Microsoft 365 Security, Microsoft Cloud

Letzte Änderung: 2025-03-20

Sichere deine Microsoft 365-Umgebung mit Entra ID Identity Protection

In der heutigen digitalen Welt sind ein sicherer Identitätsschutz und clevere Zugriffsmechanismen von entscheidender Bedeutung. Microsoft Entra ID Identity Protection nutzt künstliche Intelligenz, um verdächtige Anmeldeversuche und kompromittierte Konten zu erkennen und zu melden.

Diese Maßnahmen helfen, verschiedene Arten von Angriffen zu verhindern, die auf gestohlenen oder missbrauchten Anmeldedaten basieren, einschließlich identitätsbasierter Angriffe und lateraler Bewegungen. Ohne richtige Konfiguration verpassen viele Administratoren jedoch das volle Potenzial.

In diesem Blog untersuchen wir häufige Fehler bei der Einrichtung von Identity Protection, erklären, warum sie vermieden werden sollten, und beschreiben, wie Du sie mit Conditional Access integrierst, um Deine Microsoft 365-Umgebung zu schützen.

Microsoft Entra ID Identity Protection
Was ist Microsoft Entra ID Identity Protection?
Lizenzanforderungen
Häufige Konfigurationsfehler
Missverständnisse bei der Risikolevel-Auswahl
Verwechslung von Benutzerrisiko und Anmelderisiko
Fehlende Verknüpfung von Identity Protection mit Conditional Access
Vernachlässigung von Gästen und externen Benutzern
Best Practices für eine sichere Implementierung
Schrittweise Einführung und Beobachtungsphase
Differenzierung der Richtlinien nach Benutzergruppen
Feingranulare Kontrolle mit Conditional Access
Kontinuierliche Überwachung und Verfeinerung
Features von Microsoft Entra ID
Entra Permissions Management
Entra Verified ID
Beispiel: Erstellen einer Conditional Access-Richtlinie
Vernachlässige nicht den externen und Gastzugriff
Wichtige Erkenntnisse
Fazit
Bereit, Deine Microsoft 365-Sicherheit zu verbessern?

Was ist Microsoft Entra ID Identity Protection?

Microsoft Entra ID Protection unterstützt Organisationen bei der Identifizierung, Untersuchung und Minderung identitätsbasierter Risiken. Es verwendet fortschrittliche Machine-Learning-Techniken, um Anmelderisiken und atypisches Benutzerverhalten zu erkennen und ermöglicht dem System entsprechend den Zugriff zu blockieren, einzuschränken oder zu erlauben. Es kann automatisch Maßnahmen ergreifen oder Administratoren benachrichtigen. Zwei Schlüsselkonzepte sind wichtig:

  • Benutzerrisiko: Die Wahrscheinlichkeit, dass ein bestimmtes Benutzerkonto kompromittiert wurde.
  • Anmelderisiko: Die Wahrscheinlichkeit, dass eine Anmeldesitzung kompromittiert ist, unabhängig von der scheinbaren Sicherheit des Benutzerkontos.
Identity protection

Quelle: https://learn.microsoft.com/en-us/entra/id-protection/concept-identity-protection-policies

Ein wesentlicher Bestandteil der Identitäts- und Zugriffsverwaltung ist das Active Directory, insbesondere in Verbindung mit Microsoft Entra ID, um Sicherheitslösungen gegen identitätsbasierte Angriffe zu bieten und die Verwaltung von Benutzeridentitäten in hybriden und Cloud-Umgebungen zu optimieren.

Das System verwendet Machine-Learning-Algorithmen, um sich an Nutzungsmuster legitimer Benutzer anzupassen, wodurch Administratoren strengere Mechanismen aufrechterhalten können, ohne Benutzer im Workflow zu stören.

Lizenzanforderungen

Um die Identitätsschutzfunktionen von Microsoft Entra ID vollständig zu nutzen, insbesondere jene, die eine detaillierte Risikoanalyse mit automatischen Reaktionsaktionen integrieren, benötigst Du eine Microsoft Entra ID Premium P2 Lizenzierung oder ein Äquivalent wie einen Microsoft 365 E5 Plan.

Einige Funktionen sind in niedrigeren Tarifen verfügbar, aber ein fortgeschrittenes - risikobasiertes - Conditional Access und eine umfassende Berichterstattung werden nur in einer Lizenzierung mit Entra ID Premium P2/E5 vollständig genutzt.

Ohne die erforderliche Lizenz werden Optionen wie die Anwendung von Anmelde- oder Benutzerrisikobedingungen in Deinen Richtlinien ausgeblendet oder unzugänglich sein. Stelle sicher, dass Deine Organisation den richtigen Plan hat, bevor Du Microsoft Entra ID Identity Protection im großen Maßstab implementierst.

Häufige Konfigurationsfehler

Selbst mit der richtigen Lizenzierung stoßen Administratoren oft auf Probleme. Nachfolgend sind die häufigsten Fehler aufgeführt:

Missverständnisse bei der Risikolevel-Auswahl

In Conditional Access oder Identity Protection können Richtlinien basierend auf Risikoleveln aktiviert werden. Ein häufiges Missverständnis ist, dass die Auswahl von niedrigem Risiko mittleres oder hohes Risiko abdeckt, was nicht der Fall ist.

  • Wenn Du Deine Richtlinie so konfigurierst, dass sie nur auf niedriges Risiko reagiert, werden Anmeldungen, die als mittleres oder hohes Risiko eingestuft werden, diese Richtlinie nicht auslösen.
  • Um alle drei Level abzudecken, musst Du jedes einzeln auswählen.

Dieses Missverständnis führt häufig zu erheblichen Sicherheitslücken, wodurch Anmeldungen mit hohem Risiko unbemerkt bleiben können.

Verwechslung von Benutzerrisiko und Anmelderisiko

Administratoren verwechseln manchmal Benutzerrisiko mit Anmelderisiko. Es ist wichtig zu beachten, dass jedes einen anderen Zweck erfüllt:

  • Benutzerrisiko zeigt die Wahrscheinlichkeit an, dass ein Konto kompromittiert ist.
  • Anmelderisiko bewertet jeden einzelnen Anmeldeversuch.

Diese beiden Signale können sich überschneiden, sind aber nicht austauschbar. Wenn Dein Ziel ist, eine einzelne anomale Anmeldung zu blockieren, verwende das Anmelderisiko. Wenn Du vermutest, dass ein Benutzerkonto kompromittiert ist, ist das Benutzerrisiko der geeignete Indikator. Die richtige Konfiguration beider ist entscheidend für eine robuste Sicherheit.

Fehlende Verknüpfung von Identity Protection mit Conditional Access

Identity Protection enthält grundlegende Richtlinien wie die "Benutzerrisiko-Richtlinie" und die "Anmelderisiko-Richtlinie". Die Integration mit Conditional Access bietet jedoch zusätzliche Zugriffs- und Kontrollmöglichkeiten. Conditional Access ist eine Regelmaschine, die festlegt, wer, was, wann und unter welchen Umständen die verschiedenen Sicherheitsmaßnahmen gelten.

Durch die Kombination von Identity Protection-Signalen (z.B. ein riskanter Benutzer oder eine riskante Anmeldung) mit Conditional Access-Richtlinien kannst Du:

Identity protection with conditional acess

Quelle: https://learn.microsoft.com/en-us/entra/id-protection/overview-identity-protection

  • Unterschiedliche Sicherheitskontrollen für bestimmte Gruppen oder Anwendungen durchsetzen.
  • Entscheiden, ob Multifaktor-Authentifizierung erforderlich ist, ein Kennwortreset verlangt wird oder der Benutzer sogar komplett gesperrt wird.
  • Den Zugriff auf sensible Anwendungen einschränken oder anpassen, während Du breiteren Zugriff auf weniger sensible Plattformen erlaubst.

Ohne die Integration von Conditional Access können Deine Sicherheitsmaßnahmen entweder "zu breit oder zu eng" konfiguriert sein, was zu unzureichendem Schutz oder Störungen für legitime Benutzer und dessen Anmeldungen führt.

Vernachlässigung von Gästen und externen Benutzern

Viele Organisationen arbeiten mit externen Partnern und Gastkonten. Oft werden diese externen Benutzer nicht in die Identity Protection-Einstellungen einbezogen. Die Fokussierung ausschließlich auf interne Mitarbeiter kann ein Risiko darstellen, da einige externe Benutzer Zugriff auf wichtige Dateien oder Chat-Sitzungen haben, die zu einer Sicherheitsverletzung führen könnten.

Es ist ratsam, eine Conditional Access-Richtlinie für externe Benutzer oder Gastkonten zu erstellen. Typischerweise ist es klug, strengere Maßnahmen für externe Benutzer zu implementieren, da die von diesen Konten verwendete Umgebung und Endgeräte nicht unter Deiner Kontrolle stehen.

Best Practices für eine sichere Implementierung

Nachdem wir die häufigsten Fehler entdeckt haben, lass uns nun die bewährten Strategien für eine erfolgreiche Implementierung von Microsoft Entra ID Identity Protection erkunden.

Schrittweise Einführung und Pilotierung

Identity Protection verwendet Machine Learning. Beginne damit, Richtlinien im "Nur Bericht"-Modus oder mit minimalen Eingriffen wie Multifaktor-Authentifizierung ohne strenge Maßnahmen einzurichten. Dies ermöglicht Dir:

  • Zu evaluieren, wie häufig das System Anmeldungen als riskant einstuft.
  • Einzuschätzen, ob es eine hohe Anzahl von False Positives gibt, die Benutzer verärgern können.
  • Die Umgebung anzupassen, bevor Du Aktionen wie Kontosperrungen oder Kennwortzurücksetzungen implementierst.

Sobald Du den Signalen vertraust und alle Metriken funktionieren, erhöhe schrittweise die Durchsetzung.

Differenzierung der Richtlinien nach Benutzergruppen

Verschiedene Rollen in einer Organisation haben unterschiedliche Risikoprofile. Erwäge die Erstellung separater Richtlinien für:

  • Administratoren

    • Administratorkonten erfordern die strengste Überwachung aufgrund ihrer Fähigkeit, signifikante Änderungen vorzunehmen.

    • Du könntest eine Kennwortzurücksetzung oder Sperrung bei einem niedrigeren Risikoschwellenwert auslösen - manchmal sogar bei niedrigem Risiko.

  • Reguläre Benutzer

    • Für alltägliche Geschäftskonten kannst Du mit einem moderateren Schwellenwert beginnen, der sich auf mittleres oder hohes Risiko konzentriert.

    • Dies schafft ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit, besonders in großen Umgebungen.

  • Gäste und externe Benutzer

    • Verschärfe die Maßnahmen so, dass selbst Anmeldungen mit niedrigem Risiko zusätzliche Überprüfungen erfordern können.

    • Diese externen Konten stehen nicht unter Deiner direkten Kontrolle, daher hilft eine konservative Haltung, die Verwundbarkeit zu reduzieren.

Feingranulare Kontrolle mit Conditional Access

Obwohl Identity Protection integrierte Richtlinien hat, ist es oft effektiver, seine Risikoerkenntnisse in umfassende Conditional Access-Regeln einzubinden. Zum Beispiel:

  • Wenn das Anmelderisiko mittel oder hoch ist, fordere MFA oder eine Kennwortänderung an.
  • Wenn das Benutzerrisiko hoch ist, blockiere den Benutzerzugriff vollständig, bis ein Administrator die Situation überprüft hat.
  • Unterscheide zwischen sensiblen und nicht-sensiblen Apps. Für äußerst vertrauliche Ressourcen könntest Du Benutzer blockieren, die ein Risikoniveau über "Niedrig" aufweisen.
Conditional Access policy

Quelle: https://cybersecurityteam.co.nz/cloud-security/microsoft-365/azure-ad-identity-protection/

Granularität ist entscheidend in einer Zero-Trust-Architektur, die eine kontinuierliche Überprüfung des Vertrauens anstelle eines breiten Zugriffs gewährleistet.

Kontinuierliche Überwachung und Verfeinerung

Die Bereitstellung von Identity Protection erfordert fortlaufende Aufmerksamkeit. Überprüfe regelmäßig Anmeldeprotokolle, riskante Benutzer und Benachrichtigungen. Ein "Cloud Infrastructure Entitlement Management" ist entscheidend, um Berechtigungen in Cloud-Umgebungen effektiv zu verwalten und die Sicherheit zu gewährleisten.

  • Wenn Du zu viele False Positives siehst, musst Du möglicherweise bestimmte Schwellenwerte lockern oder spezifische (legitime) Szenarien ausschließen.
  • Remote Work kann für das System als "ungewöhnlich" erscheinen, wenn Deine Mitarbeiter sich aus verschiedenen Ländern anmelden oder häufig Geräte wechseln. Passe die Einstellungen an, um unnötige Aufforderungen zu vermeiden.
  • Bewerte neue Bedrohungen und passe Deine Richtlinien an. Angriffsvektoren entwickeln sich schnell, bleibe also agil.

Features von Microsoft Entra ID

Microsoft Entra ID bietet eine Vielzahl von Funktionen, um die Identitäts- und Zugriffsverwaltung in der Cloud zu erleichtern. Einige der wichtigsten Funktionen sind:

features of microsoft entra id

Quelle: https://www.spanishpoint.ie/technologies/azure/microsoft-entra-id/

  • Einmaliges Anmelden (SSO): Benutzer können sich mit einem einzigen Konto bei verschiedenen Anwendungen und Diensten anmelden. Dies vereinfacht den Anmeldeprozess und erhöht die Produktivität, da Benutzer sich nur ein Passwort merken müssen.
  • Multi-Faktor-Authentifizierung (MFA): Benutzer müssen zusätzlich zu ihrem Passwort einen zweiten Faktor wie ein Smartphone oder ein Token verwenden, um sich anzumelden. Dies erhöht die Sicherheit erheblich, da es Angreifern erschwert wird, auf Konten zuzugreifen.
  • Identitäts- und Zugriffsverwaltung: Administratoren können die Zugriffsrechte von Benutzern auf Anwendungen und Ressourcen steuern. Dies ermöglicht eine präzise Kontrolle darüber, wer auf welche Daten zugreifen kann.
  • Cloud-Infrastruktur-Entitlement-Management: Administratoren können die Zugriffsrechte von Benutzern auf Cloud-Ressourcen wie Azure- und AWS-Ressourcen steuern. Dies ist besonders wichtig in komplexen Cloud-Umgebungen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf kritische Ressourcen haben.
  • Microsoft Entra ID-Integration: Microsoft Entra ID bietet eine nahtlose Identitäts- und Zugriffsverwaltung. Diese Integration schafft eine einheitliche Plattform zur Verwaltung von Identitäten und Zugriffsrechten in der gesamten Cloud-Infrastruktur.

Entra Permissions Management

Entra Permissions Management ist ein wesentlicher Bestandteil von Microsoft Entra ID, der es Administratoren ermöglicht, die Zugriffsrechte von Benutzern auf Anwendungen und Ressourcen effektiv zu steuern. Mit Entra Permissions Management können Administratoren:

  • Zugriffsrechte verwalten: Administratoren können die Zugriffsrechte von Benutzern auf Anwendungen und Ressourcen steuern. Dies umfasst die Zuweisung und Entziehung von Berechtigungen basierend auf den aktuellen Anforderungen und Sicherheitsrichtlinien.
  • Rollen und Gruppen verwalten: Administratoren können Rollen und Gruppen erstellen und verwalten, um die Zugriffsrechte von Benutzern zu steuern. Dies erleichtert die Verwaltung, da Berechtigungen auf Gruppenebene zugewiesen werden können, anstatt einzelne Benutzer zu verwalten.
  • Audit- und Berichtsfunktionen: Administratoren können Audits und Berichte erstellen, um die Zugriffsrechte von Benutzern zu überwachen. Diese Funktionen helfen dabei, verdächtige Aktivitäten zu erkennen und sicherzustellen, dass die Zugriffsrichtlinien eingehalten werden.
Entra Id Permission Management

Quelle: https://www.cloudpartner.fi/?p=8184

Entra Verified ID

Entra Verified ID ist ein weiterer wichtiger Bestandteil von Microsoft Entra ID, der es ermöglicht, die Identität von Benutzern zu überprüfen und zu verifizieren. Mit Entra Verified ID können Administratoren:

  • Identitäten überprüfen: Administratoren können die Identität von Benutzern überprüfen und verifizieren. Dies stellt sicher, dass nur autorisierte Benutzer Zugriff auf sensible Anwendungen und Daten haben.
  • Zugriffsrechte steuern: Administratoren können die Zugriffsrechte von Benutzern auf Anwendungen und Ressourcen steuern, entsprechend basierend auf ihrer überprüften Identität. Dies hilft, den Zugriff auf kritische Ressourcen zu sichern und unbefugten Zugriff zu verhindern.
  • List ElemSicherheitsrisiken reduzieren: Entra Verified ID kann helfen, Sicherheitsrisiken zu reduzieren, indem es die Identität von Benutzern überprüft und verifiziert. Dies ist besonders wichtig in einer Zeit, in der Identitätsdiebstahl und andere Bedrohungen im Internet zunehmen.ent
Entra Id Verified

Quelle: https://learn.microsoft.com/en-us/entra/verified-id/plan-verification-solution

Durch die Nutzung dieser Funktionen von Microsoft Entra ID können Organisationen ihre Sicherheitslage erheblich verbessern und sicherstellen, dass nur autorisierte Benutzer Zugriff auf ihre Cloud-Ressourcen haben.

Beispiel: Erstellen einer Conditional Access-Richtlinie

Nachfolgend findest Du einen vereinfachten Überblick, wie Du eine Richtlinie erstellen kannst, die Identity Protection-Daten nutzt und die Funktion des Identitätsschutzes beschreibt:

  • Zugriff auf das Microsoft Entra ID Admin Center: Finde den Bereich "Sicherheit" und gehe zu "Conditional Access".
  • Neue Richtlinie erstellen: Wähle "Neue Richtlinie".
  • Benutzer auswählen:
    • Wähle eine Benutzergruppe - zum Beispiel Deine Administratoren.
    • Alternativ wähle privilegierte Rollen wie "Global Admin" oder "Security Admin".
  • Bedingungen:
    • Unter "Anmelderisiko" wähle "Mittel oder Hoch".
    • Füge "Benutzerrisiko" hinzu, wenn Du potenziell vollständig kompromittierte Konten behandeln möchtest.
  • Gewähren oder Blockieren:
    • Fordere Multifaktor-Authentifizierung oder eine Kennwortzurücksetzung für bestimmte Risikolevel.
    • Erwäge die vollständige Blockierung von Anmeldungen bei hohem Risikoniveau für administrative Rollen.
  • Überwachen:
    • Stelle die Richtlinie zunächst auf "Nur Bericht" oder überwache die Protokolle gründlich nach Aktivierung der Durchsetzung.
    • Überprüfe, dass legitime Benutzer nicht unnötig blockiert werden.

Dieser Ansatz kann dupliziert und angepasst werden, um verschiedene Benutzersegmente wie Gäste oder Standardmitarbeiter zu berücksichtigen.

Vernachlässige nicht den externen Gastzugriff

Die Bequemlichkeit des Teilens von Ressourcen und der Zusammenarbeit mit externen Benutzern kann zu einer Sicherheitsverletzung führen, wenn sie nicht richtig verwaltet wird. Erstelle immer eine Conditional Access-Richtlinie speziell für externe Benutzer oder Gastkonten:

  • Wähle diese Benutzer im Zuweisungsbereich aus (z.B. "Gast- oder externe Benutzer").
  • Setze strengere Schwellenwerte fest, wie z.B. die Anforderung von MFA beim geringsten Anzeichen von Risiko.
  • Erwäge ihre Blockierung von bestimmten hochsensiblen Apps, es sei denn, das Risiko wird als "Keine" oder "Niedrig" eingestuft.
Microsoft entra external guest

Quelle:  https://learn.microsoft.com/en-us/entra/external-id/external-identities-overview

In der modernen cloudbasierten Zusammenarbeit sind diese zusätzlichen Kontrollen entscheidend, um unbefugten Datenzugriff zu verhindern.

Wichtige Erkenntnisse

Microsoft Entra ID Identity Protection ist ein Tool, das entwickelt wurde, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren, bevor sie zu schwerwiegenden Sicherheitsverletzungen führen. Durch die Anwendung geeigneter Praktiken kannst Du seine Fähigkeiten effektiv nutzen:

  • Beschaffe die richtige Lizenz: Stelle sicher, dass Du Microsoft Entra ID Premium P2 oder Microsoft 365 E5 hast, um fortgeschrittene Szenarien freizuschalten.
  • Verstehe Risikokategorien: Niedrig ist nicht dasselbe wie Mittel oder Hoch - jede muss mit Absicht konfiguriert werden.
  • Granularität mit Conditional Access: Kombiniere Identity Protection und Conditional Access, um Präzision und Flexibilität zu bieten.
  • Trenne Benutzergruppen: Administratoren, Mitarbeiter und Gastkonten haben unterschiedliche Zugriffsebenen und Risiken.
  • Überprüfe und verfeinere regelmäßig: Evaluiere kontinuierlich Anmeldeprotokolle und passe diese an, um False Positives zu minimieren und Sicherheitslücken zu schließen.
  • Schließe externe Zusammenarbeit ein: Dedizierte Richtlinien für Gäste und Partner verhindern, dass Außenstehende die Sicherheit umgehen.

Fazit

Microsoft Entra ID Identity Protection bietet eine intelligente, automatisierte Möglichkeit, Anmeldungen und Benutzerkonten zu schützen. In Verbindung mit Conditional Access-Regeln können Administratoren festlegen, wie die Organisation auf Risikosignale reagiert. Dies kann von der Anforderung von MFA bei niedrigeren Risiken bis zur Blockierung der Sitzung bei höheren Risiken reichen.

Durch die schrittweise Implementierung von Richtlinien, die Unterscheidung zwischen verschiedenen Benutzertypen und die regelmäßige Überprüfung Deiner Einstellungen kannst Du normale Aktivitäten aufrechterhalten und gleichzeitig Bedrohungen effektiv stoppen. Dieser Ansatz ist besonders wichtig, da immer mehr Mitarbeiter remote arbeiten, verschiedene Geräte nutzen und mit vielen externen Partnern zusammenarbeiten.

Durch die Priorisierung des Identitätsschutzes mit der richtigen Lizenzierung und systematischem Richtlinienmanagement wird es zu einem wesentlichen Bestandteil Deiner Cloud-Sicherheitsstrategie. Letztendlich werden Deine Benutzer sicheren Zugriff auf notwendige Tools haben, während die sensiblen Daten und Assets des Unternehmens in dieser herausfordernden Bedrohungslandschaft geschützt bleiben.

Bereit, Deine Microsoft 365-Sicherheit zu verbessern?

Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

Teilen0
Teilen0
Teilen0
Twittern0
Aaron Siller auf YouTube: @aaronsiller7722
Der Microsoft Security Experte
Jede Woche ein neues Video
Über Aaron Siller

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

Share 0
Share 0
Share 0
Kommentare
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>