Erste Schritte mit der Zero Trust Assessment

Die Zero Trust Assessment überprüft Ihre Mandantenkonfiguration und empfiehlt Möglichkeiten zur Verbesserung der Sicherheit, wie in unserer Übersicht beschrieben.

Voraussetzungen

• PowerShell 7. Informationen zum Installieren finden Sie unter Installieren von PowerShell unter Windows, Linux und macOS.
• Um beim ersten Mal eine Verbindung herzustellen und den erforderlichen Berechtigungen zuzustimmen, müssen Sie ein globaler Administrator sein.
  • Nachfolgende Ausführungen können die Rolle "Globaler Leser " verwenden.
• Wenn Sie eine frühere Version der Zero Trust Assessment installiert haben, deinstallieren Sie sie, bevor Sie fortfahren.

Installieren der PowerShell-Module

Führen Sie die folgenden Schritte aus, um die Bewertung zu installieren oder zu aktualisieren und eine Verbindung mit Microsoft Graph und Ihrem Mandanten herzustellen.

1. Öffnen Sie ein neues PowerShell 7-Fenster.

2. Führen Sie den folgenden Befehl aus, um das ZeroTrustAssessment-Modul zu installieren:

   Install-Module ZeroTrustAssessment -Scope CurrentUser
   

Herstellen einer Verbindung mit Microsoft Graph und Microsoft Azure

Um das Zero Trust Assessment-Modul auszuführen, stellen Sie eine Verbindung mit Microsoft Graph und Microsoft Azure her. Das Zero Trust Assessment-Modul verbindet sich zuerst mit Microsoft Graph und dann mit Microsoft Azure.

Führen Sie diesen Befehl aus, um eine Verbindung mit Microsoft Graph herzustellen:

Connect-ZtAssessment

Wenn Sie eine Verbindung mithilfe von Microsoft Graph PowerShell herstellen, fordert sie diese Berechtigungen an:

• AuditLog.Read.All
• CrossTenantInformation.ReadBasic.All
• DeviceManagementApps.Read.All
• DeviceManagementConfiguration.Read.All
• DeviceManagementManagedDevices.Read.All
• DeviceManagementRBAC.Read.All
• DeviceManagementServiceConfig.Read.All
• Directory.Read.All
• DirectoryRecommendations.Read.All
• EntitlementManagement.Read.All
• IdentityRiskEvent.Read.All
• IdentityRiskyUser.Read.All
• Policy.Read.All
• Policy.Read.ConditionalAccess
• Policy.Read.PermissionGrant
• PrivilegedAccess.Read.AzureAD
• Reports.Read.All
• RoleManagement.Read.All
• UserAuthenticationMethod.Read.All

Anmelden bei Microsoft Graph

1. Melden Sie sich bei Microsoft Graph als globaler Administrator an.
2. Wählen Sie "Annehmen" aus.

Anmelden bei Microsoft Azure

Ein zweites Fenster wird für die Microsoft Azure-Anmeldung geöffnet. Wenn Sie dazu aufgefordert werden, melden Sie sich bei Microsoft Azure als globaler Administrator an.

Die Microsoft Azure-Anmeldung ist erforderlich, um den Export von Überwachungs- und Anmeldeprotokollen zu überprüfen. Wenn Sie nicht über Microsoft Azure verfügen, schließen Sie das Fenster, ohne sich anzumelden, und ignorieren Sie die Warnung. Die Bewertung überspringt den Test, der auf Microsoft Azure basiert.

Wenn Sie über mehrere Abonnements verfügen, wählen Sie einen Mandanten und ein Abonnement aus, wenn Sie dazu aufgefordert werden.

Ausführen der Bewertung

Die Zero Trust Assessment ist schreibgeschützt. Es wird lokal auf dem Desktop ausgeführt und speichert alle Daten. Es empfiehlt sich, den Bewertungsbericht sicher zu speichern und den generierten Ordner und dessen Inhalt aus dem lokalen Laufwerk zu löschen, sobald die Bewertung abgeschlossen ist.

Nachdem Sie beim ersten Ausführen die Zustimmung des Globalen Administrators erteilt haben, können nachfolgende Durchläufe als Global Reader durchgeführt werden.

Verwenden Sie den folgenden Befehl, um die Bewertung auszuführen:

Invoke-ZtAssessment

Die Bewertung speichert die Ergebnisse im aktuellen Arbeitsordner .\ZeroTrustReport\ZeroTrustAssessmentReport.html. Nach Abschluss der Bewertung wird der Bericht automatisch im Standardbrowser geöffnet.

Verwenden Sie den -Path Parameter, um einen benutzerdefinierten Speicherort zum Speichern des Bewertungsberichts bereitzustellen. Mit dem folgenden Befehl wird der Bericht beispielsweise im Ordner C:/MyAssessment01/ZeroTrustAssessmentReport.htmlgespeichert:

Invoke-ZtAssessment -Path C:\MyAssessment01

Überprüfen der Bewertungsergebnisse

Nachdem die Bewertung ausgeführt wurde, öffnet der Bericht die Registerkarte "Übersicht " in Ihrem Standardbrowser. Auf der Registerkarte " Übersicht " werden wichtige Zero Trust-Informationen zum Mandanten angezeigt.

Auf den Registerkarten " Identität " und "Geräte " wird eine Liste der Ergebnisse aus den Tests angezeigt, die für den Mandanten ausgeführt werden. Die Ergebnisse zeigen das Risiko und den Ergebnisstatus der einzelnen Tests an.

Wenn Sie weitere Details zu einem Test anzeigen möchten, wählen Sie ein Ergebnis aus. Die Details beschreiben, was getestet wurde, und listen empfohlene Abhilfemaßnahmen auf, um Probleme in der Mandantenkonfiguration zu beheben. Ausführlichere Informationen zu einigen der in den einzelnen Überprüfungen verwendeten Begriffe finden Sie in unserem Glossar.

Entfernen des Zero Trust Assessment-Moduls

So entfernen Sie das Zero Trust Assessment-Modul:

1. Entfernen Sie das PowerShell-Modul.
2. Entfernen Sie die App-Registrierung und -Zustimmung.
3. Löschen Sie den Ordner, den das Zero Trust Assessment-Modul erstellt hat.

Häufig gestellte Fragen

Deinstallieren vorheriger Versionen

Führen Sie die folgenden Befehle aus, um sicherzustellen, dass alle Versionen der früheren Module deinstalliert werden.

Uninstall-Module ZeroTrustAssessment -Force -AllVersions

Starten Sie PowerShell neu, und installieren Sie die neueste Version.

Datei oder Assembly "Microsoft.Graph.Authentication" konnte nicht geladen werden.

Dieser Fehler tritt auf, wenn in Konflikt stehenden Versionen von Microsoft Graph PowerShell installiert sind.

Um diesen Fehler zu beheben, empfehlen wir, alle auf Ihrem System installierten Microsoft Graph PowerShell-Module zu deinstallieren. Sie können ein Hilfsmodul wie uninstall-graph.merill.net verwenden, um die Bereinigung auszuführen.

Beim Deinstallieren von Microsoft Graph sollten Sie auch alle Versionen der Zero Trust Assessment deinstallieren, PowerShell neu starten und dann die neueste Version installieren.

Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph

Wie kann ich wissen, was das Skript tut?

Der Code für diese Bewertung ist Open Source. Überprüfen Sie es unter https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.

Warum habe ich den Ausnahmefehler "Der Typinitializer für 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' hat eine Ausnahme ausgelöst."?

Bei einer neuen Installation von Windows wird möglicherweise der folgende Fehler angezeigt:

Der Typinitialisierer für 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' hat eine Ausnahme ausgelöst. Innere Ausnahme: DLL 'duckdb' oder eine ihrer Abhängigkeiten konnte nicht geladen werden: Das angegebene Modul konnte nicht gefunden werden. (0x8007007E) Innerer Ausnahmetyp: DllNotFoundException

Dieser Fehler tritt auf, weil Sie auf einem System arbeiten, das Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64 nicht enthält. VCRedist wird in der Regel installiert, wenn Sie Microsoft-Produkte wie Microsoft Office oder Microsoft Entra Connect Sync installieren. Wenn Sie ein neues Gerät verwenden, müssen Sie diese Komponente möglicherweise manuell installieren. Siehe neueste Redistributable-Version von Microsoft Visual C++

Die Unterstützung für Windows auf ARM64-Geräten ist zurzeit nicht verfügbar.

Wie erhalte ich Support?

Erheben Sie Supportprobleme im GitHub-Repository "Zero Trust Assessment".

Verwandte Inhalte

• Terminologie der Zero Trust-Bewertung
• Konfigurieren von Microsoft Entra für erhöhte Sicherheit
• Konfigurieren von Microsoft Intune für erhöhte Sicherheit