Privilegierte Rollen und Berechtigungen in Microsoft Entra ID ermöglichen die Verwaltung aller Aspekte von Microsoft Azure und Microsoft 365. Um Phishing und weitere Attacken zu erschweren, reicht ein sicheres Kennwort für privilegierte Microsoft Entra Rollen nicht mehr aus. Eine phishingresistente Multi-Faktor-Authentifizierung, wie FIDO2 Protokoll auf einen Sicherheitsschlüssel in Kombination mit Microsoft Entra Privileged Identity Management (PIM), erhöht die Sicherheit für den Microsoft Tenant und den Komfort für den Benutzer erheblich.

Inhaltsverzeichnis verbergen
1 Voraussetzungen und Lizenzierung
2 Authentifikationskontext erstellen
3 Richtlinie für bedingten Microsoft Entra Zugriff erstellen
4 Microsoft Entra Privileged Identity Management (PIM) einrichten
5 Konfiguration testen

Dieser Blog Post zeigt die Konfiguration von Microsoft Entra Privileged Identity Management (PIM) unter Verwendung von phishingresistenten FIDO2 Sicherheitsschlüsseln bei der Anforderung von privilegierten Microsoft Entra Rollen.

Voraussetzungen und Lizenzierung

Um phishingresistente Multi-Faktor-Authentifizierungen bei Anforderung von privilegierten Microsoft Entra Rollen umzusetzen, benötigt es Microsoft Entra Privileged Identity Management (PIM) und einen FIDO2 Sicherheitsschlüssel, z.B. ein YubiKey. Folgende Links zeigen bei Bedarf die Konfiguration dieser Voraussetzungen:

Authentifikationskontext erstellen

Ein Authentifikationskontext im bedingten Zugriff von Microsoft Entra ist eine Funktion, um eine zusätzliche Sicherheitsüberprüfung auszulösen, wenn Benutzer auf sensible Daten oder Aktionen zugreifen. Hierzu wird ein benutzerdefinierter Authentifikationskontext erstellt.

Microsoft Entra (https://entra.microsoft.com) > Protection > Conditional Access > Authentication contexts aufrufen und New authentication context anklicken.

Conditional Access new authentication context
  1. Name für den Authentifizierungskontext eingeben, z.B. Force-FIDO2
  2. Detaillierte Beschreibung eingeben, z.B. force phishing resistant sign-ins
  3. Speichern klicken
User defined authentication context

Der benutzerdefinierte Authentizierungskontext ist erstellt und wird unter Authentication contexts angezeigt.

Conditional Access show authentication context
Sponsored Links

Richtlinie für bedingten Microsoft Entra Zugriff erstellen

Der bedingte Microsoft Entra Zugriff erzwingt bei der Verwendung des zuvor erstellen Authentifizierungskontexts die phishingresistene Multi-Faktor-Authentifizierung.

Microsoft Entra (https://entra.microsoft.com) > Protection > Conditional Access > Policies > New policy

Conditional Access new policy

Name für Richtlinie eingeben, z.B. Force-FIDO2

Conditional Access enter name

Users auswählen und All users in die Richtlinie aufnehmen.
Gegebenenfalls Notfallzugriffskonten (Emergency Accounts) ausschliessen.

Conditional Access All users

Target resources auswählen

  1. Aufthentication context auswählen
  2. Zuvor erstellten Authentifizierungskontext aktivieren
Conditional Access Target resources

Grant auswählen und Require Authentication strength auf Phishing-resistant MFA setzen.

Conditional Access Grant Access

Richtlinie mit On aktivieren und Create speichern.

Conditional Access Enable policy

Die Richtlinie für das Erzwingen von phishingresistenter Multi-Faktor- Authentifizierung bei Verwendung des Authentifizierungskontexts ist eingerichtet.

Conditional Access show policies

Microsoft Entra Privileged Identity Management (PIM) einrichten

Die Anpassung der Konfiguration für die privilegierte Microsoft Entra Rolle wird nun vorgenommen. Diese Änderung führt dazu, dass eine phishingresistente Multi-Faktor-Authentifizierung erforderlich ist, wenn die Rolle angefordert wird. In diesem Artikel wird der Global Administrator mit einem YubiKey FIDO2 Sicherheitsschlüssel geschützt.

Microsoft Entra (https://entra.microsoft.com) > Identity governance > Privileged Identity Management > Microsoft Entra roles > Roles und Global Administrator auswählen

Privileged Identity Management Roles

Settings auswählen

Privileged Identity Settings

In den Details der Rolleneinstellungen auf Edit klicken

Privileged Identity Edit

Option Microsoft Entra Conditional Access authentication context aktivieren und den zuvor erstellten Authentifikationskontext wählen.
Änderung an der Rolleneinstellung mit Update speichern.

Privileged Identity Access authentication context

Während der Anforderung der privilegierten Rolle wird nun die Richtlinie des bedingten Microsoft Entra Zugriffs angewendet, welche auf den Authentifikationskontext konfiguriert ist.

Privileged Identity Settings

Konfiguration testen

Ein berechtigter Benutzer fordert über Microsoft Entra Privileged Identity Management (PIM) die privilegierte Rolle an. Die notwendigen Schritte für diesen Vorgang sind im nachfolgenden Link detailliert beschrieben: Microsoft Entra Privileged Identity Management (PIM): Azure Rollen durch Benutzer anfordern – cloudkaffee.ch

In diesem Beitrag ist die phishingresistente Multi-Faktor-Authentifizierung für die Microsoft Entra Rolle Global Administrator konfiguriert. Bei der Anforderung dieser privilegierten Rolle stellt die Richtlinie des bedingten Microsoft Entra Zugriffs sicher, dass eine phishingresistente Multi-Faktor-Authentifizierung durchgeführt werden muss.

Die phishingresistente Multi-Faktor-Authentifizierung wird mit Klick auf die Meldung A Conditional Access policy is enabled and may require additional verification. Click to continue ausgeführt.

Testing the configuration

Nach der erfolgreichen Authentifizierung mit einer phishingresistenten Multi-Faktor-Authentifizierung, z.B. ein YubiKey FIDO2 Sicherheitsschlüssel, kann die privilegierte Microsoft Entra Rolle Global Administrator angefordert werden.

Testing the configuration Activate Role

Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Auf LinkedIn folgen

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Duft eines frisch gebrühten Kaffees für mich!

Buy me a coffee

Sponsored Links