Implementieren der Sicherheit für Workloadidentitäten
Microsoft Entra ID Identity Protection hat Benutzer*innen in der Vergangenheit bei der Erkennung, Untersuchung und Behebung identitätsbasierter Risiken geschützt. Der Identitätsschutz hat diese Funktionen auf Workload-Identitäten ausgeweitet, um Anwendungen, Dienstprinzipale und verwaltete Identitäten zu schützen.
Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Diese Workloadidentitäten unterscheiden sich in folgenden Punkten von herkömmlichen Benutzerkonten:
- Die Multi-Faktor-Authentifizierung kann nicht durchgeführt werden.
- Sie verfügen oft über keinen formalen Lebenszyklusprozess.
- Sie müssen ihre Anmeldeinformationen oder Geheimnisse irgendwo speichern.
Diese Unterschiede erschweren die Verwaltung von Workloadidentitäten und stellen ein höheres Gefährdungsrisiko dar.
Voraussetzungen für die Verwendung des Identitätsschutzes für Arbeitsauslastungen
Um das Feature „Workloadidentitätsrisiko“ nutzen zu können, einschließlich des neuen Blatts Riskante Workloadidentitäten (Vorschau) und der Registerkarte Workloadidentitätserkennungen auf dem Blatt Risikoerkennungen, müssen Sie im Azure-Portal über Folgendes verfügen:
Microsoft Entra ID Premium P2-Lizenzierung
Der angemeldete Benutzer muss entweder zugewiesen werden:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Welche Arten von Risiken werden erkannt?
| Erkennungsname | Erkennungstyp | Beschreibung |
|---|---|---|
| Threat Intelligence von Microsoft Entra | Offline | Diese Risikoerkennung weist auf bestimmte Aktivitäten hin, die mit bekannten Angriffsmustern übereinstimmen, die auf internen und externen Threat Intelligence-Quellen von Microsoft basieren. |
| Verdächtige Anmeldungen | Offline | Diese Risikoerkennung weist auf Anmeldeeigenschaften oder Muster hin, die für diesen Dienstprinzipal ungewöhnlich sind. |
| Die Erkennung lernt das Baseline-Anmeldeverhalten für Workloadidentitäten in Ihrem Mandanten innerhalb von 2 bis 60 Tagen und wird dann aufgerufen, wenn eine oder mehrere der folgenden unbekannten Eigenschaften bei einer späteren Anmeldung auftreten: IP-Adresse/ASN, Zielressource, Benutzer-Agent, Änderung beim IP-Hosting/Nichthosting, IP-Land, Anmeldeinformationstyp. | ||
| Ungewöhnliche Hinzufügung von Anmeldeinformationen zu einer OAuth-App | Offline | Diese Erkennung wird von Microsoft Defender für Cloud Apps erkannt. Diese Erkennung identifiziert die verdächtige Hinzufügung von privilegierten Anmeldeinformationen zu einer OAuth-App. Dies kann darauf hindeuten, dass ein Angreifer die App kompromittiert hat und sie für böswillige Aktivitäten verwendet. |
| Vom Administrator bestätigt, dass das Konto kompromittiert ist | Offline | Diese Erkennung weist darauf hin, dass ein Administrator auf der Benutzeroberfläche für riskante Workloadidentitäten oder mithilfe der riskyServicePrincipals-API die Option „Kompromittierung bestätigen“ ausgewählt hat. Überprüfen Sie den Risikoverlauf des Kontos (auf der Benutzeroberfläche oder über die API), um zu überprüfen, welcher Administrator diese Kontogefährdung bestätigt hat. |
| Kompromittierte Anmeldeinformationen (öffentliche Vorschau) | Offline | Diese Risikoerkennung gibt an, dass die gültigen Anmeldeinformationen des Kontos kompromittiert wurden. Dieser Verlust kann auftreten, wenn jemand die Anmeldeinformationen im Artefakt des öffentlichen Codes auf GitHub überprüft oder wenn die Anmeldeinformationen durch eine Datenverletzung kompromittiert werden. |
Hinzufügen des Schutzes für bedingten Zugriff
Mithilfe des bedingten Zugriffs für Workloadidentitäten können Sie den Zugriff für ausgewählte Konten blockieren, wenn Identity Protection diese als „gefährdet“ markiert. Die Richtlinie kann auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert sind. SaaS von Drittanbietern, mehrinstanzenfähige Apps und verwaltete Identitäten können nicht verwendet werden.