Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.
Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.
Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.
- Einführung
- Benutzer
- Gerät
- Anwendungen und Workloads
- Daten
- Netzwerk
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen
1 Benutzer
Dieser Abschnitt enthält Microsoft-Richtlinien und Empfehlungen für die DoD-Zero Trust Aktivitäten im Benutzerbereich. Weitere Informationen finden Sie unter Securing Identity mit Zero Trust.
1.1 Benutzerinventar
Microsoft Entra ID ist die erforderliche Identitätsplattform für Microsoft-Clouddienste. Microsoft Entra ID ist ein Identitätsanbieter (IdP) und eine Governance-Plattform zur Unterstützung von Multicloud- und Hybrididentitäten. Sie können Microsoft Entra ID verwenden, um den Zugriff auf Nicht-Microsoft-Clouds wie Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) und vieles mehr zu steuern. Microsoft Entra ID verwendet Standardidentitätsprotokolle und macht es zu einem geeigneten IdP für Software as a Service (SaaS), moderne Webanwendungen, Desktop- und mobile Apps, auch ältere lokale Anwendungen.
Verwenden Sie Microsoft Entra ID, um Benutzer und Nichtpersonentitäten (NPE) zu überprüfen, kontinuierlich den Zugriff auf Apps und Daten zu autorisieren, Identitäten und ihre Berechtigungen nach den Grundsätzen der geringsten Rechte zu steuern und just-in-time (JIT)-Administration durchzuführen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.1.1 InventarbenutzerDoD-Organisationen richten ein Benutzerinventar bei Bedarf manuell ein, und bereiten sich so in späteren Phasen auf den automatisierten Ansatz vor. Konten, die zentral von einem IdP/ICAM verwaltet werden und sich lokal auf Systemen befinden, werden identifiziert und inventarisiert. Privilegierte Konten werden für zukünftige Überwachungen identifiziert, und sowohl Standard- als auch privilegierte Benutzerkonten, die sich lokal für Anwendungen und Systeme befinden, werden für zukünftige Migration und/oder Außerbetriebnahme identifiziert. Ergebnisse:– Identifizierte verwaltete reguläre Benutzer– Identifizierte verwaltete privilegierte Benutzer– Identifizierte Anwendungen, die ihre eigene Benutzerkontenverwaltung für nicht administrative und administrative Konten verwenden |
Microsoft Entra ID Identifizieren Sie normale und privilegierte Benutzer in Ihrer Organisation über das Microsoft Entra Verwaltungszentrum oder die Microsoft Graph-API. Benutzeraktivitäten werden in Microsoft Entra ID Anmelde- und Überwachungsprotokollen erfasst, die in SIEM-Systeme (Security Information Event Monitoring) wie Microsoft Sentinel integriert werden können. - Adopt Microsoft Entra ID - Microsoft Graph-API: Benutzer auflisten - Integration des Microsoft Entra Aktivitätsprotokolls Microsoft Entra und Azure Rollen Privilegierte Benutzer sind Identitäten, denen Microsoft Entra ID Rollen, Azure Rollen oder Microsoft Entra ID Sicherheitsgruppen zugewiesen sind, die privilegierten Zugriff auf Microsoft 365 oder andere Anwendungen gewähren. Es wird empfohlen, nur Cloudbenutzer für privilegierten Zugriff zu verwenden. - Built-in-Rollen Microsoft Defender for Cloud Apps Verwenden Sie Defender for Cloud Apps, um nicht genehmigte Apps zu entdecken, die ihren eigenen Identitätsspeicher nutzen. - Entdecken und verwalten Sie Shadow-IT Microsoft Defender for Identity Bereitstellen und Konfigurieren von Microsoft Defender for Identity Sensoren zum Erstellen eines Identitätsobjektbestands für lokale Active Directory Domain Services-Umgebungen. - Übersicht zu Microsoft Defender for Identity - Bereitstellung von Microsoft Defender for Identity - Untersuchen Sie Assets |
1.2 Bedingter Benutzerzugriff
Microsoft Entra ID hilft Ihrer Organisation, bedingten, dynamischen Benutzerzugriff zu implementieren. Features, die diese Funktion unterstützen, umfassen Microsoft Entra bedingten Zugriff, Microsoft Entra ID Governance, benutzerdefinierte Rollen, dynamische Sicherheitsgruppen, App-Rollen und benutzerdefinierte Sicherheitsattribute.
Bedingter Zugriff ist das Echtzeit-Zero Trust Richtlinienmodul in Microsoft Entra ID. Richtlinien für bedingten Zugriff verwenden Sicherheitssignale von Benutzer, Gerät, Anwendung, Sitzung, Risiko und mehr, um adaptive dynamische Autorisierung für Ressourcen anzuwenden, die durch Microsoft Entra ID geschützt sind.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.2.1 Implementieren von appbasierten Berechtigungen pro UnternehmenDas DoD-Unternehmen, das mit den Organisationen arbeitet, richtet einen grundlegenden Satz von Benutzerattributen für die Authentifizierung und Autorisierung ein. Diese sind in den Aktivitätsprozess "Enterprise Identity Life Cycle Management Teil 1" für einen vollständigen Enterprise-Standard integriert. Die Unternehmensidentitäts-, Anmeldeinformations- und Zugriffsverwaltungslösung (Identity, Credential, and Access Management, ICAM) ist für Self-Service-Funktionen zum Hinzufügen/Aktualisieren von Attributen innerhalb der Lösung aktiviert. Verbleibende PAM-Aktivitäten (Privileged Access Management) werden vollständig zur PAM-Lösung migriert. Ergebnisse:– Unternehmensrollen/Attribute, die für die Benutzerautorisierung für Anwendungsfunktionen und/oder Daten erforderlich sind, wurden bei Unternehmens-ICAM registriert– DoD Enterprise ICAM verfügt über Self-Service-Attribut/Rollenregistrierungsdienst, mit dem Anwendungsbesitzer Attribute hinzufügen oder vorhandene Unternehmensattribute verwenden können– Privilegierte Aktivitäten werden vollständig zu PAM migriert |
Microsoft Entra Connect Stellen Sie hybride Identität mit Microsoft Entra Connect her, um Microsoft Entra ID Mandanten mit Benutzerattributdaten aus den aktuellen Verzeichnissystemen zu füllen. - Microsoft Entra Connect Microsoft Entra-Anwendungen Integrieren Sie Anwendungen mit Microsoft Entra ID. Entwerfen Sie Anwendungsautorisierungs- und Berechtigungsmodelle mithilfe von Sicherheitsgruppen und App-Rollen. Um die App-Verwaltung zu delegieren, weisen Sie Besitzer zur Verwaltung der App-Konfiguration, sowie die Registrierung und Zuweisung von App-Rollen zu. - Integrieren von Apps mit Microsoft Entra ID - Dynamische Sicherheitsgruppen - App-Rollen für Anwendungen Microsoft Entra ID Governance Konfigurieren Sie Zugriffspakete in der Berechtigungsverwaltung, sodass Benutzer Zugriff auf Anwendungsrollen oder Gruppen anfordern können. - Verwalten des Zugriffs auf Apps - Delegieren der Zugriffspaketverwaltung Conditional Access Konfigurieren Sie Richtlinien für bedingten Zugriff für die dynamische Autorisierung für Anwendungen und Dienste, die durch Microsoft Entra ID geschützt sind. Verwenden Sie in Richtlinien für bedingten Zugriff benutzerdefinierte Sicherheitsattribute und Anwendungsfilter, um die Autorisierung von Sicherheitsattributen zu beschränken, die Anwendungsobjekten, wie z. B. der Sensitivität, zugewiesen sind. - Conditional Access - Benutzerdefinierte Sicherheitsattribute - App-Filter Privileged Identity Management Verwenden Sie PIM Discovery und Insights, um privilegierte Rollen und Gruppen zu identifizieren. Verwenden Sie PIM, um ermittelte Berechtigungen zu verwalten und Benutzerzuweisungen von „Permanent“ in „Berechtigt“ zu konvertieren.PIM Discovery and Insights |
| 1.2.2 Regelbasierter dynamischer Zugriff Teil 1DoD-Organisationen verwenden die Regeln aus der Aktivität „Periodische Authentifizierung“, um grundlegende Regeln zu erstellen und Berechtigungen dynamisch zu aktivieren und zu deaktivieren. Benutzerkonten mit hohem Risiko nutzen die PAM-Lösung, um mithilfe von Just-In-Time-Zugriff und Just Enough-Administrationsmethoden auf dynamischen privilegierten Zugriff zu wechseln. Ergebnisse:– Zugriff auf Anwendungen oder Dienstfunktionen und/oder Daten sind auf Benutzer mit entsprechenden Unternehmensattributen beschränkt- Alle möglichen Anwendungen verwenden JIT/JEA-Berechtigungen für administrative Benutzer |
Microsoft Entra ID Verwenden Sie die Autorisierungs- und Governance-Funktionen von Microsoft Entra ID, um den Anwendungszugriff basierend auf Benutzerattributen, Rollen zuweisungen, Risiko und Sitzungsdetails zu begrenzen. Siehe Microsoft-Richtlinien in 1.2.1. Privilegierte Identitätsverwaltung Verwenden Sie die Privilegierte Identitätsverwaltung (PIM) für Microsoft Entra- und Azure-Rollen. Erweitern Sie PIM auf andere Microsoft Entra ID Anwendungen mit PIM für Gruppen. - PIM für Microsoft Entra Rollen - PIM für Azure Rollen - PIM für Gruppen |
| 1.2.3 Regelbasierter dynamischer Zugriff Teil 2DoD-Organisationen erweitern die Entwicklung von Regeln für dynamische Zugriffsentscheidungen, die Risiken berücksichtigen. Lösungen, die für den dynamischen Zugriff verwendet werden, sind mit säulenübergreifenden Machine Learning- und Künstlichen Intelligenz-Funktionen integriert, die automatisiertes Regelmanagement ermöglichen. Ergebnisse:– Komponenten und Dienste nutzen vollständig Regeln, um den dynamischen Zugriff auf Anwendungen und Dienste zu ermöglichen– Technologie, die für regelbasierten dynamischen Zugriff verwendet wird, unterstützt die Integration mit KI/ML-Tools |
Microsoft Entra ID Protection Microsoft Entra ID Protection verwendet Ml-Algorithmen (Machine Learning), um Benutzer und Anmelderisiken zu erkennen. Verwenden Sie Risikobedingungen in Ihren Richtlinien für bedingten Zugriff, um dynamischen Zugriff zu gestalten, basierend auf der Risikostufe. - Microsoft Entra ID Protection - Risikobewertungen - Risikobasierte Zugriffsrichtlinien Microsoft Defender XDR Microsoft Defender XDR ist eine erweiterte Lösung für Erkennung und Reaktion (XDR). Bereitstellen von Microsoft Defender für Endpunkt und Microsoft Defender for Cloud Apps und Konfigurieren von Integrationen. - Integrieren Defender for Endpoint mit Defender for Cloud Apps |
| 1.2.4 Enterprise Governance-Rollen und -Berechtigungen Teil 1DoD-Organisationen verbinden die verbleibenden Benutzer- und Gruppenattribute entsprechend der ICAM-Lösung (Enterprise Identity, Credential und Access Management). Der aktualisierte Attributsatz wird verwendet, um universelle Rollen für Organisationszwecke zu erstellen. Kernfunktionen des IdP-Anbieters (Identity Provider) und ICAM-Lösungen (Identity, Credential und Access Management) werden zu Clouddiensten und/oder Umgebungen migriert und ermöglichen damit eine verbesserte Resilienz und Leistung. Ergebnisse:– Komponentenattribute und Rollendaten-Repository, das mit dem Unternehmens-ICAM verbunden ist– Cloudbasierte Unternehmens-IDP kann von Cloud- und lokalen Anwendungen verwendet werden– Standardisierter Satz von Rollen und Berechtigungen werden erstellt und an Attributen ausgerichtet |
Microsoft Entra ID Microsoft Entra ID ist eine zentral verwaltete Multicloud-Identität, Anmeldeinformationen und Zugriffsverwaltung (ICAM) Plattform und Identitätsanbieter (IdP). Einrichten einer Hybrididentität mit Microsoft Entra Connect, um Benutzerdaten im Verzeichnis zu füllen. - Microsoft Entra ID - Hybrididentität Microsoft Entra Anwendungen Integrieren Sie Anwendungen mit Microsoft Entra ID und nutzen Sie dynamische Sicherheitsgruppen, Anwendungsrollen und benutzerdefinierte Sicherheitsattribute, um den Zugriff auf Anwendungen zu steuern. - Apps verwalten - Zugriff auf Apps verwalten Microsoft Entra Anwendungsproxy Um Microsoft Entra ID für Anwendungen zu verwenden, die ältere Authentifizierungsprotokolle nutzen, müssen Sie einen Anwendungsproxy bereitstellen und konfigurieren oder Partnerlösungen für den sicheren Hybridzugriff (SHA) integrieren. - SHA: Schützen von Legacy-Anwendungen |
| 1.2.5 Enterprise Governance-Rollen und -Berechtigungen Teil 2DoD-Organisationen verschieben alle möglichen Funktionen des Identitätsanbieters (IDP) und der ICAM-Lösungen (Identity, Credential and Access Management) in Cloudumgebungen. Enklave/DDIL-Umgebungen verfügen über lokale Fähigkeiten zur Unterstützung von getrennten Funktionen, werden jedoch letztendlich von den zentralen ICAM-Lösungen (Identitäts-, Berechtigungs- und Zugangsmanagement) verwaltet. Aktualisierte Rollen werden jetzt für die Verwendung vorgeschrieben, und Ausnahmen werden nach einem risikobasierten Ansatz überprüft. Ergebnisse:– Die Meisten Komponenten nutzen Cloud-IdP-Funktionen, wenn möglich, wird lokale IdP außer Betrieb genommen– Berechtigungen und Rollen werden bei der Auswertung von Attributen für die Verwendung vorgeschrieben |
Microsoft Entra Anwendungen Moderne Anwendungen von Active Directory-Verbunddienste (AD FS) (AD FS) zu Microsoft Entra ID migrieren und dann die AD FS Infrastruktur abschalten. - App-Authentifizierung von AD FS auf Microsoft Entra ID migrieren Microsoft Entra App-Bereitstellung Die verbleibenden ICAM- und Anwendungsbereitstellungsprozesse von lokalen Identitätsverwaltungssystemen zu Microsoft Entra ID verschieben. - API-gesteuerte eingehende Bereitstellung - App-Bereitstellung |
1.3 Multi-Faktor-Authentifizierung
Microsoft Entra ID unterstützt die zertifikatbasierte Authentifizierung (CBA), einschließlich DoD Common Access Cards (CAC) und personal Identity Verification (PIV) ohne Verbund mit einem anderen IdP für Cloud- und Hybridbenutzer (synchronisiert). Microsoft Entra ID unterstützt mehrere branchenübische multifactor Phishing-beständige kennwortlose Authentifizierungsmethoden einschließlich CBA, Windows Hello for Business, FIDO2-Sicherheitsschlüsseln und Passkeys.
Sie können Richtlinien für bedingten Zugriff erstellen, um die Authentifizierungsstärke zu erzwingen und den Zugriff basierend auf Benutzer-, Geräte- und Umgebungsbedingungen, einschließlich Risikostufe, dynamisch zu autorisieren.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.3.1 Organisations-MFA/IdPDoD-Organisationen beschaffen und implementieren eine zentrale Identity Provider (IdP)-Lösung und Multi-Faktor (MFA)-Lösung. Die IdP- und MFA-Lösung kann in einer einzigen Anwendung kombiniert oder bei Bedarf getrennt werden, vorausgesetzt, die automatisierte Integration wird von beiden Lösungen unterstützt. Sowohl IdP als auch MFA unterstützen die Integration mit der Enterprise PKI-Funktion und ermöglichen es Schlüsselpaaren, von den vertrauenswürdigen Stammzertifizierungsstellen signiert zu werden. Einsatz-/aufgabenkritische Anwendungen und -Dienste nutzen die IdP- und MFA-Lösung für die Verwaltung von Benutzern und Gruppen. Ergebnisse: – Komponente verwendet IdP mit MFA für kritische Anwendungen/Dienste- Komponenten haben einen Identitätsanbieter (IdP) implementiert, der die mehrstufige DoD-PKI-Authentifizierung ermöglicht- Organisationsstandardisierte PKI für kritische Dienste |
Microsoft Entra-Authentifizierungsmethoden Configure Microsoft Entra CBA mithilfe von DoD PKI. Legen Sie die globale Schutzebene auf die einstufige Authentifizierung fest. Erstellen Sie Regeln für jede ausgebende CA des DoD oder Richtlinien-OID, um DoD-PKI als Schutzniveau mehrfaktorbasierter Authentifizierung zu identifizieren. Nach der Konfiguration melden sich Benutzer bei Microsoft Entra mit einer DoD CAC an. - Authentifizierung in Microsoft Entra ID - Microsoft Entra CBA - CBA konfigurieren Gestaffelte Bereitstellung Verwenden Sie eine gestaffelte Bereitstellung, um die Benutzerauthentifizierung von einem lokalen Föderationsdienst zu Microsoft Entra CBA zu migrieren. Siehe Microsoft-Anweisungen in 1.2.4. Microsoft Entra Authentifizierungsstärke Erstellen Sie eine neue Authentifizierungsstärke mit dem Namen DoD CAC. Wählen Sie die zertifikatbasierte Authentifizierung (mehrstufig) aus. Konfigurieren Sie erweiterte Optionen und wählen Sie Zertifikataussteller für DoD PKI. Authentifizierungsstärke - Benutzerdefinierte Authentifizierungsstärken. Microsoft Intune. Microsoft Entra unterstützt zwei Methoden zum Verwenden von Zertifikaten auf einem mobilen Gerät: abgeleitete Anmeldeinformationen (Gerätezertifikate) und Hardwaresicherheitsschlüssel. Um von DoD PKI abgeleitete Anmeldeinformationen auf verwalteten mobilen Geräten zu verwenden, verwenden Sie Intune, um DISA Purebred bereitzustellen.Abgeleitete Anmeldeinformationen CBA auf iOS-Geräten CBA auf Android-Geräten |
| 1.3.2 Alternative flexible MFA Teil 1Der IDP der DoD-Organisation unterstützt alternative Methoden der Multi-Faktor-Authentifizierung, die den Anforderungen an die Cybersicherheit entsprechen (z. B. FIPS 140-2, FIPS 197 usw.). Alternative Token können für die anwendungsbasierte Authentifizierung verwendet werden. Multi-Faktor-Optionen unterstützen biometrische Funktionen und können mithilfe eines Self-Service-Ansatzes verwaltet werden. Wenn möglich, werden Multi-Faktor-Anbieter zu Clouddiensten verlagert, anstatt lokal gehostet zu werden. Ergebnisse:– IdP stellt dem Benutzer alternative Self-Service-Token zur Verfügung– IdP stellt alt-Token-MFA für genehmigte Anwendungen pro Richtlinie bereit |
Microsoft Entra Authentifizierungsmethoden Configure Microsoft Entra Authentifizierungsmethoden für Benutzer zum Registrieren von Schlüsseln (FIDO2-Sicherheitsschlüssel). Verwenden Sie optionale Einstellungen, um eine Schlüsseleinschränkungsrichtlinie für Schlüssel zu konfigurieren, die mit FIPS 140-2 kompatibel sind. Kennwortlose Anmeldung mit Sicherheitsschlüssel AuthentifizierungsmethodenBefristeter ZugriffspassKonfigurieren eines temporären Zugriffspass (TAP), damit Benutzer alternative kennwortlose Authentifikatoren ohne CAC registrieren können. Konfigurieren von TAPBedingter ZugriffErstellen einer Richtlinie für bedingten Zugriff, um Authentifizierungsstärke zu erfordern: DoD CAC für die Registrierung von Sicherheitsinformationen. Die Richtlinie erfordert, dass CAC andere Authentifikatoren wie FIDO2-Sicherheitsschlüssel registriert. Registrierung von SicherheitsinformationenSiehe Microsoft-Leitfaden 1.3.1. Windows Hello for Business Windows Hello for Business mit einer PIN oder biometrischen Geste für Windows Anmeldung verwenden. Verwenden Sie Geräteverwaltungsrichtlinien für Windows Hello for Business Registrierung für vom Unternehmen bereitgestellte Windows-Geräte. - Windows Hello for Business |
| 1.3.3 Alternative flexible MFA Teil 2Alternative Token nutzen Benutzeraktivitätsmuster aus säulenübergreifenden Aktivitäten wie „Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) und Benutzer- und Entitäts-Verhaltensanalysen (User & Entity Behavior Analytics, UEBA)“ zur Unterstützung der Zugriffsentscheidungsfindung (z. B. keinen Zugriff gewähren, wenn eine Musterabweichung auftritt). Diese Funktionalität wird auch auf biometrisch aktivierte alternative Token erweitert. Ergebnis: – Implementierte Benutzeraktivitätsmuster |
Microsoft Entra ID Protection Microsoft Entra ID Protection verwendet maschinelles Lernen (ML) und Bedrohungsintelligenz, um riskante Benutzer und Anmeldeereignisse zu erkennen. Verwenden Sie die Anmelde- und Benutzerrisikobedingungen, um Richtlinien für bedingten Zugriff auf Risikostufen abzuzielen. Beginn mit basalem Schutz, der MFA für Risikoeinmeldungen erforderlich macht. - Microsoft Entra ID Protection Bereitstellen von IdentitätsschutzBedingter ZugriffErstellen sie eine Reihe risikobasierter Richtlinien für bedingten Zugriff, die Gewährungs- und Sitzungssteuerelemente verwenden, um einen stärkeren Schutz zu erfordern, wenn das Risiko zunimmt. Konfigurieren und Aktivieren von Risikorichtlinien Bedingter Zugriff: Sitzung Bedingter Zugriff: Gewähren Beispiele für risikobasierte Richtlinien für bedingten Zugriff: Mittleres Anmelderisiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts – Anmeldehäufigkeit: 1 Stunde Hohes Anmelderisiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts – Anmeldehäufigkeit: jedes Mal Benutzer mit hohem Risiko – Authentifizierungsstärke erforderlich machen: Phishing-beständige MFA – Erfordern eines kompatiblen Geräts - Anmeldehäufigkeit: jedes Mal Microsoft Sentinel Konfigurieren Sie eine Sentinel-Analytics-Regel und ein Playbook, um einen Vorfall für Entra ID-Schutzwarnungen zu erstellen, wenn das Benutzerrisiko hoch ist. - Microsoft Entra ID Protection Connector für Sentinel User:revokeSignInSessions |
1.4 Verwaltung des privilegierten Zugriffs
Microsoft Entra ID Governance ermöglicht PAM-Features wie Just-in-Time-Verwaltung (JIT), Berechtigungsverwaltung und regelmäßige Zugriffsüberprüfungen. Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen zu ermitteln, wie Rollen in Ihrer Organisation zugewiesen werden. Verwenden Sie PIM, um permanente Rollenzuweisungen JIT zu konvertieren, Rollenzuweisungs- und Aktivierungsanforderungen anzupassen und auch Zugriffsüberprüfungen zu planen.
Bedingter Zugriff erzwingt die Authentifizierungsstärke, die Risikostufe und das kompatible Privileged Access Workstation-Gerät (PAW) für privilegierten Zugriff. Administrative Aktionen in Microsoft Entra ID werden in den Microsoft Entra Überwachungsprotokollen aufgezeichnet.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.4.1 Implementieren des Systems und Migrieren privilegierter Benutzer Teil 1 DoD-Organisationen beschaffen und implementieren eine PAM-Lösung (Privileged Access Management), um alle kritischen privilegierten Anwendungsfälle zu unterstützen. Anwendungs-/Dienstintegrationspunkte werden identifiziert, um den Status der Unterstützung für die PAM-Lösung zu ermitteln. Anwendungen/Dienste, die problemlos in PAM-Lösungen integriert werden, werden auf die Verwendung von Lösungen anstatt statischen und direkten privilegierten Berechtigungen umgestellt. Ergebnisse: – PAM-Tools (Privilege Access Management) werden implementiert – Identifizierung von Anwendungen und Geräten, die PAM-Tools unterstützen und nicht unterstützen – Anwendungen, die PAM unterstützen, verwenden jetzt PAM zum Steuern von Notfall-/integrierten Konten |
Privileged Identity Management Stellen Sie PIM zum Schutz von der Microsoft Entra ID und der Azure-Rollen bereit. Verwenden Sie PIM Discovery und Insights, um privilegierte Rollen und Gruppen zu identifizieren. Verwenden Sie PIM, um ermittelte Berechtigungen zu verwalten und Benutzerzuweisungen von „permanent“ in „berechtigt“ zu konvertieren. PIM-Übersicht Entdeckung und Einsichten für Rollen - Azure-Ressourcen Microsoft Intune Stellen Sie Intune-verwaltete PAW für Microsoft Entra, Microsoft 365 und Azure administration bereit. Strategie für den privilegierten Zugriff Bedingter Zugriff Verwenden Sie die Richtlinie für bedingten Zugriff, um kompatible Geräte erforderlich zu machen. Verwenden Sie Gerätefilter in der Zugriffssteuerung für bedingten Zugriff auf konforme Geräte, um PAW durchzusetzen. Filter für Geräte |
| 1.4.2 Implementieren des Systems und Migrieren privilegierter Benutzer Teil 2 DoD-Organisationen nutzen das Inventar der unterstützten und nicht unterstützten Anwendungen/Dienste für die Integration in die PAM-Lösung (Privileged Access Management), um Integrationen zu erweitern. PAM ist in die anspruchsvolleren Anwendungen/Dienste integriert, um die PAM-Lösungsabdeckung zu maximieren. Ausnahmen werden in einem risikobasierten methodenbasierten Ansatz verwaltet, mit dem Ziel der Migration oder der Außerbetriebsetzung von Anwendungen/Diensten, die PAM-Lösungen nicht unterstützen. Ergebnis: – Privilegierte Aktivitäten werden zu PAM migriert, und der Zugriff wird vollständig verwaltet |
Privileged Identity Management Verwenden Sie privilegierte Zugriffssgruppen und PIM für Gruppen, um den Just-in-Time (JIT) Zugriff über Microsoft Entra ID und Azure hinaus zu erweitern. Verwenden Sie die Sicherheitsgruppen in Microsoft 365, Microsoft Defender XDR, oder ordnen Sie ihnen privilegierte Rollenansprüche für Nicht-Microsoft-Anwendungen zu, die in Microsoft Entra ID integriert sind. Rollenzuweisungsfähige Gruppen Gruppen zu PIM hinzufügen Benutzer- und Gruppenzuweisungen zu einer App Bedingter Zugriff Verwenden Sie geschützte Aktionen, um eine zusätzliche Schutzebene hinzuzufügen, wenn Administratoren Aktionen durchführen, die hoch privilegierte Berechtigungen in Microsoft Entra ID erfordern. Verwalten Sie beispielsweise Richtlinien für bedingten Zugriff und mandantenübergreifende Zugriffseinstellungen. Geschützte Aktionen Erstellen Sie eine Richtlinie für bedingten Zugriff für Benutzer mit aktiver Microsoft Entra Rollenmitgliedschaft. Authentifizierungsstärke voraussetzen: phishingresistente MFA und kompatibles Gerät. Verwenden Sie Gerätefilter, um kompatible PAWs zu erfordern. MFA für Administratoren erforderlich machen Filtern nach Geräten |
| 1.4.3 Echtzeitgenehmigungen & JIT-/JEA-Analysen Teil 1 Die Identifizierung der erforderlichen Attribute (Benutzer, Gruppen usw.) sind automatisiert und in die PAM-Lösung (Privileged Access Management) integriert. Berechtigungszugriffsanforderungen werden zur PAM-Lösung für automatisierte Genehmigungen und Ablehnungen migriert. Ergebnisse: – Identifizierte Konten, Anwendungen, Geräte und problematische Daten (von größtem Risiko für DoD-Mission) – Verwendung von PAM-Tools, angewendeter JIT/JEA-Zugriff auf Konten mit hohem Risiko – Berechtigungszugriffsanforderungen werden entsprechend automatisiert |
Privileged Identity Mangement Identifizieren Sie risikoreiche Rollen in Ihrer Umgebung, z. B. Microsoft Entra Rollen, Azure Rollen wie Besitzer, Benutzerzugriffsadministrator sowie privilegierte Sicherheitsgruppen. Bewährte Methoden für Rollen Privilegierte Rollen Konfigurieren Sie PIM-Rolleneinstellungen, um Genehmigungen zu erfordern. - Azure Ressourcenrolleneinstellungen - Microsoft Entra Rolleneinstellungen PIM für Gruppeneinstellungen Microsoft Entra ID Governance Verwenden Sie Zugriffspakete, um Sicherheitsgruppen für die Rollenberechtigungen zu verwalten. Dieser Mechanismus verwaltet berechtigte Administratoren; er fügt Self-Service-Anforderungen, Genehmigungen und Zugriffsüberprüfungen für die Rollenberechtigung hinzu. Berechtigungsverwaltung Erstellen Sie rollenzuweisungsfähige Gruppen für privilegierte Rollen, um Berechtigungsanforderungen und -genehmigungen zu konfigurieren. Erstellen Sie einen Katalog mit dem Namen „Administratoren, die sich für privilegierte Rollen qualifizieren“. Fügen Sie rollenzuweisungsfähige Gruppen als Ressourcen hinzu. Rollenzuweisungsfähige Gruppen Erstellen und Verwalten von Ressourcenkatalogen Erstellen von Zugriffspaketen für rollenzuweisungsfähige Gruppen im Katalog „Administratoren, die sich für privilegierte Rollen qualifizieren“. Sie können eine Genehmigung anfordern, wenn Benutzer die Berechtigung in der Berechtigungsverwaltung anfordern, bei der Aktivierung in PIM eine Genehmigung verlangen oder beides erfordern. Zugriffspakete |
| 1.4.4 Echtzeitgenehmigungen & JIT-/JEA-Analysen Teil 2 DoD-Organisationen integrieren Benutzer- und Entitätsverhaltensanalysen (User & Entity Behavior Analytics, UEBA) und Lösungen für die Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) mit der PAM-Lösung (Privileged Access Management), die Benutzermusteranalysen für die Entscheidungsfindung bereitstellt. Ergebnis: – UEBA oder ein ähnliches Analysesystem, das in die PAM-Tools für die Genehmigung von JIT/JEA-Konten integriert ist |
Bedingter Zugriff Definieren Sie einen Authentifizierungskontext für privilegierten Zugriff. Erstellen Sie eine oder mehrere Richtlinien für den bedingten Zugriff, die auf den Authentifizierungskontext für privilegierten Zugriff abzielen. Verwenden Sie Risikobedingungen in der Richtlinie, und wenden Sie Berechtigungs- und Sitzungssteuerelemente für privilegierten Zugriff an. Es wird empfohlen, dass Sie eine Authentifizierungsstärke erfordern: phishingresistente MFA, kompatible Arbeitsstation für privilegierten Zugriff. Konfigurieren des Authentifizierungskontexts Siehe Microsoft-Leitfaden 1.4.1. Um privilegierten Zugriff zu blockieren, wenn ein hohes Anmelderisiko vorliegt, erstellen Sie weitere Richtlinien für bedingten Zugriff, die den Authentifizierungskontext mit privilegiertem Zugriff mit einer Bedingung für ein hohes Anmelderisiko anvisieren. Wiederholen Sie diesen Schritt mit einer Richtlinie für ein hohes Benutzerrisiko. Richtlinienbereitstellung Privileged Identity Management Konfigurieren Sie PIM-Rolleneinstellungen, um einen Authentifizierungskontext zu erfordern. Diese Einstellung erzwingt Richtlinien für den bedingten Zugriff für den ausgewählten Authentifizierungskontext bei der Rollenaktivierung. Authentifizierungskontext erforderlich |
1.5 Identitätsverbund und Benutzerprüfung
Microsoft Entra ID spielt eine schlüsselrolle bei der Identitätslebenszyklusverwaltung (IDENTITY Lifecycle Management, ILM). Ein Microsoft Entra Mandant ist ein Hyperscale-Cloudverzeichnisdienst, Identitäts-, Anmeldeinformationen- und Zugriffsverwaltungslösung (ICAM) und Identitätsanbieter (IdP). Sie unterstützt die verzeichnisübergreifende Bereitstellung und App-Bereitstellung, um den Lebenszyklus interner Benutzer in Microsoft Entra ID und anderen Apps zu verwalten.
Microsoft Entra ID Governance Features helfen Ihnen beim Verwalten des Zugriffslebenszyklus für Berechtigungen wie Apps, Microsoft Teams und Sicherheitsgruppenmitgliedschaft. Die Berechtigungsverwaltung kann auch verwendet werden, um externe Gäste zu onboarden und zu verwalten. Sie können den Zugriff blockieren und Gastbenutzerobjekte entfernen, sobald das letzte Zugriffspaket entfernt wurde. Informationen dazu, wie Ihre Organisation ILM-Funktionen zu Microsoft Entra ID migrieren kann, finden Sie unter Road to the cloud.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.5.1 Lebenszyklusverwaltung von organisatorischen Identitäten DoD-Organisationen richten einen Prozess für die Lebenszyklusverwaltung von sowohl privilegierten als auch Standard-Benutzern ein. Der Prozess wird mithilfe des Organisationsidentitätsanbieters (Organizational Identity Provider, IdP) implementiert und wird von der maximalen Anzahl von Benutzern gefolgt. Alle Benutzer, die außerhalb des Standardprozesses fallen, werden durch Ausnahmen auf Basis von Risiken genehmigt und regelmäßig im Hinblick auf eine mögliche Außerbetriebnahme ausgewertet. Ergebnis: – Standardisierter Identitätslebenszyklusprozess |
Microsoft Entra ID Standardisieren des Kontolebenszyklus für Identitäten, einschließlich Benutzer, Administratoren, externer Benutzer und Anwendungsidentitäten (Dienstprinzipale). - Identity-Lebenszyklusverwaltung - Identity and access management ops Microsoft Entra ID Governance Einrichtung regelmäßiger Zugriffsüberprüfungen für privilegierte Benutzer und Anwendungen in einem Mandanten. - Access reviews |
| 1.5.2 Enterprise Identity Life Cycle Management Teil 1Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um die vorhandenen Identitätslebenszyklusprozesse, -richtlinien und -standards zu überprüfen und auszurichten. Ein abgeschlossener und vereinbarter Richtlinien- und unterstützender Prozess werden entwickelt und von den DoD-Organisationen befolgt. DoD-Organisationen implementieren den Enterprise-Lebenszyklusverwaltungsprozess für die maximale Anzahl von Identitäten, Gruppen und Berechtigungen mithilfe der zentralen oder verbündeten Identitätsanbieter (IdP) und der IdAM-Lösungen (Identity & Access Management). Ausnahmen von der Richtlinie werden in einem risikobasierten methodischen Ansatz verwaltet. Ergebnisse:– Automatisierte Identitätslebenszyklusprozesse – Integriert in Enterprise ICAM-Prozess und -Tools |
Microsoft Entra ID Wenn Ihre Organisation Active Directory verwendet, synchronisieren Sie Benutzer mit Microsoft Entra ID mittels Microsoft Entra Connect Sync oder Microsoft Entra Cloud Sync. Hinweis: Synchronisieren Sie keine privilegierten Active Directory-Konten und weisen Sie keine privilegierten Cloud-Rollen zu synchronisierten Konten zu. - Connect Sync - Cloud Sync - Schützen Sie Microsoft 365 vor lokalen Angriffen - Reduzieren Sie die Angriffsfläche Verwaltung privilegierter Identitäten Verwalten des administrativen Zugriffs mit PIM. Richten Sie einen Zugriffsüberprüfungsrhythmus für privilegierte Microsoft Entra- und Azure-Rollen ein. - Privilegierte Konten Microsoft Entra-Authentifizierungsmethoden Verwenden Sie cloudbasierte, phishingresistente MFA-Methoden. Richten Sie die zertifikatbasierte Authentifizierung (CBA) von Microsoft Entra mit DoD Common Access Cards (CACs) ein, um andere kennwortlose Anmeldeinformationen zu registrieren. Siehe Microsoft-Anweisungen in 1.3.2. |
| 1.5.3 Enterprise Identity Life-Cycle Management Teil 2DoD-Organisationen integrieren die kritischen Automatisierungsfunktionen des Identitätsanbieters (IDP) und der ICAM-Lösungen (Identity, Credential and Access Management) nach dem Enterprise-Lebenszyklusverwaltungsprozess weiter, um Unternehmensautomatisierung und -analysen zu ermöglichen. Primäre Prozesse des Identity Lifecycle Management sind in die cloudbasierte Enterprise ICAM-Lösung integriert. Ergebnisse:– Integration mit kritischen IDM/IDP-Funktionen– Primäre ILM-Funktionen sind cloudbasiert |
Microsoft Entra ID Governance Nutzung der Berechtigungsverwaltung und Zugriffsüberprüfungen zum Verwalten der Benutzerzugriffszyklen Ihrer Organisation und externer Gastidentitätszyklen. |
| 1.5.4 Enterprise Identity Life-Cycle Management Teil 3DoD-Organisationen integrieren verbleibende Identity Lifecycle Management-Prozesse in die Enterprise Identitäts-, Anmelde- und Zugriffsverwaltungslösung. Integrieren Sie Enklave/DDIL-Umgebungen, solange sie noch autorisiert sind zu operieren, mit dem Enterprise ICAM durch Verwendung lokaler Connectors zur Cloudumgebung. Ergebnisse:– Alle ILM-Funktionen wurden entsprechend in die Cloud verschoben– Integration mit allen IDM/IDP-Funktionen |
Microsoft Entra-App-Bereitstellung Verwenden Sie die Microsoft Entra-App-Bereitstellung, um Identitäten mit SCIM-, SQL-, LDAP-, PowerShell- und Webdienstanwendungen zu synchronisieren. Verwenden Sie die API-gesteuerte App, um Benutzer in unterschiedlichen Active Directory-Instanzen bereitzustellen. - Apps bereitstellen - Lokale App-Bereitstellung - API-gesteuerte Bereitstellungs-App konfigurieren |
1.6 Verhaltens-, Kontext-ID und Biometrie
Microsoft Entra ID Protection hilft Ihnen, Identitätsbedrohungen mithilfe von Machine Learning (ML) und Bedrohungserkennung zu erkennen, zu beheben und zu verhindern. Dieses Feature erkennt Echtzeitrisiken während der Benutzeranmeldung und Offlinerisiken, die im Laufe der Zeit berechnet werden. Zu den Risiken gehören Tokenanomalien, ungewöhnliche Anmeldeeigenschaften, unmögliche Reiseaktivitäten, verdächtiges Benutzerverhalten und vieles mehr.
Der Identitätsschutz ist in Microsoft Defender XDR integriert, um Identitätsrisiken anzuzeigen, die von anderen Komponenten in der Microsoft Defender Produktfamilie erkannt wurden.
Weitere Informationen finden Sie unter Was sind Risikoerkennungen?
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.6.1 Implementierung von Benutzer- und Entitätsverhaltensanalysen(UEBA) und Werkzeugen zur Benutzeraktivitätsüberwachung (UAM). DoD-Organisationen beschaffen und implementieren Lösungen für Benutzer- und Entitätsverhaltensanalysen (UEBA) und Benutzeraktivitätsüberwachung (UAM). Der anfängliche Integrationspunkt mit dem Enterprise IdP ist abgeschlossen und ermöglicht die zukünftige Nutzung in der Entscheidungsfindung. Ergebnis:– UEBA- und UAM-Funktionalität wird für Enterprise IDP implementiert |
Microsoft Entra ID Protection Stellen Sie Microsoft Entra ID Protection bereit, um Echtzeit- und Offline-Risikoerkennung für Benutzer und Anmeldeereignisse zu erhalten. Erweitern Sie die Identitätsrisikoerkennungen auf Anwendungsidentitäten (Dienstprinzipale) mithilfe von Microsoft Entra Workload ID, Workload Identities Premium Edition. - Sichern von Arbeitslastidentitäten - Risikobasierte Richtlinie für Arbeitslastidentitäten Siehe Microsoft-Anleitungen in 1.3.3. Microsoft Defender für Cloud-Apps Bereitstellen von Defender für Cloud-Apps und Konfigurieren von Integrationen mit Microsoft Defender für Endpunkt und externen Lösungen. Konfigurieren von Anomalieerkennungsrichtlinien in Defender für Cloud Apps. - Integration von Defender für Endpunkt in Defender für Cloud Apps - Externe Lösungsintegrationen - Erkennen verdächtiger Benutzeraktivitäten mit UEBA Microsoft Defender für Endpunkt Endpunkte in Defender für Endpunkt einbinden. Konfigurieren von Integrationen zwischen Defender für Endpoint und Microsoft Intune. - Defender für Endpoint und anderen Lösungen Microsoft Intune Konfigurieren Sie Integrationen mit Defender für Endpoint und verwenden Sie die Defender für Endpoint-Computerrisikobewertung in Ihrer Gerätekompatibilitätsrichtlinie. - Defender für Endpoint-Regeln Bedingter Zugriff Erstellen Sie Richtlinien für bedingten Zugriff, um konforme Geräte zu verlangen. Bevor der Zugriff gewährt wird, erfordert das Steuerelement ein Gerät, das in Microsoft Intune als kompatibel gekennzeichnet ist. Die Integration zwischen Defender für Endpoint und Intune bietet ein allgemeines Bild der Integritäts- und Risikostufe des Geräts basierend auf dem Compliancestatus. - Compliance-Richtlinien zum Festlegen von Regeln für Intune verwaltete Geräte Microsoft Sentinel Verbinden von Datenquellen mit Sentinel und Aktivieren der UEBA für Überwachungsprotokolle, Anmeldeprotokolle, Azure-Aktivitäten und Sicherheitsereignisse. - Aktivieren der UEBA - Erweiterte Bedrohungen mit UEBA |
| 1.6.2 Benutzeraktivitätsüberwachung Teil 1DoD-Organisationen integrieren User & Entity Behavior Analytics (UEBA) und User Activity Monitoring-Lösungen (UAM) mit IDP (Organizational Identity Providers) zur erweiterten Sichtbarkeit nach Bedarf. Analysen und Daten, die von UEBA und UAM für kritische Anwendungen und Dienste generiert werden, werden in die Just-in-Time- und Just-Enough-Access-Lösung integriert, um die Entscheidungsfindung weiter zu verbessern. Ergebnisse: – UEBA ist in Organisations-IDPs entsprechend integriert– UEBA ist in JIT/JEA für kritische Dienste integriert |
Privileged Identity Management PIM bereitstellen und Einführung privilegierter Rollen. Definieren Sie einen Authentifizierungskontext für privilegierten Zugriff. Verwenden Sie Risikobedingungen im Authentifizierungskontext und konfigurieren Sie PIM-Rolleneinstellungen, um den Authentifizierungskontext bei der Aktivierung zu verlangen. Siehe Microsoft-Leitfaden in 1.4.4. Microsoft Sentinel Verbinden Sie Datenquellen mit Sentinel und aktivieren Sie UEBA für Überwachungsprotokolle, Anmeldeprotokolle, Azure-Aktivitäten und Sicherheitsereignisse. - Aktivieren Sie UEBA - Erweiterte Bedrohungen mit UEBA Microsoft Defender für Cloud-Apps Überwachen und Steuern von Sitzungen bei Cloudanwendungen mit Defender für Cloud-Apps. - Schützen Sie Apps mit App-Kontrolle - Sitzungsrichtlinien - Untersuchen Sie risikoreiche Benutzer |
| 1.6.3 Benutzeraktivitätsüberwachung Teil 2DoD-Organisationen setzen die Analysenutzung aus den UEBA- (User & Entity Behavior Analytics) und UAM-Lösungen (User Activity Monitoring) fort, indem generierte Daten für alle überwachten Anwendungen und Dienste verwendet werden, wenn die Entscheidungsfindung in der Just-in-Time- und Just-Enough-Access-Lösung erfolgt. Ergebnis:– UEBA/Entity Monitoring ist in JIT/JEA für alle Dienste integriert |
Privileged Identity Management Verwenden Sie PIM für Gruppen, um den Just-in-Time (JIT) Zugriff auf Anwendungen mit App-Rollen zu erweitern. Weisen Sie den privilegierten App-Rollen Gruppen zu, die von PIM verwaltet werden.PIM für GruppenHinzufügen von App-Rollen zu einer App |
1.7 Geringster privilegierter Zugriff
Der Zugriff auf Anwendungen mit Microsoft Entra ID ist standardmäßig verweigert. Microsoft Entra ID Governance Features wie Berechtigungsverwaltung und Zugriffsüberprüfungen stellen sicher, dass der Zugriff zeitgebunden ist, am Prinzip der geringsten Rechte ausgerichtet ist und Kontrollen zur Trennung von Aufgaben durchgesetzt werden.
Verwenden Sie die integrierten Rollen von Microsoft Entra, um aufgabenbezogen die geringstmöglichen Berechtigungen zuzuweisen. Mithilfe von administrativen Einheiten können Sie ressourcenbasierte Berechtigungen für Microsoft Entra ID Benutzer und Geräte festlegen.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.7.1 Richtlinie zum standardmäßigen Ablehnen von BenutzernDoD-Organisationen überwachen die interne Benutzer- und Gruppennutzung bzgl. Berechtigungen und widerrufen diese, wenn möglich. Diese Aktivität umfasst den Widerruf und/oder die Außerbetriebnahme übermäßiger Berechtigungen und des Zugriffs für anwendungs-/dienstbasierte Identitäten und Gruppen. Wenn möglich, werden statische privilegierte Benutzer abgebaut oder Berechtigungen reduziert, um auf zukünftigen regelbasierten bzw. dynamischen Zugriff vorzubereiten. Ergebnisse:– Anwendungen wurden so aktualisiert, dass sie standardmäßig den Zugriff verweigern, es sei denn, es sind bestimmte Rollen/Attribute erforderlich– Reduzierte Standardberechtigungsstufen wurden implementiert– Anwendungen/Dienste haben alle privilegierten Benutzer geprüft und diejenigen entfernt, die diese Zugriffsebene nicht benötigen |
Microsoft Entra ID Überprüfen und einschränken der Standardbenutzer- und Gastberechtigungen in Microsoft Entra ID. Einschränken der Benutzerzustimmung auf Anwendungen und Überprüfen der aktuellen Zustimmung in Ihrer Organisation. - Standard-Benutzerberechtigungen - Einschränken der Berechtigungen zur Benutzerzustimmung Microsoft Entra Anwendungen Zugriff auf Microsoft Entra Apps wird standardmäßig verweigert. Microsoft Entra ID überprüft Berechtigungen und wendet Richtlinien für bedingten Zugriff an, um den Ressourcenzugriff zu autorisieren. - Integrate apps - App integration Microsoft Entra ID Governance Nutzung der Identitätsverwaltungsfunktion zum Verwalten von Identitäts- und Zugriffslebenszyklus. Finden Sie automatisierte Zugriffsanforderungs-Workflows, Zugriffszuweisungen, Zugriffsüberprüfungen und Ablaufdaten. - Berechtigungsverwaltung - Zugriffsüberprüfungen Benutzerdefinierte Rollen Verwenden Sie die integrierten Rollen von Microsoft Entra ID für die Ressourcenverwaltung. Wenn Rollen jedoch nicht den Organisationsanforderungen entsprechen oder Sie Berechtigungen für Ihre Administrativen Benutzer minimieren möchten, erstellen Sie eine benutzerdefinierte Rolle. Gewähren benutzerdefinierten Rollen präzise Berechtigungen zum Verwalten von Benutzern, Gruppen, Geräten, Anwendungen und mehr. - Custom roles Administrative units Eine administrative Einheit ist eine Microsoft Entra-Ressource, die andere Microsoft Entra-Ressourcen wie Benutzer, Gruppen oder Geräte enthält. Verwenden Sie administrative Einheiten, um Berechtigungen an eine Teilmenge von Administratoren zu delegieren, basierend auf der Organisationsstruktur.administrativen EinheitenAdministrative Einheiten für eingeschränkte VerwaltungErstellen oder Löschen administrativer EinheitenPrivileged Identity ManagementVerwenden von PIM Discovery und Insights zum Verwalten von Berechtigungen und reduzieren die Anzahl der Administratoren. Konfigurieren Sie PIM-Warnungen, wenn privilegierte Rollen außerhalb von PIM zugewiesen werden. - Privilegierter Zugriff für Hybrid- und Cloud-Umgebungen - Sicherheitswarnungen für Microsoft Entra-Rollen - Sicherheitswarnungen für Azure-Rollen Microsoft Defender für Cloud-Apps Überprüfen Sie die Berechtigungen, die Anwendungen erteilt wurden. Untersuchen Sie riskante OAuth-Anwendungen in Defender für Cloud Apps. - Überprüfen Sie die Berechtigungen, die Apps gewährt wurden - Untersuchen von riskanten OAuth-Apps Microsoft Sentinel Verwenden Sie PIM, um Azure-Rollen für Sentinel-Zugriff zuzuweisen und regelmäßig Abfragen und Aktivitäten zu überprüfen. - Überprüfen Sie Abfragen und Aktivitäten |
1.8 Kontinuierliche Authentifizierung
Microsoft Entra ID verwendet kurz- und langlebige Token, um Benutzer regelmäßig für Anwendungen und Dienste zu authentifizieren, die Microsoft Entra schützt. Microsoft Entra ID verfügt über den CaE-Mechanismus (Continuous Access Evaluation), um das Standardprotokoll zu verbessern. Das Richtlinienmodul reagiert auf Umweltänderungen in nahezu Echtzeit und erzwingt adaptive Zugriffsrichtlinien.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.8.1 Einfache AuthentifizierungDoD-Organisationen verwenden grundlegende Authentifizierungsprozesse, um Benutzer und NPEs mindestens einmal pro Sitzung zu authentifizieren (z. B. bei der Anmeldung). Wichtig ist, dass Benutzer, die authentifiziert werden, von der parallelen Aktivität "Organisations-MFA/IDP" mit dem IdP (Organizational Identity Provider) im Vergleich zur Verwendung von anwendungs-/dienstbasierten Identitäten und Gruppen verwaltet werden. Ergebnis:– Authentifizierung, die pro Sitzung über Anwendungen hinweg implementiert wird |
Microsoft Entra ID Microsoft Entra ID ist ein zentraler Identitätsanbieter (IdP), der einmaliges Anmelden (Single Sign-On, SSO) zwischen Microsoft-Cloudanwendungen und Anwendungen erleichtert, die Ihre Organisation verwendet. - Microsoft Entra ID Single-Anmeldung Die SSO-Authentifizierungsmethode ermöglicht Benutzern die Verwendung ihrer Microsoft Entra ID Anmeldeinformationen zum Authentifizieren von Anwendungen und Diensten. Die Apps können SaaS, benutzerdefinierte Branchenanwendungen oder lokale Anwendungen sein. Verwenden Sie die Microsoft-Entra-Authentifizierung und Zero-Trust-Funktionen, um sicheren und einfachen Zugriff auf Anwendungen zu ermöglichen. - Was ist SSO? - Microsoft-Entra-Integrationen mit Authentifizierungsprotokollen Microsoft-Entra-App-Bereitstellung Microsoft-Entra-App-Bereitstellung erstellt, aktualisiert und entfernt Benutzer, Rollen und Gruppen in SaaS-Anwendungen sowie in benutzerdefinierten oder lokalen Anwendungen. Verwenden Sie Microsoft Entra ID als zentrale Identitätsquelle für Apps. Minimieren Sie Anwendungs- oder Dienstidentitäten und Benutzer. - Automatisierte Bereitstellung - App-Bereitstellung Microsoft Entra ID-Workload Service Principals und verwaltete Identitäten sind identitätsfremde Entitäten (NPE) in Microsoft Entra. Verwenden sie Dienstprinzipale für den automatisierten (nicht interaktiven) Zugriff auf APIs, die durch Microsoft Entra. - Workload-Identitäten geschützt sind - Service Principals in Microsoft Entra ID |
| 1.8.2 Regelmäßige AuthentifizierungDoD-Organisationen ermöglichen die Anforderungen für die regelmäßige Authentifizierung für Anwendungen und Dienste. Traditionell basieren diese auf der Dauer und/oder einer Zeitüberschreitung der Dauer, jedoch können auch andere zeitraumbasierte Analysen verwendet werden, um die erneute Authentifizierung von Benutzersitzungen zu erzwingen. Ergebnis:– Authentifizierung, die pro Sitzung mehrmals basierend auf Sicherheitsattributen implementiert wurde |
Microsoft Entra Anwendungen Microsoft Entra Anwendungen verwalten die Sitzungsaktualisierung automatisch ohne Benutzerinteraktion. Siehe Microsoft-Anweisungen in 1.8.1. Conditional Access Konfigurieren Sie die Anmeldehäufigkeit Sitzungssteuerung in Conditional Access, um Benutzersitzungen erneut zu authentifizieren. Verwenden Sie das Feature, wenn Anmeldungen riskant sind oder ein Benutzergerät nicht verwaltet oder nicht konform ist.Konfigurieren der AuthentifizierungssitzungsverwaltungZugriffsrichtlinien in Defender for Cloud Apps |
| 1.8.3 Fortlaufende Authentifizierung Teil 1Anwendungen/Dienste von DoD-Organisationen nutzen mehrere Sitzungsauthentifizierungen basierend auf Sicherheitsattributen und angeforderten Zugriffen. Berechtigungsänderungen und zugeordnete Transaktionsanforderungen erfordern zusätzliche Authentifizierungsebenen wie Pushes der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) an Benutzer. Ergebnis:– Transaktionsauthentifizierung pro Sitzung basierend auf Sicherheitsattributen implementiert | Kontinuierliche ZugriffsauswertungCAE basiert auf einem OpenID-Standard, der zeitbasierte Tokenablauf- und Aktualisierungsmechanismen verbessert, um eine rechtzeitigere Reaktion auf Richtlinienverstöße zu erzielen. CAE erfordert ein neues Zugriffstoken als Reaktion auf kritische Ereignisse, z. B. wenn ein Benutzer von einem vertrauenswürdigen Netzwerkspeicherort zu einem nicht vertrauenswürdigen wechselt. Implementieren Sie CAE mit Clientanwendungen und den Back-End-Dienst-APIs. - Kontinuierliche Zugriffsauswertung - Kritische Ereignisauswertung Microsoft Office-Anwendungen, die die Microsoft Graph-API, die Outlook Online API und die SharePoint Online-API verwenden, unterstützen CAE. Entwickeln von Anwendungen mit den neuesten Microsoft Authentication Libraries (MSAL) für den Zugriff auf CAE-fähige APIs. - CAE für Microsoft 365 - CAE-aktivierte APIs in Apps Bedingter Zugriff Definieren und Verwenden des Authentifizierungskontexts für bedingten Zugriff, um vertrauliche SharePoint-Sites, Microsoft Teams, von Microsoft Defender für Cloud Apps geschützte Anwendungen, PIM-Rollenaktivierung und benutzerdefinierte Anwendungen zu schützen. - Authenfizierungskontext - Richtlinie für SharePoint-Sites und OneDrive - Sitzungsrichtlinien in Defender für Cloud-Apps - Authentifizierungskontext für PIM-Rollen - Anleitung zum Authentifizierungskontext Verwenden Sie geschützte Aktionen, um eine weitere Schutzebene hinzuzufügen, wenn Administratoren Aktionen ausführen, die hohe Berechtigungen in Microsoft Entra ID erfordern, wie das Verwalten von Richtlinien für bedingten Zugriff und mandantenübergreifenden Zugriffseinstellungen. Schützen Sie Benutzeraktionen wie das Registrieren von Sicherheitsinformationen und das Verknüpfen von Geräten. - Geschützte Aktionen - Zielressource Privileged Identity Management Authentifizierungskontext für die Aktivierung der PIM-Rolle erforderlich. Siehe Microsoft-Leitfaden in 1.4.4. |
| 1.8.4 Fortlaufende Authentifizierung Teil 2DoD-Organisationen verwenden weiterhin transaktionsbasierte Authentifizierung, um Integration wie Benutzermuster einzuschließen. Ergebnis:– Transaktionsauthentifizierung pro Sitzung basierend auf Sicherheitsattributen, inklusive Benutzermustern, implementiert |
Microsoft Entra ID Protection When Microsoft Entra ID Protection anomales, verdächtiges oder riskantes Verhalten erkennt, erhöht sich das Risikoniveau des Benutzers. Erstellen Sie Richtlinien für bedingten Zugriff mithilfe von Risikobedingungen, wodurch der Schutz mit Risikostufe erhöht wird.RisikoerkennungenSiehe Microsoft-Leitfaden 1.3.3.Kontinuierliche ZugriffsauswertungDie Erhöhung des Risikoniveaus ist ein kritisches CAE-Ereignis. Dienste, die caE implementieren, z. B. Exchange Online-API, erfordern den Client (Outlook), um die erneute Authentifizierung für die nächste Transaktion durchzuführen. Richtlinien des bedingten Zugriffes für die erhöhte Risikostufe sind erfüllt, bevor Microsoft Entra ID ein neues Zugriffstoken für den Exchange Online-Zugriff ausgibt. - Kritische Ereignisbewertung |
1.9 Integrierte ICAM-Plattform
Microsoft Entra ID unterstützt die Zertifikatauthentifizierung mit Zertifikaten, die von einer externen Public Key-Infrastruktur (PKI) für Benutzer- und Nichtpersonentitäten (NPE) ausgestellt wurden. NPEs in Microsoft Entra ID sind Anwendungs- und Geräteidentitäten. Microsoft Entra External ID-Einstellungen für den mandantenübergreifenden Zugriff unterstützen multitenante Organisationen wie das DoD bei der nahtlosen Zusammenarbeit über verschiedene Mandanten hinweg.
| DoD-Aktivitätsbeschreibung und Ergebnis | Informationen und Empfehlungen von Microsoft |
|---|---|
| 1.9.1 Enterprise PKI/IDP Teil 1Das DoD Unternehmen arbeitet mit Organisationen zusammen, um Lösungen für Enterprise Public Key-Infrastruktur (PKI) und Identitätsanbieter (IDP) zentral und/oder verbundweise zu implementieren. Die Enterprise-PKI-Lösung verwendet eine einzelne oder eine Gruppe von Stammzertifizierungsstellen auf Unternehmensebene, die dann von Organisationen als vertrauenswürdig eingestuft werden können, um zwischengeschaltete Zertifizierungsstellen zu erstellen. Die Identitätsanbieterlösung kann entweder eine einzelne Lösung oder ein Verbundsatz von Organisations-IdPs mit Standardzugriffsebene für Organisationen und standardisierte Gruppen von Attributen sein. Organisations-IdPs und PKI-Zertifizierungsstellen sind in die Enterprise IdP- und PKI-Lösungen integriert. Ergebnisse:– Komponenten verwenden IdP mit MFA für alle Anwendungen/Dienste– Organisations-MFA/PKI integriert in Enterprise MFA/PKI– Organisationsstandard PKI für alle Dienste |
Microsoft Entra ID authentication methods Verwenden Sie die Richtlinie für Authentifizierungsmethoden in Microsoft Entra ID, um die Authentifizierungsmethoden von Benutzern zu steuern. - Microsoft Entra CBA Siehe Microsoft-Anleitung in 1.3.1. Authentifizierungsstärke Nutzung der Authentifizierungsstärke zum Steuern des Benutzerzugriffs auf Ressourcen. - Authentifizierungsstärke Microsoft Entra External ID Konfigurieren Sie den Zugriff über Mandanten hinweg für DoD Microsoft Entra ID-Mandanten. Verwenden Sie Vertrauenseinstellungen, um MFA- und kompatible Geräteansprüche für externe Identitäten von vertrauenswürdigen DoD-Mandanten zu akzeptieren.Mandantenübergreifender ZugriffAnwendungsverwaltungsrichtlinieDie Mandanten-App-Verwaltungsrichtlinie ist ein Framework zur Implementierung bewährter Sicherheitsmethoden für Anwendungen im Mandanten. Verwenden Sie die Richtlinie, um Anwendungsanmeldeinformationen auf Zertifikate zu beschränken, die von einer vertrauenswürdigen PKI ausgestellt wurden.Um eine Zertifikatskette mit Vertrauensstellung zu erstellen, fügen Sie eine neue CA-Sammlung (Certificate Authority) zu den Zwischen- und Stammzertifikaten Ihrer Unternehmens-PKI hinzu.certificateBasedApplicationConfiguration-RessourcentypUm eine Richtlinie für das Anwendungsmanagement zu erstellen, die von vertrauenswürdigen CAs ausgestellte Zertifikate erfordert, konfigurieren Sie Einschränkungen, um passwordAddition zu verbieten und trustedCertificateauthority zu verlangen. Geben Sie die ID der vertrauenswürdigen CA-Auflistung an, die Sie erstellt haben. - App-Authentifizierungsmethoden-API Microsoft Intune Intune unterstützt PKCS-Zertifikate (Standards für private und öffentliche Schlüssel-Kryptographie). - PKCS-Zertifikate |
| 1.9.2 Enterprise PKI/IDP Teil 2DoD-Organisationen ermöglichen ggf. die biometrische Unterstützung im Identitätsanbieter (IDP) für aufgabenkritische Anwendungen und Dienste. Biometrische Funktionen werden von Organisationslösungen in das Unternehmen verschoben. MFA (Organizational Multi-Factor) und Public Key Infrastructure (PKI) werden außer Betrieb genommen und wie angemessen auf Unternehmensebene migriert. Ergebnisse:– Kritische Unternehmensdienste integriert mit Biometrie– Außerbetriebnahme organisatorischer MFA/PKI wo angemessen anstelle von MFA/PKI des Unternehmens– Implementierte biometrische Unternehmensfunktionen | |
| 1.9.3 Enterprise PKI/IDP Pt3DoD-Organisationen integrieren biometrische Funktionen in die verbleibenden Anwendungen/Dienste. Alternative Multi-Factor (MFA)-Token können verwendet werden. Ergebnis:- Alle organisatorischen Dienste werden in die Biometrie integriert |
Microsoft Entra Verified ID Decentralisierte Identitätsszenarien mit überprüfter ID können bei der Präsentation der Anmeldeinformationen eine Gesichtsüberprüfung erfordern. Verifizierte IDGesichtsüberprüfung |
Nächste Schritte
Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie:
- Einführung
- Benutzer
- Gerät
- Anwendungen und Workloads
- Daten
- Netzwerk
- Automatisierung und Orchestrierung
- Sichtbarkeit und Analysen