Erläutern der Grundlagen von Identity Protection
Identity Protection ist ein Dienst, mit dem Organisationen den Sicherheitsstatus jedes beliebigen Kontos anzeigen können. Organisationen können drei wichtige Aufgaben erfüllen:
- Automatisieren der Erkennung und Behandlung identitätsbasierter Risiken
- Untersuchen von Risiken unter Verwendung von Daten im Portal
- Exportieren von Risikoerkennungsdaten in Hilfsprogramme von Drittanbietern zur weiteren Analyse
Denken Sie immer daran, dass Microsoft Entra ID Protection, eine Microsoft Entra ID Premium P2-Lizenz erfordert, um zu funktionieren. Die Lizenzierung wird in einer späteren Einheit ausführlicher behandelt.
Identity Protection nutzt das Wissen, das Microsoft dank seiner Position in Organisationen (Microsoft Entra ID), im Verbraucherbereich (Microsoft-Konten) und im Spielebereich (Xbox) gewonnen hat, um Ihre Benutzer*innen zu schützen. Microsoft analysiert 6,5 Billionen Signale pro Tag, um Bedrohungen zu erkennen und Kunden vor Bedrohungen zu schützen.
Die Signale, die von Identity Protection generiert und Identity Protection zugeführt werden, können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen. Darüber hinaus können die Signale zur weiteren Untersuchung auf der Grundlage der erzwungenen Richtlinien Ihrer Organisation an ein SIEM-Tool (Security Information & Event Management) übergeben werden.
Risikoerkennung und -behandlung
Identity Protection identifiziert Risiken in folgenden Klassifizierungen:
| Risikoerkennungstyp | Beschreibung |
|---|---|
| Anonyme IP-Adresse | Anmeldung von einer anonymen IP-Adresse (z.B. Tor-Browser, anonymisierte VPNs) |
| Ungewöhnlicher Ortswechsel | Anmeldung von einem ungewöhnlichen Standort aus (basierend auf den letzten Anmeldevorgängen des Benutzers). |
| Mit Schadsoftware verknüpfte IP-Adresse | Anmeldung von einer mit Schadsoftware verknüpften IP-Adresse |
| Ungewöhnliche Anmeldeeigenschaften | Anmeldung mit Eigenschaften, die für den angegebenen Benutzer in letzter Zeit nicht verwendet wurden |
| Kompromittierte Anmeldeinformationen | Gibt an, dass die gültigen Anmeldeinformationen des Benutzers kompromittiert wurden. |
| Kennwortspray | Gibt an, dass für mehrere Benutzernamen unter Verwendung gängiger Kennwörter koordinierte Brute-Force-Angriffe ausgeführt werden. |
| Threat Intelligence von Microsoft Entra | Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert |
| Neues Land/neue Region | Diese Erkennung wird von Microsoft Defender für Cloud-Apps ermittelt. |
| Aktivität über anonyme IP-Adresse | Diese Erkennung wird von MDCA ermittelt. |
| Verdächtige Weiterleitung des Posteingangs | Diese Erkennung wird von MDCA ermittelt. |
Berechtigungen
Benutzer müssen über die Rolle „Benutzer mit Leseberechtigung für Sicherheitsfunktionen“, „Sicherheitsoperator“, „Sicherheitsadministrator“, „Globaler Leser“ oder „Globaler Administrator“ verfügen, um auf Identity Protection zugreifen zu können.
| Rolle | Möglich | Nicht möglich |
|---|---|---|
| Globaler Administrator | Vollzugriff auf Identity Protection | |
| Sicherheitsadministrator | Vollzugriff auf Identity Protection | Zurücksetzen des Kennworts für einen Benutzer |
| Sicherheitsoperator | Anzeigen aller Identitätsschutzberichte und des Bildschirms „Übersicht“, Verwerfen von Benutzerrisiken, Bestätigen der sicheren Anmeldung und Bestätigen der Kompromittierung | Konfigurieren oder Ändern von Richtlinien, Zurücksetzen des Kennworts für einen Benutzer, Konfigurieren von Warnungen |
| Sicherheitsleseberechtigter | Anzeigen aller Identitätsschutzberichte und des Bildschirms „Übersicht“ | Konfigurieren oder Ändern von Richtlinien, Zurücksetzen des Kennworts für einen Benutzer, Konfigurieren von Warnungen, Bereitstellen von Feedback zu Erkennungen |
Derzeit kann die Rolle „Sicherheitsoperator“ nicht auf den Bericht „Risikoanmeldungen“ zugreifen. Administratoren für bedingten Zugriff können auch Richtlinien erstellen, bei denen das Anmelderisiko als Bedingung berücksichtigt wird.
Lizenzanforderungen
Für dieses Feature ist eine Microsoft Entra ID Premium P2-Lizenz erforderlich.
| Funktion | Details | Microsoft Entra ID Free / Microsoft 365 Apps | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Risikorichtlinien | Benutzerrisiko-Richtlinie (über Identity Protection) | Nein | Nein | Ja |
| Risikorichtlinien | Anmelderisiko-Richtlinie (über Identity Protection oder bedingten Zugriff) | Nein | Nein | Ja |
| Sicherheitsberichte | Übersicht | Nein | Nein | Ja |
| Sicherheitsberichte | Riskante Benutzer | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. | Vollzugriff |
| Sicherheitsberichte | Riskante Anmeldungen | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. | Vollzugriff |
| Sicherheitsberichte | Risikoerkennungen | Nein | Eingeschränkte Informationen. Kein Drawer „Details“. | Vollzugriff |
| Benachrichtigungen | Warnungen zu erkannten gefährdeten Benutzern | Nein | Nein | Ja |
| Benachrichtigungen | Wöchentliche Übersicht | Nein | Nein | Ja |
| Richtlinie für MFA-Registrierung | Nein | Nein | Ja |