Phase 1 : Sichern der Identitätssteuerungsebene

Dieser Artikel ist Teil des Leitfadens zur Implementierung einer Architekturlösung mit privilegiertem Zugriff .

Privilegierter Zugriff stellt in den meisten Organisationen ein kritisches Sicherheitsrisiko dar, da er die direkte Kontrolle über Identitätssysteme, Cloudsteuerungsebenen und unternehmenskritische Ressourcen ermöglicht.

Erfahren Sie, wie eine Architektur für sicheren privilegierten Zugriff eine wichtige Rolle in Ihrem Geschäftsszenario spielt – Schützen kritischer Geschäftsressourcen – indem Sie dieses Risiko verringern und die Kontrolle über sensible Systeme stärken.

Dieser Artikel hilft Ihnen bei der Implementierung von Phase 1 der Implementierung einer Architekturlösung für privilegierten Zugriff . In dieser Phase wird die Identitätssteuerungsebene gesichert, indem privilegierte Identitäten, Rollenzuweisungen und autorisierte Rechteerweiterungspfade definiert und geschützt werden.

Es ist wichtig, Phase 1 zuerst zu implementieren. Spätere Phasen, die Geräte mit privilegiertem Zugriff sichern, Richtlinien für bedingten Zugriff erzwingen und privilegierten Zugriff überwachen, hängen davon ab, dass eine saubere, gut geregelte Identitätssteuerungsebene vorhanden ist.

Schutzziele

Phase 1 stellt sicher, dass der privilegierte Zugriff folgendes ist:

Explizit: Gewähren Sie Privilegien nur über definierte Wege zur Rechteausweitung. Machen Sie sie niemals implizit oder versehentlich.
Temporär: Berechtigungen laufen automatisch ab.
Starke Authentifizierung: Für die Erhöhung von Berechtigungen ist eine starke Authentifizierung erforderlich.
Auditierbar: Protokollieren Sie alle Berechtigungsänderungen und Rechteerweiterungen.
Wiederherstellbar: Bereitstellen des Notfallzugriffs ohne Schwächung der Kontrollen.

Schutzumfang

Phase 1 konzentriert sich auf zwei grundlegende Komponenten des privilegierten Zugriffs:

Privilegierte Identitäten: Identitäten, die privilegierte Aktionen ausführen können, einschließlich:
- Dedizierte Administrative Benutzerkonten
- Administrative Gruppen
- Dienstprinzipale und verwaltete Identitäten
- Azure RBAC-Rollenzuweisungen
- Notfallzugriffskonten („Break-Glass“-Konten) (falls diese nicht vorhanden sind).
Autorisierte Eskalationspfade: Mechanismen, mit denen Benutzer aus nicht privilegierten in privilegierte Zustände wechseln können, z. B.:
- Zeitgebundene Rollenaktivierung mit - Privileged Identity Management (PIM)
- Genehmigungsworkflows für vertrauliche Rollen
- Explizite Administrative Sitzungen
Notfallwiederherstellungszugriff: Konfigurieren von Break-Glass-Konten, wenn sie noch nicht vorhanden sind.

Diese Komponenten arbeiten in der Steuerebene. Wenn sie kompromittiert sind, können Sich Angreifer selbst privilegierten Zugriff gewähren, ohne Geräte oder Zugriffsrichtlinien zu berühren.

Risiken abgemildert

Risiko	Warum es wichtig ist	Entschärfung der Phase 1
Nicht kontrollierte Erstellung privilegierter Identitäten	Angreifer erstellen unbemerkt neue Administratorkonten oder Rollenzuweisungen.	Einrichten autoritativer privilegierter Identitäten und Rollen. Einschränken, wer Identitätssysteme verwalten kann. Behandeln Sie Identitätssysteme als privilegierte Objekte.
Stille Berechtigungseskalation	Berechtigung, die durch Gruppen, RBAC oder geschachtelte Zuweisungen erlangt wurde.	Rationalisieren Sie Rollen, verwenden Sie gruppenbasierte Aufgaben, entfernen Sie ständigen Zugriff.
Permanenter (ständiger) Administratorzugriff	Gestohlene Anmeldeinformationen behalten permanente Berechtigungen bei.	Ersetzen Sie dauerhafte Berechtigungen durch eine zeitlich begrenzte Privilegienerhöhung.
Schwache oder implizite Höhenpfade	Angreifer verwenden dieselben Pfade wie Administratoren.	Definieren von sicheren, expliziten, auditierbaren Erhöhungsworkflows
Umgehen von nachgelagerten Schutzmechanismen	Vor der Geräte- oder Richtlinienerzwingung erhaltene Berechtigungen.	Identitätssteuerungsebene zuerst gesichert.
Nicht behebbare Identitätskompromittierung	Keine sichere Möglichkeit, die Kontrolle wieder zu erlangen.	Erstellen Sie geschützte Notfallzugriffskonten.
Niedriger Identitätssicherheitsstatus	Schwache Identitätskontrollen untergraben alle späteren Phasen.	Erhöhen Sie Identitätssysteme auf höchste Sicherheitsstufe.

Phasenergebnisse

Nach Abschluss dieser Phase:

Der gesamte privilegierte Zugriff ist an bekannte und explizite Identitäten und Rollen gebunden.
Alle Berechtigungen sind temporär, überprüfbar und absichtlich.
Dauerhafter Administratorzugriff wird entfernt.
Identitätssysteme werden als privilegierte Objekte behandelt.
Die Wiederherstellung nach einer Identitätskompromittierung ist möglich, ohne Sicherheitskontrollen zu schwächen.
Während der Modernisierung wird kein neues privilegiertes Risiko eingeführt.

In dieser Phase wird auch die Erstellung eines neuen privilegierten Risikos beendet, während die Überwachung und Modernisierung fortgesetzt wird.

Voraussetzungen

Bevor Sie mit der Konfiguration von Phase 1 beginnen, beachten Sie die folgenden Voraussetzungen:

Lesen Sie die Dokumentation:

Lesen Sie den Übersichtsartikel für diese Lösung.
Gehen Sie den Artikel zur Planung durch, um festzulegen, welche Rollen und Identitäten privilegierte Aufgaben ausführen.

Innerhalb Ihrer Organisation:

Stellen Sie sicher, dass Sie über einen aktiven eigenen Microsoft Entra ID-Mandanten verfügen. Wir haben Microsoft Entra ID P2 (für die Governance privilegierter Identitäten) empfohlen.
Bei dieser Lösung wird davon ausgegangen, dass Sie Microsoft 365 Enterprise E5 haben. Weitere Informationen finden Sie unter Microsoft 365 Enterprise Licensing.
Stellen Sie sicher, dass mindestens zwei Notfallzugriffskonten definiert sind.
Klare Verantwortlichkeiten für Identitätsgovernance und Rollenverwaltung.
Das Erstellen sicherer Administratorkonten macht sie für die Arbeitsstation verfügbar, die während des Setups verwendet wird. Stellen Sie sicher, dass die anfängliche Konfiguration von einem bekannten sicheren Gerät ausgeführt wird.

Schritt 1: Überwachen des privilegierten Zugriffs

Erstellen Sie ein vollständiges Inventar der privilegierten Identitäten und Zugriffspfade. Überwachen Sie die folgenden Quellen.

Source	Details
Microsoft Entra Verzeichnisrollen	Identifizieren Sie privilegierte Rollen , die direkt oder indirekt zu Mandantendominanz führen können, indem Sie Identitäts-, Zugriffs- oder Vertrauensgrenzen in der Identitätssteuerungsebene ändern. Für jede Rolle: – Identifizieren sie direkte und gruppenbasierte Zuordnungen. – Identifizieren dauerhafter und PIM-berechtigter Zuordnungen – Erfassen des aktuellen Aktivierungszustands.
Gruppenbasierte Berechtigungen	Finden Sie heraus, wer indirekt privilegiert ist und übersehen würde, wenn Sie nur die Benutzerkonten betrachten. - Verschachtelte Gruppenmitgliedschaften überprüfen – Identifizieren von Benutzern, Dienstprinzipalen und verwalteten Identitäten – Notieren Sie, wie Berechtigungen geerbt werden.
Azure RBAC-Rollen	Erfahren Sie, was diese privilegierten Identitäten außerhalb des Verzeichnisses selbst tun können. Prüfen von Zuweisungen auf Verwaltungsgruppen-, Abonnement- und Ressourcenebene. Identifizieren Sie Identitäten mit weitreichenden oder kaskadierenden Berechtigungen.
Nicht-menschliche Identitäten	Ermitteln Sie, welche nicht menschlichen Identitäten Teil des privilegierten Zugriffspfads sind, einschließlich: Dienstprinzipale und verwaltete Identitäten Automatisierungskonten und Skripte Anwendungsberechtigungen mit Mandanten- oder Ressourcensteuerung.

Das Ergebnis ist ein maßgebliches Inventar privilegierter Identitäten.

Verzeichnisrollen identifizieren

Überwachen, wer identitäts-, Authentifizierungs- oder mandantenweite Konfiguration ändern kann.

Navigieren Sie im Microsoft Entra Admin Center zu Entra IDRoles & Administratoren.
Wählen Sie "Alle Rollen" aus. Auf dieser Seite werden alle integrierten und benutzerdefinierten Microsoft Entra Verzeichnisrollen aufgelistet, einschließlich mandantenweiter Administratorrollen wie globaler Administrator und Administrator mit privilegierter Rolle.
- Privilegierte Rollen sind alle, die Rollen zuweisen, Sicherheit/Authentifizierung ändern oder Apps, Geräte oder Sicherheitsrichtlinien verwalten können.
- Eine vollständige Liste der privilegierten integrierten Rollen ist auch in der Dokumentation verfügbar.
Überprüfen Sie für jede privilegierte Rolle zuerst die direkten Zuordnungen. Überprüfen Sie für jeden direkt zugewiesenen Prinzipal (Benutzer, Gruppe oder Dienstprinzipal (App/verwaltete Identität)), wie die Rolle zugewiesen wurde und wie der aktuelle Status ist.
- Eine dauerhafte Zuweisung bedeutet, dass die Rolle immer aktiv ist. Eine Identität meldet sich an und verfügt bereits über den Status Aktiv (dauerhaft). Dies ist offensichtlich ein hohes Risiko.
- Eine PIM-aktivierungsberechtigte Zuweisung bedeutet, dass die Rolle verfügbar, aber nicht aktiv ist, bis sie aktiviert wird. Der Benutzer muss die Rolle aktivieren. Es ist in der Regel zeitlich begrenzt und erfordert häufig eine Rechtfertigung. Status kann aktiv oder berechtigt sein, wenn der Benutzer privilegierter werden kann, aber zurzeit nicht aktiviert ist.
Wechseln Sie jetzt zu Gruppenzuweisungen. Dies ist wichtig, da sie Berechtigungen überprüft, die indirekt über Gruppen zugewiesen werden.
Öffnen Sie jede Gruppe, der die privilegierte Rolle zugewiesen ist.
Erweitern Sie Gruppenmitglieder, erweitern Sie geschachtelte Gruppen und zeichnen Sie Benutzer, Dienstprinzipale und verwaltete Identitäten auf.
Bestätigen Sie für jede Identität, wie das Privileg gehalten wird:
- Wird die Rolle über eine Gruppe oder eine geschachtelte Gruppe zugewiesen?
- Ist die Rolle dauerhaft oder für PIM geeignet?
- Was ist der aktuelle Zustand?

Nach Abschluss dieses Schritts haben Sie die Kontrollebene für Identitäten erfasst und verfügen damit über einen maßgeblichen Bestand an privilegierten Identitäten für Microsoft Entra.

Azure RBAC-Rollen ermitteln

Nachdem Sie nun wissen, welche Identitäten privilegierte Sind, überprüfen wir, was sie außerhalb des Microsoft Entra Verzeichnisses tun können. Wo haben sie sonst die Kontrolle und in welchem Umfang?

Bestimmen Sie für jeden privilegierten Prinzipal, den Sie identifiziert haben, Rollen.
Beginnen Sie mit dem höchsten Bereich (Verwaltungsgruppen).
1. Wechseln Sie im Azure Portal >Management-Gruppen zu **Access Control (IAM) >Role assignments.
2. Verwenden Sie Filter>Zugewiesen an und suchen Sie nach dem Namen des Prinzipals.
3. Zeichnen Sie alle Ergebnisse auf, einschließlich Rollenname und Bereich.
Wenn Sie hier Identitäten finden, bedeutet dies, dass sie umfassende Kontrolle über Azure haben, da Azure RBAC-Rollen, die auf Bereich der Verwaltungsgruppe zugewiesen werden, an alle untergeordneten Abonnements und Ressourcen vererbt werden.
Befolgen Sie nun die gleichen Verfahren für Azure Portal >Subscriptions.

Identitäten, denen Azure RBAC-Rollen auf Abonnementebene zugewiesen sind, sind privilegiert und können Zugriff gewähren oder delegieren.
Wenn Identitäten auf Verwaltungsgruppen- oder Abonnementebene nicht gefunden wurden, können Sie die Ressourcengruppenebene mit demselben Verfahren im Azure Portal >Resource-Gruppen überprüfen.
Möglicherweise möchten Sie auch überprüfen, ob Prinzipale kontrolle über strategische Einzelressourcen wie Key Vaults, Speicherkonten, virtuelle Computer oder Automatisierungskonten verfügen. Überprüfen Sie dazu die Zugriffssteuerung (IAM)>Zugewiesen für jede einzelne Ressource.

Aufzeichnen von Ergebnissen

Halten Sie für jedes von Ihnen identifizierte Konto die Audit-Details in einer Zuordnungstabelle fest.

Identifizieren Sie Risikokonten mit breiten Berechtigungen, und erstellen Sie eine Zuordnungstabelle, die Informationen zum Rollenbereich (Strahlradius) und zum Arbeitstyp bereitstellt.

Konto	Entra-Rolle	Azure RBAC-Rolle	Bereich	Privilegierte Arbeit
alice@contoso.com	Globaler Administrator	Besitzer	Sub1, Sub2	Verwalten von Benutzern, Rollen, Abonnements.

Wenn Sie weitere Informationen zum beobachteten Verhalten für ein Konto hinzufügen möchten, können Sie:
1. Überprüfen Sie Anmeldeprotokolle, um Informationen zu Apps, Clientendpunkten und Authentifizierungsflüssen zu erhalten.
2. Korrelieren Sie Informationen mit Überwachungs- und Aktivitätsprotokollen, um zu überprüfen, ob ein Konto verwendet wird, und ob die Richtlinie geändert, Ressourcen/Abonnements geändert oder eine andere Aktivität ausgeführt wurde.

Schritt 2: Bewerten Sie Ihre vorhandene Konfiguration

Wenn Ihr Bestand vorhanden ist, können Sie das Zero Trust Assessment Tool verwenden, um zu bewerten, wie privilegierter Zugriff in Ihrer Umgebung konfiguriert ist, und Lücken bei der Kontrolle zu identifizieren.

Während das Bewertungstool kein vollständiges Inventar ersetzt, verwendet es Rollen- und Richtliniendaten als Eingabe, um zu verstehen, ob:

Privilegierte Rollen sind geschützt (MFA, bedingter Zugriff).
Der privilegierte Zugriff wird gesteuert (PIM- und JIT/JEA-Muster).
Richtlinien werden konsistent angewendet.
Lücken bestehen zwischen Identitäten, Geräten und Zugriffsrichtlinien.

Erfahren Sie mehr über die Bewertung der Identität mit dem Tool.

Schritt 3: Einrichten dedizierter administrativer Identitäten

Entfernen Sie privilegierte Rollen aus Standardbenutzerkonten.

Erstellen Sie dedizierte Administrative Konten, die:

Werden nur für privilegierte Aufgaben verwendet
Haben Sie keinen Produktivitätszugriff (E-Mail, Teams, Browsen)
Sind über PIM für Berechtigungen berechtigt, nicht dauerhaft zugewiesen

Entfernen Sie alle privilegierten Rollenzuweisungen aus Standardbenutzeridentitäten.

Erstellen von Administratorkonten

Navigieren Sie im Microsoft Entra Admin Center zu Microsoft Entra ID>Users.
Wählen Sie "Neuer Benutzer" aus, und konfigurieren Sie die Benutzereinstellungen. wählen Sie dann "Erstellen" aus.
- Name: Sicherer Arbeitsstationsadministrator.
- Benutzerprinzipalname: secure-ws-admin@contoso.com
- Authentifizierungsmethode: Kennwort (temporär).
- Verzeichnisrollen: Nicht zuweisen.
- Verwendungsort: Auf betriebsbereiten Standort festlegen.

Dadurch erhalten Sie eine saubere Administratoridentität ohne Berechtigungen.

Schritt 4: Erstellen von Identitäten für PAWs

In späteren Verfahren richten Sie eine privilegierte Administratorarbeitsstation (PAW) ein.

Wenn Sie Identitäten definieren möchten, die auf PAWs zugreifen können, aber keine privilegierten Aktionen ausführen können, können Sie:

Erstellen Sie eine Identität, die nur für die Anmeldung bei PAWs verwendet werden kann.
Erstellen Sie eine Sicherheitsgruppe, die steuert, wer sich bei den PAWs anmelden darf.
- Diese Gruppe gewährt niemals Administratorrechte. Es wird für Folgendes verwendet:
  - Bedingter Zugriff, einschließlich zulassen, dass sich nur Secure Workstation-Benutzer bei PAWs anmelden und andere Benutzer blockieren können.
  - Anwenden einer bestimmten gruppenbasierten PAW-Lizenzierung.
- Typische Mitglieder dieser Gruppe sind SOC-Analysten, Operatoren und Auditoren.

Navigieren Sie im Microsoft Entra Admin Center zu Microsoft Entra ID>Users.
Wählen Sie "Neuer Benutzer" aus, und konfigurieren Sie die Benutzereinstellungen. Wählen Sie dann Erstellen aus.
- Name: Sicherer Arbeitsstation-Benutzer
- Benutzerprinzipalname: secure-ws-user@contoso.com
- Verzeichnisrollen: Nicht zuweisen

Erstellen Sie eine Sicherheitsgruppe für den PAW-Zugriff

Konfigurieren einer Gruppe, die steuert, wer sich bei den PAWs anmelden kann

Navigieren Sie im Microsoft Entra Admin Center zu Microsoft Entra ID>Groups>New group.
Konfigurieren Sie die Gruppeneinstellungen, und wählen Sie dann "Erstellen" aus.
- Gruppentyp: Sicherheit
- Gruppenname: Sichere Arbeitsstationsbenutzer
- Mitgliedschaft: Zugewiesen
Fügen Sie der Gruppe nur PAW-Anmeldeidentitäten hinzu, nicht standardmäßig Administratoren.

Schritt 5: Erstellen Sie administrative Kontrollgruppen

Erstellen Sie Sicherheitsgruppen, die definieren, wer für privilegierte Rollen berechtigt ist. Diese Gruppen:

Sind als rollenverweisbar gekennzeichnet
Werden über PIM verwaltet
Gewähren Sie keine Privilegien allein aufgrund der Mitgliedschaft.
Als Autorisierungsgrenzen für die Erhöhung von Berechtigungen dienen

Mitgliedschaftsänderungen werden als privilegierte Aktionen behandelt und regelmäßig überprüft.

Navigieren Sie im Microsoft Entra Admin Center zu Microsoft Entra ID>Groups>New group.
Konfigurieren Sie die Gruppeneinstellungen, und wählen Sie dann "Erstellen" aus.
- Gruppentyp: Sicherheit
- Name: Sichere Arbeitsstationsadministratoren
- Mitgliedschaftstyp: Zugewiesen
Fügen Sie dedizierte Administratoridentitäten hinzu. Verwenden Sie keine Standardkonten, und behandeln Sie Mitgliedschaftsänderungen als vertraulich. Regelmäßig überprüfen.

Diese Gruppe wird später wie folgt sein:

Als einer Rolle zuweisbar gekennzeichnet
Zugewiesene Verzeichnisrollen über PIM als berechtigt (nicht aktiv)
Wird als primärer Zielmechanismus für Richtlinien für privilegierten Zugriff verwendet

Schritt 6: Konfigurieren von PIM

Wenn Privileged Identity Management noch nicht aktiviert ist, führen Sie dies jetzt aus.

Stellen Sie sicher, dass Sie als globaler Administrator oder Privilegierter Rollenadministrator angemeldet sind.

Aktivieren von PIM für Verzeichnisrollen

Navigieren Sie im Microsoft Entra Admin Center zu Identity Governance>Privileged Identity Management.
Wählen Sie Microsoft Entra-Rollen aus.

Entfernen dauerhafter Rollen

Wählen Sie in Microsoft Entra-Rollen die Option Rollen aus.
Öffnen Sie für Ihre Organisation identifizierte Rollen für den privilegierten Zugriff.

Der von Microsoft empfohlene Mindestsatz lautet wie folgt: - Globaler Administrator - Privilegierter Rollenadministrator - Sicherheitsadministrator - Exchange Administrator - SharePoint Administrator
Wählen Sie "Aufgaben" aus.
Für jede aktive (permanente) Zuordnung:
- Entfernen der dauerhaften Zuordnung
- Fügen Sie den Benutzer oder die Gruppe erneut als berechtigt hinzu.

Danach verfügen Benutzer nicht über Administratorrechte, es sei denn, sie aktivieren sie.

Konfigurieren von Aktivierungseinstellungen

Gehen Sie für jede privilegierte Rolle wie folgt vor:

Wählen Sie in PIM>Microsoft Entra rolesEinstellungen aus.
Wählen Sie die Rolle >"Bearbeiten" aus.
Konfigurieren der Einstellungen:
- Aktivierung erforderlich
- MFA bei aktivierung erforderlich
- Anfordern einer Begründung
- Festlegen der maximalen Aktivierungsdauer (z. B. 1 bis 4 Stunden für Rollen mit hohem Einfluss)
- Genehmigung erforderlich (für globalen Administrator, Administrator mit privilegierter Rolle, Sicherheitsadministrator)
- Auswählen einer oder mehrerer Genehmiger
Klicken Sie auf Aktualisieren.

Verwenden von gruppenbasierten Rollenzuweisungen

Es wird empfohlen, Gruppen, nicht einzelnen Benutzern, Rollen für Skalierung und Governance zuzuweisen.

Erstellen Sie eine rollenzuweisungsfähige Sicherheitsgruppe, und weisen Sie sie einer Entra-Rolle zu (z. B. Exchange Administrator). Verwalten Sie dann die Mitgliedschaft (wer die Rolle erhalten kann) über Ihren Governanceprozess und optional über PIM für Gruppen.

Erstellen Sie eine Sicherheitsgruppe mit der Einstellung Microsoft Entra Rollen können dieser Gruppe zugewiesen werden aktiviert.
Wählen Sie in PIM >Microsoft Entra-Rollen die Option Zuweisungen hinzufügen aus.
Legen Sie die Gruppe für die Rolle als geeignet fest.
Fügen Sie Benutzer aus der Gruppe hinzu, oder entfernen Sie sie, anstatt Rollenzuweisungen direkt zu ändern.

Diese Gruppe wird zur Autorisierungsgrenze für privilegierten Zugriff.

Nach Abschluss von Schritt 6 ist Folgendes konfiguriert:

Kein dauerhafter Administratorzugriff
Berechtigungen werden angefordert, genehmigt, zeitgebunden, protokolliert
Höhenpfade sind explizit und bearbeitbar

Schritt 7: Konfigurieren von Notfallkonten

Wenn Sie noch keine Notfallzugriffskonten eingerichtet haben, konfigurieren Sie sie jetzt. Sie sind erforderlich, um sich von Szenarien einer Identitätssperre zu erholen, die durch Bedingten Zugriff, MFA-Ausfälle oder Fehlkonfigurationen verursacht werden.

Stellen Sie sicher, dass Sie als globaler Administrator oder Privilegierter Rollenadministrator angemeldet sind, um mindestens zwei Notfallzugriffskonten zu erstellen.

Navigieren Sie im Microsoft Entra Admin Center zu Users>All users.
Wählen Sie "Neuer Benutzer" aus, und erstellen Sie einen reinen Cloudbenutzer.

Verwenden der Domäne *.onmicrosoft.com
Verwenden Sie einen unauffälligen Namen (nicht „break glass“)

Weisen Sie die Rolle "Globaler Administrator" zu.

Diese Rolle darf nicht PIM-berechtigt sein — sie muss dauerhaft sein.
Verwenden Sie ein sicheres, langes Kennwort, das sicher offline gespeichert ist.
Konfigurieren der phishingsicheren Authentifizierung (z. B. FIDO2/Passkey oder zertifikatbasierte Authentifizierung)
Binden Sie MFA nicht an ein persönliches Telefon oder eine E-Mail-Adresse.

Wiederholen Sie diesen Vorgang, um ein zweites Notfallkonto zu erstellen.

Ausschließen von Notfallkonten aus bedingtem Zugriff

Dadurch wird sichergestellt, dass die Wiederherstellung immer möglich ist.

Navigieren Sie im Microsoft Entra Admin Center zu Protection>Conditional Access.
Für jede Richtlinie:
- Aufgaben bearbeiten.
- Schließen Sie mindestens ein Notfallzugriffskonto aus.

Stellen Sie sicher, dass Sie keine regulären Administratorkonten ausschließen – nur die Notfallkonten.

Überwachen der Nutzung eines Notfallkontos

Benachrichtigungen aktivieren für:
- Anmeldungen durch Notfallkonten
- Rollenänderungen, die diese Konten betreffen
Behandeln Sie jede Verwendung als Sicherheitsvorfall, es sei denn, sie wurde vorab genehmigt.
Überprüfen Sie die Verwendung in regelmäßigen Abständen.

Nach Abschluss von Schritt 7 ist Folgendes konfiguriert:

Die Identitätssteuerungsebene kann wiederhergestellt werden.
Spätere Phasen (PAWs, Bedingter Zugriff) riskieren keine dauerhafte Aussperrung
Der Notfallzugriff ist isoliert, überwacht und selten verwendet.

Nächste Schritte

Nachdem Sie die Kontrollebene für Identitäten abgesichert haben, beschränken Sie mit sicheren Privileged Access Workstations (PAWs) die Orte, an denen privilegierter Zugriff ausgeübt werden kann.

Feedback

War diese Seite hilfreich?

Last updated on 2026-06-01