Sie MFA für Administratorkonten mit einer manuell erstellten Richtlinie für bedingten Zugriff erzwingen. Weitere Informationen finden Sie unter Bedingter Zugriff: Erzwingen von MFA für Administratoren.
Für Editionen von Microsoft 365 oder Office 365, die den bedingten Zugriff nicht unterstützen, können Sie Sicherheitsstandards aktivieren, um MFA für alle Konten zu erzwingen.
Hier sind einige zusätzliche Empfehlungen:
- Verwenden Sie Microsoft Entra Privileged Identity Management, um die Anzahl der permanenten Administratorkonten zu verringern.
- Verwenden Sie Privileged Access Management, um Ihre Organisation vor Sicherheitsverletzungen zu schützen, die vorhandene privilegierte Administratorkonten mit permanentem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verwenden können.
- Erstellen und verwenden Sie separate Konten, denen Microsoft 365-Administratorrollen zugewiesen sind, die nur für die Verwaltung vorgesehen sind. Administratoren sollten über ein eigenes Benutzerkonto für nicht administrative Tätigkeiten verfügen und nur ein Administratorkonto verwenden, wenn es erforderlich ist, um eine Aufgabe zu erledigen, die ihrer Rolle oder Jobfunktion zugeordnet ist.
- Befolgen Sie die Best Practices zum Schützen privilegierter Konten in Microsoft Entra ID.
Nächster Schritt
Konfigurieren der allgemeinen Zero-Trust-Identitäts- und Zugriffsrichtlinien für bedingten Zugriff