Mitarbeiter haben oft Zugriff auf sensible Daten, auch wenn sie von unterwegs oder zu Hause
arbeiten. Daher sind Firmen gut beraten, Risiken bereits im Vorfeld zu minimieren. Entra ID Governance ermöglicht die Verwaltung und Kontrolle von Identitäten und Zugriffsrechten. Dabei deckt der Dienst den gesamten Lebenszyklus von Identitäten ab, insbesondere in Azure und Entra ID. Im ersten Teil der Workshopserie haben wir uns die Lizenzierung und grundlegende Berechtigungsverwaltung angeschaut. Im zweiten und abschließenden Teil gehen wir ins Detail und richten den Conditional Access sowie den Zugriff auf Multicloud-Umgebungen ein.
Unternehmen, die sich für Entra ID Premium P2 entscheiden, haben parallel zu Identity Governance Zugriff auf weitere Sicherheitsfunktionen, die mit Entra ID Identity Governance zusammenspielen. Dazu gehören die Erkennung von Schwachstellen und riskanten Konten sowie die Untersuchung von Risikoereignissen und risikobasierte Richtlinien für bedingten Zugriff auf Azure-Ressourcen. Entra ID Identity Protection ist ein weiteres Feature in Entra ID Premium P2, und auch der bedingte Zugriff (Conditional Access) sind ein Bestandteil.
Entra ID Protection verwendet eine Kombination aus automatisch generierten, von Experten erstellten und von Endbenutzern festgelegten Signalen zur Erkennung von Risiken. Diese Mechanismen arbeiten zusammen, um ein Bedrohungserkennungssystem bereitzustellen. Automatisch generierte Signale basieren hauptsächlich auf maschinellen Lernmodellen, die verschiedene Eigenschaften von Anmeldeversuchen analysieren. Zu diesen Aspekten gehören Fragen wie:
- ob die Anmeldung zu einer ungewöhnlichen Zeit erfolgt,
Unternehmen, die sich für Entra ID Premium P2 entscheiden, haben parallel zu Identity Governance Zugriff auf weitere Sicherheitsfunktionen, die mit Entra ID Identity Governance zusammenspielen. Dazu gehören die Erkennung von Schwachstellen und riskanten Konten sowie die Untersuchung von Risikoereignissen und risikobasierte Richtlinien für bedingten Zugriff auf Azure-Ressourcen. Entra ID Identity Protection ist ein weiteres Feature in Entra ID Premium P2, und auch der bedingte Zugriff (Conditional Access) sind ein Bestandteil.
Entra ID Protection verwendet eine Kombination aus automatisch generierten, von Experten erstellten und von Endbenutzern festgelegten Signalen zur Erkennung von Risiken. Diese Mechanismen arbeiten zusammen, um ein Bedrohungserkennungssystem bereitzustellen. Automatisch generierte Signale basieren hauptsächlich auf maschinellen Lernmodellen, die verschiedene Eigenschaften von Anmeldeversuchen analysieren. Zu diesen Aspekten gehören Fragen wie:
- ob die Anmeldung zu einer ungewöhnlichen Zeit erfolgt,
- ob das verwendete Gerät erkannt wird,
- ob die Anmeldung von einer vertrauten IP-Adresse oder von einem vertrauten Standort stammt.
Das System erkennt automatisch, wenn ein Anmeldeversuch Anomalien wie neue Geräte, IP-Adressen oder Standorte aufweist. Außerdem erkennt Entra ID ungewöhnliche Token-Nutzungsmuster, wie alte Token oder Token in einer unerwarteten Reihenfolge. Von Experten generierte Signale stammen von Sicherheitsforschern und Sicherheitsprofis, die Bedrohungsakteure verfolgen und IP-Adressen identifizieren, die mit bösartigen Aktivitäten in Verbindung stehen. Zum Beispiel stuft Entra ID Protection IP-Adressen, die von bekannten staatlichen Akteuren oder Cyberkriminellen kontrolliert werden, als hohes Risiko ein. Admins können Anmeldeversuche auch manuell als kompromittiert oder sicher markieren. Dieses Feedback nutzt Entra ID Protection, um die Modelle zur Risikoerkennung zu verfeinern.
Conditional Access ist in Entra ID Protection unter "Schutz / Security Center / Bedingter Zugriff" verfügbar. Hier lassen sich Richtlinien erstellen, die das Anmelden von Benutzern steuern. Der bedingte Zugriff regelt, wie Azure reagiert, wenn sich Benutzer zu definierten Zeiten, von bestimmten Orten und mit festgelegten Konten anmelden. Loggt sich ein User zum Beispiel das erste Mal aus einem anderen Land ein, von dem aus er normalerweise keinen Zugriff nimmt, kann Azure die Anmeldung verweigern, zusätzliche MFA-Bestätigung anfordern oder den Zugriff auf bestimmte Ressourcen blockieren. Das ist ein wichtiger Faktor für die Absicherung von Ressourcen. Hier gibt es die drei Richtlinien für Benutzerrisiko, Anmelderisiko und die MFA-Registrierung. Für jede können Sie festlegen, für welche Benutzer in Entra ID sie gelten soll.
Bei der Benutzerrisiko-Richtlinie erfolgt das Definieren des erkannten Risikos. Dieses kann "Hoch", "Mittel und höher" oder "Niedrig und höher" sein. Welche Risikostufe ein Benutzer erhält, hängt von seinen Anmeldebedingungen ab, die zum Beispiel über den bedingten Zugriff bestimmt werden. Bei der Anmeldung erhält ein User daher eine Benutzerrisiko-Zuweisung. In der Benutzerrisiko-Richtlinie lässt sich danach festlegen, welchen Zugriff Mitarbeiter mit den einzelnen Risiken erhalten sollen. Hier lassen sich Zugriffe blockieren, zulassen oder Kennwortänderungen festlegen. Das Gleiche gilt für die Anmelderisiko-Policy. Diese verfügt über die drei selben Stufen wie die Benutzerrisiko-Regeln. Die Anmelderisiko-Richtlinie bewertet jedoch die Sicherheit einzelner Anmeldevorgänge basierend auf verschiedenen Faktoren wie der IP-Adresse, dem Standort und dem Gerät. Diese Policy stuft jede Anmeldung nach ihrem Risiko ein und erzwingt bei Bedarf zusätzliche Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung oder den Passwortwechsel.
Im Gegensatz dazu bezieht sich die Benutzerrisiko-Richtlinie auf das kumulative Risiko eines gesamten Benutzerkontos. Hierbei wird das Gesamtrisiko auf Basis der Historie und des Verhaltens des Users über einen längeren Zeitraum hinweg bewertet. Diese Richtlinie hilft, Benutzer zu identifizieren, die wiederholt riskantes Verhalten zeigen oder deren Konten möglicherweise kompromittiert wurden. Auf Basis dieser Einschätzung lassen sich umfassendere Sicherheitsmaßnahmen ergreifen, um das Konto zu schützen, wie das Erzwingen einer Passwortzurücksetzung oder das vorübergehende Sperren des Accounts.
Die MFA-Registrierungsrichtlinie in Microsoft Entra ID Protection dient dazu, die Registrierung und Nutzung der MFA innerhalb einer Organisation zu verwalten und zu erzwingen. Diese Policy ermöglicht Admins das Festlegen spezifischer Anforderungen, unter denen Benutzer sich für MFA registrieren müssen, was die Sicherheit der Benutzerkonten erheblich erhöht. Durch die MFA-Registrierungsrichtlinie können Sie bestimmen, dass Benutzer, die eine bestimmte Risikostufe erreichen oder sich von einem unbekannten Gerät anmelden, sich zwingend für die MFA registrieren müssen. Dies reduziert das Risiko, dass kompromittierte Anmeldeinformationen allein ausreichen, um auf sensible Ressourcen zuzugreifen. Die Umsetzung dieser Richtlinie hilft dabei, eine zusätzliche Sicherheitsebene zu schaffen und das Risiko von Identitätsdiebstahl und unbefugtem Zugriff signifikant zu verringern.
Geschützte Benutzer, Risiken und Angriffe anzeigen
Im Dashboard lassen sich auch die durch Entra ID Protection entdeckten Angriffe anzeigen. Die Benutzerkonten, die durch Entra ID Protection geschützt sind, finden Sie hier ebenfalls über eine eigene Schaltfläche. Benutzer mit erhöhtem Risiko sind über den Punkt "Benutzer mit hohem Risiko anzeigen" aufrufbar. Hier können Sie auch bei falsch konfigurierten Risiken eingreifen und User über die Schaltfläche "Benutzer als sicher bestätigen" als sicher deklarieren oder die Sicherheitseinschätzung von Entra ID Protection zurücksetzen, sodass Azure diese neu erstellt. Über den Bereich "Bericht" gelangen Sie ebenfalls an diese Informationen.
Die Konformitätsregeln des MDM-Systems sind im Unternehmen auf dieser Basis auch als Grundlage für Richtlinien zum bedingten Zugriff in Microsoft 365 und für andere Azure-Ressourcen nutzbar. Hierüber lassen sich Geräte mit iOS/iPadOS und Android über ein externes MDM an Intune anbinden. Auch macOS und Linux lassen sich über diesen Weg steuern, allerdings nicht in dem Umfang wie Windows 10/11. Erfüllt ein Endgerät nicht die Bedingungen für das Anmelden an einer bestimmten Ressource, verweigert Entra ID den Zugriff auf Basis der Richtlinien, die im MDM-System hinterlegt sind und auf Conditional Access aufbauen. Diese Funktion arbeitet daher gut mit Entra ID Identity Governance zusammen und auch mit den beschriebenen Zugriffspaketen.
Über "Neue Richtlinien" erstellen Sie eine Richtlinie, mit der Sie das Anmeldeverhalten überprüfen und Anmeldungen schützen. Sie können im Rahmen dessen festlegen, welche Bedingungen ein Rechner erfüllen muss, um Zugriff auf Ressourcen zu erhalten. Dadurch bestimmen Sie, von wo Anwender das Recht erhalten, sich mit Ressourcen zu verbinden, welche Rechte sie dabei haben und ob eine weitere Authentifizierung mit MFA notwendig ist. Bestimmte IP-Adressen und -bereiche lassen sich für den Zugriff als vertrauenswürdig deklarieren.
Über das Entra Admin Center überprüfen Sie mit dem Menüpunkt "Anmeldeprotokolle" bei "Überwachung und Integrität" dazu, wann und wo sich Benutzer angemeldet haben. Auch die IP-Adresse, von der ein Login eingegangen ist, zeigt das Portal an, genauso wie die Verwendung der MFA. Der Standort der Anmeldung und die Verwendung des bedingten Zugriffs sind an dieser Stelle ebenfalls ersichtlich. Hier erkennen Sie auch, ob die Anmeldung erfolgreich war. Viele erfolglose Zugriffsversuche deuten auf einen Angriff auf ein Benutzerkonto hin.
Standardmäßig kann Conditional Access verschiedene Signale bei der Anmeldung auslesen, um auf Basis dieser Informationen den Login zu steuern. Dabei gibt es im Grunde genommen drei Möglichkeiten: Die Richtlinien können die Anmeldung an Entra ID und die Verwendung bestimmter Apps erlauben, blockieren oder MFA erzwingen. Als Grundlage dazu dienen folgende Informationen:
- Richtlinien sind an Benutzer und Gruppen zugewiesen.
- Organisationen definieren IP-Adressbereiche, die bei Richtlinienentscheidungen eine Rolle spielen.
- Admins legen IP-Bereiche für ganze Länder/Regionen fest.
- Nutzer mit Geräten bestimmter Plattformen oder mit einem bestimmten Status.
- Benutzer, die versuchen, auf bestimmte Anwendungen zuzugreifen, lösen verschiedene Richtlinien für bedingten Zugriff aus.
Diese Signale lassen sich auch in Entra ID Identity Protection nutzen, um riskante Benutzeranmeldungen zu steuern. Identity Protection ist ein Feature, das Microsoft ab der P2-Lizenz von Entra ID anbietet und das mit der Identity Governance zusammenspielt. Ebenfalls wichtig ist in diesem Bereich das Entra Permissions Management, das ebenfalls mit Identity Government interagiert.
Permissions Management für Multiclouds
Mit dem Entra Permissions Management verwalten Sie Identitäten und Zugriffe in Multicloud-Umgebungen wie Azure, Google Cloud und AWS. Der Entra-Dienst ist ebenfalls im Entra Admin Center integriert. Das System erkennt automatisch überflüssige und exzessive Berechtigungen, passt diese an und überwacht sie kontinuierlich. Daher eignet sich der Dienst für den Einsatz mit Entra ID Identity Governance. Der Einstieg erfolgt über das Entra Admin Center, wo Sie nach dem Login das Dashboard mit dem Permission Creep Index (PCI) finden. Dieser Index bewertet das Risiko basierend auf der Anzahl der Identitäten mit Zugriff auf risikoreiche Aktionen und Ressourcen.
Um ausufernde Berechtigungen zu reduzieren, erstellen Sie neue Rollen, die auf der tatsächlichen Aktivität der Nutzer basieren. Diese Rollen stimmen Sie spezifisch auf die in den letzten 90 Tagen durchgeführten Aktionen ab. Nach dem Erstellen einer neuen Rolle, beispielsweise für SOC-Analysten, weisen Sie die Nutzer dieser Rolle zu und entfernen sie gleichzeitig aus übergeordneten Rollen mit zu weitreichenden Berechtigungen. Automatisierte Bereinigungsoptionen ermöglichen es Ihnen, Regeln zu erstellen, die ungenutzte Berechtigungen nach einem bestimmten Zeitraum automatisch entfernen. Verschiedene Arten von Alerts können Sie konfigurieren, um auf ungewöhnliche oder risikoreiche Aktionen aufmerksam zu machen, wie etwa das Löschen einer virtuellen Maschine in Azure, Google Cloud oder AWS.
Prinzip minimaler Berechtigungen umsetzen
Mit Entra Permissions Management setzen Sie das Prinzip der minimalen Rechtevergabe um und verringern so das Risiko unautorisierter Zugriffe. In der ersten Phase definieren Sie eine klare Struktur und Zuständigkeiten, indem Sie Berechtigungen festlegen und entsprechende Rollen zuweisen. Hier arbeiten Sie zum Beispiel parallel mit den Zugriffspaketen aus Entra ID Identity Governance. In der zweiten Phase überprüfen und passen Sie die Berechtigungen an, um sicherzustellen, dass nur die unbedingt notwendigen Befugnisse vergeben werden. In der dritten Phase richten Sie Überwachungs- und Alarmierungsmechanismen ein, um potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und zu behandeln.
Im Entra Admin Center finden Sie das Entra Permissions Management über den Menüpunkt "Berechtigungsverwaltung". Mit der Option "Kostenlos testen" steht Ihnen die Umgebung 45 Tage lang zur Verfügung, inklusive 100 kostenloser Lizenzen. Der bereits erwähnte Permission Creep Index spielt hier eine besondere Rolle. Der PCI ist ein zentrales Instrument zur Überwachung und Minimierung von Berechtigungsansammlungen in IT-Systemen. Ein hoher PCI weist auf eine erhebliche Diskrepanz zwischen zugewiesenen und genutzten Berechtigungen hin, was ein erhöhtes Potenzial für Missbrauch oder unbefugten Zugriff darstellt.
Durch regelmäßige Anpassungen und Optimierungen der Berechtigungen basierend auf PCI-Analysen verbessern Sie die Sicherheitsstandards Ihres Unternehmens und reduzieren die Gefahr von Datenschutzverletzungen und internen Bedrohungen. Das kann auch über die Zugriffspakete in Identity Governance erfolgen. Das Dashboard in Entra Permissions Management zeigt Ihnen den Wert der verwendeten Rechte im Vergleich zu den vorhandenen Befugnissen für jeden User an, sodass Sie schnell erkennen, wenn ein Benutzer zu viele Rechte hat.
Nutzer verifizieren mit Entra Verified ID
Im Bereich der Identity Governance spielt darüber hinaus die Verifizierung von Benutzerkonten eine Rolle, zum Beispiel wenn diese aus externen Systemen stammen. Verified ID ermöglicht es, Identitäten präzise zu verifizieren und diese Informationen in die Identitäts- und Zugriffsverwaltung von Entra ID Identity Governance einzubinden. Dadurch sind detaillierte und genau abgestimmte Zugriffskontrollen implementierbar, zum Beispiel auf Basis der bereits behandelten Zugriffspakete.
Entra Verified ID ermöglicht es, sichere digitale IDs zu erstellen und zu nutzen sowie in einer digitalen Brieftasche zu speichern, ähnlich wie bei Apple Wallet. Diese Integration in Microsoft 365 und Entra ID macht es möglich, dass Benutzer ihre digitalen Identitäten in verschiedenen Kontexten, wie etwa bei Bewerbungen über LinkedIn oder zur schnellen Genehmigung von Anwendungszugriffen, verwenden können. Vor allem für mobile Nutzer und externe Partner ergeben sich dadurch Vorteile.
Praktisch ist die Integration von QR-Codes, die eine schnelle und sichere Nutzung der verifizierten Kennungen ermöglichen. Nutzer können QR-Codes scannen, um Ihre verifizierten Anmeldeinformationen in der Microsoft-Authenticator-App zu speichern, was den Zugang zu Diensten und Anwendungen, die eine sichere Identitätsprüfung erfordern, erleichtert. Das Einrichten einer verifizierten ID in Entra erfolgt wieder im zugehörigen Admin Center. In deutschen Umgebungen beginnt die Einrichtung bei "Überprüfte ID". Hier besteht die Wahl zwischen "Express Setup" und "Erweitertes Setup". Nach dem Angeben einer verifizierten Domain erstellen Sie in wenigen Schritten verifizierte Mitarbeiteranmeldeinformationen und verwalten diese. Die Anmeldeinformationen sind über die "Mein Konto"-Website abrufbar, was den Prozess für die Benutzer vereinfacht.
Das Erstellen einer verifizierten ID kann auch durch eine vertrauenswürdige Behörde oder eine Partnerorganisation erfolgen. Nutzer registrieren ihre persönlichen Informationen, wie Kreditkarten und Reisepass, bei einer staatlichen Stelle oder anerkannten Organisation. Diese Behörde stellt im Anschluss eine verifizierte digitale ID aus, die etwa der Verifizierung der Identität bei einem neuen Arbeitgeber oder der Authentifizierung am Flughafen dient. Ein typisches Szenario ist der erste Arbeitstag eines neuen Mitarbeiters, bei dem dieser seine Identität verifizieren muss, um Zugang zu Unternehmensressourcen zu erhalten.
Fazit
Durch das Implementieren rollenbasierter Zugriffssteuerungen und umfangreiche Überwachungsfunktionen sorgt Entra ID Governance dafür, dass nur autorisierte Benutzer Zugang zu bestimmten Ressourcen erhalten. Die Integration von maschinellem Lernen zur Identifikation unnötiger Zugriffsrechte und die Verwendung verifizierter Identitäten tragen zusätzlich zur Sicherheit bei. Conditional Access ergänzt diese Funktionen, indem es auf Risikobasis den Zugang zu Azure-Ressourcen steuert. Entra ID Permissions Management hilft hingegen, überflüssige Berechtigungen zu erkennen und zu reduzieren.