Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor jeder Azure verwenden kann, benötigen sie eine sichere und gut verwaltete Identität. Microsoft Entra ID ist das Rückgrat der Identitäts- und Zugriffsverwaltung in Azure. Dieser Artikel führt Sie durch die wesentlichen Schritte zum Einrichten einer starken Identitätsgrundlage. Ganz gleich, ob Sie einen neuen Mandanten einrichten oder die Sicherheit in einem vorhandenen Mandanten straffen, diese bewährten Methoden helfen Ihnen, den Zugriff auf Ihre Cloudressourcen von Tag 1 zu schützen.
Prerequisite:Create an Azure account. Startups sehen, ob Sie sich für Azure-Gutschriften qualifizieren.
Erstellen einzelner Benutzerkonten
Jede Person, die Zugriff auf Azure benötigt, sollte über ein eigenes Benutzerkonto in Microsoft Entra verfügen. Dieses Setup trägt dazu bei, die Verantwortlichkeit zu gewährleisten und das Nachverfolgen von Änderungen und das Erzwingen von Sicherheitsrichtlinien zu vereinfachen.
Fügen Sie eine benutzerdefinierte Domäne hinzu. Wenn Sie einen Microsoft Entra-Mandanten erstellen, ist er mit einer Standarddomäne (yourtenant.onmicrosoft.com) ausgestattet. Wenn Sie eine benutzerdefinierte Domäne hinzufügen (z. B. contoso.com), können sich Benutzer mit vertrauten Namen anmelden, wie alex@contoso.com. Wenn Sie Konten erstellen, bevor Sie die benutzerdefinierte Domäne hinzufügen, müssen Sie sie später aktualisieren. Ausführliche Schritte finden Sie unter Hinzufügen Ihres benutzerdefinierten Domänennamens zu Ihrem Mandanten in Microsoft Entra.
Erstellen Sie ein eindeutiges Konto für jeden Benutzer. Lassen Sie freigegebene Konten nicht zu. Freigegebene Konten erschweren das Nachverfolgen und Zuweisen von Verantwortung für Änderungen. Anweisungen finden Sie unter Erstellen, Einladen und Löschen von Benutzern in Microsoft Entra.
Erstellen Sie Notfallzugriffskonten. Erstellen Sie zwei Notfallzugriffskonten , um sicherzustellen, dass Sie auf Ihren Mandanten zugreifen können, wenn normale Anmeldemethoden fehlschlagen.
Zuweisen von Identitätsverwaltungsrollen
Microsoft Entra verwendet rollenbasierte Zugriffssteuerung (RBAC), um Benutzern, rollenzuweisenden Gruppen oder Dienstprinzipalen Rollen zuzuweisen. Diese Rollen definieren, welche Aktionen sie innerhalb von Microsoft Entra, Microsoft 365 Admin Center, Microsoft Defender, Microsoft Purview und mehr ausführen können. Sie umfasst das Erstellen von Konten, das Verwalten von Gruppen und das Konfigurieren von Sicherheitsrichtlinien.
Verwenden Sie integrierte Rollen. Microsoft stellt vordefinierte Rollen für allgemeine Aufgaben bereit. Jede Rolle verfügt über einen bestimmten Satz von Berechtigungen. Beispielsweise kann die Rolle "Benutzeradministrator" Benutzerkonten erstellen und verwalten. Überprüfen Sie die Liste der integrierten Microsoft Entra-Rollen , und weisen Sie nur das zu, was Sie benötigen.
Weisen Sie Rollen basierend auf Mindestberechtigungen zu. Erteilen Sie Benutzern nur die Berechtigungen, die sie benötigen, um ihre Aufgabe zu erledigen. Wenn jemand Microsoft Entra, Microsoft 365 Admin Center, Microsoft Defender oder Microsoft Purview nicht verwalten muss, lassen Sie sie als regulärer Benutzer ohne Rollenzuweisungen.
Verwenden Sie Just-in-Time-Zugriff. Wenn Ihre Organisation über eine Lizenz für Microsoft Entra Privileged Identity Management (PIM) verfügt, können Sie Es Benutzern ermöglichen, erhöhte Berechtigungen nur bei Bedarf und für einen begrenzten Zeitraum zu aktivieren. Durch dieses Setup wird das Risiko reduziert, indem zu viele Nutzer dauerhaften Zugriff auf höherer Ebene haben.
Beschränken Sie den Zugriff auf globale Administratorrollen. Die Rolle "Globaler Administrator " hat die vollständige Kontrolle über Ihren Microsoft Entra-Mandanten. Verwenden Sie diese Rolle nicht für alltägliche Aufgaben.
Überprüfen Sie Rollenzuweisungen regelmäßig. Überprüfen Sie, wer Rollen zugewiesen hat, und entfernen Sie alle, die nicht mehr benötigt werden. Sie können integrierte Berichte und Warnungen verwenden, um Änderungen zu überwachen.
Weitere Informationen finden Sie unter Best Practices für Microsoft Entra-Rollen.
Konfigurieren der mehrstufigen Authentifizierung
Die mehrstufige Authentifizierung (Multifactor Authentication, MFA) schützt Ihre Organisation vor kompromittierten Anmeldeinformationen und unbefugtem Zugriff.
Verstehen von den Sicherheitseinstellungen. Neue Microsoft Entra-Mandanten haben Sicherheitsstandardeinstellungen automatisch aktiviert. Für diese Einstellungen müssen sich alle Benutzer für MFA registrieren, Administratoren müssen bei jedem Anmelden MFA durchführen und Endbenutzer müssen MFA ausführen, wenn es erforderlich ist.
Verwenden Sie bedingten Zugriff für erweiterte Szenarien. Wenn Ihre Organisation mehr Flexibilität benötigt, können Sie Richtlinien für den bedingten Zugriff erstellen, um MFA nur in bestimmten Situationen zu erzwingen, z. B. wenn Benutzer sich von nicht vertrauten Speicherorten anmelden. Sicherheitsstandardwerte und bedingter Zugriff können nicht gleichzeitig verwendet werden. Um bedingten Zugriff zu aktivieren, müssen Sie zuerst Die Sicherheitsstandardeinstellungen deaktivieren und eine Premiumlizenz erwerben. Siehe sichere Benutzeranmeldung mit mehrstufiger Microsoft Entra-Authentifizierung.