Freigeben über

Konfigurieren von Microsoft Entra für erhöhte Sicherheit (Vorschau)

In Microsoft Entra gruppieren wir unsere Sicherheitsempfehlungen in mehrere Themen, die auf der Secure Future Initiative (SFI) basieren. Mit dieser Struktur können Organisationen Projekte logisch in verwandte Verbrauchsartikelabschnitte aufteilen.

Tip

Einige Organisationen nehmen diese Empfehlungen möglicherweise genau wie geschrieben, während andere änderungen basierend auf ihren eigenen Geschäftlichen Anforderungen vornehmen können. In unserer ersten Version dieses Leitfadens konzentrieren wir uns auf traditionelle Mitarbeitermandanten. Diese Mitarbeitermandanten gelten für Ihre Mitarbeiter, interne Geschäfts-Apps und andere Organisationsressourcen.

Es wird empfohlen, dass alle folgenden Steuerelemente implementiert werden, in denen Lizenzen verfügbar sind. Diese Muster und Methoden helfen bei der Bereitstellung einer Grundlage für andere Ressourcen, die auf dieser Lösung basieren. Im Laufe der Zeit werden diesem Dokument weitere Steuerelemente hinzugefügt.

Automatisierte Bewertung

Die manuelle Überprüfung dieser Richtlinien für die Konfiguration eines Mandanten kann zeitaufwendig und fehleranfällig sein. Die Zero Trust Bewertung wandelt diesen Prozess mit Automatisierung um, um diese Sicherheitskonfigurationselemente und vieles mehr zu testen. Weitere Informationen finden Sie in What is the Zero Trust Assessment?

Schützen von Identitäten und geheimen Schlüsseln

Verringern Sie das Risiko für Anmeldeinformationen, indem Sie moderne Identitätsstandards implementieren.

Prüfen Mindestens erforderliche Lizenz
Anwendungen haben keine geheimen Clientschlüssel konfiguriert. Keine (in Microsoft Entra ID enthalten)
Dienstprinzipale verfügen nicht über Zertifikate oder Anmeldeinformationen, die ihnen zugeordnet sind Keine (in Microsoft Entra ID enthalten)
Anwendungen verfügen nicht über Zertifikate mit Ablauf länger als 180 Tage Keine (in Microsoft Entra ID enthalten)
Anwendungszertifikate müssen regelmäßig gedreht werden Keine (in Microsoft Entra ID enthalten)
Erzwingen von Standards für geheime App-Schlüssel und Zertifikate Keine (in Microsoft Entra ID enthalten)
Microsoft-Diensteanwendungen verfügen nicht über konfigurierte Anmeldeinformationen Keine (in Microsoft Entra ID enthalten)
Die Einstellungen für die Zustimmung des Benutzers sind eingeschränkt. Keine (in Microsoft Entra ID enthalten)
Administratorzustimmungsworkflow ist aktiviert Keine (in Microsoft Entra ID enthalten)
High Global Administrator zum privilegierten Benutzerverhältnis Keine (in Microsoft Entra ID enthalten)
Administrative Berechtigungen sind eng begrenzt, um Kompromittierung zu verhindern Microsoft Entra ID P1
Application-Administratorrechte sind auf bestimmte private Access-Apps beschränkt Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Privilegierte Konten sind cloudeigene Identitäten Keine (in Microsoft Entra ID enthalten)
Alle privilegierten Rollenzuweisungen werden nur rechtzeitig aktiviert und nicht dauerhaft aktiv Microsoft Entra ID P2
Alle Microsoft Entra privilegierte Rollenzuweisungen werden mit PIM Microsoft Entra ID P2
Passkey-Authentifizierungsmethode aktiviert Keine (in Microsoft Entra ID enthalten)
Der Sicherheitsschlüsselnachweis wird erzwungen. Keine (in Microsoft Entra ID enthalten)
Privilegierte Konten haben Phishing-beständige Methoden registriert Microsoft Entra ID P1
Privileged Microsoft Entra integrierte Rollen werden mit Richtlinien für bedingte Access zum Erzwingen von Phishing-widerstandsfähigen Methoden Microsoft Entra ID P1
Conditional Access Richtlinien erzwingen eine starke Authentifizierung für private Apps Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Application Proxy Anwendungen erfordern eine Vorauthentifizierung, um anonyme access Microsoft Entra ID P1
Anfordern von Kennwortzurücksetzungsbenachrichtigungen für Administratorrollen Microsoft Entra ID P1
Die Legacyauthentifizierungsrichtlinie blockieren ist konfiguriert. Microsoft Entra ID P1
Temporary access Pass ist aktiviert Microsoft Entra ID P1
Einschränken des temporären Zugriffsdurchlaufs auf einmalige Verwendung Microsoft Entra ID P1
Migrieren von älteren MFA- und SSPR-Richtlinien Microsoft Entra ID P1
Verhindern, dass Administratoren SSPR verwenden Microsoft Entra ID P1
Die Self-Service-Kennwortzurücksetzung verwendet keine Sicherheitsfragen. Microsoft Entra ID P1
Sms- und Voice Call-Authentifizierungsmethoden sind deaktiviert. Microsoft Entra ID P1
Sichern der Seite MFA-Registrierung (Meine Sicherheitsinformationen) Microsoft Entra ID P1
Verwenden der Cloudauthentifizierung Microsoft Entra ID P1
Alle Benutzer müssen sich für MFA registrieren. Microsoft Entra ID P2
Benutzer verfügen über konfigurierte sichere Authentifizierungsmethoden Microsoft Entra ID P1
Benutzeranmeldungsaktivität verwendet Tokenschutz Microsoft Entra ID P1
Bei allen Benutzeranmeldungsaktivitäten werden Phishing-beständige Authentifizierungsmethoden verwendet. Microsoft Entra ID P1
Alle Anmeldeaktivitäten stammen von verwalteten Geräten Microsoft Entra ID P1
Sicherheitsschlüsselauthentifizierungsmethode aktiviert Keine (in Microsoft Entra ID enthalten)
Privilegierte Rollen werden nicht veralteten Identitäten zugewiesen. Microsoft Entra ID P2
Microsoft Authenticator-App zeigt den Anmeldekontext an Microsoft Entra ID P1
Microsoft Authenticator app report verdächtige Aktivitätseinstellung ist aktiviert Microsoft Entra ID P1
Der Ablauf des Kennworts ist deaktiviert. Microsoft Entra ID P1
Smart lockout threshold set to 10 or less Microsoft Entra ID P1
Die Dauer der intelligenten Sperrung ist auf mindestens 60 festgelegt. Microsoft Entra ID P1
Hinzufügen von Organisationsbegriffen zur Liste der gesperrten Kennwörter Microsoft Entra ID P1
Erfordern der mehrstufigen Authentifizierung für die Gerätebeitritts- und Geräteregistrierung mithilfe einer Benutzeraktion Microsoft Entra ID P1
Lokale Administratorkennwortlösung wird bereitgestellt Microsoft Entra ID P1
Entra Connect Sync ist mit Dienstprinzipalanmeldeinformationen konfiguriert. Keine (in Microsoft Entra ID enthalten)
Keine Verwendung von ADAL im Mandanten Keine (in Microsoft Entra ID enthalten)
Block-Legacymodul Azure AD PowerShell Keine (in Microsoft Entra ID enthalten)
Enable Microsoft Entra ID Sicherheitsstandards für kostenlose Mandanten Keine (in Microsoft Entra ID enthalten)

Schützen von Mandanten und Isolieren von Produktionssystemen

Prüfen Mindestens erforderliche Lizenz
Berechtigungen zum Erstellen neuer Mandanten sind auf die Rolle "Mandantenersteller" beschränkt. Keine (in Microsoft Entra ID enthalten)
Aktivieren geschützter Aktionen zum Sichern der Richtlinienerstellung und -änderungen für bedingten Zugriff Microsoft Entra ID P1
Guest access ist auf genehmigte Mandanten beschränkt Microsoft Entra ID Kostenlos
Gästen werden keine Privilegierten Verzeichnisrollen zugewiesen. Microsoft Entra ID Kostenlos
Microsoft Entra ID P2 oder Microsoft ID Governance für PIM
Gäste können keine anderen Gäste einladen Microsoft Entra ID Kostenlos
Guests haben access auf Verzeichnisobjekte beschränkt Microsoft Entra ID Kostenlos
Die App-Instanz-Eigenschaftssperre ist für alle mehrinstanzenfähige Anwendungen konfiguriert. Microsoft Entra ID Kostenlos
Gäste haben keine langen Anmeldesitzungen Microsoft Entra ID P1
Guest-access ist durch starke Authentifizierungsmethoden geschützt Microsoft Entra ID Kostenlos
Microsoft Entra ID P1 empfohlen für bedingte Access
Die Self-Service-Registrierung des Gasts über den Benutzerablauf ist deaktiviert. Microsoft Entra ID Kostenlos
Einstellungen für den mandantenübergreifenden ausgehenden Zugriff sind konfiguriert. Microsoft Entra ID Kostenlos
Microsoft Entra ID P1 empfohlen für bedingte Access
Gäste besitzen keine Apps im Mandanten Keine (in Microsoft Entra ID enthalten)
Alle Gäste haben einen Sponsor Microsoft Entra ID Kostenlos
Inaktive Gastidentitäten werden deaktiviert oder aus dem Mandanten entfernt. Microsoft Entra ID Kostenlos
Alle Berechtigungsverwaltungsrichtlinien weisen ein Ablaufdatum auf Microsoft Entra ID P2- oder Microsoft ID Governance für verwaltete Berechtigungen und access Überprüfungen
Alle Richtlinien für die Berechtigungsverwaltung, die für externe Benutzer gelten, erfordern verbundene Organisationen. Microsoft Entra ID P2- oder Microsoft ID Governance für verwaltete Berechtigungen und access Überprüfungen
Alle Richtlinien für die Berechtigungsverwaltung, die für externe Benutzer gelten, erfordern eine Genehmigung. Microsoft Entra ID P2- oder Microsoft ID Governance für verwaltete Berechtigungen und access Überprüfungen
Alle Berechtigungsverwaltungspakete, die für Gäste gelten, verfügen über Ablauf- oder Zugriffsüberprüfungen, die in ihren Zuweisungsrichtlinien konfiguriert sind. Microsoft Entra ID P2- oder Microsoft ID Governance für verwaltete Berechtigungen und access Überprüfungen
Verwalten der lokalen Administratoren auf in Microsoft Entra eingebundenen Geräten Keine (in Microsoft Entra ID enthalten)
Benutzer, die keine Administratoren sind, daran hindern, die BitLocker-Schlüssel für ihre eigenen Geräte wiederherzustellen Keine (in Microsoft Entra ID enthalten)

Schützen von Netzwerken

Schützen Sie Ihren Netzwerkperimeter.

Prüfen Mindestens erforderliche Lizenz
Benannte Speicherorte werden konfiguriert Microsoft Entra ID P1
Die v2-Richtlinie für Mandanteneinschränkungen ist konfiguriert. Microsoft Entra ID P1
Internet Access Weiterleitungsprofil ist aktiviert Microsoft Entra-Internetzugriff
Webinhaltsfilterrichtlinien sind konfiguriert. Microsoft Entra-Internetzugriff
Webinhaltsfilter verwendet kategoriebasierte Regeln Microsoft Entra ID P1
Webinhaltsfilterrichtlinien sind mit Sicherheitsprofilen verknüpft Microsoft Entra ID P1
Webinhaltsfilterung ist in bedingte Access Microsoft Entra-Internetzugriff
Webinhaltsfilterung blockiert Kategorien mit hohem Risiko Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
DIE TLS-Überprüfung ist aktiviert und für ausgehenden Datenverkehr ordnungsgemäß konfiguriert. Microsoft Entra ID P1
TLS-Überprüfungsumgehungsregeln werden regelmäßig überprüft. Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
TLS-Prüfzertifikate haben einen ausreichenden Gültigkeitszeitraum Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Die Fehlerrate der TLS-Inspektion liegt unter 1% Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Benutzerdefinierte Umgehungsregeln für TLS-Inspektionen duplizieren keine Ziele für die Systemumgehung Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Bedrohungserkennungsfilter schützt Internetdatenverkehr Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Dateiübertragungsrichtlinien sind so konfiguriert, dass Datenexfiltration verhindert wird Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
AI Gateway schützt unternehmensgenerive KI-Anwendungen vor Eingabeaufforderungsangriffen Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Global Secure Access Cloud Firewall schützt Internetdatenverkehr in Zweigstellen Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Der Internetdatenverkehr wird auf allen Schutzebenen für sicheres Webgateway überprüft. Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Network-Validierung wird über die universelle kontinuierliche Access Auswertung konfiguriert Microsoft Entra ID P1- oder Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Global Secure Access Client wird auf allen verwalteten Endpunkten bereitgestellt Microsoft Entra ID P1- oder Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Global Secure Access Lizenzen sind im Mandanten verfügbar und Benutzern zugewiesen Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Microsoft 365 Datenverkehr fließt aktiv durch global secure Access Microsoft Entra Suite
Universal-Mandanteneinschränkungen blockieren nicht autorisierte externe Mandanten-access Microsoft Entra ID P1- oder Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Externale Zusammenarbeit unterliegt expliziten mandantenübergreifenden access Richtlinien Microsoft Entra ID P1
Access richtlinien verwenden kompatible Netzwerksteuerelemente Microsoft Entra ID P1
Die Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff ist aktiviert. Microsoft Entra ID P1, Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Network-Datenverkehr wird über die globale sichere Access zur Durchsetzung von Sicherheitsrichtlinien weitergeleitet Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Datenverkehrsweiterleitungsprofile sind für geeignete Benutzer und Gruppen für die kontrollierte Bereitstellung vorgesehen. Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Private-Netzwerkconnectors sind aktiv und fehlerfrei, um Zero Trust access für interne Ressourcen beizubehalten Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Private Netzwerkconnectors führen die neueste Version aus Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
At least two Private Access Connectors sind aktiv und fehlerfrei pro Connectorgruppe Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Private DNS ist für die interne Namensauflösung konfiguriert Microsoft Entra-Privatzugriff
DNS-Datenverkehr für interne Domänen wird über private Access Microsoft Entra ID P1, Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Intelligent Local Access ist aktiviert und konfiguriert Microsoft Entra-Privatzugriff
Quick Access ist aktiviert und an einen Verbinder gebunden P1, Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Quick-Access ist an eine Richtlinie für bedingte Access gebunden Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Entra Private Access Application-Segmente werden definiert, um access Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Domain-Controller-RDP-access durch phishingsichere Authentifizierung durch globale sichere Access Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Private Access Sensoren erzwingen starke Authentifizierungsrichtlinien auf Domänencontrollern Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Quick-Access verfügt über Benutzer- oder Gruppenzuweisungen Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Alle private Access Apps verfügen über Benutzer- oder Gruppenzuweisungen Microsoft Entra Suite-Add-On für Microsoft Entra ID P2
Outbound-Datenverkehr von integrierten VNet-Workloads wird über Azure Firewall Azure Firewall Basic
Threat Intelligence ist im Verweigerungsmodus auf Azure Firewall Azure Firewall Premium
IDPS-Inspektion ist im Verweigerungsmodus auf Azure Firewall Azure Firewall Premium
Application Gateway WAF ist im Präventionsmodus aktiviert Azure-Anwendungsgateway-WAF_v2
Azure Front Door WAF ist im Verhinderungsmodus aktiviert Azure Front Door Standard

Schützen von Engineering-Systemen

Schützen Sie Softwareressourcen, und verbessern Sie die Codesicherheit.

Prüfen Mindestens erforderliche Lizenz
Emergency access-Konten sind entsprechend konfiguriert Microsoft Entra ID P1
Global Administrator Rollenaktivierung löst einen Genehmigungsworkflow aus Microsoft Entra ID P2
Global Administrators haben keine ständigen access, um Abonnements zu Azure Keine (in Microsoft Entra ID enthalten)
Das Erstellen neuer Anwendungen und Dienstprinzipale ist auf privilegierte Benutzer beschränkt. Microsoft Entra ID P1
Inaktive Anwendungen verfügen nicht über Berechtigungen mit hoher Berechtigung von Microsoft Graph API Microsoft Entra ID P1
Inaktive Anwendungen verfügen nicht über integrierte Rollen mit hoher Berechtigung Microsoft Entra ID P1
App registrations sichere Umleitungs-URIs verwenden Microsoft Entra ID P1
Dienstprinzipale verwenden sichere Umleitungs-URIs Microsoft Entra ID P1
App registrations darf keine URIs für die Domänenumleitung oder nicht mehr verlassene Domänenumleitungs-URIs haben Microsoft Entra ID P1
Ressourcenspezifische Zustimmung ist eingeschränkt Microsoft Entra ID P1
Arbeitsauslastungsidentitäten werden nicht privilegierte Rollen zugewiesen Microsoft Entra ID P1
Unternehmensanwendungen müssen eine explizite Zuordnung oder eine bereichsbezogene Bereitstellung erfordern. Microsoft Entra ID P1
Unternehmensanwendungen verfügen über Besitzer Keine (in Microsoft Entra ID enthalten)
Maximale Anzahl von Geräten pro Benutzer auf 10 beschränken Keine (in Microsoft Entra ID enthalten)
Conditional Access Policies for Privileged Access Workstations sind konfiguriert Microsoft Entra ID P1

Überwachen und Erkennen von Cyberthreaten

Sammeln und analysieren Sie Sicherheitsprotokolle und Triagebenachrichtigungen.

Prüfen Mindestens erforderliche Lizenz
Diagnostic-Einstellungen sind für alle Microsoft Entra Protokolle konfiguriert Microsoft Entra ID P1
Privileged role activations have monitoring and alerting configured Microsoft Entra ID P2
Aktivierungswarnung für Global Administrator Rollenzuweisungen Microsoft Entra ID P2
Aktivierungswarnung für alle privilegierten Rollenzuweisungen Microsoft Entra ID P2
Privilegierte Benutzer melden sich mit Phishing-resistenten Methoden an Microsoft Entra ID P1
Alle Benutzer mit hohem Risiko werden triagediert. Microsoft Entra ID P2
Alle Anmeldungen mit hohem Risiko werden triagediert. Microsoft Entra ID P2
Alle riskanten Workloadidentitäten werden triagediert Microsoft Entra ID P2
Mandantenerstellungsereignisse werden triaged Microsoft Entra ID P1
Für alle Benutzeranmeldungsaktivitäten werden starke Authentifizierungsmethoden verwendet. Microsoft Entra ID P1
High priority Microsoft Entra Empfehlungen werden behandelt Microsoft Entra ID P1
ID-Schutzbenachrichtigungen sind aktiviert Microsoft Entra ID P2
Keine Authentifizierungsaktivität der Legacyauthentifizierung Microsoft Entra ID P1
All Microsoft Entra Empfehlungen werden behandelt Microsoft Entra ID P1
Network access Aktivität ist für Sicherheitsvorgänge zur Bedrohungserkennung und -reaktion sichtbar Microsoft Entra ID P1
Network access Protokolle werden für Sicherheitsanalyse- und Complianceanforderungen aufbewahrt Microsoft Entra ID P1
Global Secure Access Bereitstellungsprotokolle werden aufgefüllt und überprüft Microsoft Entra Suite-Add-On für Microsoft Entra ID P2

Beschleunigen der Reaktion und Behebung

Verbessern Sie die Reaktion auf Sicherheitsvorfälle und die Kommunikation zwischen Vorfällen.

Prüfen Mindestens erforderliche Lizenz
Workloadidentitäten werden mit risikobasierten Richtlinien konfiguriert. Microsoft Entra Workload-ID
Einschränken von Anmeldungen mit hohem Risiko Microsoft Entra ID P2
Restrict access benutzern mit hohem Risiko Microsoft Entra ID P2

Verwandte Inhalte

  • Last updated on