Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es ist wichtig, zu verhindern, dass Sie sich versehentlich aus Ihrer Microsoft-Entra-Organisation aussperren, da Sie sich sonst nicht anmelden oder eine Rolle aktivieren können. Sie können die Auswirkungen des versehentlichen Mangels an administrativem Zugriff verringern, indem Sie zwei oder mehr Notfallzugriffskonten in Ihrer Organisation erstellen.
Benutzerkonten mit der Rolle "Globaler Administrator" verfügen über hohe Berechtigungen im System, und diese Rolle umfasst Notfallzugriffskonten mit der Rolle "Globaler Administrator". Verwenden Sie Notfallzugriffskonten nur in Notfällen oder in „Break-Glass“-Szenarien, in denen reguläre Administratorkonten nicht verwendet werden können. Beschränken Sie die Verwendung des Notfallkontos nur auf die Zeiten, in denen sie unbedingt erforderlich sind.
Dieser Artikel enthält Richtlinien zum Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
Gründe zur Verwendung eines Kontos für den Notfallzugriff
Eine Organisation könnte beispielsweise in den folgenden Situationen auf ein Konto für den Notfallzugriff zurückgreifen:
- Die Benutzerkonten befinden sich in einem Verbund, und der Verbund ist aktuell nicht verfügbar, weil ein Mobilfunknetz oder ein Identitätsanbieter ausgefallen ist. Wenn beispielsweise der Host des Identitätsanbieters in Ihrer Umgebung ausfällt, können sich Benutzer möglicherweise nicht anmelden, wenn Microsoft Entra ID sie an ihren Identitätsanbieter weiterleitet.
- Die Administratoren registrieren sich über Microsoft Entra mehrstufige Authentifizierung, und alle ihre einzelnen Geräte sind nicht verfügbar, oder der Dienst ist nicht verfügbar. Benutzer können möglicherweise keine Multi-Faktor-Authentifizierung durchführen, um eine Rolle zu aktivieren. Beispielsweise können bei einem Ausfall des Mobilfunknetzes keine Anrufe entgegengenommen oder SMS empfangen werden, womit die einzigen registrierten Authentifizierungsmechanismen für ihr Gerät wegfallen.
- Die Person mit dem letzten globalen Administratorzugriff verlässt die Organisation. Microsoft Entra ID verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber das lokale Löschen oder Deaktivieren des Kontos wird nicht verhindert. Beide Situationen können dazu führen, dass die Organisation nicht in der Lage ist, das Konto wiederherzustellen.
- Bei unvorhersehbaren Ereignissen wie Naturkatastrophen, die dazu führen, dass Mobiltelefone oder andere Netzwerke nicht verfügbar sind.
- Alle Rollenzuweisungen des globalen Administrators und des privilegierten Rollenadministrators sind berechtigt (nicht aktiv), die Aktivierung erfordert eine Genehmigung, und es werden keine Genehmiger ausgewählt (oder alle ausgewählten Genehmigenden wurden aus dem Verzeichnis entfernt). Aktive globale Administratoren und Privilegierte Rollenadministratoren sind die Standard-Genehmiger, wenn keine ausgewählt sind, aber da keine aktiv sind, kann niemand die Aktivierung genehmigen und die Mandantenverwaltung ist effektiv gesperrt.
Erstellen von Konten für den Notfallzugriff
Erstellen Sie mindestens zwei Konten für den Notfallzugriff. Bei diesen Konten sollte es sich um rein cloudbasierte Konten handelt, die die Domäne *.onmicrosoft.com verwenden und nicht im Verbund sind oder in einer lokalen Umgebung synchronisiert werden. Führen Sie auf hoher Ebene die folgenden Schritte aus.
Suchen Sie Ihre vorhandenen Notfallzugriffskonten, oder erstellen Sie neue Nur-Cloud-Benutzer , und weisen Sie ihnen die Rolle "Globaler Administrator" zu.
Wählen Sie eine dieser kennwortlosen Authentifizierungsmethoden für Ihre Notfallzugriffskonten aus. Diese Methoden erfüllen die obligatorischen mehrstufigen Authentifizierungsanforderungen.
- Passkey (FIDO2) ( Empfohlen)
- Zertifikatbasierte Authentifizierung , wenn Ihre Organisation bereits über eine PKI-Einrichtung (Public Key Infrastructure) verfügt
Registrieren Sie Anmeldeinformationen für die Authentifizierungsmethode, die Sie im vorherigen Schritt ausgewählt haben.
- Passkey (FIDO2): Aktivieren sie Passkeys (FIDO2) für Ihre Organisation, und registrieren Sie dann einen Kennungsschlüssel (FIDO2)
- Zertifikatbasierte Authentifizierung: Konfigurieren der zertifikatbasierten Authentifizierung
Stellen Sie sicher, dass Notfallzugriffskonten von einer Richtlinie für bedingten Zugriff ausgeschlossen werden, die die Anmeldung blockiert oder einschränkt. Die im vorherigen Schritt registrierte Phishing-beständige Authentifizierungsmethode schützt das Konto; Eine erzwungene Richtlinie für bedingten Zugriff könnte die Anmeldung während des genauen Notfalls verhindern, für den das Konto entwickelt wurde. Richtlinien im Berichtsmodus blockieren keinen Zugriff und erfordern keine Ausnahme. Ausführliche Informationen finden Sie unter Überlegungen zum bedingten Zugriff.
Konfigurationsanforderungen
Stellen Sie beim Konfigurieren dieser Konten sicher, dass die folgenden Anforderungen erfüllt sind:
Ordnen Sie keinen einzelnen Benutzern in der Organisation Notfallzugriffskonten zu. Speichern Sie Anmeldeinformationen an einem bekannten sicheren Speicherort, der mehreren Mitgliedern des Verwaltungsteams zur Verfügung steht. Verbinden Sie diese Konten nicht mit allen von Mitarbeitern bereitgestellten Geräten, z. B. Telefonen. Dieser Ansatz vereint die Verwaltung des Notfallzugriffskontos. Die meisten Organisationen benötigen Notzugriffskonten nicht nur für Microsoft Cloud Infrastruktur, sondern auch für lokale Umgebungen, Verbund-SaaS-Anwendungen und andere kritische Systeme.
Alternativ können Sie einzelne Notfallzugriffskonten für Administratoren erstellen. Diese Lösung fördert die Verantwortlichkeit und ermöglicht Administratoren die Verwendung von Notfallzugriffskonten von Remotestandorten.
Verwenden Sie eine starke Authentifizierung für Ihre Notfallzugriffskonten, und stellen Sie sicher, dass sie nicht dieselben Authentifizierungsmethoden wie Ihre anderen Administratorkonten verwendet. Wenn Ihr normales Administratorkonto beispielsweise die Microsoft Authenticator-App für die sichere Authentifizierung verwendet, verwenden Sie einen FIDO2-Sicherheitsschlüssel für Ihre Notfallkonten. Um das Hinzufügen externer Anforderungen in den Authentifizierungsprozess zu vermeiden, berücksichtigen Sie die Abhängigkeiten verschiedener Authentifizierungsmethoden.
Die jeweiligen Geräte oder die Anmeldeinformationen dürfen nicht ablaufen oder aufgrund mangelnder Verwendung in den Bereich der automatisierten Bereinigung fallen.
Legen Sie in Microsoft Entra Privileged Identity Management die Rollenzuweisung für die Rolle „Globaler Administrator“ für Ihre Notfallzugriffskonten als dauerhaft aktiv statt als berechtigt fest.
Personen, die berechtigt sind, diese Notfallzugriffskonten zu verwenden, müssen eine bestimmte, sichere Arbeitsstation oder eine ähnliche Client computing-Umgebung verwenden, z. B. eine Privileged Access Workstation. Verwenden Sie diese Arbeitsstationen, wenn Sie mit den Notfallzugriffskonten interagieren. Weitere Informationen zum Konfigurieren eines Microsoft Entra-Mandanten, in dem bestimmte Arbeitsstationen vorhanden sind, finden Sie unter Bereitstellen einer Lösung für privilegierten Zugriff.
Verbundleitfaden
Einige Organisationen verwenden Active Directory Domain Services und Active Directory Federation Service (AD FS) oder einen ähnlichen Identitätsanbieter, um eine Verbundlösung mit der Microsoft Entra-ID auszuführen. Halten Sie den Notfallzugriff für lokale Systeme und den Notfallzugriff für Clouddienste unterschiedlich, ohne abhängigkeit voneinander. Die Auslagerung der Authentifizierung für Konten mit Notfallzugriffsberechtigungen an andere Systeme birgt ein unnötiges Risiko, wenn diese Systeme ausfallen.
Sicheres Speichern der Anmeldeinformationen für Konten
Stellen Sie sicher, dass die Anmeldeinformationen für Notfallzugriffskonten sicher und nur für Personen bekannt sind, die zur Verwendung berechtigt sind. Beispielsweise können Sie FIDO2-Sicherheitsschlüssel für Microsoft Entra-ID oder Smartcards für Windows Server Active Directory verwenden. Speichern Sie Anmeldeinformationen in sicheren, feuerfesten Tresoren, die sich an sicheren, getrennten Orten befinden.
Überlegungen zum bedingten Zugriff
Schließen Sie Notfallzugriffskonten aus Richtlinien für bedingten Zugriff aus, die die Anmeldung blockieren oder einschränken. Richtlinien im reinen Berichtsmodus blockieren den Zugriff nicht und müssen Notfallkonten nicht ausschließen. Wenn ein Notfallzugriffskonto einer Richtlinie für bedingten Zugriff unterliegt, für die MFA, ein kompatibles Gerät oder ein anderes Steuerelement erforderlich ist, kann das Konto während der genauen Notfallszenarien, für die es entwickelt ist, nicht mehr verwendet werden.
Berücksichtigen Sie bei der Planung der Bereitstellung für bedingten Zugriff die folgenden Punkte:
- Erstellen Sie eine dedizierte Sicherheitsgruppe für Ihre Notfallzugriffskonten, z. B. EmergencyAccess, und schließen Sie diese Gruppe von Richtlinien für bedingten Zugriff aus, die die Anmeldung blockieren oder einschränken.
- Testen Sie regelmäßig (z. B. jedes Quartal), dass sich Notfallzugriffskonten erfolgreich mit Ihrer aktuellen Konfiguration für bedingten Zugriff anmelden können.
- Erstellen Sie Notfallrichtlinien für bedingten Zugriff, die Sie während eines Ausfalls aktivieren können, um den Zugriff für kritische Benutzer wiederherzustellen. Weitere Informationen finden Sie unter Erstellen einer widerstandsfähigen Strategie für die Zugriffssteuerungsverwaltung.
Weitere Informationen zum Planen von Ausschlüssen für bedingten Zugriff finden Sie unter Planen einer Bereitstellung für bedingten Zugriff.
Zusammenfassung der Sicherheitsschutzschienen
Die folgende Checkliste fasst die Sicherheitsanforderungen für Notfallzugriffskonten zusammen:
- Verwalten Sie mindestens zwei Notfallzugriffskonten für Redundanz.
- Verwenden Sie reine Cloudkonten (
.onmicrosoft.comDomäne) ohne Abhängigkeit von Verbundidentitätsanbietern. - Verwenden Sie Phishing-beständige Authentifizierungsmethoden (FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung), die sich von Ihren normalen Administratorkonten unterscheiden.
- Stellen Sie sicher, dass Anmeldeinformationen und Geräte nicht ablaufen und keine automatisierte Bereinigung unterliegen.
- Weisen Sie in Privileged Identity Management für Notfallkonten die Rolle „Globaler Administrator“ als dauerhaft aktiv (nicht berechtigt) zu.
- Erfordert die Verwendung einer bestimmten sicheren Arbeitsstation oder einer Privileged Access Workstation bei Verwendung von Notfallzugriffskonten.
- Speichern Sie Anmeldeinformationen an separaten, sicheren, feuerfesten Orten, die für autorisierte Personen zugänglich sind.
- Schließen Sie Notfallzugriffskonten aus Richtlinien für bedingten Zugriff aus, die die Anmeldung blockieren oder einschränken. Richtlinien im reinen Berichtsmodus erfordern keinen Ausschluss.
- Überwachen Sie alle Anmelde- und Überwachungsprotokollaktivitäten auf Notfallzugriffskonten mit Warnungen, um unnötige oder nicht autorisierte Verwendung zu erkennen.
- Überprüfen Sie die Kontofunktionalität mindestens alle 90 Tage.
Auditierbarkeit und Compliance
Organisationen in regulierten Branchen müssen möglicherweise nachweisen, dass die Verwendung von Notfallzugriffskonten ordnungsgemäß geregelt ist. Die in diesem Artikel beschriebenen Überwachungs- und Validierungsmethoden unterstützen die Auditierbarkeit:
- Anmelde- und Überwachungsprotokollüberwachung: Konfigurieren Sie Warnungen für jede Verwendung eines Notfallzugriffskontos. Erfassen Sie Anmeldeprotokolle und Überwachungsprotokolle zur Überprüfung. Ausführliche Informationen finden Sie unter Überwachen von Anmelde- und Überwachungsprotokollen in diesem Artikel.
- Post-Mortem-Überprüfung: Führen Sie nach jeder Verwendung eines Notfallzugriffskontos eine Überprüfung durch, um festzustellen, ob die Verwendung autorisiert wurde und ob die ergriffenen Maßnahmen geeignet waren. Ausführliche Informationen finden Sie unter Vorbereiten eines Post-Mortem-Teams in diesem Artikel.
- Regelmäßige Überprüfung: Führen Sie mindestens alle 90 Tage Übungen zur Kontovalidierung durch, einschließlich der Überprüfung der Liste der autorisierten Benutzer sowie des Testens der Anmelde- und Verwaltungsfunktionen. Ausführliche Informationen finden Sie unter "Regelmäßiges Überprüfen von Konten " in diesem Artikel.
- Compliance-Zuordnung: Wenn Ihre Organisation HIPAA-Vorschriften einhalten muss, bietet Microsoft Anleitungen zur Zuordnung von Notfallzugriffskonten zu HIPAA-Notfallzugriffsverfahren. Weitere Informationen finden Sie unter HIPAA-Zugriffssteuerungen.
Überwachen von Anmeldungs- und Überwachungsprotokollen
Überwachen Sie die Anmelde- und Überwachungsprotokollaktivität von den Notfallkonten und lösen Sie Benachrichtigungen an andere Administratoren aus. Wenn Sie die Aktivität für Notfallzugriffskonten überwachen, können Sie überprüfen, ob diese Konten nur für Tests oder tatsächliche Notfälle verwendet werden. Sie können Azure Monitor, Microsoft Sentinel oder andere Tools verwenden, um die Anmeldeprotokolle zu überwachen und E-Mail- und SMS-Benachrichtigungen an Ihre Administratoren auszulösen, wenn sich Notfallzugriffskonten anmelden. In diesem Abschnitt wird die Verwendung von Azure Monitor veranschaulicht.
Voraussetzungen
- Senden Sie Microsoft Entra-Anmeldeprotokolle an Azure Monitor.
Abrufen von Objekt-IDs der Notfallzugriffskonten
Melden Sie sich mindestens als Benutzeradministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Benutzende.
Suchen Sie nach dem Notfallzugriffskonto, und wählen Sie den Namen des Benutzers aus.
Kopieren und speichern Sie das Objekt-ID-Attribut, damit Sie es später verwenden können.
Wiederholen Sie die vorherigen Schritte für das zweite Notfallzugriffskonto.
Erstellen einer Warnungsregel
Melden Sie sich beim Azure-Portal mindestens als Monitoring-Mitwirkender an.
Suchen Sie nach Monitor und öffnen Sie es.
Wählen Sie im linken Menü "Benachrichtigungen" aus.
Wählen Sie + Erstellen>Warnungsregel aus. Die Seite Warnungsregel erstellen wird angezeigt.
Auf der Registerkarte „Bereich“:
- Suchen Und wählen Sie im Bereich Auswahl einer Ressource Ihren Log Analytics Arbeitsbereich aus.
- Stellen Sie sicher, dass das Abonnement dem Arbeitsbereich entspricht, den Sie in den Voraussetzungen konfiguriert haben.
- Wählen Sie Anwenden.
Auf der Registerkarte Bedingungen,
Wählen Sie in der Dropdownliste "Signalname " die Option "Benutzerdefinierte Protokollsuche" aus.
Legen Sie den Abfragetyp auf aggregierte Protokolle fest.
Geben Sie unter der Suchabfrage eine der folgenden Abfragen ein, und fügen Sie die Objekt-IDs der beiden Notfallzugriffskonten ein.
Hinweis
Fügen Sie für jedes zusätzliche Notfallzugriffskonto, das Sie einbeziehen möchten, der Abfrage eine weitere
or UserId == "ObjectGuid"hinzu.Beispielabfragen:
// Search for a single Object ID (UserID) SigninLogs | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription// Search for multiple Object IDs (UserIds) SigninLogs | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescription// Search for a single UserPrincipalName SigninLogs | where UserPrincipalName == "user@yourdomain.onmicrosoft.com" | project TimeGenerated, UserPrincipalName, UserId, IPAddress, ResultType, ResultDescriptionLegen Sie unter "Messung" fest, wie die Ergebnisse der Abfrage zusammengefasst werden:
- Wählen Sie die Messung aus.
- Wählen Sie den Aggregationstyp aus.
- Wählen Sie die Aggregations granularität aus.
Wählen Sie unter Nach Dimensionen teilen die Spalte „Ressourcen-ID“ aus.
Unter Logik der Warnmeldungen:
- Legen Sie den Schwellenwerttyp auf "Statisch" fest.
- Legen Sie den Operator auf Größer als fest.
- Legen Sie den Schwellenwert auf 0 fest.
- Legen Sie die Häufigkeit der Auswertung so fest , wie oft die Abfrage ausgeführt werden soll.
Wählen Sie "Weiter" aus, um fortzufahren.
Wählen Sie auf der Registerkarte "Aktionen " eine Aktionsgruppe aus, die von der Warnung benachrichtigt werden soll. Informationen zum Erstellen einer Aktionsgruppe finden Sie unter "Erstellen einer Aktionsgruppe".
Auf der Registerkarte Details:
- Wählen Sie den Schweregrad des Ereignisses aus. Verwenden Sie 0 – Kritisch.
- Geben Sie den Namen der Warnungsregel ein, und fügen Sie eine optionale Beschreibung hinzu.
- Wählen Sie die Region aus.
- Wählen Sie aus, welche Identität beim Ausführen der Protokollabfrage verwendet werden soll.
- Wählen Sie unter "Erweiterte Optionen" bei der Erstellung "Aktivieren" aus.
- Wählen Sie "Weiter" aus, um fortzufahren.
Fügen Sie auf der Registerkarte "Kategorien " alle Tags hinzu, die Sie der Warnungsregel zuordnen möchten.
Klicken Sie aufÜberprüfen + erstellen und dann auf Erstellen.
Erstellen einer Aktionsgruppe
Wählen Sie " Aktionsgruppe erstellen" aus.
Geben Sie auf der Registerkarte " Grundlagen " die folgenden Informationen ein:
- Abonnement - und Ressourcengruppe: Wählen Sie aus, wo die Aktionsgruppe gespeichert werden soll.
- Region: Wählen Sie die Region für die Aktionsgruppe aus.
- Aktionsgruppenname: Geben Sie einen beschreibenden Namen ein.
- Anzeigename: Geben Sie einen Kurznamen (maximal 12 Zeichen) ein, der in Benachrichtigungen angezeigt wird.
Wählen Sie Weiter: Benachrichtigungen aus.
Wählen Sie unter "Benachrichtigungstyp" die Option "E-Mail/SMS-Nachricht/Push/Sprache" aus.
Geben Sie einen Benachrichtigungsnamen ein, z. B. "Globaler Administrator benachrichtigen".
Wählen Sie "Details bearbeiten", konfigurieren Sie die Benachrichtigungsmethoden und Kontaktinformationen, und wählen Sie dann "OK" aus.
Fügen Sie alle anderen Benachrichtigungen hinzu, die Sie auslösen möchten.
Wählen Sie "Weiter" aus: Aktionen , um zusätzliche automatisierte Aktionen zu konfigurieren, oder wählen Sie "Überprüfen+ Erstellen " aus, um den Vorgang abzuschließen.
Vorbereiten eines Post-Mortem-Teams zur Auswertung der Anmeldeinformationen für das Notfallzugriffskonto
Wenn die Warnung ausgelöst wird, bewahren Sie die Protokolle von Microsoft Entra und anderen Workloads auf. Führen Sie eine Überprüfung der Umstände und der Ergebnisse der Nutzung des Notfallzugriffskontos durch. Diese Überprüfung bestimmt, ob das Konto verwendet wurde:
- Für einen geplanten Drill zur Überprüfung der Eignung
- Als Reaktion auf einen tatsächlichen Notfall, bei dem kein Administrator seine regulären Konten verwenden konnte
- Infolge eines Missbrauchs oder einer unbefugten Nutzung des Kontos
Überprüfen Sie als Nächstes die Protokolle, um zu ermitteln, welche Aktionen die Person mit dem Notfallzugriffskonto ausgeführt hat, um sicherzustellen, dass diese Aktionen mit der autorisierten Verwendung des Kontos übereinstimmen.
Regelmäßiges Überprüfen der Konten
Zusätzlich zur Schulung von Mitarbeitern in der Verwendung von Notfallzugriffskonten sollte es einen fortlaufenden Prozess geben, um sicherzustellen, dass autorisierte Mitarbeiter auf die Notfallzugriffskonten zugreifen können. Führen Sie regelmäßig Drills durch, um die Funktionalität der Konten zu überprüfen und zu bestätigen, dass Überwachungs- und Warnungsregeln ausgelöst werden, falls ein Konto missbraucht wird. Führen Sie mindestens die folgenden Schritte in regelmäßigen Abständen aus:
- Stellen Sie sicher, dass die Sicherheitsüberwachungsmitarbeiter wissen, dass die Aktivität der Kontoüberprüfung fortlaufend ist.
- Überprüfen und aktualisieren Sie die Liste der Personen, die berechtigt sind, die Anmeldeinformationen für das Notfallzugriffskonto zu verwenden.
- Stellen Sie sicher, dass der Notfallprozess zur Verwendung dieser Konten dokumentiert und aktuell ist.
- Stellen Sie sicher, dass Administratoren und Sicherheitsbeauftragte, die diese Schritte bei einem Notfall möglicherweise ausführen müssen, entsprechend geschult sind.
- Überprüfen Sie, ob sich die Notfallzugriffskonten anmelden und administrative Aufgaben ausführen können.
- Stellen Sie sicher, dass Benutzer keine mehrstufige Authentifizierung oder Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) für das Gerät oder persönliche Details eines einzelnen Benutzers registriert haben.
- Wenn die Konten für Multi-Faktor-Authentifizierung mit einem Gerät zur Verwendung während der Anmeldung oder Rollenaktivierung registriert sind, stellen Sie sicher, dass das Gerät für alle Administratoren zugänglich ist, die es bei einem Notfall möglicherweise verwenden müssen. Stellen Sie außerdem sicher, dass das Gerät über mindestens zwei Netzwerkpfade kommunizieren kann, die keinen gemeinsamen Fehlermodus aufweisen. Beispiel: Das Gerät kann über ein Drahtlosnetzwerk der Organisation und über das Netz eines Mobilfunkanbieters mit dem Internet kommunizieren.
- Ändern Sie regelmäßig die Zahlenkombinationen bei allen Tresoren sowie nachdem eine Person mit Zugriffsberechtigung die Organisation verlassen hat.
Führen Sie die folgenden Schritte in regelmäßigen Abständen und für wichtige Änderungen aus:
- Mindestens alle 90 Tage
- Wenn es kürzlich Änderungen im IT-Personal gab, z. B. nach dem Ausscheiden eines Mitarbeiters oder einem Positionswechsel
- Wenn sich die Microsoft Entra-Abonnements in der Organisation ändern
Nächste Schritte
- So überprüfen Sie, ob Benutzer für obligatorische MFA eingerichtet sind
- Erfordern einer phishingfesten mehrstufigen Authentifizierung für Administratoren
- Sicherung des privilegierten Zugriffs für Cloud- und Hybridbereitstellungen in Microsoft Entra ID
- Konfigurieren zusätzlicher Schutzmaßnahmen für privilegierte Rollen in Microsoft 365, wenn Sie Microsoft 365 verwenden
- Starten einer Zugriffsüberprüfung privilegierter Rollen und Übergang vorhandener privilegierter Rollenzuweisungen zu spezifischeren Administratorrollen
Verwandte Inhalte
- Erstellen einer robusten Strategie für die Zugriffssteuerungsverwaltung
- Sicherheitsvorgänge für privilegierte Konten
- Planen einer Privileged Identity Management-Bereitstellung
- Planen einer Bereitstellung für bedingten Zugriff
- HIPAA-Zugriffssteuerungen
- Microsoft Entra Aspekte für Kunden im Rahmen von DORA