Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Abschnitt des Referenzhandbuchs zu Microsoft Entra-Vorgängen werden die Überprüfungen und Aktionen beschrieben, die Sie ergreifen sollten, um die allgemeinen Vorgänge von Microsoft Entra ID zu optimieren.
Hinweis
Diese Empfehlungen sind auf dem Stand des Veröffentlichungsdatums, können sich aber im Laufe der Zeit ändern. Organisationen sollten ihre betrieblichen Praktiken kontinuierlich bewerten, da sich Microsoft-Produkte und -Dienste im Laufe der Zeit weiterentwickeln.
Wichtige Betriebsabläufe
Zuweisen von Besitzern zu wichtigen Aufgaben
Für die Verwaltung von Microsoft Entra ID ist die kontinuierliche Ausführung wichtiger betrieblicher Aufgaben und Prozesse erforderlich, die möglicherweise nicht Teil eines Rolloutprojekts sind. Es ist weiterhin wichtig, dass Sie diese Aufgaben einrichten, um Ihre Umgebung zu optimieren. Im Folgenden werden die wichtigen Aufgaben und empfohlene Besitzer für diese aufgeführt:
| Aufgabe | Besitzer |
|---|---|
| Vorantreiben von Verbesserungen bei der Identitätssicherheitsbewertung | Team für Informationssicherheitvorgänge |
| Verwalten von Microsoft Entra Connect-Servern | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Regelmäßiges Ausführen und Sichten von IdFix-Berichten | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Sichten von Microsoft Entra Connect Health-Warnungen für die Synchronisierung und AD FS | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Wenn Microsoft Entra Connect Health nicht verwendet wird, verfügt der Kunde über entsprechende Prozesse und Tools zum Überwachen der benutzerdefinierten Infrastruktur. | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Wenn AD FS nicht verwendet wird, verfügt der Kunde über gleichwertige Prozesse und Tools zum Überwachen der benutzerdefinierten Infrastruktur. | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Überwachen von Hybrid-Protokollen: private Microsoft Entra-Netzwerkconnectors | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Überwachen von Hybrid-Protokollen: Passthrough-Authentifizierungs-Agents | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Überwachen von Hybrid-Protokollen: Dienst für das Kennwortrückschreiben | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Überwachen von Hybrid-Protokollen: Lokales Kennwortschutzgateway | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
| Überwachen von Hybridprotokollen: Microsoft Entra NPS-Erweiterung für die mehrstufige Authentifizierung (falls zutreffend) | Team für IAM-Vorgänge (Identity & Access Management, Identitäts- und Zugriffsverwaltung) |
Beim Überprüfen Ihrer Liste stellen Sie ggf. fest, dass Sie entweder einen Besitzer für Aufgaben zuweisen müssen, denen kein Besitzer zugeteilt ist, oder Aufgaben anpassen müssen, deren Besitzer nicht den obigen Empfehlungen entspricht.
Empfohlene Artikel für Besitzer
Hybridverwaltung
Aktuelle Versionen von lokalen Komponenten
Wenn die aktuellsten up-to-Date-Versionen von lokalen Komponenten vorhanden sind, erhält der Kunde alle neuesten Sicherheitsupdates, Leistungsverbesserungen und Funktionen, die dazu beitragen können, die Umgebung weiter zu vereinfachen. Die meisten Komponenten verfügen über eine einstellung für automatische Upgrades, die den Upgradevorgang automatisieren wird.
Zu diesen Komponenten gehören:
- Microsoft Entra Connect
- Private Microsoft Entra-Netzwerkconnectors
- Microsoft Entra-Passthrough-Authentifizierungsagents
- Microsoft Entra Connect Gesundheitsagenten
Sofern keines eingerichtet wurde, sollten Sie einen Prozess definieren, um diese Komponenten zu aktualisieren und nach Möglichkeit auf das Feature für automatische Upgrades angewiesen zu sein. Wenn Sie Komponenten finden, die sechs oder mehr Monate zurückliegen, sollten Sie ein Upgrade so schnell wie möglich durchführen.
Empfohlene Lektüre zur Hybrid-Verwaltung
- Microsoft Entra Connect: Automatisches Upgrade
- Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors | Automatische Updates
Microsoft Entra Connect Health-Warnungsbaseline
Organisationen sollten Microsoft Entra Connect Health für die Überwachung und Berichterstellung von Microsoft Entra Connect und AD FS bereitstellen. Microsoft Entra Connect und AD FS sind wichtige Komponenten, die die Lebenszyklusverwaltung und Authentifizierung unterbrechen und somit zu Ausfällen führen können. Microsoft Entra Connect Health hilft ihnen, Einblicke in Ihre lokale Identitätsinfrastruktur zu überwachen und zu gewinnen und so die Zuverlässigkeit Ihrer Umgebung sicherzustellen.
Während Sie die Gesundheit Ihrer Umgebung überwachen, müssen Sie sofort alle Warnungen mit hohem Schweregrad bearbeiten, gefolgt von Warnungen mit niedrigerem Schweregrad.
Empfohlenes Lesen von Microsoft Entra Connect Health
Lokale Agent-Protokolle
Einige Identitäts- und Zugriffsverwaltungsdienste erfordern lokale Agents, um Hybridszenarien zu aktivieren. Beispiele hierfür sind die Kennwortzurücksetzung, die Pass-Through-Authentifizierung (PTA), der Microsoft Entra-Anwendungsproxy und die Microsoft Entra-Multifaktor-Authentifizierungs-NPS-Erweiterung. Es ist von entscheidender Bedeutung, dass das Betriebsteam die Integrität dieser Komponenten durch Archivierung und Analyse der Agentenprotokolle der Komponenten mit Lösungen wie System Center Operations Manager oder SIEM erfasst und überwacht. Es ist ebenso wichtig, dass Ihr Infosec Operations-Team oder Helpdesk versteht, wie Muster von Fehlern behoben werden.
Protokolle von lokalen Agenten – empfohlene Lektüre
- Problembehandlung von Anwendungsproxys
- Behandeln von Problemen mit der Self-Service-Kennwortzurücksetzung
- Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors
- Microsoft Entra Connect: Behandeln von Problemen mit der Passthrough-Authentifizierung
- Problembehandlung bei Fehlercodes für die NPS-Erweiterung der Multi-Faktor-Authentifizierung von Microsoft Entra
Verwaltung lokaler Agents
Durch die Einführung bewährter Methoden kann der optimale Betrieb lokaler Agents unterstützt werden. Berücksichtigen Sie die folgenden bewährten Methoden:
- Mehrere Microsoft Entra Private Network Connectors pro Connectorgruppe werden empfohlen, um einen nahtlosen Lastenausgleich und hohe Verfügbarkeit zu gewährleisten, indem einzelne Fehlerpunkte vermieden werden, wenn auf die Proxyanwendungen zugegriffen wird. Wenn Sie derzeit nur einen Connector in einer Verbindergruppe haben, der Anwendungen in der Produktion verarbeitet, sollten Sie mindestens zwei Connectors für Redundanz bereitstellen.
- Das Erstellen und Verwenden einer privaten Netzwerkconnectorgruppe für Debuggingzwecke kann hilfreich für Problembehandlungsszenarien und beim Onboarding neuer lokaler Anwendungen sein. Außerdem wird empfohlen, Netzwerktools wie Message Analyzer und Fiddler auf den Connectorcomputern zu installieren.
- Mehrere Pass-Through-Authentifizierungsagenten werden empfohlen, um nahtlosen Lastenausgleich und hohe Verfügbarkeit zu gewährleisten, indem einzelne Fehlerpunkte während des Authentifizierungsflusses vermieden werden. Stellen Sie sicher, dass Sie mindestens zwei Pass-Through-Authentifizierungs-Agents für Redundanz bereitstellen.
Empfohlene Lektüre zur Verwaltung von On-Premises-Agenten
- Grundlegendes zu privaten Microsoft Entra-Netzwerkconnectors
- Microsoft Entra Pass-Through-Authentifizierung – Schnellstart
Verwaltung im großen Maßstab
Identitätssicherheitsbewertung
Die Identitätssicherheitsbewertung stellt ein quantifizierbares Maß für den Sicherheitsstatus Ihrer Organisation bereit. Es ist von entscheidender Bedeutung, die gemeldeten Ergebnisse ständig zu überprüfen und zu behandeln und sich um die bestmögliche Bewertung zu bemühen. Anhand der Bewertung können Sie:
- Objektives Messen Ihres Identitätssicherheitsstatus
- Planen von Verbesserungen der Identitätssicherheit
- Überprüfen sie den Erfolg Ihrer Verbesserungen
Wenn in Ihrer Organisation derzeit kein Programm zum Überwachen von Änderungen in der Sicherheitsbewertung für Identitäten vorhanden ist, empfiehlt es sich, einen Plan zu implementieren und verantwortliche Personen zuzuweisen, um Verbesserungsmaßnahmen zu überwachen und anzustoßen. Organisationen sollten Verbesserungsmaßnahmen mit einer Bewertungswirkung von mehr als 30 so schnell wie möglich beheben.
Benachrichtigungen
Microsoft sendet E-Mail-Kommunikation an Administratoren, um verschiedene Änderungen am Dienst zu benachrichtigen, Konfigurationsupdates, die erforderlich sind, und Fehler, die administratoreingriff erfordern. Es ist wichtig, dass Kunden die Benachrichtigungs-E-Mail-Adressen so festlegen, dass Benachrichtigungen an die richtigen Teammitglieder gesendet werden, die alle Benachrichtigungen bestätigen und bearbeiten können. Es wird empfohlen, dem Nachrichtencenter mehrere Empfänger hinzuzufügen und anzufordern, dass Benachrichtigungen (einschließlich Microsoft Entra Connect Health-Benachrichtigungen) an eine Verteilerliste oder ein freigegebenes Postfach gesendet werden. Wenn Sie nur über ein globales Administratorkonto mit einer E-Mail-Adresse verfügen, müssen Sie mindestens zwei E-Mail-fähige Konten konfigurieren.
Es werden zwei Absenderadressen („Von“) von Microsoft Entra ID verwendet: o365mc@email2.microsoft.com, von der Benachrichtigungen des Nachrichtencenters gesendet werden, und azure-noreply@microsoft.com, von der Benachrichtigungen zu Folgendem gesendet werden:
- Microsoft Entra-Zugriffsüberprüfungen
- Microsoft Entra Connect Health
- Microsoft Entra ID-Schutz
- Microsoft Entra Privilegiertes Identitätsmanagement
- Ablaufende Zertifikatbenachrichtigungen für Unternehmens-Apps
- Enterprise-App-Bereitstellungsdienstbenachrichtigungen
In der folgenden Tabelle erfahren Sie, welche Art von Benachrichtigungen gesendet werden und wo sie überprüft werden:
| Benachrichtigungsquelle | Was gesendet wird | Wo muss überprüft werden? |
|---|---|---|
| Technischer Kontakt | Synchronisierungsfehler | Azure-Portal – Blatt „Eigenschaften“ |
| Nachrichtencenter | Hinweise zu Vorfällen und Beeinträchtigungen von Identitätsdiensten und Microsoft 365-Back-End-Diensten | Office-Portal |
| Identitätsschutz Wochenbericht | Identitätsschutzdigest | Blatt „Microsoft Entra ID-Schutz“ |
| Microsoft Entra Connect-Integrität | Warnungsbenachrichtigungen | Azure-Portal – Bereich "Microsoft Entra Connect Health" |
| Benachrichtigungen für Unternehmensanwendungen | Benachrichtigungen, wenn Zertifikate bald ablaufen und Bereitstellungsfehler auftreten | Azure-Portal – Blatt "Unternehmensanwendung" (jede App verfügt über eine eigene E-Mail-Adresseinstellung) |
Benachrichtigungen, die zum Lesen empfohlen werden
Betriebsfläche
AD FS-Sperre
Organisationen, die Anwendungen so konfigurieren, dass sie sich direkt bei Microsoft Entra ID authentifizieren, profitieren von microsoft Entra Smart Lockout. Wenn Sie AD FS in Windows Server 2012 R2 verwenden, implementieren Sie ad FS Extranetsperrungsschutz. Wenn Sie AD FS unter Windows Server 2016 oder höher verwenden, implementieren Sie extranet smart lockout. Es wird mindestens empfohlen, die Extranetsperrung zu aktivieren, um das Risiko von Brute-Force-Angriffen auf lokales Active Directory zu enthalten. Wenn Sie jedoch über AD FS in Windows 2016 oder höher verfügen, sollten Sie auch extranet smart lockout aktivieren, das dazu beizutragen ist, Kennwortsprühangriffe zu mindern.
Wenn AD FS nur für den Microsoft Entra-Verbund verwendet wird, gibt es einige Endpunkte, die deaktiviert werden können, um die Angriffsfläche zu minimieren. Wenn AD FS beispielsweise nur für Microsoft Entra ID verwendet wird, sollten Sie andere WS-Trust-Endpunkte als die für usernamemixed und windowstransport aktivierten Endpunkte deaktivieren.
Zugriff auf Computer mit lokalen Identitätskomponenten
Organisationen sollten den Zugriff auf die Computer mit lokalen Hybridkomponenten auf die gleiche Weise sperren wie Ihre lokale Domäne. Beispielsweise sollte sich ein Sicherungsoperator oder Hyper-V Administrator nicht bei Microsoft Entra Connect Server anmelden können, um Regeln zu ändern.
Das Active Directory-Verwaltungsebenenmodell wurde entwickelt, um Identitätssysteme mithilfe einer Reihe von Pufferzonen zwischen voller Kontrolle der Umgebung (Stufe 0) und den Ressourcen mit hohem Risiko zu schützen, die Angreifer häufig kompromittieren.
Das Ebenenmodell besteht aus drei Ebenen und umfasst nur Administrative Konten und keine Standardbenutzerkonten.
- Stufe 0 : Direkte Kontrolle über Unternehmensidentitäten in der Umgebung. Stufe 0 umfasst Konten, Gruppen und andere Objekte, die direkte oder indirekte administrative Kontrolle über die Active Directory-Gesamtstruktur, Domänen oder Domänencontroller sowie alle darin enthaltenen Ressourcen haben. Die Sicherheitsempfindlichkeit aller Ressourcen der Ebene 0 ist gleichbedeutend, da sie alle effektiv die Kontrolle übereinander haben.
- Stufe 1 : Kontrolle von Unternehmensservern und -anwendungen. Ressourcen der Stufe 1 umfassen Serverbetriebssysteme, Clouddienste und Unternehmensanwendungen. Administratorkonten der Stufe 1 haben administrative Kontrolle über einen erheblichen Geschäftswert, der auf diesen Ressourcen gehostet wird. Eine gängige Beispielrolle ist Serveradministratoren, die diese Betriebssysteme verwalten und die Möglichkeit haben, sich auf alle Unternehmensdienste zu auswirken.
- Stufe 2 – Steuerung von Benutzerarbeitsstationen und -geräten. Administratorkonten der Stufe 2 haben administrative Kontrolle über einen erheblichen Geschäftlichen Wert, der auf Benutzerarbeitsstationen und -geräten gehostet wird. Beispiele sind Helpdesk- und Computersupportadministratoren, da sie sich auf die Integrität nahezu aller Benutzerdaten auswirken können.
Sperren Sie den Zugriff auf lokale Identitätskomponenten wie Microsoft Entra Connect, AD FS und SQL-Dienste auf die gleiche Weise wie für Domänencontroller.
Zusammenfassung
Es gibt sieben Aspekte für eine sichere Identitätsinfrastruktur. Diese Liste hilft Ihnen, die Aktionen zu finden, die Sie ergreifen sollten, um die Vorgänge für die Microsoft Entra-ID zu optimieren.
- Zuweisen von Besitzern zu wichtigen Aufgaben
- Automatisieren Sie den Upgradeprozess für lokale Hybridkomponenten.
- Stellen Sie Microsoft Entra Connect Health für die Überwachung und Berichterstellung von Microsoft Entra Connect und AD FS bereit.
- Überwachen Sie die Integrität lokaler Hybridkomponenten, indem Sie die Komponenten-Agent-Protokolle mithilfe von System Center Operations Manager oder einer SIEM-Lösung archivieren und analysieren.
- Implementieren Sie Sicherheitsverbesserungen, indem Sie Ihren Sicherheitsstatus mit der Identitätssicherheitsbewertung messen.
- AD FS sperren.
- Sperren sie den Zugriff auf Computer mit lokalen Identitätskomponenten.
Nächste Schritte
Weitere Informationen zu den funktionen, die Sie nicht bereitgestellt haben, finden Sie in den Microsoft Entra-Bereitstellungsplänen .