In der heutigen digitalen Welt ist der Schutz unserer Identität von entscheidender Bedeutung. Die Bedrohungen, denen wir online ausgesetzt sind, werden immer ausgefeilter und raffinierter, was die Sicherheit unserer Identität zu einer zentralen Herausforderung macht. Microsoft Entra ID Protection (Microsoft Entra ID-Schutz) bietet eine leistungsstarke Lösung, um diesen Herausforderungen zu begegnen.
Microsoft Entra ID Protection nutzt fortschrittliche Algorithmen und maschinelles Lernen, um Identitätsrisiken in Echtzeit zu erkennen, zu analysieren und zu beheben. Diese Technologie ermöglicht es, proaktiv auf Bedrohungen zu reagieren und die Sicherheit von Benutzerkonten zu gewährleisten. Durch die automatische Erkennung, Untersuchung und Beseitigung identitätsbasierter Risiken trägt Microsoft Entra ID Protection massgeblich zur Reduzierung von Sicherheitsvorfällen bei.
In diesem Blogartikel werden die wesentlichen Schritte zur erfolgreichen Implementierung von Microsoft Entra ID Protection erläutert. Er zeigt auf, wie diese Lösung genutzt wird, um die Sicherheit von Identitäten zu erhöhen und gleichzeitig die Benutzerfreundlichkeit zu bewahren, von der Konfiguration der Erkennungsrichtlinien bis hin zur automatischen Reaktion auf erkannte Bedrohungen.
Voraussetzungen und Lizenzierung
Lizenzen
Das Feature Microsoft Entra ID Protection benötigt eine Microsoft Entra ID P2 oder Microsoft Entra Suite Lizenz: Pläne und Preise für Microsoft Entra | Microsoft Security
Rollen
Für die Konfiguration und Verwaltung von Microsoft Entra ID Protection sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen vorgesehen:
Rolle | Berechtigung |
Sicherheitsadministrator | Vollzugriff auf Microsoft Entra ID Protection |
Sicherheitsoperator | Anzeigen aller Microsoft Entra ID Protection Berichte Bearbeiten von Benutzer- und Anmelderisiken Bestätigen von Kompromittierung |
Sicherheitsleseberechtigter | Anzeigen aller Microsoft Entra ID Protection Berichte |
Globaler Leser | Schreibgeschützter Zugriff auf Microsoft Entra ID Protection |
Benutzeradministrator | Zurücksetzen von Benutzerkennwörtern |
Administrator für den bedingten Zugriff | Konfiguration und Verwalten der bedingten Microsoft Entra-Zugriffsrichtlinien für Microsoft Entra ID Protection |
Detaillierte Angaben zu den Rollen können hier nachgelesen werden:
Microsoft Entra ID Protection – Erforderliche Rollen | Microsoft Learn
Multi-Faktor Authentifizierung (MFA)
Für die automatische Risikobereinigung empfiehlt sich die Multi-Faktor Authentifizierung. Benutzer können die Multi-Faktor Authentifizierung mit der folgenden Anleitung einrichten: Benutzeranleitung: Aktivierung Multi-Faktor Authentifizierung – cloudkaffee.ch
Bestehende Berichte prüfen
Vor Beginn der Konfiguration prüft man die vorhandenen Berichte zu Risikoerkennungen. Eine umfassende Erklärung zu den Informationen in diesen Berichten und den daraus resultierenden Massnahmen findet sich im folgenden Beitrag: Untersuchen von Risiken in Microsoft Entra ID Protection – Microsoft Entra ID Protection | Microsoft Learn
Die Berichte befinden sich im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Schutz > Identitätsschutz > Bericht
Bedingte Microsoft Entra-Zugriffsrichtlinien erstellen
Im Folgenden wird das Verhalten bei Anmelderisiko und Benutzerrisiko durch die Konfiguration der bedingten Microsoft Entra-Zugriffrichtlinien festgelegt. Abhängig von den eigenen Sicherheitsanforderungen kann es sinnvoll sein, für die unterschiedlichen Risikostufen eigene bedingte Microsoft Entra-Zugriffsrichtlinien zu erstellen. Zum Beispiel, eine hohe Risikostufe blockiert den Zugang, während eine mittlere Risikostufe eine erfolgreiche Multi-Faktor-Authentifizierung erfordert.
Anmelderisiko
Microsoft Entra ID Protection ermittelt für jede Anmeldung die Wahrscheinlichkeit, dass die Anfrage nicht autorisiert ist. Microsoft Entra ID Protection analysiert in Echtzeit verschiedene Signale und stuft das Anmelderisiko in die Kategorien kein Risiko, niedrig, mittel und hoch ein. Basierend auf dieser Einstufung legt die bedingte Microsoft Entra-Zugriffsrichtlinie den weiteren Verlauf des Anmeldeprozesses fest. Bei Bedarf kann zum Beispiel eine erfolgreiche Multi-Faktor-Authentifizierung erforderlich werden.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff öffnen und neue Richtlinie erstellen auswählen.
Name für die bedingte Microsoft Entra Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn
Benutzer und Gruppen für die Anwendung dieser Richtlinie auswählen. Notfallzugriffskonten (Emergency Accounts), Dienstkonten und Dienstprinzipale sollten ausgeschlossen werden.
Die Zielressourcen auf Alle Ressourcen (früher Alle Cloud-Apps) setzen, zwingend erforderliche Ausschlüsse können bei Bedarf hinzugefügt werden.
Unter Bedingungen die Risikostufen für das Anmelderisiko auswählen, auf die die Richtlinie angewendet wird.
Hohes Risiko: Es gibt klare Hinweise darauf, dass die Anmeldung kompromittiert ist oder eine Bedrohung darstellt. Die Gefahr ist akut, und Microsoft stuft die Anmeldung als potenziell von einem Angreifer stammend ein.
Mittleres Risiko: Es gibt verdächtige, aber nicht eindeutige Hinweise, dass die Anmeldung riskant sein könnte. Die Bedrohung ist möglicherweise real, aber nicht als sicher kompromittiert einzustufen.
Niedriges Risiko: Die Anmeldung weist leichte Anomalien auf, die potenziell verdächtig sein könnten, jedoch keine ernsthafte Bedrohung darstellen. Es könnte sich um legitime Abweichungen im Verhalten handeln.
Kein Risiko: Diese Stufe zeigt an, dass keine ungewöhnlichen oder verdächtigen Aktivitäten festgestellt wurden. Der Anmeldeversuch weist keine Anomalien auf und entspricht den üblichen Mustern, die mit dem Konto verbunden sind. Microsoft betrachtet den Zugriff in diesem Fall als sicher und vertrauenswürdig.
Unter Gewähren wird festgelegt, welche Zugriffserzwingung durch diese Richtlinie greift. In diesem Beispiel wird die erfolgreiche Durchführung der Multi-Faktor-Authentifizierung (MFA) gefordert.
Unter Sitzung die Anmeldehäufigkeit auf Jedes Mal setzen.
Richtlinie mit Ein aktivieren und Erstellen speichern.
Die Richtlinie wurde erfolgreich erstellt und reagiert ab sofort auf das Anmelderisiko.
Benutzerrisiko
Das Benutzerrisiko bewertet die Wahrscheinlichkeit, dass ein Benutzerkonto kompromittiert ist. Microsoft Entra ID Protection analysiert verschiedene Signale und Verhaltensmuster und berechnet daraus eine Risikostufe (kein Risiko, niedrig, mittel oder hoch). Auf Basis dieser Informationen können die bedingten Microsoft Entra-Zugriffsrichtlinien zusätzliche Sicherheitsmassnahmen erzwingen.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff öffnen und neue Richtlinie erstellen auswählen.
Name für die bedingte Microosft Entra-Zugriffsrichtlinie vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn
Benutzer und Gruppen für die Anwendung dieser Richtlinie auswählen. Notfallzugriffskonten (Emergency Accounts), Dienstkonten und Dienstprinzipale sollten ausgeschlossen werden.
Die Zielressourcen auf Alle Ressourcen (früher Alle Cloud-Apps) setzen, zwingend erforderliche Ausschlüsse können bei Bedarf hinzugefügt werden.
Unter Bedingungen die Risikostufen für das Benutzerrisiko auswählen, auf die die Richtlinie angewendet wird.
Hohes Risiko: Es gibt eindeutige Hinweise, dass das Benutzerkonto kompromittiert wurde. Das Konto ist einer akuten und ernsthaften Bedrohung ausgesetzt.
Mittleres Risiko: Es gibt Hinweise, dass das Konto gefährdet sein könnte, aber keine eindeutigen Beweise für eine vollständige Kompromittierung. Das Risiko ist nicht kritisch, erfordert aber Überwachung und Prävention.
Niedriges Risiko: Es gibt leichte Anzeichen, dass das Konto potenziell gefährdet sein könnte. Meist handelt es sich um kleinere Abweichungen, die legitime Ursachen haben könnten.
Unter Gewähren wird festgelegt, welche Zugriffserzwingung durch diese Richtlinie greift. In diesem Beispiel wird die Änderung den Kennworts gefordert.
Unter Sitzung die Anmeldehäufigkeit auf Jedes Mal setzen.
Richtlinie mit Ein aktivieren und Erstellen speichern.
Die Richtlinie wurde erfolgreich erstellt und reagiert ab sofort auf das Benutzerrisiko.
Benachrichtigungen
Microsoft Entra ID Protection versendet Benachrichtigungen über gefährdete Benutzer per E-Mail. Standardmässig werden Benutzer mit einer gültigen Emailadresse der folgenden Rollen automatisch dieser Benachrichtigungsliste hinzugefügt:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
Zudem wird einmal wöchentlich eine Zusammenfassung per E-Mail versendet. Diese Standardeinstellungen können an die eigenen Bedürfnisse angepasst werden.
Warnungen zu erkannten gefährdeten Benutzer
Email-Empfänger für erkannte gefährdete Benutzer werden im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Schutz > Identitätsschutz > Warnungen zu erkannten gefährdeten Benutzern (1) verwaltet. Ebenso kann die Risikostufe (2) festgelegt werden, ab der eine Warnung per E-Mail versendet wird.
Die Email für die Warnung eines erkannten gefährdeten Benutzers sieht wie folgt aus:
Wöchentliche Zusammenfassung
Eine Zusammenfassung der neu erkannten Risiken wird wöchentlich versendet. Email-Empfänger für erkannte gefährdete Benutzer werden im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Schutz > Identitätsschutz > Wöchentliche Übersicht (1) verwaltet.
Soll auf diese Benachrichtigung verzichtet werden, kann der Versand deaktiviert (2) werden.
Die Email für die wöchentliche Zusammenfassung sieht wie folgt aus:
Funktionskontrolle
Die folgenden Simulationen überprüfen effektiv die zuvor erstellten bedingten Microsoft Entra-Zugriffsrichtlinien und erfordern dabei nur minimalen Aufwand. Weitere Simulationsmöglichkeiten sind im folgenden Microsoft Learn Artikel beschrieben: Simulieren von Risikoerkennungen in Microsoft Entra ID Protection – Microsoft Entra ID Protection | Microsoft Learn
Anonyme IP-Adresse
Eine Simulation mit einer anonymen IP-Adresse lässt sich einfach und schnell mit dem Tor Browser durchführen.
- Tor Browser starten und https://aka.ms/myapps (Meine Apps Portal) aufrufen.
- Anmelden mit einem Konto durchführen, dass nicht für Multi-Faktor Authentifizierung registriert ist.
- Die Anmeldung wird nach rund 15 Minuten im Bericht Risikoerkennung angezeigt.
Ungewöhnliche Anmeldeeigenschaften
Für die Simulation einer ungewöhnlichen Anmeldung bestehen folgende Voraussetzungen:
- Ein Benutzerkonto mit mindestens einer 30 Tägigen, aktiven Anmeldehistorie
- Virtueller Computer, der noch nie mit diesem Benutzerkonto verwendet wurde
- Benutzerkonto hat die Multi-Faktor Authentifizierung registriert
- VPN um einen ungewöhnlichen Standort zu simulieren
Simulation durchführen
- VPN starten und sicherstellen, dass der Internetverkehr über einen neuen, für das Benutzerkonto ungewöhnlichen Standort geroutet wird.
- Browser auf virtuellem Computer starten und https://aka.ms/myapps (Meine Apps Portal) aufrufen.
- Anmeldung mit Benutzerkonto durchführen, die geforderte Multi-Faktor Authentifizierung absichtlich fehlerhaft abschliessen.
Die Anmeldung wird nach rund 15 Minuten im Bericht Risikoerkennung angezeigt.
Gut zu wissen
Legacy Risikorichtlinien ab 01. Oktober 2026 eingestellt
Bereits konfigurierte Legacy Risikorichtlinien werden am 01. Oktober 2026 eingestellt. Die Migration auf bedingte Microsoft Entra-Zugriffsrichtlinien ist ohne Unterbrechung möglich:
- Bedingte Microsoft Entra-Zugriffsrichtlinie für das Anmelderisiko erstellen.
- Bedingte Microsoft Entra-Zugriffsrichtlinie für das Benutzerrisiko erstellen.
- Bestehende Legacy Risikorichtlinien deaktivieren:
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Identitätsschutz > Benutzerrisiko-Richtlinie > Richtlinienerzwingung deaktivieren
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Identitätsschutz > Anmelderisiko-Richtlinie > Richtlinienerzwingung deaktivieren
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!