Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Dokument werden Überlegungen zu Sicherheitsvorgängen für die Bereitstellung von Microsoft Entra External ID beschrieben, einer erweiterbaren Lösung zur Ergänzung von CIAM-Lösungen (Customer Identity and Access Management) in Ihren Apps. Dieses Dokument betont Edge-basierte Angriffe, insbesondere Bots, die auf die Registrierung abzielen, und Anmeldeendpunkte. Diese Vektoren werden häufig in externen Identitätssystemen ausgenutzt und erfordern mehrschichtige, proaktive, Verteidigungsstrategien.
Zu den wichtigsten Themen gehören:
- Mandantenschutz
- Integration der Webanwendungsfirewall (WAF)
- Bot-Abwehr
- Hygiene für Zugangsdaten und Token
- Geografiebasierte Zugriffssteuerung
Besondere Aufmerksamkeit gilt den Prozessen, um die Anmelde- und Anmeldevorgänge vor automatisiertem Betrug zu schützen, wie z. B. Credential Stuffing und International Revenue Share Fraud (IRSF). Hier finden Sie Informationen zur Wichtigkeit der Überwachung und Warnung, kontinuierlichen Überprüfung, Verwendungsnachverfolgung und Anomalieerkennung. Dies sind Aktionen, die für die frühzeitige Erkennung und Reaktion auf Bedrohungen unerlässlich sind. Sehen Sie sich das folgende Diagramm eines Sicherheitsvorgangsflusses an.
Mandantensicherheit mit Schutz an der Netzwerkperipherie vor DDoS- und Botangriffen
Microsoft Entra-Mandanten machen öffentlich zugängliche Endpunkte über das Internet verfügbar, um die Benutzerauthentifizierung und den Dienstzugriff zu ermöglichen. Zu diesen Bereichen gehören Authentifizierungs- und Metadatenendpunkte. Die Endpunkte sind anonym zugänglich; daher potenzielle Ziele für verteilte Denial-of-Service -Angriffe (DDoS) und böswillige automatisierte Aktivitäten, wie z. B. die Erstellung betrügerischer Konten. Eine edgebasierte Schutzstrategie trägt dazu bei, die Dienstverfügbarkeit und Benutzersicherheit sicherzustellen.
Um Dienstunterbrechungen zu verhindern und einen sicheren, zuverlässigen Zugriff sicherzustellen, verwenden Sie eine mehrschichtige Verteidigungsstrategie. Microsoft stärkt den Identitätsschutz, indem es sich mit führenden Anbietern von Nicht-Microsoft-WAF- und Bot-Gegenmaßnahmen integriert. Die Integrationen ermöglichen die Echtzeitanalyse und das Filtern von hohem Risiko oder bösartigem Datenverkehr, bevor sie Ihre Identitätsendpunkte erreicht.
Dieses Verteidigung-in-der-Tiefe-Modell hilft, vor Anmeldeinformationsmissbrauch, Kontoübernahmen und großangelegten DDoS-Angriffen zu schützen, und dabei gewährleisten Sie eine nahtlose Benutzererfahrung für legitime Benutzer.
Um den Schutz zu verbessern, empfehlen wir die Implementierung einer WAF. Verwenden Sie diese Konfiguration, um Sicherheitskontrollen vor Ihren CIAM-Endpunkten zu platzieren. Verbessern Sie resilienz und verringern Sie das Risiko von Dienstunterbrechungen durch automatisierte Bedrohungen.
Wenn Sie eine webbasierte Umleitung für Benutzerflüsse verwenden, sehen Verbraucher den Domänennamen des Authentifizierungsendpunkts. Standardmäßig verwendet dieser Endpunkt das Format "<tenantprefix.ciamlogin.com>", wobei <"tenantprefix>" das Präfix "Mandantname" ist. Ein Beispiel: Für contoso.onmicrosoft.com ist das Mandantenpräfix contoso.
Domänendetails
In der externen Microsoft Entra-ID können Sie den Domänennamen in einen Domänennamen ändern, den Sie besitzen, und einen, den Ihr Kunde mit Ihrem Dienst in Beziehung setzen kann. Sie können z. B. login.contoso.com verwenden.
Verwenden Sie mit Brandingfunktionen einen benutzerdefinierten Domänennamen, um die Integration einer WAF-Lösung zu ermöglichen, die mehr Schutz vor Bots und böswilligen Akteuren bietet.
Erfahren Sie mehr über benutzerdefinierte URL-Domänen in externen Mandanten.
Im folgenden Diagramm finden Sie das Beispiel für eine benutzerdefinierte Domäne.
Überlegungen zur WAF-Konfiguration
In der folgenden Tabelle finden Sie Informationen zu Sicherheitsmaßnahmen und deren Beschreibungen.
| Sicherheitskontrolle | BESCHREIBUNG |
|---|---|
| Ratenbegrenzung und adaptive Drosselung | Die Ratelimitierung ist eine effektive und konfigurierbare Verteidigung gegen volumetrische und langsame Angriffe. Führende WAFs unterstützen differenzierte Richtlinien, die Anfragen pro Sekunde oder Minute auf verschiedenen Ebenen beschränken: pro IP, Endpunkt oder Sitzung. Adaptive Drosselung passt Einschränkungen automatisch an, wenn sie auf plötzliche Verkehrsspitzen, bekannte Angriffsmuster oder Verhaltensauffälligkeiten reagiert.
Konfigurieren Sie beispielsweise einen Anmeldeendpunkt für eine festgelegte Anzahl von Authentifizierungsversuchen innerhalb eines kurzen Zeitrahmens. Dieser Aufwand reduziert das Risiko von Credential Stuffing-Angriffen und Brute-Force-Angriffen. Passen Sie auch Geschwindigkeitslimits basierend auf Kontextsignalen wie Geolocation, Anforderungsheader oder Gerätefingerabdrücke dynamisch an. |
| DDoS-Schutz | Mit diesem Steuerelement wird die integrierte Abwehr von DDoS-Angriffen (Network-Layer 3) und Application-Layer (Layer 7) sichergestellt. Tragen Sie dazu bei, böswilligen Datenverkehr am Edge zu absorbieren oder zu filtern, und stellen Sie sicher, dass Authentifizierungsendpunkte auch bei Angriffen mit hohem Volumen für legitime Benutzer verfügbar bleiben. |
| Bot-Schutz | Wir empfehlen einen integrierten Bot-Schutz, der durch maschinelles Lernen unterstützt wird. Diese Funktionen helfen, automatisierte Angriffe mithilfe einer Reihe von Erzwingungsoptionen zu erkennen und zu verhindern, von der stillen Blockierung bis hin zu interaktiven Herausforderungen wie CAPTCHA oder re-CAPTCHA. |
| Geografie (Geo)-Fencing | Bewerten Sie, ob Verkehr aus allen geografischen Regionen akzeptiert wird. Andernfalls verringert geoblockieren oder Drosseln die Exposition gegenüber risikoreichen oder irrelevanten Regionen. Analysieren Sie für den globalen Zugriff die ungefähre Prozentverteilung des legitimen Kundendatenverkehrs nach Region, um den Richtlinienentwurf zu leiten. Der Datenverkehr aus unversorgten Geografien kann basierend auf den geschäftlichen Anforderungen und Bedrohungsinformationen blockiert oder eingeschränkt werden. |
| IP- und ASN-Drosselung | Ähnlich wie beim Geofencing können Sie den Datenverkehr basierend auf IP-Adresse oder autonomer Systemnummer (ASN) einschränken oder die Rate begrenzen. Während Kundenidentitäten in der Regel aus unterschiedlichen, aber geringen IPs stammen, überprüfen Sie Ausnahmen wie Kioske oder Systeme mit hohem Durchsatz, z. B. Versicherungsvertreter. In der Regel führen hohe Anforderungsvolumen von einer einzelnen IP-Adresse oder ASN zu einer Überprüfung. |
| Blockieren des Datenverkehrs an die Standarddomäne | Blockieren Sie bei Verwendung des WAF-Schutzes den Zugriff auf den standardmäßigen ciamlogin.com Domänennamen. Andernfalls verwenden Angreifer den Domänennamen und umgehen WAF-Schutz. |
Mit der externen Microsoft Entra-ID können Sie in führende Anbieter von Web Application Firewalls (WAF) wie Cloudflare und Akamai integrieren, um Schutz auf Edge-Ebene gegen DDoS-Angriffe, OWASP-Top-10-Schwachstellen und bösartige Bots zu schützen. Diese Integration gewährleistet, dass schädlicher Datenverkehr herausgefiltert wird, bevor er Ihren Mandanten erreicht. Wir empfehlen Kunden dringend, diese WAF-Lösungen zu verwenden, um die Sicherheitskontrollen in der vorherigen Tabelle zu verbessern und durchzusetzen.
Anwendungssicherheit: Anmeldeinformationen und geheime Verwaltung
CIAM-Anwendungen authentifizieren sich mit der externen Microsoft Entra-ID mithilfe von Protokollen wie OAuth 2.0 oder SAML (Security Assertion Markup Language) 2.0., wodurch die Sichere Anwendungsanmeldeinformationsverwaltung unerlässlich ist. In der folgenden Tabelle finden Sie wichtige Sicherheitsaspekte für Anwendungsanmeldeinformationen und geheime Schlüssel.
| Sicherheitsüberlegungen | Einzelheiten |
|---|---|
| Vorziehen von Zertifikaten gegenüber geheimen Schlüsseln | Verwenden Sie nach Möglichkeit X.509-Zertifikatanmeldeinformationen anstelle von Kennwortschlüsseln. Während geheime Schlüssel einfacher eingerichtet werden können, bieten Zertifikate eine stärkere Sicherheit und können die Standardmethode zum Abrufen von Token sein.
Derzeit sind verwaltete Identitäten und Workloadidentitäten in der externen Microsoft Entra-ID nicht verfügbar. |
| Erzwingen von Richtlinien für die Verwendung von Anmeldeinformationen | Konfigurieren Sie Anwendungsauthentifizierungsmethodenrichtlinien, um die Verwendung geheimer Schlüssel einzuschränken oder zu blockieren. Wenn Sie Geheimnisse verwenden, legen Sie Ablaufdaten fest, um die Exposition zu minimieren. |
| Vermeidung von Zugangsdaten bei öffentlichen Client-Anwendungen | Stellen Sie bei Anwendungen, die öffentliche Client-Apps sind, sicher, dass keine Anmeldeinformationen für die App-Registrierung konfiguriert sind. Ein Beispiel hierfür sind Apps mit Benutzeranmeldung über öffentliche Endpunkte. Für diese Apps sollten keine geheimen Clientschlüssel oder Zertifikate erforderlich sein. |
| Regelmäßiges Überprüfen von Anmeldeinformationen | Um sicherzustellen, dass Anmeldeinformationen verwendet werden und nicht abgelaufen sind, überprüfen Sie regelmäßig die Anmeldeinformationen, die Anwendungen zugewiesen sind. Entfernen Sie veraltete oder nicht verwendete Anmeldeinformationen, vermeiden Sie die Freigabe von Anmeldeinformationen zwischen Anwendungen, und beschränken Sie Anmeldeinformationen pro App. |
| Scannen von Anwendungscode auf vertrauliche Daten | Verwenden Sie statische Analysetools wie einen Anmeldeinformationsscanner, um Anwendungsanmeldeinformationen zu erkennen. Verwenden Sie das Tool für andere vertrauliche Informationen im Quellcode. Erstellen Sie Artefakte, bevor sie zugesichert oder bereitgestellt werden. |
Risikoreduzierung durch Management der Token-Lebensdauer
Konfigurieren Sie die Tokenlebensdauer, um die Gefährdung durch kompromittierte Token zu minimieren.
| Sicherheitskontrolle | Einzelheiten |
|---|---|
| Konfigurieren der Tokenlebensdauer | Verringern Sie die Lebensdauer des Zugriffstokens, um das Risiko zu verringern. Böswillige Akteure verwenden ein kompromittiertes Zugriffs- oder ID-Token. Die Token können nicht widerrufen werden.
Token benötigen häufige Aktualisierungen, sodass der Kompromiss ein potenzieller Effekt auf die Leistung ist. Weitere Informationen finden Sie unter Konfigurierbare Tokenlebensdauern in der Microsoft Identity Platform. |
Benutzerdefinierte Authentifizierungserweiterungen
Eine wichtige Komponente der Bereitstellungsplanung ist die Sicherung von benutzerdefinierten Authentifizierungserweiterungen. Die REST-API, die diese Erweiterungen unterstützt, werden basierend auf geschäftlichen und betrieblichen Anforderungen gehostet, weshalb sie für Sicherheit, Verfügbarkeit und Resilienz vorgesehen sind. Jede Beeinträchtigung der Leistung oder Verfügbarkeit dieser APIs durch böswillige Aktivitäten oder andere Fehler kann sich auf die zugehörigen Registrierungs- und Anmeldeflüsse auswirken. Solche Unterbrechungen beeinträchtigen die Benutzererfahrung, können aber die Gesamtzulässigkeit Ihrer Microsoft Entra External ID-Implementierung beeinträchtigen. Verwenden Sie die folgende Tabelle, um Überlegungen wie Skalierung und Sicherheit zu überprüfen.
| Überlegung | Einzelheiten |
|---|---|
| Maßstab | – Übereinstimmung RPS von Microsoft Entra External ID – Antworten innerhalb des Timeout-Zeitrahmens mit HTTP-Codes gemäß benutzerdefinierter Erweiterungsleitfaden |
| Sicherheit | – Stellen Sie sicher, dass Anforderungen von der externen Microsoft Entra-ID stammen. Microsoft-Rechenzentrumsbereiche werden dokumentiert. Verwenden Sie Bereiche, um die eingehenden Anforderungen zu sperren.
– Um die API vor Angriffen wie DDoS zu schützen, verwenden Sie eine WAF vor der REST-API. Durch diesen Aufwand wird sichergestellt, dass Angriffe abgemildert werden, wenn der REST-API-Endpunkt gezielt ist. – Um Warnungen für REST-API oder API auszuheben, die sicherheitsbezogene Herausforderungen wie DDoS haben, verwenden Sie Audits und Protokollierung mit Überwachung. |
| Elastizität | – Nahtlos skalieren – Um eine geringe oder keine Auswirkung auf die Dienstqualität sicherzustellen, stellen Sie REST-API-Dienst und Fehlertoleranz wieder her |
Benutzersicherheit: Registrierungsschutz
In diesem Abschnitt erfahren Sie, wie Sie Benutzer vor Registrierungsbetrug schützen. Das Design des Benutzerablaufs hilft dabei, die Wahrscheinlichkeit von Anmeldebetrug zu ermitteln. Anmeldevorgänge, die eine minimale Benutzerüberprüfung durchführen, sind anfällig für betrügerische Aktivitäten. Steuerelemente wie erweiterter Betrugsschutz unterscheiden menschliche Benutzer von Bots. Außerdem können Sie automatisierten Missbrauch abschrecken. Microsoft Entra Externe ID unterstützt verschiedene Steuerungen, die den Grad der Benutzerfreundlichkeit beeinträchtigen. Die folgende Tabelle enthält eine Liste der Sicherheitskontrollen für die Benutzersicherheit.
| Sicherheitskontrolle | Einzelheiten |
|---|---|
| WAF: Bot-Schutz | Dieser Schutz ist die Frontlinie der Verteidigung gegen IrSF-Angriffe (International Revenue Share Fraud), in der Regel von Bots, die hohen Datenverkehr generieren, um OTP-Nachrichten während des Anmeldevorgangs auszulösen. |
| Reputations-E-Mail-Filterung | Um das Risiko betrügerischer E-Mail-Konten zu verringern, implementieren Sie die Domänenüberprüfung. Beschränken Sie die Registrierung von E-Mail-Adressen mit schlechter Zuverlässigkeit oder bekannten Zuordnungen mit bösartigen Aktivitäten. Die externe Microsoft Entra-ID unterstützt benutzerdefinierte Erweiterungen während der Registrierung. Um den Ruf der E-Mail-Domäne auszuwerten, rufen Sie während des Registrierungsablaufs eine REST-API auf. Basierend auf der Zuverlässigkeitsbewertung lässt oder blockiert das System die Registrierungsanforderung. |
| IP-E-Mail-Filterung | Um das Risiko einer betrügerischen Kontoerstellung zu verringern, empfehlen wir Ihnen, Anmeldungen von anonymen Proxys oder IP-Adressen einzuschränken, die an autonome Systemnummern (ASNs) außerhalb der Geschäftsregionen Ihrer Organisation gebunden sind. Diese Strategie trägt dazu bei, die Exposition gegenüber risikoreichen oder nicht vertrauenswürdigen Datenverkehrsquellen zu reduzieren.
Die externe Microsoft Entra-ID unterstützt benutzerdefinierte Authentifizierungserweiterungen, die während des Registrierungsvorgangs aufgerufen werden. Verwenden Sie diese Erweiterungen, um eine REST-API aufzurufen, um den Ruf oder die Geolocation der IP-Adresse zu bewerten, die die Registrierungsanforderung initiiert. Verwenden Sie diesen Vorgang während der Einmaligen Kennwortüberprüfung (OTP) per E-Mail. |
| Übermäßige Anzahl von OTPs von einer IP-Adresse oder einem ASN | Implementieren Sie Überwachung und Warnung, wenn eine hohe Anzahl von E-Mail-OTP-Anforderungen von derselben IP-Adresse, ASN oder einem Speicherort stammt. Lösen Sie beispielsweise eine Warnung aus, wenn E-Mail-OTPs von einer einzigen IP-Adresse oder ähnlichen Geokoordinaten innerhalb kurzer Zeit stammen. |
Um die Verteidigung zu stärken, verfügt Microsoft Entra External ID über ein Premium-Feature zur Betrugsprävention mit branchenführenden Anbietern von Nicht-Microsoft-Betrugsschutz, z. B. Arkose Labs-Anbieter , für erweiterte Bots und HUMAN , um gefälschte Kontoregistrierungen während der Benutzeranmeldung zu verhindern. Diese Anbieter bieten umfassende Funktionen zur Betrugserkennung und -entschärfung und ermöglichen Es Organisationen, automatisierte Bedrohungen, einschließlich botgesteuerter Anmeldungen, während des gesamten Registrierungsprozesses zu erkennen und zu blockieren.
Internationaler Erlösbeteiligungsbetrug
Ein International Revenue Share Fraud (IRSF) ist ein finanziell gesteuerter Angriff, der möglich ist, wenn Sie eine Überprüfung des Kurznachrichtendiensts (SMS) auf einem öffentlich zugänglichen Endpunkt verfügbar machen. Wenn Sie die mehrstufige Microsoft Entra-Authentifizierung (MFA) für die externe Microsoft Entra-ID aktivieren, sind IRSF-Angriffe möglich. Mit aktivierter SMS-Überprüfung verfügt Microsoft Entra über zwei integrierte Schutzmaßnahmen:
- Die Telefonieeinschränkung trägt dazu bei, das Risiko von Dienstausfällen und Leistungsbeeinträchtigungen zu verringern.
- CAPTCHA für SMS-basierte MFA hilft bei der Verteidigung gegen automatisierte Angriffe, indem menschliche Benutzer von Bots unterschieden werden. Wenn ein Benutzer als hoch riskant eingestuft wird, wird der Zugriff blockiert, oder eine CAPTCHA-Abfrage wird angezeigt, bevor ein SMS-Überprüfungscode gesendet wird.
Als weitere Verteidigungsebene empfehlen wir Ihnen, die folgende Tabelle zu überprüfen, um einige Sicherheitskontrollen zu berücksichtigen.
| Sicherheitskontrolle | BESCHREIBUNG |
|---|---|
| WAF: Bot-Schutz | Um OTP-Nachrichten während der Registrierung auszulösen, aktivieren Sie die Frontline der Verteidigung gegen IRSF-Angriffe, in der Regel von Bots, die hohen Datenverkehr generieren. |
| Regionen, die eine MFA-Telefonüberprüfungseinwilligung benötigen | Verhindern von telefoniebasiertem Betrug. Microsoft aktiviert die Überprüfung der telefonbasierten MFA für einige Länder- oder Regionscodes nicht automatisch. Um die Anmeldung aus diesen Regionen zu unterstützen, sendet ein Administrator eine Supportanfrage, um sich anzumelden und die Telefonieüberprüfung für diese Codes zu aktivieren. Um Datenverkehr aus deaktivierten Regionen zuzulassen, aktivieren Sie sie mit der Microsoft Graph-API. Weitere Informationen finden Sie unter Regionales Opt-In für die MFA-Telefonieüberprüfung mit externen Mandanten. |
| Übermäßige SMS OTPs von einer IP-Adresse oder ASN. | Implementieren Sie Überwachung und Warnung für eine hohe Anzahl von EINMALIGEn SMS-Anforderungen (One-Time Password, OTP), die von derselben IP-Adresse, ASN oder geografischem Standort stammen. Lösen Sie zum Beispiel eine Warnung für übermäßige SMS-OTPs von einer einzelnen IP oder Geokoordinaten innerhalb kurzer Zeit aus. Dieses Szenario kann auf einen IRSF-Angriff hinweisen.
Um die Genauigkeit zu verbessern und Rauschen zu reduzieren, verfeinern Sie die Warnungskriterien. Konzentrieren Sie sich auf erfolglose OTP-Anforderungen von Benutzern. In IRSF-Szenarien führen Angreifer in der Regel keine vollständige Authentifizierung durch. Dann möchten Sie SMS-Datenverkehr zu Telefonnummern generieren, um finanzielle Gewinne zu erzielen. Verwenden Sie diesen Ansatz, um potenziell schädliche Aktivitäten zu sehen und gleichzeitig falsch positive Ergebnisse zu minimieren. |
Anmeldeschutz: Kontoübernahme
Kontoübernahme bedeutet, dass ein Benutzerkonto kompromittiert wird. Der Angreifer ändert Kontoanmeldeinformationen, z. B. E-Mail, Kennwort oder Telefonnummer. Diese Aktionen verhindern, dass der Kontobesitzer die Kontrolle wieder erhält. Diese Angriffe werden durch einen Passwort-Spray-Angriff durchgeführt.
Verwenden Sie mehrere Verteidigungsebenen, um die Kontokompromittierungsrate zu verringern. Verwenden Sie eine Kombination der folgenden Sicherheitskontrollen.
| Sicherheitskontrolle | Einzelheiten |
|---|---|
| Microsoft Entra-Richtlinie für bedingten Zugriff: Adaptive MFA aus dem Authentifizierungskontext | Anwendungen können die mehrstufige Microsoft Entra-Authentifizierung (MFA) dynamisch mithilfe des Authentifizierungskontexts in Richtlinien für bedingten Zugriff erzwingen. Wenden Sie bei Bedarf eine schrittweise Authentifizierung an, z. B. hochwertige Aktivitäten wie Finanztransaktionen, Zugriff auf vertrauliche Daten oder privilegierte Vorgänge. Halten Sie in der Zwischenzeit eine reibungslose Erfahrung für Interaktionen mit niedrigeren Risiken aufrecht.
Beispielsweise navigiert ein Benutzer zu einer E-Commerce-Website und fügt dem Einkaufswagen Artikel hinzu. Es wird keine Aufforderung zur MFA angezeigt. Beim Auschecken oder vor der Zahlung überprüft die Richtlinie den Authentifizierungskontext jedoch erneut und erfordert MFA. Dieses Szenario tritt auf, wenn der Benutzer während der ersten Anmeldung MFA abgeschlossen hat. Dieser gezielte Ansatz schlägt ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit. |
| Richtlinie für bedingten Zugriff: Zugriffssteuerung nach Standort | Sie können Benutzeranmeldungen basierend auf dem geografischen Standort einschränken. Konfigurieren sie Richtlinien für bedingten Zugriff mithilfe von Landes- oder Regionsfiltern oder IP-Adressbereichen. Sie können den Zugriff von Regionen blockieren, in denen Ihre Organisation keine legitimen Benutzeraktivitäten antizipiert. Es wird empfohlen, dieses Steuerelement mit WAF-Geo-Fencing zu verwenden. WAF blockiert den Datenverkehr am Rand, bevor sich der Benutzer anmeldet. Bedingter Zugriff ist eine Erzwingungsebene auf Identitätsebene. |
| Überwachung: Übermäßige Authentifizierungsfehler | Überwachen und Generieren von Warnungen für übermäßige fehlgeschlagene Authentifizierungsversuche aus einem Benutzerkonto.
Lösen Sie beispielsweise einen Alarm aus, wenn die Fehlerrate bei der Benutzerauthentifizierung einen Schwellenwert überschreitet, z.B. 10% pro Stunde. Diese Maßnahme erhöht die Sichtbarkeit und das Bewusstsein für potenzielle Kontokompromittierung oder automatisierte Angriffsaktivitäten. Weitere Informationen finden Sie unter "Gewinnen von Einblicken in die Aktivitäten Ihrer App-Benutzer und Einrichten von Azure Monitor in externen Mandanten". |
Prüfen und Überwachen
Eine Überwachung ist Aktionen, die ausgeführt werden, um ein System, seine Benutzeraktivitäten und verwandte Prozesse zu verstehen. Die Überwachung ist eine fortlaufende Aktivität, die Sie darüber informiert, was passiert. Die Überwachung umfasst in der Regel Warnungen und Automatisierung.
Überwachung und Protokolle
Die externe Microsoft Entra-ID speichert Anmelde- und Überwachungsprotokolle 30 Tage lang. Exportieren Sie diese Informationen zur Aufbewahrung und Analyse in einen externen Speicher oder ein externes Tool.
Konfigurieren Sie Azure Monitor als Brücke zum Exportieren von Protokollen. Sehen Sie sich das folgende Diagramm der Exportprotokolle für externe IDs von Microsoft Entra mit Azure Monitor an. Weitere Informationen finden Sie unter Einrichten von Azure Monitor in externen Mandanten.
Für diese Konfiguration muss eine Microsoft Azure-Ressourcengruppe mit den Ressourcen aus dem Unternehmensmandanten auf den Microsoft Entra-Mandanten projiziert werden.
Überwachen und benachrichtigen
Die Überwachung trägt dazu bei, den effizienten Betrieb von Identitäts- und zugehörigen Systemen sicherzustellen. Diese Aktionen umfassen das Einrichten der Überwachungsinfrastruktur, das Definieren von Überwachungsverfahren, das Einrichten von Dashboards oder Warnungen und das Erstellen eines Antwortprotokolls zur Behandlung von Warnungen. Lesen Sie die folgende Notiz und eine Liste der zu überwachenden Elemente.
Hinweis
Überwachen Sie Protokolle auf Ausnahmen und Fehler vom Identitätsdienst. Überwachen Sie auch abhängige Dienste wie WAFs und APIs, die benutzerdefinierte Erweiterungen aufrufen.
- Verfügbarkeit – Ermitteln Sie, ob der Dienst betriebsbereit ist. Wird manchmal als Heartbeat- oder Überwachungsendpunkt bezeichnet. Richten Sie das Monitoring-System so ein, dass es häufig auf verwendeten Komponenten ausgeführt wird. Für benutzerdefinierte Erweiterungs-APIs empfehlen wir, eine Gesundheitsüberwachung des Endpunkts zu implementieren. Wenn Sie eine API mit .NET entwickeln, verwenden Sie Integritätsprüfungen in ASP.NET Core, um Integritätsendpunkte verfügbar zu machen. Die Überwachung der Verfügbarkeit ist unerlässlich, kann aber nur auf Dienstfehler hinweisen.
- Funktionalität – Nachverfolgen von Funktionen mit synthetischen Transaktionen, die End-to-End-Benutzer- oder Systeminteraktionen mit Abhängigkeiten nachahmen: UI, API-Aufrufe, Protokollierung. Viele Überwachungstools verfügen über Features zum Automatisieren von mehrstufigen Weboberflächen, z. B. Registrierung, Profilbearbeitung und MFA.
- Leistung – Verfolgen Sie die Leistung mit synthetischen Transaktionen und serverseitiger Instrumentierung, um leistungsbezogene Telemetrie zu sammeln. In verteilten Systemen wie Identity Access Management (IAM) mit Abhängigkeiten, Identifizieren und Beheben von Leistungsproblemen. Stellen Sie Leistungssonden an kundenübergreifenden Standorten bereit und richten Sie einen Basisplan für Identitätserfahrungen ein. Richten Sie Trigger und Benachrichtigungen ein, um Abweichungen von einem Basisplan zu erkennen. Ein System ist nicht vorteilhaft, wenn es verfügbar ist, aber schlecht funktioniert.
Anforderungen für Authentifizierung und Identität enthalten eine Sitzungskorrelations-ID. Wenn das Identitätssystem externe benutzerdefinierte Erweiterungen aufruft, befindet sich dieser Bezeichner im Authentifizierungskontext. Um Probleme zu diagnostizieren, protokollieren Sie den Bezeichner in der benutzerdefinierten Erweiterung.
Hinweis
Microsoft hat das Ziel, clientseitige Telemetrie mithilfe von Analysetools wie Google Analytics und Adobe Analytics zu ermöglichen.
Das folgende Diagramm veranschaulicht die Überwachung und Warnungseinrichtung.
Einrichtung von Warnsystemen für Dienstbeeinträchtigungen und Fehlerfälle
In großen Systemen schlagen einige Transaktionen fehl. Unvollständige Identitätserfahrungen, manchmal als unvollständige Konvertierungen bezeichnet, können aufgrund von abgelenkten Benutzern, Telco-Fehlern und Browserabstürzen auftreten. Im großen Maßstab ist die Behandlung jedes Fehlers unpraktisch. Richten Sie einen Basisplan für typische Fehlerereignisse ein. Richten Sie außerdem die Überwachung und Warnung ein, um Abweichungen zu erkennen, z. B. die Leistungsüberwachung. Verwenden Sie das folgende Hilfsmittel, um Fehlerkennzahlen aufzuzeichnen.
| Versagen | Grundlinie |
|---|---|
| Authentifizierung | |
| Anmelden | |
| Anmeldung | |
| MFA nach Typ: E-Mail OTP, Telefonie OTP | |
| Browsertyp: Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari |
|
| Mobiles Betriebssystem: Android, iOS |
Kontinuierliche Systemüberprüfung
Änderungen in Umgebungen sind unvermeidlich. Eine automatisierte fortlaufende Überprüfungsumgebung hilft beim Abfangen von Problemen, die durch Änderungen verursacht werden. Sie können dieselbe syntaktische Überwachungsinfrastruktur verwenden, um diese Validierungsautomatisierung einzurichten.
Synthetische Transaktionen können auf Anwendungen und APIs verweisen, die für tokenerwerbs-, Validierungs- und Integrationskomponenten wie API-Manager und Servicebusse verwendet werden. Es wird empfohlen, Versionen unterstützter Dienste, Betriebssysteme und Laufzeitumgebungen zu verwalten. Jede Komponente meldet kontinuierlich Testerfolge oder Fehler. Diese Aktion stellt die Verfügbarkeit von Identitätsdiensten und die frühzeitige Erkennung potenzieller Fehler sicher.
Dashboards: Operative Telemetrie und Sicherheitseinblicke
Die externe Microsoft Entra-ID verfügt über integrierte Dashboards mit nützlicher Telemetrie aus wichtigen Bereichen wie Authentifizierungstrends, MFA-Verwendung und Schutzfunktionen im Zusammenhang mit der SMS-Überprüfung. Nutzen Sie Einblicke, um Transparenz über die Gesundheit Ihres Identitätssystems und die Bedrohungslage zu erhalten. Für Ihre Bereitstellungs- und Betriebsstrategie empfehlen wir, regelmäßige Metriküberwachungen zu integrieren. Erkennen sie Anomalien, bewerten Sie die Risikoexposition, und stellen Sie die Effektivität von Sicherheitskontrollen sicher. Verwenden Sie die folgende Tabelle, um Metriken und Details anzuzeigen. Weitere Informationen finden Sie unter "Gewinnen von Einblicken in die Aktivitäten Ihrer App-Benutzer".
| Maßeinheit | Einzelheiten |
|---|---|
| Beglaubigungen | Die Zusammenfassung im Authentifizierungs-Dashboard enthält die täglichen und monatlichen Authentifizierungen im Mandanten.
- Tägliche Authentifizierungen für 30 Tage - Tägliche Authentifizierungen nach Betriebssystem - Monatliche Authentifizierungen für 12 Monate, nach Standort |
| MFA-Verwendung | Die Zusammenfassung des MFA-Nutzungsdashboards verfügt über die monatliche MFA-Authentifizierungsleistung für Anwendungen. Sehen Sie sich die folgenden Trends an: - Benutzer, die für MFA registriert sind – verwendete MFA-Typen mit Erfolgs- und Fehleranzahl für 12 Monate - CAPTCHA Trigger und Aktivität für 30 Tage |
| Telecom | Um die Telekommunikations-MFA-Leistung zu verstehen, verwenden Sie die Dashboardmetriken für umsetzbare Einblicke in die SMS MFA-Nutzung. Beachten Sie die folgenden Zustände. Zulässig – Benutzer, die während der Anmeldung oder Registrierung eine SMS erhalten haben. Blockiert – Benutzer, die keine SMS erhalten haben. Wenn Telekommunikations-MFA blockiert ist, werden Die Benutzer benachrichtigt, alternative Authentifizierung zu versuchen. Herausgefordert – Dieses Feature ist für ungewöhnliches Verhalten vorgesehen. Sehen Sie es, wenn eine CAPTCHA-Herausforderung erscheint, bevor die SMS geht. Die folgenden Metriken werden ebenfalls angezeigt: – - Verfolgen Sie Benutzer, die die CAPTCHA-Herausforderung nicht bestanden haben. Wenn dies gerechtfertigt ist, können Sie beurteilen, ob die CAPTCHA für legitime Benutzer zu schwierig ist. Nehmen Sie erforderliche Anpassungen vor, um Sicherheit und Barrierefreiheit auszugleichen. - Benutzer, die CAPTCHA abgeschlossen haben – Überprüfen Sie Die Benutzer, die die CAPTCHA-Herausforderung abgeschlossen haben. Erfahren Sie, wie CAPTCHA Benutzer vor automatisierten Angriffen schützt, während es legitimen Benutzern ermöglicht, sich zu authentifizieren. |
Microsoft Entra External ID Core-Angebot und -Add-Ons
Die Preise für externe Microsoft Entra-ID bestehen aus einem Kernangebot und Premium-Add-Ons. Die Hauptangebotsabrechnung basiert auf monatlich aktiven Benutzern (MAUs), der Anzahl eindeutiger externer Benutzer, die sich in einem Kalendermonat bei Ihren Mandanten authentifizieren. Eine Gesamtzahl ergibt sich aus einer Kombination von MAUs aus der Belegschaft und externen Mandanten, die mit einem Abonnement verknüpft sind.
Weitere Informationen zur Preisstruktur und zum Abrechnungsmodell für die externe Microsoft Entra-ID.
Kosten und Analyse
Sehen Sie sich die anfallenden Kosten für den Kostenanalysebereich der Abonnement-/Ressourcengruppe an, die mit dem externen Microsoft Entra ID-Mandanten verknüpft ist. Wenn die MAU-Anzahl unter der kostenlosen Stufe liegt, beträgt die Rechnung 0 $. Nutzungsdaten unterhalb der kostenlosen Stufe werden in der Kostenanalyse angezeigt.
Verwenden Sie im Microsoft Entra Admin Center das Dashboard "Nutzung und Einblick" für den Mandanten mit externer Microsoft-ID, um die Nutzungsdetails anzuzeigen, auch wenn die Nutzung unter der kostenlosen Stufe liegt.
Erfahren Sie, wie Sie monatliche activeUsers in Microsoft Graph auflisten.
Siehe die Graph-Ressourcentypen im ressourcentyp dailyUserInsigntMetricsRoot.
Hinweis
Die von den APIs zurückgegebenen Daten sind nicht in Echtzeit und unterliegen möglicherweise der geplanten Verarbeitung.
Die folgende Tabelle korreliert die Metrik und einen Microsoft Graph-Verweis.
| Maßeinheit | Graphreferenz | BESCHREIBUNG |
|---|---|---|
| aktive Benutzer | activeUsersMetric | |
| Beglaubigungen | authenticationsMetric | |
| mfaCompletions | mfaCompletionMetric | |
| Anmeldungen | userSignUpMetric | |
| Zusammenfassung | insightSummary | |
| Benutzeranzahl | userCountMetric |
Nutzungs- und Insights-Dashboard
Wählen Sie im Microsoft Entra admin center unter "Überwachung und Zustand" die Option "Nutzung und Einblicke" aus. Zeigen Sie Benutzerdaten im Laufe der Zeit und andere Bereiche wie Authentifizierung und MFA-Verwendung an.
