Sichern Sie alle Mandanten und ihre Ressourcen („Secure Future Initiative“).

Pfeilername: Mandanten schützen und Produktionssysteme isolieren
Mustername: Absicherung aller Mandanten und ihrer Ressourcen

Um die Sicherheitsrisiken von nicht nachverfolgten Mandanten und fehlender Visibilität zu verringern, hat Microsoft das Muster "Alle Mandanten und ihre Ressourcen sichern" implementiert. Dadurch wird eine umfassende Governance und Sicherheit für alle Mandanten gewährleistet, die sich an den Zero Trust-Prinzipien orientieren.

Kontext und Problem

Der erste Schritt bei der Mandantensicherheit ist die Ermittlung. Ohne einen vollständigen Bestand können Sicherheit und Governance nicht erfolgreich sein. Viele Organisationen haben keinen Einblick in aktive, Legacy- und Schattenmandanten, wodurch nicht nachverfolgte Umgebungen anfällig für Ausnutzung bleiben.

Microsoft hat stark in die Identifizierung und Katalogisierung aller Mandanten in seinen Umgebungen investiert. Dazu gehören Produktions-, Produktivitäts-/Test- und kurzlebige Mandanten. Ohne robuste Erkennungs- und Lebenszyklusverwaltung können sogar scheinbar risikoarme Mandanten zu Schatteninfrastruktur werden – nicht überwacht, nicht gepatcht und als Angriffspunkte für Angreifer ausnutzbar.

Zu den wichtigsten Risiken gehören:

Seitliche Verlagerung von Nicht-Produktions- auf Produktionsmandanten.
Veraltete oder inaktive Mandanten ohne Sicherheitsgrundlagen oder Lebenszykluskontrollen.
Freigegebene geheime Schlüssel und Falschkonfigurationen, die die Wiederverwendung von Anmeldeinformationen über Mandanten hinweg ermöglichen.

Lösung

Als Teil der Secure Future Initiative (SFI) hat Microsoft das Ziel umgesetzt, alle Mandanten und deren Ressourcen zu schützen, indem es Mandanten-Baselines durchsetzt, das Lebenszyklusmanagement regelt und Schutzmaßnahmen in seinen Cloud-Umgebungen standardisiert.

Standardisierte Sicherheitsprotokollierungsbibliothek: Stellt eine konsistente Datenerfassung über Dienste hinweg sicher, wodurch Observability-Lücken reduziert werden.
Zentralisierte Protokollsammlung: Spezialisierte Ermittlerkonten bieten einen einheitlichen Zugriff auf dienstübergreifende Protokolle, vereinfachen die Korrelation und beschleunigen Untersuchungen.
Erweiterte Protokollaufbewahrung: Überwachungsprotokolle, die für bis zu zwei Jahre in microsoft-Diensten aufbewahrt werden, um die forensische Untersuchung langfristiger Angriffsmuster zu ermöglichen.
Erweiterte Erkennungsanalysen: Die Integration von maschinellem Lernen und KI-basierten Modellen verbessert die Erkennung komplexer Angriffstechniken und reduziert falsch positive Ergebnisse.
Erweiterte Kundenprotokollierung: Microsoft hat die Standardmäßige Aufbewahrung von Überwachungsprotokollen für Microsoft 365-Kunden auf 180 Tage erhöht, mit Optionen für eine längere Aufbewahrung.

Der Ansatz von Microsoft umfasst Folgendes:

Sicherheitsgrundwerte: Vorkonfigurierte Mandantensicherheitsvorlagen, um Konsistenz sicherzustellen und die Härtung zu beschleunigen.
Mandantenklassifizierung und Lebenszyklus-Governance: Kategorisieren von Mandanten nach Zweck (Produktion, Produktivität, Hilfs-, Ephemeral) und entsprechendes Anwenden von Standardsteuerelementen.
Erzwingung des bedingten Zugriffs: Verwalten der Authentifizierung und Autorisierung im großen Maßstab, einschließlich kurzlebiger Mandanten und nicht verwalteter Konten.
Sichere Administratorarbeitsstationen (SAWs):Hardwareisolierte Geräte trennen privilegierten Zugriff von Produktivitätszugriff.
Überwachung und Analyse: Zentralisierte Sicherheitsdaten über Überwachungsprotokolle, Microsoft-Sicherheitsbewertung und Defender-Integration.
Geheime Verwaltung und Anmeldeinformationsisolation: Verhindern von gemeinsamen Geheimschlüsseln zwischen Mandanten und Erzwingen von Phishing-widerstandsfähigen MFA.
Prävention von lateraler Bewegung: Verhinderung lateraler Bewegung durch die Isolierung von Produktions- und Nicht-Produktionsmandanten.
Legacy- und inaktive Mandanten: Stilllegung von Legacy- und inaktiven Mandanten durch Lebenszyklusprüfungen.
Sichtbarkeit des Haltungsstatus: Verbesserte Sichtbarkeit der Position mit Secure Score in der gesamten Mandantenflotte.
Mandatenwildwuchs: Reduzierter Mandatenwildwuchs und strenge Kontrollen bei der Einrichtung neuer Mandanten durchgesetzt.

Diese Schritte stellen sicher, dass alle Mandanten – unabhängig vom Zweck oder Ursprung – sichtbar, geregelt und geschützt sind, entsprechend den Zero Trust-Prinzipien.

Leitfaden

Organisationen können ein ähnliches Muster mit den folgenden Aktionen anwenden:

Anwendungsfall	Empfohlene Aktion	Resource
Grundlegende Sicherheitskontrollen	Wenden Sie die Microsoft-Sicherheitsstandardwerte für alle Mandanten an und erweitern Sie diese dann mit den Basislinien von Microsoft 365 Lighthouse zur Härtung im Unternehmensmaßstab.	Konfigurieren von Sicherheitsstandardeinstellungen für Microsoft Entra-ID Übersicht über die Verwendung von Microsoft 365 Lighthouse-Basislinien zur Bereitstellung von Standardmandantenkonfigurationen Architekturstrategien für die Erstellung einer Sicherheitsbasislinie
Bedingter Zugriff	Bereitstellen grundlegender Richtlinien für bedingten Zugriff (Conditional Access, CA): Blockieren der Legacyauthentifizierung, Erfordern einer MFA für alle Benutzer und Erzwingen der Gerätekompatibilität für privilegierte Rollen. Erweitern Sie mit risikobasierten und standortbezogenen Richtlinien.	Richtlinienvorlagen für bedingten Zugriff – Microsoft Entra-ID Planen Sie Ihre Microsoft Entra Conditional Access-Bereitstellung Bewährte Methoden zum Sichern mit der Microsoft Entra-ID
Verwaltung des privilegierten Zugriffs	Verwenden Sie Privileged Identity Management (PIM) für Just-in-Time (JIT) und just-enough-Zugriff (JEA), um ständige Administratorrechte zu minimieren.	Planen einer Privileged Identity Management-Bereitstellung Aktivieren von Microsoft Entra-Rollen in PIM – Microsoft Entra ID Governance
Mandantenisolierung	Trennen Sie Produktions- und Nicht-Produktionsmandanten. Entfernen Sie freigegebene Administratorkonten und App-Registrierungen in allen Umgebungen. Wenden Sie unterschiedliche Basispläne für bedingten Zugriff pro Mandantentyp an.	Ressourcenisolation mit mehreren Mandanten zur Absicherung durch Microsoft Entra-ID Einschränken des mandantenübergreifenden eingehenden und ausgehenden Zugriffs – Power Platform
Überwachung und Bedrohungserkennung	Kombinieren Sie Microsoft Defender for Identity (lokale AD-Signale) mit Microsoft Entra ID Protection (cloudbasierte Risikosignale). Zentralisieren Sie die Überwachung, um laterale Bewegungen, Tokendiebstahl und ungewöhnliches Anmeldeverhalten zu erkennen.	Übersicht über die Bereitstellung von Microsoft Defender for Identity Was ist Microsoft Entra ID Protection? Was sind Risikoerkennungen? – Microsoft Entra ID Protection

Vorteile

Standardisierte Härtung: Sicherheitsgrundwerte stellen sicher, dass alle Mandanten minimale Schutzschwellenwerte erfüllen.
Reduzierte Angriffsfläche: Legacy-, Schatten- und nicht verwendete Mandanten werden systematisch zurückgezogen.
Verbesserte Governance: Das zentrale Inventar und die Klassifizierung unterstützen kontinuierliche Compliance und Aufsicht.
Kontrollierter Zugriff: Bedingter Zugriff, rollenbasierte Zugriffssteuerung (RBAC) und mehrstufige Authentifizierung (MFA) schützen Identitäten und beschränken externe Freigaberisiken.
Erweiterte Erkennung und Reaktion: Integrierte Sicherheitsdaten und Protokolle bieten Transparenz über alle Mandanten hinweg.

Abwägungen

Die Implementierung dieses Ansatzes erfordert Folgendes:

Etablierung der zentralisierten Verantwortung für Mandantenlebenszyklusrichtlinien.
Investition in automatisierung (Standardrichtlinienanwendung, Ablaufworkflows).
Mögliche Neuarchitektur von Zugangsmodellen (z. B. Trennen von Prod/Non-Prod). DIE SAW-Einführung führt zu anfänglicher Gerätekomplexität und -kosten.
Um Schattenmieter und die Wiederverwendung von Anmeldeinformationen zu beseitigen, sind Schulung und Durchsetzung erforderlich.

Wichtige Erfolgsfaktoren

Um den Erfolg nachzuverfolgen, messen Sie Folgendes:

Prozentsatz der Mandanten mit erzwungenen Sicherheitsbaselines
Anzahl der stillgelegten Legacy- oder Schatten-Tenants
Umfang von zentralisierten Bestands- und Compliance-Berichten
Prozentsatz der Identitäten mit aktivierter MFA
Verbesserung der Sicherheitsbewertung in Microsoft Secure Score-Metriken
Volumen blockierter veralteter Authentifizierungsversuche oder unbefugter Freigabeereignisse

Zusammenfassung

Das Sichern aller Mandanten und ihrer Ressourcen ist für die SFI-Säulen von Microsoft von grundlegender Grundlage: "Sicher nach Entwurf", "Standardmäßig sicher" und "Sichere Vorgänge".

Mit Basisrichtlinien, Lebenszyklusgovernance und kontinuierlicher Aufsicht können Organisationen Risiken reduzieren, konsistente Schutzmaßnahmen erzwingen und verhindern, dass Schatteninfrastruktur die Sicherheit untergräbt. Dies stellt in großem Maßstab sicher, dass jede Identität, jeder Zugriffspunkt und jeder Mandant von Grund auf gesichert ist.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-06