Vier Schritte zu einer starken Identitätsbasis mit Microsoft Entra ID
Das Verwalten des Zugriffs auf Apps und Daten darf sich bei der Netzwerksicherheit nicht mehr auf herkömmliche Begrenzungsstrategien wie Umkreisnetzwerke und Firewalls verlassen, da Apps immer schneller in die Cloud verschoben werden. Nun sollten Organisationen ihrer Identitätslösung vertrauen, um zu steuern, wer und was den Zugriff auf Apps und Daten der Organisation erhält. Immer mehr Organisationen erlauben Mitarbeiter*innen das Mitbringen eigener Geräte zur Arbeit und die Verwendung ihrer Geräte an jedem beliebigen Ort, an dem eine Verbindung mit dem Internet hergestellt werden kann. Mittlerweile ist das Sicherstellen, dass diese Geräte konform und sicher sind, ein wichtiger Aspekt der Identitätslösung geworden, die eine Organisation implementiert. Bei heuten digitalen Arbeitsplätzen ist die Identität die primäre Steuerungsebene jeder Organisation, die auf die Cloud umsteigt.
Durch den Einsatz einer Hybrididentitätslösung in Microsoft Entra erhalten Organisationen Zugriff auf Premiumfunktionen, die durch Automatisierung, Delegierung, Self-Service- und SSO-Funktionen (einmaliges Anmelden) für eine höhere Produktivität sorgen. Damit können Mitarbeiter*innen von jedem Ort aus, an dem sie arbeiten, auf Unternehmensressourcen zugreifen. Gleichzeitig können IT-Teams diesen Zugriff steuern, sodass nur die richtigen Personen zur richtigen Zeit den richtigen Zugriff auf die richtigen Ressourcen erhalten, um so für eine sichere Produktionsumgebung zu sorgen.
Die folgende Checkliste basiert auf unseren Erkenntnissen und enthält Best Practices, mit denen Sie empfohlene Aktionen schnell umsetzen können, um ein stabiles Fundament für Identitäten in Ihrer Organisation zu schaffen:
- Einfaches Verbinden mit Apps
- Automatisches Einrichten einer Identität für jeden Benutzer
- Sicheres Unterstützen Ihrer Benutzer
- Operationalisieren Ihrer Erkenntnisse
Schritt 1: Einfaches Verbinden mit Apps
Indem Sie Ihre Apps mit Microsoft Entra ID verbinden, können Sie durch Aktivieren des einmaligen Anmeldens (Single Sign-On, SSO) und Durchführen der automatisierten Benutzerbereitstellung die Produktivität der Endbenutzer*innen und die Sicherheit verbessern. Durch die Verwaltung Ihrer Apps an einem zentralen Ort können Sie mit Microsoft Entra ID den Mehraufwand bei der Verwaltung minimieren. Gleichzeitig verfügen Sie so über einen zentralen Ort für die Steuerung von Sicherheits- und Compliancerichtlinien.
In diesem Abschnitt werden Ihre Optionen für das Verwalten des Benutzerzugriffs auf Apps und das Aktivieren von sicherem Remotezugriff auf interne Apps sowie die Vorteile einer Migration Ihrer Apps zu Microsoft Entra ID erläutert.
Nahtloses Verfügbarmachen von Apps für Ihre Benutzer
Microsoft Entra ID ermöglicht Administrator*innen das Hinzufügen von Anwendungen zum Microsoft Entra-Anwendungskatalog im Microsoft Entra Admin Center. Durch das Hinzufügen von Anwendungen zum Katalog der Unternehmensanwendungen wird das Konfigurieren von Anwendungen für die Verwendung von Microsoft Entra ID als Identitätsanbieter vereinfacht. Darüber hinaus können Sie den Benutzerzugriff auf die Anwendung mit Richtlinien für bedingten Zugriff verwalten und einmaliges Anmelden (SSO) für Anwendungen konfigurieren, sodass Benutzer nicht ständig ihr Kennwort eingeben müssen, sondern stattdessen automatisch angemeldet werden – und zwar sowohl bei lokalen als auch bei cloudbasierten Anwendungen.
Nachdem Anwendungen in den Microsoft Entra-Katalog integriert wurden, können Benutzer*innen die ihnen zugewiesenen Apps anzeigen und suchen und bei Bedarf auch weitere Apps anfordern. Microsoft Entra ID bietet mehrere Methoden für den Zugriff auf Apps durch Benutzer*innen:
- Portal „Meine Apps“
- Microsoft 365-App-Launcher
- Direkte Anmeldung bei Verbund-Apps
- Links für die direkte Anmeldung
Weitere Informationen zum Benutzerzugriff auf Apps finden Sie in Schritt 3.
Migrieren von Apps aus Active Directory-Verbunddienste (AD FS) zu Microsoft Entra ID
Durch das Migrieren der Konfiguration des einmaligen Anmeldens von Active Directory-Verbunddienste (AD FS) zu Microsoft Entra ID erhalten Sie zusätzliche Funktionen für die Sicherheit, eine noch konsistentere Verwaltung und Möglichkeiten zur Zusammenarbeit. Für optimale Ergebnisse wird empfohlen, dass Sie Ihre Apps von AD FS zu Microsoft Entra ID migrieren. Das Migrieren von Anwendungsauthentifizierung und -autorisierung zu Microsoft Entra ID bietet die folgenden Vorteile:
- Kostenmanagement
- Risikomanagement
- Mehr Produktivität
- Erfüllung von Compliance und Governance
Ermöglichen des sicheren Remotezugriffs auf Apps
Der Microsoft Entra-Anwendungsproxy bietet eine einfache Lösung, mit der Organisationen lokale Apps für Remotebenutzer*innen, die Zugriff auf interne Apps benötigen, auf sichere Weise in der Cloud veröffentlichen können. Nach dem Anmelden per SSO bei Microsoft Entra ID können Benutzer*innen über externe URLs oder das Portal „Meine Apps“ sowohl auf Cloudanwendungen als auch auf lokale Anwendungen zugreifen.
Der Microsoft Entra-Anwendungsproxy bietet die folgenden Vorteile:
- Erweitern von Microsoft Entra ID auf lokale Ressourcen
- Sicherheit und Schutz auf Cloud-Ebene
- Einfach zu aktivierende Features wie bedingter Zugriff und mehrstufige Authentifizierung
- Keine Komponenten im Umkreisnetzwerk wie z. B. VPN- und herkömmliche Reverseproxylösungen erforderlich
- Keine Notwendigkeit eingehender Verbindungen
- Einmaliges Anmelden (SSO) für Geräte, Ressourcen und Apps in der Cloud und lokal
- Ermöglichen von zeit- und ortsunabhängigem produktivem Arbeiten für Endbenutzer
Entdecken von Schatten-IT mit Microsoft Defender-für-Cloud-Apps
In modernen Unternehmen sind die IT-Abteilungen häufig nicht über alle Cloudanwendungen unterrichtet, die Benutzer*innen für ihre Arbeit verwenden. Wenn IT-Administratoren gefragt werden, wie viele Cloud-Apps ihrer Meinung nach von ihren Mitarbeitern verwendet werden, sagen sie im Durchschnitt: 30 bis 40. Tatsächlich liegt der Durchschnitt bei über 1.000 separaten Apps, die von Mitarbeitern in Ihrer Organisation genutzt werden. 80 % der Mitarbeiter verwenden nicht sanktionierte Apps, die von niemandem überprüft wurden und die möglicherweise nicht Ihren Sicherheits- und Compliancerichtlinien entsprechen.
Microsoft Defender for Cloud Apps kann Ihnen dabei helfen, nützliche Apps zu identifizieren, die bei den Benutzer*innen beliebt sind. Diese können dann von der IT genehmigt und in Microsoft Entra ID integriert werden, damit Benutzer*innen von Funktionen wie SSO und bedingtem Zugriff profitieren können.
„Mit Defender for Cloud Apps können wir sicherstellen, dass unsere Mitarbeiter unsere Cloud- und SaaS-Anwendungen ordnungsgemäß nutzen. Die verfügbaren Möglichkeiten unterstützen unsere grundlegenden Sicherheitsrichtlinien zum Schutz von Accenture.“ --- John Blasi, Managing Director, Information Security, Accenture
Microsoft Defender for Cloud Apps kann nicht nur Schatten-IT erkennen, sondern auch die Risikostufe von Apps ermitteln, nicht autorisierte Zugriffe auf Unternehmensdaten verhindern, mögliche Datenlecks erkennen und andere Sicherheitsrisiken in Anwendungen aufdecken.
Schritt 2: Automatisches Einrichten einer Identität für jeden Benutzer
Das Zusammenführen von lokalen und cloudbasierten Verzeichnissen in einer Microsoft Entra-Hybrididentitätslösung ermöglicht es Ihnen, Ihre Investitionen in Ihr lokales Active Directory weiter zu nutzen, indem Sie Ihre vorhandenen Identitäten in der Cloud bereitstellen. Die Lösung synchronisiert die lokalen Identitäten mit Microsoft Entra ID. Gleichzeitig behält das IT-Team das lokale Active Directory mit vorhandenen Governancelösungen bei und nutzt es als primäre Quelle für die Bestätigung von Identitäten. Die Microsoft Entra-Hybrididentitätslösung von Microsoft deckt sowohl lokale als auch cloudbasierte Funktionen ab. Damit wird eine gemeinsame Benutzeridentität für die standortunabhängige Authentifizierung und Autorisierung gegenüber allen Ressourcen erstellt.
Integrieren Sie Ihre lokalen Verzeichnisse in Microsoft Entra ID, damit Ihre Benutzer*innen produktiver arbeiten können. Verhindern Sie, dass Benutzer*innen mehrere Konten für verschiedene Apps und Dienste verwenden, indem Sie eine gemeinsame Identität für den Zugriff auf Ressourcen sowohl in der Cloud als auch in der lokalen Umgebung bereitstellen. Die Verwendung mehrerer Konten stellt ein Problem für Endbenutzer und IT gleichermaßen dar. Aus Sicht der Endbenutzer bedeuten mehrere Konten auch, dass sie sich mehrere Kennwörter merken müssen. Um dies zu vermeiden, verwenden viele Benutzer dasselbe Kennwort für alle Konten – was vom Standpunkt der Sicherheit schlecht ist. Aus Sicht der IT führt die Wiederverwendung meist zu häufigeren Anforderungen für die Kennwortzurücksetzung und treibt damit die Kosten für den Helpdesk sowie die Anzahl der Beschwerden von Endbenutzern in die Höhe.
Microsoft Entra Connect ist das Tool, mit dem Ihre lokalen Identitäten mit Microsoft Entra ID synchronisiert werden, die dann für den Zugriff auf integrierte Anwendungen verwendet werden können. Sobald die Identitäten in Microsoft Entra ID enthalten sind, können sie für SaaS-Anwendungen wie Salesforce oder Concur bereitgestellt werden.
In diesem Abschnitt werden einige Empfehlungen für die Bereitstellung von Hochverfügbarkeit, für eine moderne Authentifizierung in der Cloud und für die Reduzierung des lokalen Aufwands aufgeführt.
Hinweis
Weitere Informationen zu Microsoft Entra Connect finden Sie unter Was ist Microsoft Entra Connect-Synchronisierung?.
Einrichten und Aktualisieren eines Stagingservers für Microsoft Entra Connect
Microsoft Entra Connect spielt eine wichtige Rolle bei der Bereitstellung. Wenn der Server, auf dem Microsoft Entra Connect ausgeführt wird, aus irgendeinem Grund offline geschaltet wird, werden lokale Änderungen nicht in der Cloud aktualisiert, was zu Zugriffsproblemen für die Benutzer*innen führt. Es ist wichtig, eine Failoverstrategie zu definieren, die es Administrator*innen ermöglicht, die Synchronisierung schnell fortzusetzen, nachdem der Microsoft Entra Connect-Server offline geschaltet wurde.
Für Hochverfügbarkeit wird bei einem Ausfall des primären Microsoft Entra Connect-Servers empfohlen, einen separaten Stagingserver für Microsoft Entra Connect bereitzustellen. Mit einem Server im Stagingmodus können Sie Änderungen an der Konfiguration vornehmen und eine Vorschau der Änderungen anzeigen, bevor Sie den Server aktiv schalten. Ein Server im Stagingmodus ermöglicht es Ihnen außerdem, einen vollständigen Import und eine vollständige Synchronisierung durchzuführen und so sicherzustellen, dass alle Änderungen wie erwartet durchgeführt werden, bevor Sie die Änderungen in Ihrer Produktionsumgebung implementieren. Durch Bereitstellen eines Stagingservers können Administrator*innen diesen durch eine einfache Konfigurationsoption zum Produktionsserver heraufstufen. Indem Sie einen Standbyserver im Stagingmodus konfigurieren, können Sie auch schnell einen neuen Server in Betrieb nehmen, wenn der alte außer Dienst gestellt wird.
Tipp
Microsoft Entra Connect wird regelmäßig aktualisiert. Aus diesem Grund wird dringend empfohlen, einen Stagingserver auf dem neuesten Stand zu halten, um von Leistungsverbesserungen, Fehlerbehebungen und neuen Funktionen zu profitieren, die jede neue Version bietet.
Aktivieren der Cloudauthentifizierung
Organisationen mit lokalem Active Directory sollten ihr Verzeichnis mithilfe von Microsoft Entra Connect auf Microsoft Entra ID erweitern und die entsprechende Authentifizierungsmethode konfigurieren. Das Auswählen einer geeigneten Authentifizierungsmethode für Ihre Organisation ist der erste Schritt Ihrer Journey zum Verschieben von Apps in die Cloud. Sie stellt eine wichtige Komponente dar, da sie den Zugriff auf alle Clouddaten und -ressourcen steuert.
Die einfachste und empfohlene Methode zum Aktivieren der Cloudauthentifizierung für lokale Verzeichnisobjekte in Microsoft Entra ID ist die Kennworthashsynchronisierung (Password Hash Synchronization, PHS). Einige Organisationen können auch das Aktivieren der Pass-Through-Authentifizierung (PTA) in Betracht ziehen.
Unabhängig davon, ob Sie sich für PHS oder PTA (Passthrough-Authentifizierung) entscheiden, sollten Sie unbedingt auch SSO in Betracht ziehen, damit Benutzer*innen auf Apps zugreifen können, ohne ständig ihren Benutzernamen und ihr Kennwort eingeben zu müssen. Einmaliges Anmelden kann mit hybrid in Microsoft Entra eingebundenen oder in Microsoft Entra eingebundenen Geräten erreicht werden, während der Zugriff auf lokale Ressourcen beibehalten wird. Bei Geräten, die nicht in Microsoft Entra eingebunden werden können, bietet das nahtlose einmalige Anmelden (Seamless Single Sign-On, Seamless SSO) dieselbe Funktionalität. Ohne einmaliges Anmelden müssen sich die Benutzer anwendungsspezifische Kennwörter merken und sich für jede Anwendung anmelden. Ebenso müssen IT-Mitarbeiter Benutzerkonten für jede Anwendung (z. B. Microsoft 365, Box und Salesforce) erstellen und aktualisieren. Benutzer müssen sich ihre Kennwörter merken und außerdem Zeit für die Anmeldung bei jeder Anwendung aufbringen. Ein standardisiertes Verfahren für das einmalige Anmelden im gesamten Unternehmen ist nicht nur für eine optimale Benutzererfahrung wichtig, sondern auch für das Verringern von Risiken, das Erstellen von Berichten und die Governance.
Falls Organisationen bereits AD FS oder einen anderen lokalen Authentifizierungsanbieter nutzen, können sie durch einen Umstieg auf Microsoft Entra ID als Identitätsanbieter die Komplexität verringern und die Verfügbarkeit steigern. Wenn keine speziellen Anwendungsfälle für die Verwendung eines Verbunds vorhanden sind, empfehlen wir die Migration von der Verbundauthentifizierung zu PHS oder PTA. So können Sie von einem geringeren Ressourcenaufwand im lokalen System und gleichzeitig von der Flexibilität der Cloud profitieren und Ihren Benutzer*innen ein verbessertes Benutzererlebnis bieten. Weitere Informationen finden Sie unter Migrieren vom Verbund zur Kennworthashsynchronisierung für Microsoft Entra ID.
Aktivieren der automatischen Bereitstellung von Konten
Das Aktivieren der automatischen Bereitstellung und Bereitstellungsaufhebung in Ihren Anwendungen ist die beste Strategie für die Verwaltung des Lebenszyklus von Identitäten über mehrere Systeme hinweg. Microsoft Entra ID unterstützt die automatisierte, richtlinienbasierte Bereitstellung und Bereitstellungsaufhebung von Benutzerkonten für eine Vielzahl beliebter SaaS-Anwendungen wie z. B. ServiceNow und Salesforce sowie anderen, die das SCIM 2.0-Protokoll implementieren. Im Gegensatz zu herkömmlichen Bereitstellungslösungen, die benutzerdefinierten Code oder das manuelle Hochladen von CSV-Dateien erfordern, wird der Bereitstellungsdienst in der Cloud gehostet. Er bietet vorab integrierte Connectors, die über das Microsoft Entra Admin Center eingerichtet und verwaltet werden können. Ein wichtiger Vorteil der automatischen Aufhebung von Bereitstellungen ist, dass Ihre Organisation besser geschützt wird, da Benutzeridentitäten sofort aus wichtigen SaaS-Apps entfernt werden können, wenn die zugehörigen Benutzer die Organisation verlassen.
Weitere Informationen zur automatischen Bereitstellung von Benutzerkonten finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Microsoft Entra ID.
Schritt 3: Sicheres Unterstützen Ihrer Benutzer
An heutigen digitalen Arbeitsplätzen ist es besonders wichtig, Sicherheit und Produktivität in Einklang zu bringen. Benutzer*innen lehnen jedoch häufig Sicherheitsmaßnahmen ab, die ihre Produktivität und ihren Zugriff auf Apps verlangsamen. Um dieses Problem zu umgehen, bietet Microsoft Entra ID Self-Service-Funktionen, mit denen Benutzer*innen produktiv bleiben können, während gleichzeitig der Verwaltungsaufwand minimiert wird.
In diesem Abschnitt werden Empfehlungen für das Beheben der Konflikte zwischen der Unterstützung der Benutzer und der Sicherheit der ganzen Organisation aufgeführt.
Aktivieren der Self-Service-Kennwortzurücksetzung für alle Benutzer
Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) von Azure bietet für IT-Administratoren eine einfache Methode, Benutzern das Zurücksetzen und Entsperren ihrer Kennwörter oder Konten zu ermöglichen, ohne dass ein Administrator eingreifen muss. Das System verfügt über eine ausführliche Berichterstellung, bei der der Benutzerzugriff auf das System nachverfolgt wird, sowie über eine Benachrichtigungsfunktion, mit der Sie über eine fehlerhafte oder missbräuchliche Nutzung informiert werden.
Standardmäßig werden bei einer Kennwortzurücksetzung Konten von Microsoft Entra ID entsperrt. Wenn Sie jedoch die lokale Integration von Microsoft Entra Connect aktivieren, können Sie diese beiden Vorgänge auch trennen. So können Benutzer*innen ihr Konto entsperren, ohne ihr Kennwort zurücksetzen zu müssen.
Sicherstellen, dass alle Benutzer für MFA und SSPR registriert sind
Azure stellt Berichte bereit, mit denen Organisationen sicherstellen können, dass Benutzer*innen für MFA (Multifaktor-Authentifizierung) und SSPR (Self-Service-Kennwortzurücksetzung) registriert sind. Benutzer, die nicht registriert wurden, müssen möglicherweise über den Vorgang informiert werden.
Der Bericht zu MFA-Anmeldungen enthält Informationen zur MFA-Nutzung, und er bietet Ihnen Einblicke in die Funktionsweise von MFA in Ihrem Unternehmen. Der Zugriff auf Anmeldeaktivitäten (sowie Überwachungen und Risikoerkennungen) für Microsoft Entra ID ist für die Problembehandlung, Nutzungsanalysen und forensische Untersuchungen von entscheidender Bedeutung.
Ebenso kann der Bericht zur Self-Service-Kennwortverwaltung verwendet werden, um zu bestimmen, wer für SSPR registriert ist (und wer noch nicht).
Self-Service-App-Verwaltung
Damit Ihre Benutzer*innen über ihren Zugriffsbereich Anwendungen selbst ermitteln können, müssen Sie den Self-Service-Anwendungszugriff für alle Anwendungen aktivieren, bei denen Sie Benutzer*innen ermöglichen möchten, diese selbst zu ermitteln und Zugriff darauf anfordern zu können. Diese Anforderung kann optional eine Genehmigung erfordern, bevor Zugriff gewährt wird.
Self-Service-Gruppenverwaltung
Das Zuweisen von Benutzern zu Anwendungen erfolgt am besten mithilfe von Gruppen, da sie mehr Flexibilität sowie die Möglichkeit zu einer bedarfsorientierten Verwaltung bieten:
- Attributbasiert mithilfe dynamischer Gruppenmitgliedschaften
- Delegierung an App-Besitzer
Microsoft Entra ID bietet die Möglichkeit, den Zugriff auf Ressourcen mithilfe von Sicherheitsgruppen und erstellen und Microsoft 365-Gruppen zu verwalten. Diese Gruppen werden von Gruppenbesitzer*innen verwaltet, die Mitgliedschaftsanforderungen genehmigen oder ablehnen und die Steuerung der Gruppenmitgliedschaft delegieren können. Dieses als Self-Service-Gruppenverwaltung bezeichnete Feature spart Zeit, da sie es Gruppenbesitzer*innen ohne zugewiesene Administratorrolle ermöglicht, Gruppen zu erstellen und zu verwalten, ohne dass Administrator*innen ihre Anforderungen verarbeiten müssen.
Schritt 4: Operationalisieren Ihrer Erkenntnisse
Überwachung und Protokollierung von sicherheitsbezogenen Ereignissen und den zugehörigen Warnungen sind grundlegende Komponenten einer effizienten Strategie, um sicherzustellen, dass Benutzer produktiv bleiben und Ihre Organisation sicher ist. Sicherheitsprotokolle und -berichte können u. a. folgende Fragen beantworten:
- Nutzen Sie, wofür Sie bezahlen?
- Werden verdächtige oder böswillige Aktivitäten unter meinem Mandanten durchgeführt?
- Wer war von einem Sicherheitsvorfall betroffen?
Sicherheitsprotokolle und -berichte stellen eine elektronische Aufzeichnung von Aktivitäten dar und helfen Ihnen beim Erkennen von Mustern, die auf versuchte oder erfolgreiche Angriffe hinweisen können. Sie können im Rahmen der Überwachung entsprechende Benutzeraktivitäten überwachen, die Einhaltung gesetzlicher Bestimmungen dokumentieren, forensische Analysen durchführen und vieles mehr. Warnungen benachrichtigen Sie bei Sicherheitsereignissen.
Zuweisen der Administratorrollen mit den geringsten Berechtigungen für Vorgänge
Bei den Überlegungen zur Vorgehensweise beim Betrieb sind verschiedene Administrationsebenen zu berücksichtigen. Auf der ersten Ebene liegt der Verwaltungsaufwand bei Ihren Hybrididentitätsadministratoren. In kleineren Unternehmen kann es sinnvoll sein, immer die Rolle „Hybrididentitätsadministrator“ zu verwenden. In größeren Organisationen mit Helpdesk- und Administratorteams, die für bestimmte Aufgaben zuständig sind, kann das Zuweisen der Rolle „Hybrididentitätsadministrator“ jedoch ein Sicherheitsrisiko darstellen, da Personen mit dieser Rolle Aufgaben übernehmen können, die über ihre eigentlichen Kompetenzen hinausgehen.
Sie sollten in diesem Fall eine weitere Ebene der Verwaltung in Betracht ziehen. Mithilfe von Microsoft Entra ID können Sie Benutzer*innen als „Administratoren mit eingeschränkten Rechten“ festlegen, die Aufgaben in Rollen mit weniger Rechten verwalten können. Sie könnten beispielsweise Ihrem Helpdeskpersonal die Rolle Benutzer mit Leseberechtigung für Sicherheitsfunktionen zuweisen, um ihnen die Möglichkeit zum Verwalten von sicherheitsbezogenen Funktionen mit schreibgeschütztem Zugriff zu gewähren. Möglicherweise ist es auch sinnvoll, Personen die Rolle Authentifizierungsadministrator zuzuweisen, um ihnen die Möglichkeit zum Zurücksetzen von Anmeldeinformationen (ohne Kennwörter) oder zum Lesen und Konfigurieren von Azure Service Health zu gewähren.
Weitere Informationen finden Sie unter Berechtigungen der Administratorrolle in Microsoft Entra ID.
Überwachen von Hybridkomponenten (Microsoft Entra Connect-Synchronisierung, AD FS) mithilfe von Microsoft Entra Connect Health
Microsoft Entra Connect und AD FS sind wichtige Komponenten, die zu schwerwiegenden Fehlern bei der Lebenszyklusverwaltung und Authentifizierung und damit letztlich zu Ausfällen führen können. Aus diesem Grund sollten Sie Microsoft Entra Connect Health bereitstellen, um diese Komponenten überwachen und zugehörige Berichte erstellen zu können.
Weitere Informationen finden Sie unter Überwachen von AD FS mithilfe von Microsoft Entra Connect Health.
Verwenden von Azure Monitor zum Erfassen von Datenprotokollen für die Analyse
Azure Monitor ist ein zentrales Überwachungsportal für alle Microsoft Entra-Protokolle, das umfassende Erkenntnisse, erweiterte Analysen und intelligentes maschinelles Lernen bietet. Mit Azure Monitor können Sie Metriken und Protokolle im Portal und über APIs nutzen, um weiterführende Einblicke in den Zustand und die Leistung Ihrer Ressourcen zu erhalten. Der Dienst bietet eine zentrale Benutzeroberfläche im Portal und aktiviert gleichzeitig eine Vielzahl von Produktintegrationen über APIs und Datenexportoptionen, über die auch traditionelle SIEM-Systeme von Drittanbietern unterstützt werden. Darüber hinaus bietet Ihnen Azure Monitor die Möglichkeit, Warnungsregeln zu konfigurieren, um bei Problemen mit Ihren Ressourcen benachrichtigt zu werden oder automatisierte Aktionen auszuführen.
Erstellen benutzerdefinierter Dashboards für Ihre Führungsebene und Ihre tägliche Arbeit
Organisationen, die nicht über eine SIEM-Lösung verfügen, können Azure Monitor-Arbeitsmappen für Microsoft Entra ID verwenden. Die Integration enthält vorkonfigurierte Arbeitsmappen und Vorlagen, mit denen Sie besser erkennen können, wie Ihre Benutzer*innen Microsoft Entra-Features verwenden. Damit erhalten Sie Einblicke in alle Aktivitäten in Ihrem Verzeichnis. Sie können auch eigene Arbeitsmappen erstellen und für Ihre Vorgesetzten freigeben, um diese über alltägliche Aktivitäten zu informieren. Arbeitsmappen eignen sich hervorragend dafür, Ihr Business zu überwachen und Ihre wichtigsten Metriken im Blick zu behalten.
Verstehen der Gründe für Supportanfragen
Sie sollten beim Implementieren einer Hybrididentitätslösung, wie der in diesem Artikel beschriebenen, letztendlich einen Rückgang bei Ihren Supportanfragen feststellen. Häufig auftretende Probleme wie z. B. vergessene Kennwörter und Kontosperrungen werden durch die Implementierung der Self-Service-Kennwortzurücksetzung von Azure reduziert. Gleichzeitig erlaubt die Aktivierung des Self-Service-Anwendungszugriffs Benutzern die selbstständige Ermittlung und Anforderung des Zugriffs auf Anwendungen – ohne auf die IT-Abteilung angewiesen zu sein.
Falls Sie keinen Rückgang der Supportanfragen feststellen, sollten Sie die Ursachen für diese Anfragen analysieren, um zu überprüfen, ob SSPR oder der Self-Service-Anwendungszugriff ordnungsgemäß konfiguriert wurden oder ob andere neue Probleme auftreten, die systematisch behandelt werden können.
„Wir benötigten bei unserer Digitalisierung einen zuverlässigen Identitäts- und Zugriffsverwaltungsanbieter, um eine nahtlose, aber gleichzeitig sichere Integration zwischen uns, unseren Partnern und Clouddienstanbietern in einem effizienten Ökosystem umzusetzen. Microsoft Entra ID war die beste Option, da es die nötigen Funktionen und die Einblicke bot, die es uns ermöglicht haben, Risiken zu erkennen und darauf zu reagieren.“ --- Yazan Almasri, Global Information Security Director, Aramex
Überwachen der Nutzung von Apps für Erkenntnisse
Neben der Ermittlung von Schatten-IT kann die Überwachung der App-Nutzung in Ihrer Organisation mit Microsoft Defender-für-Cloud-Apps auch dabei helfen, sämtliche Vorteile eines Umstiegs Ihrer Organisation auf Cloudanwendungen zu nutzen. Sie behalten durch verbesserten Einblick in Aktivitäten volle Kontrolle über Ihre Ressourcen und können den Schutz wichtiger Daten in Cloudanwendungen erhöhen. Das Überwachen der App-Nutzung in Ihrer Organisation mithilfe von Defender-für-Cloud-Apps hilft Ihnen bei der Beantwortung der folgenden Fragen:
- Welche nicht sanktionierten Apps nutzen die Mitarbeiter zum Speichern von Daten?
- Wo und wann werden vertrauliche Daten in der Cloud gespeichert?
- Wer greift auf vertrauliche Daten in der Cloud zu?
„Mit Defender für Cloud-Apps können wir Anomalien schnell erkennen und Maßnahmen ergreifen.“ --- Eric LePenske, Senior Manager, Information Security, Accenture
Zusammenfassung
Bei der Implementierung einer Hybrididentitätslösung sind viele Aspekte zu berücksichtigen. Diese Checkliste mit ihren vier Schritten hilft Ihnen aber dabei, schnell eine Identitätsinfrastruktur umzusetzen, mit der Benutzer*innen noch produktiver und sicherer arbeiten können.
- Einfaches Verbinden mit Apps
- Automatisches Einrichten einer Identität für jeden Benutzer
- Sicheres Unterstützen Ihrer Benutzer
- Operationalisieren Ihrer Erkenntnisse
Wir hoffen, dass dieses Dokument eine nützliche Roadmap für die Einrichtung einer sicheren Identitätsbasis für Ihre Organisation darstellt.
Identitätscheckliste
Wir empfehlen Ihnen, die folgende Checkliste zur Referenz auszudrucken, damit Sie sie bei Ihrer Journey zu einer stabilen Identitätsgrundlage für Ihre Organisation nutzen können.
Heute
| Fertig? | Element |
|---|---|
| Pilotversuch für Self-Service-Kennwortzurücksetzung (SSPR, Self-Service Password Reset) für eine Gruppe | |
| Überwachen von Hybridkomponenten mithilfe von Microsoft Entra Connect Health | |
| Zuweisen der Administratorrollen mit den geringsten Berechtigungen für den Betrieb | |
| Entdecken von Schatten-IT mit Microsoft Defender-für-Cloud-Apps | |
| Verwenden von Azure Monitor zum Erfassen von Datenprotokollen für die Analyse |
Nächste zwei Wochen
| Fertig? | Element |
|---|---|
| Verfügbarmachen einer App für Ihre Benutzer | |
| Pilotversuch für die Microsoft Entra-Bereitstellung für eine beliebige SaaS-App | |
| Einrichten und Aktualisieren eines Stagingservers für Microsoft Entra Connect | |
| Starten der Migration von Apps von AD FS zu Microsoft Entra ID | |
| Erstellen benutzerdefinierter Dashboards für Ihre Führungsebene und Ihre tägliche Arbeit |
Nächster Monat
| Fertig? | Element |
|---|---|
| Überwachen der Nutzung von Apps für Erkenntnisse | |
| Pilotversuch für sicheren Remotezugriff auf Apps | |
| Sicherstellen, dass alle Benutzer für MFA und SSPR registriert sind | |
| Aktivieren der Cloudauthentifizierung |
Nächste drei Monate
| Fertig? | Element |
|---|---|
| Aktivieren der Self-Service-App-Verwaltung | |
| Aktivieren der Self-Service-Gruppenverwaltung | |
| Überwachen der Nutzung von Apps für Erkenntnisse | |
| Verstehen der Gründe für Supportanfragen |
Nächste Schritte
Erfahren Sie, wie Sie Ihren Sicherheitsstatus erhöhen können, indem Sie die Funktionen von Microsoft Entra ID und diese Fünf-Schritte-Checkliste verwenden: Fünf Schritte zum Sichern Ihrer Identitätsinfrastruktur.
Erfahren Sie, wie Identitätsfeatures in Microsoft Entra ID Ihnen dabei helfen können, den Übergang zur cloudgesteuerten Verwaltung zu beschleunigen. Diese Features stellen Lösungen und Funktionen bereit, mit denen Organisationen sich schnell anpassen und immer mehr ihrer Identitätsverwaltungsfeatures aus herkömmlichen lokalen Systemen in Microsoft Entra ID verlagern können: So stellt Microsoft Entra ID die über die Cloud gesteuerte Verwaltung für lokale Workloads bereit.