Administratoren haben ständig zwei schwierige Aufgaben zu bewältigen: die Optimierung der Sicherheit und die Verwaltung von Berechtigungen. Diese beiden Aufgaben gehen Hand in Hand, und es ist wichtig, ein Gleichgewicht zwischen ihnen zu finden. Die Sicherheit muss hieb- und stichfest sein. Aber die Benutzer müssen auf alles zugreifen können, was sie für ihre produktive Arbeit benötigen.
Die Authentifizierung ist Teil der Lösung. Auf diese Weise können Administratoren dazu beitragen, Benutzeridentitäten und Anmeldeinformationen zu schützen und alle Governance-Anforderungen zu erfüllen. Dazu müssen Administratoren Microsoft Entra ID (ehemals Azure AD) als primären Identitätsanbieter verwenden, um den Zugang für Benutzer zu vereinfachen und das Unternehmen besser zu schützen.
Es ist jedoch keine Option, die Lösung einfach zu implementieren und sich zurückzulehnen. Governance ist eine fortlaufende Praxis, und Sie müssen wissen, wie man sie verwaltet, um wirklich das Beste daraus zu machen.
Was ist Entra ID?
Entra ID ist der cloudbasierte Identitäts- und Zugangsverwaltungsdienst von Microsoft. Er vereinfacht den Zugriff Ihrer Mitarbeiter auf interne und externe Ressourcen, wie Microsoft 365 und viele andere SaaS-Anwendungen, durch einen Satz von Anmeldeinformationen.
Wenn zum Beispiel ein neuer Mitarbeiter in Ihrem Unternehmen anfängt, muss er Zugang zu allen relevanten Systemen für seine Rolle erhalten. Wenn Ihr Unternehmen Entra ID nicht als zentralen Identitätsanbieter einsetzt, könnte der Mitarbeiter mit den verschiedenen Benutzernamen und Passwörtern für jedes System überfordert sein.
Mit Entra ID haben Unternehmen die Möglichkeit, sich in praktisch jedes Geschäftssystem zu integrieren und dabei nur einen Satz von Anmeldedaten auszugeben, mit denen Ihre Benutzer auf alles zugreifen können. Dies bringt Ihren Mitarbeitern Einfachheit und den für das Identitätsmanagement verantwortlichen Administratoren ein rationalisiertes Management.
5 Möglichkeiten zur Steuerung von Entra ID
Um sicherzustellen, dass Sie das Beste aus Entra ID herausholen und es richtig verwalten, finden Sie hier ein paar Tipps:
Beschränken Sie den Umfang der Berechtigungen
Berechtigungen erstrecken sich nicht nur auf Ihre Mitarbeiter, sondern auch auf andere Administratoren. Innerhalb von Entra ID gibt es begrenzte Administratorrollen, die anderen Administratoren zugewiesen werden können, um deren Zugriff und Verantwortlichkeiten einzuschränken.
Indem Sie die Anzahl der Berechtigungen, auf die jeder Zugriff hat, reduzieren, können Sie verhindern, dass sensible Ressourcen gefährdet werden. Es kann jedoch vorkommen, dass Sie den Zugriff und die Berechtigungen für bestimmte Aufgaben erweitern müssen.
So kann es beispielsweise vorkommen, dass ein Mitarbeiter außerhalb der Finanzabteilung auf das Datenblatt der Gehaltsabrechnung zugreifen muss. Für diesen Fall gibt es das Privileged Identity Management (PIM), eine Premiumfunktion von Entra ID. Mit PIM können Administratoren einen zeitlich begrenzten Zugriff auf Ressourcen einrichten, sodass Benutzer für einen bestimmten Zeitraum Zugriff auf Dokumente und Dateien haben - oder auf alles, was mit Hilfe von Sicherheitsgruppen zugänglich gemacht werden kann. Danach haben sie keinen Zugriff mehr, was für mehr Sicherheit sorgt.
Verwenden Sie die Multi-Faktor-Authentifizierung für ALLES
Wenn ich diesen Punkt im Jahr 2016 schreiben würde, würde ich das hier schreiben: Der Schutz wichtiger Dokumente erfordert mehr als nur eine einstufige Verifizierung. Denken Sie an persönliche Unterlagen, Budgets und den ganzen Rest. Nicht jeder sollte in solche Informationen eingeweiht sein.
Mit Entra ID können Administratoren eine Multi-Faktor-Identifikation implementieren, um eine zusätzliche Schutzebene für sensible Ressourcen zu schaffen. Wenn ein Mitarbeiter der Personalabteilung auf persönliche Daten oder Gehaltsabrechnungen zugreifen möchte, braucht er mehr als nur den richtigen Benutzernamen und das richtige Passwort. Dasselbe kann auch für andere Administratoren gelten. Wenn sie nur eine eingeschränkte Administratorrolle haben, müssen sie ebenfalls denselben Multi-Faktor-Identifizierungsprozess durchlaufen.
Administratoren können einen speziellen Code einrichten, der z. B. an den Kontoinhaber geschickt wird, oder eine andere Form des "bedingten Zugangs". Jede Ebene trägt dazu bei, Ihre wertvollen Informationen zu schützen und sicherzustellen, dass sie nicht in die falschen Hände geraten.
Aber da ich dies im Dezember 2022 schreibe: Schalten Sie MFA ein!
Schalten Sie MFA für Administratoren immer ein. Schalten Sie MFA für die Benutzer ein, die nicht im Büro arbeiten. Mit Entra ID Premium P2 können Sie Entra ID Identity Protection verwenden, um riskante Anmeldungen zu erkennen und eine starke Authentifizierung sicherzustellen.
Sie können Microsoft Authenticator nicht nur für MFA, sondern auch für die passwortlose Authentifizierung verwenden. Als ich diese Zeilen schrieb, hatte ich mein Passwort seit 6 Monaten nicht mehr verwendet. Ich weiß nicht einmal mehr, wie mein Kennwort lautete!
Überprüfen Sie den Zugriff, um nicht benötigte Berechtigungen zu entziehen
Überprüfungen sind unerlässlich. Wenn Teammitglieder innerhalb des Unternehmens wechseln, ändern sich auch ihre Zuständigkeiten. Administratoren müssen dies bei der Berechtigung von Mitarbeitern und anderen Administratoren berücksichtigen, die möglicherweise neue Möglichkeiten in anderen Rollen erhalten. Außerdem könnten böswillige Cyberangreifer versuchen, die Konten zu kompromittieren, die noch Zugriff auf sensible Daten haben.
Deshalb ist es am besten, zu prüfen, wer zu viele Berechtigungen gesammelt hat, und diese bei Bedarf einzuschränken. So können Sie Ihren Teammitgliedern alles geben, was sie brauchen, und gleichzeitig sicherstellen, dass Sie Ihre Sicherheit nicht gefährden. Durch die Verwendung von Entra ID-Zugriffsüberprüfungen können Sie eine Zugriffsüberprüfung für Entra ID-Rollen und -Gruppen erstellen, um unnötige Berechtigungen einfach herauszufiltern.
Begrenzen Sie die Anzahl der globalen Administratoren
In Entra ID kontrollieren die globalen Administratoren alles. Sie sind die Kraft der Macht, die eine enorme Verantwortung hat... und Sie wollen diese nicht an zu viele Leute verteilen, und Sie wollen auch nicht, dass diese Admin-Konten tagtäglich benutzt werden. Bitte stellen Sie sicher, dass alle Personen, die für ihre Arbeit Zugriff auf Global Admin (GA) benötigen, spezielle privilegierte Konten verwenden, die nur bei Bedarf genutzt werden. Microsoft empfiehlt außerdem, dass höchstens 5 Personen über einen GA-Zugang verfügen sollten, aber je nach Größe des Unternehmens und den Standorten auf der ganzen Welt können auch mehr Personen erforderlich sein, um eine gesunde Work-Life-Balance für Ihre Administratoren zu gewährleisten.
Wenn die Geheimnisse des Schlosses gut bewacht werden und nicht in zu vielen Händen liegen, ist es einfacher, auf Bedrohungen zu reagieren, wenn sie auftreten. Diese Delegation hilft Ihnen nicht nur dabei, herauszufinden, welcher Ihrer Admins die größte Verantwortung trägt, sondern sie kann Ihnen auch dabei helfen, andere Admin-Rollen zuzuweisen, um die tägliche Arbeitsbelastung besser zu bewältigen.
Auch hier kann Privileged Identity Management helfen. Es gibt Fälle, in denen weniger Rollen für eine Aufgabe ausreichen und nur diejenigen aktiviert werden sollten, die tatsächlich benötigt werden, um die Nutzung der Global-Admin-Rolle so weit wie möglich einzuschränken.
Vergessen Sie nicht das Entra ID Admin Center
Das Entra ID Admin Center, das kürzlich in Microsoft Entra Admin Center umbenannt wurde, bietet Administratoren einen vollständigen Überblick über Anwendungen, Logins, Benutzer und Gruppen, Rollen und alle wichtigen Details, die Entra ID ermöglichen, als bester Identitätsanbieter für den Unternehmenseinsatz und den Schutz wichtiger Ressourcen zu fungieren.
Behalten Sie die Kontrolle über Microsoft Entra ID
Die Tools für eine bessere Authentifizierung in Ihrem Unternehmen zu haben, ist von größter Bedeutung, aber die Kontrolle darüber ist eine andere Sache. Governance kann schwierig sein, wenn es so viele Daten zu sammeln und zu berichten gibt. Bei Entra ID ist das nicht anders. Sie müssen den Überblick über Benutzeranmeldungen, Benutzerrollen, Anwendungsberechtigungen, ablaufende Anwendungsgeheimnisse und vieles mehr behalten.
Mit Rencore Governance behalten Sie die Kontrolle, indem Sie alle Ihre Microsoft 365-Daten auf einer einzigen Plattform zusammenführen. Genießen Sie einen umfassenden Überblick über Ihre gesamte Microsoft 365-Umgebung, einschließlich Entra ID. Da Sie alle wichtigen Daten an einem Ort haben, können Sie schnell und sicher handeln, um Ihre wertvollen Ressourcen zu schützen und einen reibungslosen Ablauf in Ihrem Unternehmen zu gewährleisten.
Ich empfehle Ihnen auch die Lektüre des folgenden Whitepapers: „Vollständige Transparenz in Microsoft 365“. Dieses Whitepaper bietet einen auf Best Practices basierenden Rahmen, der Sie bei der Entwicklung einer modernen Governance-Strategie für Microsoft 365-Technologien, einschließlich Entra ID, SharePoint, OneDrive, Teams, Exchange, Yammer und der Power Platform, unterstützt.
.png?width=352&name=Hero_banner_How%20to%20Control%20Agent%20Sprawl%20in%20Microsoft%20365%20(1).png)
