STARTSEITE ANMELDUNG RSS FEED PORTALE RSS-INFO's RSS-READER WERBEMITTEL BOOKMARK LISTE

Bookmarks     Suche     Login Benutzername: Passwort:   Passwort vergessen?     Kategorien   Blogs      Andere-Blogs      Bildungs-Blogs      Computer-Blogs      Firmen-Blogs      Foto-Blogs      Internet-Blogs      Literatur-Blogs      Musik-Blogs      Politik-Blogs      Private Weblogs      Reise-Blogs      Seo-Blogs      Spiele-Blogs      Sport-Blogs      Staedte-Blogs      Tier-Blogs      Video-Blogs      Wirtschafts-Blogs   Bookmarks & RSS   Business   Communities   Computer & Software   Finanzen   Gesellschaft   Internet   Kommunikation   Mode & Bekleidung   Musik & Kultur   Nachrichten   Online Shops   Podcasts   Politik   Presseportale   Reisen   Sparen & Vergleichen   Spiele & Games   Sport   Stadt   Technik & Energie   Unterhaltung   Versicherungen   Webkataloge   Webmaster   Webwork   Wissenschaft   Weitere     RSS-Feed cloudkaffee.ch - Frisch gebrüht mit Microsoft Azure und Microsoft 365 Tauche in frisch zubereitete Artikel ein, die Dir die Grundlagen sowie fortgeschrittene Konzepte von Microsoft Azure und Microsoft 365 näherbringen. Profitiere von anschaulichen Schritt-für-Schritt-Anleitungen und den besten Methoden, um die vielfältigen Aufgaben und Strategien für den Einsatz der Microsoft Cloud zu beherrschen. cloud   microsoft-azure   microsoft-365   cloud-sicherheit Hinzugefügt am 01.06.2024 - 16:50:36 Kategorie: Computer-Blogs RSS-Feed exportieren https://www.cloudkaffee.ch/ ;     RSS-Feed - Einträge Seite 1 von 1 1   Microsoft Entra Connect: Migration auf die anwendungsbasierte Authentifizierung (ABA) Mit der Einführung der anwendungsbasierten Authentifizierung (Application Based Authentication, ABA) bringt Microsoft moderne Authentifizierungsmechanismen in Microsoft Entra Connect. Bislang authentifizierte sich der Synchronisierungsdienst über ein Dienstkonto, das ein lokal gespeichertes Kennwort zur Anmeldung bei Microsoft Entra ID verwendet. Ein Ansatz, der aus sicherheitstechnischer Sicht als veraltet und potenziell angreifbar gilt. Die anwendungsbasierte Authentifizierung (ABA) ersetzt dieses Konto durch eine registrierte Anwendung in Microsoft Entra ID, die sich über den OAuth?2.0 Client Credential Flow authentifiziert. Die Anmeldung erfolgt dabei über ein von Microsoft Entra Connect automatisch hinterlegtes und verwaltetes Zertifikat. Dieser Wechsel bringt mehrere Vorteile mit sich: Zum einen wird die Angriffsfläche durch den Verzicht auf lokal gespeicherte Kennwörter reduziert, zum anderen entspricht die Lösung modernen Cloud-Sicherheitsstandards. In diesem Beitrag wird die Migration von Microsoft Entra Connect vom klassischen Dienstkonto hin zur anwendungsbasierten Authentifizierung (ABA) Schritt für Schritt beschrieben. Voraussetzungen und Lizenzierung Lizenzen Für den Einsatz von Microsoft Entra Connect ist Microsoft Entra ID Free, das in jedem Microsoft Tenant enthalten ist, ausreichend. Eine kostenpflichtige Lizenz ist für die Synchronisierung nicht erforderlich. Rollen Für die Installation und Konfiguration von Microsoft Entra Connect wird nach dem Prinzip der geringsten Berechtigungen folgende Rolle benötigt: Rolle Berechtigung Hybrididentitätsadministrator Bereitstellung von Microsoft Entra Connect, Verwaltung der Verzeichnissynchronisierung Microsoft Entra Connect Für die Migration auf die anwendungsbasierte Authentifizierung (ABA) ist eine bestehende, funktionsfähige Microsoft Entra Connect Installation erforderlich. Anwendungsbasierte Authentifizierung (ABA) wird ab Version?2.5.76.0 (Allgemeine Verfügbarkeit, GA) unterstützt. Die aktuellste Version ist direkt im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Entra Connect > Connect-Synchronisierung > Die neuste Version von Entra Connect Sync herunterladen erhältlich. Microsoft Entra Connector-Konto identifizieren Das Microsoft Entra Connector-Konto wird zur Authentifizierung gegenüber Microsoft Entra ID verwendet und hat das Format Sync_*@tenant.onmicrosoft.com. Bei der Umstellung auf die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) wird dieses Konto automatisch entfernt. Es ist dennoch sinnvoll, das Microsoft Entra Connector-Konto vor der Migration zu identifizieren und danach zu prüfen, dass das Konto entfernt wurde. Synchronization Service Manager > Operations > Eintrag mit *.onmicrosoft.com auswählen > Properties auswählen. Unter Connectivity > UserName wird das aktuell verwendete Microsoft Entra Connector-Konto angezeigt. Der Benutzername für eine spätere Kontrolle notieren. Zusätzlich lässt sich das Microsoft Entra Connector-Konto im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer auffinden. Upgrade von Microsoft Entra Connect Die zuvor heruntergeladene Installationsdatei AzureAdConnect.msi auf dem Server starten und Vorgang mit Upgrade starten. Das Upgrade der Komponenten von Microsoft Entra Connect beginnt. Anmeldung mit einem Konto durchführen, dem die Rolle Hybrididentitätsadministrator zugewiesen ist. Konfiguration prüfen und mit einem Klick auf Upgrade starten.Die Migration auf die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) erfolgt automatisch. Nach kurzer Zeit ist der Upgrade von Microsoft Entra Connect erfolgreich abgeschlossen. Überprüfung nach dem Upgrade Microsoft Entra Connect In den Einstellungen von Microsoft Entra Connect können nun die Details für die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) abgerufen werden. Microsoft Entra Connect > Konfigurieren > Aktuelle Konfiguration anzeigen oder exportieren Im Abschnitt Zertifikatsdetails werden die relevanten Informationen für die anwendungsbasierte Authentifizierung (ABA) angezeigt, z.?B. der Hashwert des Zertifikats (1) und das Ablaufdatum des Zertifikats (2). Mit der Einstellung Automatische Rotation Aktiviert wird sichergestellt, dass das Zertifikat vor Ablauf automatisch von Microsoft Entra Connect erneuert wird. Microsoft Entra Admin Center Während des Upgrades von Microsoft Entra Connect wird die Applikation ConnectSyncProvisioning_* automatisch erstellt.Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > App-Registrierungen > Alle Anwendungen Unter Zertifikate & Geheimnisse wird der Fingerabdruck (Thumbprint) aus der App-Registrierung angezeigt. Dieser Wert stimmt mit dem Fingerabdruck in den Einstellungen von Microsoft Entra Connect überein. Synchronization Service Manager Im Synchronization Service Manager > Operations sollten alle Vorgänge mit dem Status Success abgeschlossen sein. Microsoft Entra Connector-Konto Das zuvor identifizierte Microsoft Entra Connector-Konto wurde automatisch entfernt und im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer nicht mehr angezeigt. Gut zu wissen Anwendungszertifikat manuell rotieren Falls erforderlich, lässt sich das Anwendungszertifikat manuell über Microsoft Entra Connect rotieren. Microsoft Entra Connect > Konfigurieren > Rotieren des Anwendungszertifikats Anmeldung mit einem Konto durchführen, dem die Rolle Hybrididentitätsadministrator zugewiesen ist. Konfiguration prüfen und Anwendungszertifikat mit Klick auf Konfigurieren rotieren. Das Anwendungszertifikat wurde erfolgreich rotiert. Das neue Zertifikat wird unter Microsoft Entra Connect > Konfigurieren > Aktuelle Konfiguration anzeigen oder exportieren angezeigt. Der Beitrag Microsoft Entra Connect: Migration auf die anwendungsbasierte Authentifizierung (ABA) erschien zuerst auf cloudkaffee.ch 05.08.2025 - 14:00:00 https://www.cloudkaffee.ch/microsoft-azure/microsoft-entra-connect-migration-app ...   Microsoft Defender Angriffssimulationstraining: Sicherheitsbewusstsein praxisnah stärken Phishing, Malware und Social Engineering gehören weiterhin zu den häufigsten Einstiegspunkten für Cyberangriffe. Technische Schutzmassnahmen spielen eine entscheidende Rolle bei der Stärkung der Sicherheit, dennoch bleibt der menschliche Faktor oft eine zentrale Schwachstelle. Das Angriffssimulationstraining, eine Funktion von Microsoft Defender for Office 365, bietet eine praxisnahe Möglichkeit, das Sicherheitsbewusstsein der Benutzer zu fördern und die Sicherheitslage der Organisation nachhaltig zu stärken. Mit Microsoft Defender Angriffssimulationstraining können realistische Angriffszenarien simuliert werden, ohne dass dabei die tatsächliche Sicherheit gefährdet wird. Durch das Nachstellen von Phishing-Angriffen lässt sich das Verhalten des Benutzers testen und gezielt schulen. Dieser Beitrag zeigt, wie Microsoft Defender für Office 365 Angriffssimulationstraining eingesetzt wird, von den Voraussetzungen und der Lizenzierung bis hin zur Konfiguration von Simulationen und der Auswertung der Ergebnisse. Ziel ist es, die Sicherheit zu erhöhen und Benutzer für Cybersicherheit zu sensibilisieren. Voraussetzungen und Lizenzierung Lizenzen Für die Nutzung von Microsoft Defender für Office 365 Angriffssimulationstraining ist einer der folgenden Pläne geeignet: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Microsoft Defender für Office 365 Angriffssimulationstraining benötigt die folgenden Rollen nach dem Prinzip der geringsten Rechte: Rolle Berechtigung Sicherheitsadministrator oderAdministrator für Angriffssimulation Einrichtung und Konfiguration von Angriffssimulationstraining, Verwaltung der Angriffssimulationen Autor der Angriffsnutzdaten Angriffsszenarien erstellen, die ein Administrator später auslösen kann Microsoft Exchange Online Postfächer Für das Angriffssimulationstraining stellt Microsoft Exchange Online die notwendige E-Mail-Infrastruktur zur Verfügung. Microsoft Exchange Online benötigt keine weitergehende Konfiguration. Microsoft Defender Angriffssimulationstraining konfigurieren Eine Simulation ist eine kontrollierte Übung, bei der realistische Angriffsszenarien nachgestellt werden, um die Reaktion der Benutzer auf potenzielle Sicherheitsbedrohungen zu testen. Ziel ist es, Schwachstellen in der Sicherheitsstrategie zu identifizieren und das Sicherheitsbewusstsein zu fördern. Simulationen werden im Microsoft Defender Portal erstellt.Anmelden an Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen > Eine Simulation starten Als nächstes wird das Verfahren ausgewählt, welches für die Simulation verwendet werden soll. In diesem Beispiel wird Diebstahl von Anmeldeinformationen verwendet.Die vorgeschlagenen Möglichkeiten basieren auf dem MITRE ATT&CK-Framework, einer weltweit zugänglichen Wissensdatenbank zu Taktiken und Techniken von Angreifern, basierend auf realen Beobachtungen. Diebstahl von AnmeldeinformationenEine E-Mail enthält einen Link zu einer gefälschten Website. Ziel ist es, dass die Zielperson dort Anmeldedaten eingibt, welche vom Angreifer abgegriffen werden. SchadsoftwareanlageDie Nachricht enthält eine Datei, die beim ?-ffnen schädlichen Code ausführen kann, beispielsweise ein Makro oder ein eingebettetes Skript. Link in AnlageEin hybrides Szenario, bei dem ein Link nicht direkt in der Nachricht steht, sondern in einer beigefügten Datei eingebettet ist. Wird die Anlage geöffnet, wird der Link sichtbar und kann angeklickt werden. Link zu SchadsoftwareDie eigentliche Schadsoftware befindet sich nicht im Anhang, sondern ist auf einer externen Dateiablage gehostet (z.?B. SharePoint oder Dropbox). Die Nachricht enthält lediglich den Link zu dieser Datei. Drive-by-URLEin Link führt zu einer manipulierten Website, die beim Aufruf versucht, im Hintergrund automatisch Schadcode auf dem System der Zielperson auszuführen. Erteilung einer Zustimmung in OAuthEin Angreifer nutzt eine legitime OAuth-Anfrage, um einer Anwendung übermässige Rechte zu erteilen. Die Zielperson wird dazu verleitet, der App Zugriff auf sensible Daten zu gewähren. AnleitungDieses Verfahren dient nicht der Kompromittierung eines Kontos, sondern verfolgt ein didaktisches Ziel innerhalb einer Phishing-Simulation. Die simulierte Nachricht enthält gezielte Anweisungen, die darauf ausgelegt sind, dass die Empfängerin oder der Empfänger eine bestimmte Sicherheitsaktion durchführt, etwa das korrekte Melden einer verdächtigen E-Mail. Name für die Simulation vergeben, z.B. M365_Link_Phishing_CredSteal Phishing-Inhalt auswählen, welche simulierte E-Mail mit welchem Inhalt verschickt wird, z.?B. eine angebliche Voicemail oder eine Paketbenachrichtigung. Im gezeigten Beispiel wurde eine Nachricht über ein angeblich volles Postfach ausgewählt.Tipp: Beachtet die Sprache der Vorlage, nicht alle sind in Deutsch verfügbar. Über den Bereich Mandantennutzlasten > Eine Nutzlast erstellen lässt sich im Microsoft Angriffssimulationstraining eigener Inhalt definieren. Die Erstellung individueller Nutzlasten wird in dieser Anleitung nicht behandelt. Empfänger auswählen, es können alle Benutzer oder gezielt einzelne Benutzer oder Benutzergruppen ausgewählt werden. Bei Bedarf können bestimmte Benutzer von der Simulation ausgeschlossen werden. Sensibilisierungstraining für Benutzer auswählen, wenn sie während der Simulation auf eine simulierte, bösartige Nachricht reagieren, z.?B. durch Klicken auf einen Link oder ?-ffnen einer Anlage. Benachrichtigungsseite auswählen, welche den Benutzern angezeigt wird, wenn sie während der Simulation auf die E-Mail reagieren. Sie dient als Lernmoment und kann individuell angepasst werden. Tipp: beim Klick auf den Namen wird die Vorschau der Benachrichtigungsseite angezeigt. Über den Bereich Landing Pages des Mandanten > Neu erstellen lässt sich eine eigene Benachrichtigungsseite definieren. Die Erstellung einer solchen Seite wird in dieser Anleitung nicht behandelt. Benutzer aktiv über das Ergebnis der Simulation sowie über ausstehende Sensibilisierungstrainings informieren (1). Den Versandzeitpunkt (2) der Benachrichtigung individuell anpassen. Eine Vorschau der Nachricht (3) anzeigen. Die Simulation kann entweder sofort oder geplant (1) gestartet werden. Eine Simulation dauert zwischen 2 und maximal 30 Tagen (2). Zum Abschluss können die Angriffssimulationseinstellungen nochmals überprüft werden. Optional lässt sich eine Testnachricht an den aktuell angemeldeten Benutzer senden. Mit dem Absenden wird die Simulation gestartet. Das Angriffssimulationstraining ist erfolgreich geplant. Assistent mit Fertig verlassen. Das Microsoft Defender für Office 365 Angriffssimulationstraining erscheint in der Übersicht und wird durchgeführt. Microsoft Defender Angriffssimulationstraining Ergebnisse und Berichterstattung Das Microsoft Defender für Office 365 Angriffssimulationstraining stellt umfassende Auswertungsberichte bereit. Diese stehen nicht erst nach Abschluss der Simulation zur Verfügung, sondern bereits unmittelbar nach dem Start. Während der gesamten Laufzeit werden die Berichte kontinuierlich aktualisiert und liefern so stets aktuelle Einblicke. Die Berichte können direkt im Microsoft Defender Portal eingesehen werden. Dazu die Simulation unter Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen aufrufen. Unter Melden (1) werden die Ergebnisse der laufenden Angriffssimulation dargestellt. Die Ansicht zeigt unter anderem den Zustellstatus der Phishing-Nachricht (2), das gesamte Nutzerverhalten wie das Klicken auf Links oder die Eingabe von Anmeldedaten (3), sowie den aktuellen Stand des zugewiesenen Sensibilisierungstraining (4). Im Bereich Auswirkungen der Simulation (5) ist ersichtlich, wie viele Benutzer kompromittiert und ob verdächtige Aktivitäten gemeldet wurden. Unter Benutzer (1) werden die Teilnehmer des Angriffssimulationstrainings mit dem jeweilig aktuellen Status aufgeführt. Die Übersicht zeigt, ob ein Benutzer kompromittiert (2) wurde, die Nachricht gemeldet (3) hat und wie der Sensibilisierungstrainingsstatus (4) ist. Weitere Informationen geben Aufschluss über Zustellprobleme (5) der E-Mail. Unter Weitere Aktionen (6) wird aufgeführt, welche Interaktionen mit der Nachricht erfolgt sind. So zum Beispiel das Klicken auf einen Link, das Löschen oder das Melden der E-Mail. So lässt sich auf einen Blick erkennen, welche Benutzer auf die Simulation reagiert haben und ob entsprechendes Sensibilisierungstraining erforderlich ist. Phishing-Simulation aus Sicht der Benutzer Beispiel Phishing-Mail im Posteingang Im Rahmen des Microsoft Defender für Office 365 Angriffssimulationstraining erhalten die Benutzer eine täuschend echt gestaltete E-Mail direkt in den Posteingang.Die Nachricht orientiert sich in Aufbau, Sprache und Absenderdetails an realen Phishing-Versuchen. Ziel ist es, das Erkennen von Bedrohungen im Arbeitsalltag praxisnah zu trainieren, ohne Vorwarnung und unter realistischen Bedingungen. In diesem Beispiel handelt es sich um eine Benachrichtigung über ein angeblich volles Postfach. Klickt der Benutzer auf den Link Storage Limits und meldet sich mit seinem Benutzernamen und Passwort an, wird eine Hinweisseite angezeigt, die auf die laufende Angriffssimulation aufmerksam macht. Der Benutzer erhält eine E-Mail, die ihm das entsprechende Sensibilisierungstraining zuweist. E-Mail als Phishing melden Wird die verdächtige Nachricht vom Benutzer erkannt, kann sie direkt über die integrierte Schaltfläche im E-Mail-Client als Phishing gemeldet werden. Diese Funktion steht in Microsoft Outlook standardmässig zur Verfügung. Das Melden von Phishing-Mails ist nicht nur Bestandteil des Trainings, sondern ein wichtiger Schritt zur Stärkung der Sicherheitskultur im Unternehmen. Melden > Phishing melden In der Auswertung des Microsoft Defender für Office 365 Angriffssimulationstraining wird das Melden einer Phishing-E-Mail durch den Benutzer angezeigt. Für den Benutzer sind damit keine weiteren Schritte erforderlich, es wird kein zusätzliches E-Mail mit einem Sensibilisierungstraining versendet. Zugriff auf Sensibilisierungstraining Sobald ein Benutzer auf einen Sensibilisierungstraining-Link klickt wird automatisch das Trainingscenter geöffnet. Hier erwarten den Benutzer interaktive Inhalte, die anschaulich erklären, wie echte Bedrohungen erkannt und vermieden werden können. Das Training ist bewusst kurz gehalten und vermittelt dennoch alle wichtigen Sicherheitsgrundlagen effizient und praxisnah. Das Sensibilisierungstraining beginnt mit einem Klick auf Start. Der Beitrag Microsoft Defender Angriffssimulationstraining: Sicherheitsbewusstsein praxisnah stärken erschien zuerst auf cloudkaffee.ch 02.07.2025 - 10:00:00 https://www.cloudkaffee.ch/microsoft-365/microsoft-defender-attack-simulation-tr ...   Microsoft Entra ID: Admin Consent Workflow für sichere Anwendungsberechtigungen Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID ist eine Funktion zur Verwaltung von Benutzerzustimmungen für Berechtigungen von Unternehmensanwendungen. Der Administratoreinwilligungs-Workflow ermöglicht es, Berechtigungsanfragen zu prüfen sowie freizugeben oder abzulehnen. Anstatt Benutzern direkt weitreichende Zustimmungen zu gestatten, kann mit dem Administratoreinwilligungs-Workflow sichergestellt werden, dass nur autorisierte Anwendungen Zugriff auf sensible Daten erhalten. Zum Beispiel kann eine Applikation die Berechtigung anfordern, auf das Benutzerprofil zuzugreifen oder den Inhalt des Benutzerpostfachs zu lesen. Der Administratoreinwilligungs-Workflow trägt damit wesentlich zur Umsetzung des Prinzips der minimalen Rechte (Least-Privilege-Prinzips) bei und minimiert das Risiko unbeabsichtigter Datenexposition. Dieser Blogpost bietet eine Anleitung zur Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID. Er zeigt, wie Benutzer Anfragen für Applikationsberechtigungen stellen und wie diese überprüft und bearbeitet werden. Voraussetzungen und Lizenzierung Lizenzen Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID setzt folgende Lizenz voraus: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für die Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow), Überprüfung von Anfragen sowie das Erteilen oder Ablehnen von Zugriffsanfragen sind nach dem Prinzip der geringsten Berechtigung die folgenden Rollen geeignet: Rolle Beschreibung Globaler Administrator Einrichtung und Aktivierung des Administratoreinwilligungs-WorkflowBerechtigungsanfragen prüfen, freigeben oder ablehnen *Administrator für privilegierte Rollen*Cloudanwendungsadministrator Berechtigungsanfragen prüfen, freigeben oder ablehnen * Details zu diesen Rollen können hier nachgelesen werden: Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung – Microsoft Entra ID | Microsoft Learn Konfiguration Administratoreinwilligungs-Workflow in Microsoft Entra ID Benutzereinwilligung (User Consent) in Microsoft Entra ID konfigurieren Die Benutzereinwilligung (User Consent) in Microsoft Entra ID steuert, ob und in welchem Umfang Benutzer Anwendungen die Zustimmung zum Zugriff auf Daten erteilen dürfen. Ohne eine zentrale Steuerung besteht das Risiko, dass Benutzer unbeabsichtigt Anwendungen Zugriff auf sensible Daten gewähren, ohne sich der möglichen Sicherheits- und Compliance-Risiken bewusst zu sein. Die Konfiguration der Benutzereinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Benutzereinwilligung. Für die Konfiguration der Benutzereinwilligung stehen folgende Optionen zur Verfügung, mit denen sich der Zugriff auf Daten durch Drittanbieter-Apps steuern lässt: Für maximale Sicherheit empfiehlt es sich, die Option Benutzereinwilligung nicht zulassen zu aktivieren. Administratoreinwilligung-Workflow (Admin Consent Workflow) in Microsoft Entra ID aktivieren Die Administratoreinwilligung (Admin Consent) in Microsoft Entra ID ermöglicht eine sichere und kontrollierte Verwaltung von Anwendungsberechtigungen. Sie regelt, wie Benutzer Zustimmungsanfragen für Anwendungen einreichen können, wenn diese Berechtigungen erfordern, die sie selbst nicht genehmigen dürfen. Durch den Administratoreinwilligung-Workflow (Admin Consent Workflow) wird der Zugriff auf sensible Ressourcen effektiv gesteuert und die Sicherheit der Umgebung erhöht. Die Konfiguration der Administratoreinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Administratoreinwilligung. Folgende Optionen können für den Administratoreinwilligungs-Workflow konfiguriert werden, um den Genehmigungsprozess zu steuern: Berechtigungsklassifizierungen (Permission classifications) in Microsoft Entra ID Berechtigungsklassifizierungen (Permission Classifications) im Microsoft Entra Admin Center ermöglichen es, API-Berechtigungen basierend auf ihrem Risikoprofil in Kategorien wie Niedrig, Mittel und Hoch einzuteilen. Anhand dieser Klassifizierung kann die Benutzereinwilligung (User Consent) so automatisiert werden, dass Benutzer bestimmten Berechtigungen ohne zusätzliche Genehmigung zustimmen können. Die Klassifizierung der API-Berechtigungen erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Berechtigungsklassifizierungen. Die Klassifizierungen lassen sich entweder pauschal für die meisten angeforderten Anwendungsberechtigungen (1) konfigurieren oder granular pro API (2) steuern. Admin Experience und User Experience Benutzererfahrung (User Experience) Wenn ein Benutzer die Berechtigungsanfrage einer Unternehmensanwendung nicht selbst genehmigen darf, wird eine entsprechende Meldung angezeigt. Durch Eingabe einer Begründung (1) und Klick auf Genehmigungsanforderung (2) wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) gestartet. Die Genehmigungsanforderung wurde erfolgreich übermittelt und wartet nun auf die weitere Bearbeitung durch einen Prüfer. Administratorerfahrung (Admin Experience) Jeder Prüfer erhält die Genehmigungsanfrage per E-Mail. Die Bearbeitung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Anforderungen zur Administratoreinwilligung > Meine ausstehenden Anforderungen Die prüfende Person hat nun die Möglichkeit, die Anwendung entweder abzulehnen (2) oder zu blockieren (1).Ablehnen bedeutet, dass die aktuelle Genehmigungsanfrage einmalig zurückgewiesen wird. Blockieren hingegen verhindert, dass zukünftig Genehmigungsanfragen für diese Anwendung gestellt werden können. Die prüfende Person kann eine Genehmigungsanfrage einsehen, ablehnen oder blockieren. Für die Anzeige der angeforderten Berechtigungen und deren Freigabe sind die Rollen Globaler Administrator, Administrator für privilegierte Rollen oder Cloudanwendungsadministrator erforderlich. Stimmen die Berechtigungen, kann die Anfrage durch Klicken auf Akzeptieren freigegeben werden. Im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Alle Anwendungen > Anwendung auswählen > Berechtigungen werden die freigegebenen Berechtigungen angezeigt. Die Anwendung ist nun einsatzbereit. Gut zu wissen Microsofts empfohlene Einwilligungsrichtlinie ab August 2025 Microsoft stellt ab August 2025 die empfohlene Einwilligungsrichtlinie Lassen Sie Microsoft Ihre Einwilligungseinstellungen verwalten bereit. Diese von Microsoft verwaltete Einwilligungsrichtlinie gilt als neue Standardempfehlung für Microsoft Entra ID und erlaubt Endbenutzern ausschliesslich die Zustimmung zu delegierten Berechtigungen mit geringem Risiko. Ausgenommen sind die Berechtigungen Files.Read.All, Files.ReadWrite.All, Sites.Read.All und Sites.ReadWrite.All. Microsoft aktualisiert diese Einwilligungsrichtlinie automatisch und kündigt jede Änderung mindestens 30 Tage im Voraus an. Der Beitrag Microsoft Entra ID: Admin Consent Workflow für sichere Anwendungsberechtigungen erschien zuerst auf cloudkaffee.ch 02.06.2025 - 13:57:13 https://www.cloudkaffee.ch/microsoft-azure/microsoft-entra-id-admin-consent-work ...   Sicherer Zugriff auf Microsoft 365 Apps mit Microsoft Entra Global Secure Access Microsoft 365 sicher zugänglich machen: Microsoft Entra Global Secure Access bietet mit dem Microsoft-Datenverkehrsprofil einen verschlüsselten Zugriff auf Microsoft 365-Dienste wie Exchange Online und SharePoint Online. Der gesamte Datenverkehr wird über geschützte Netzwerkpfade geleitet und dadurch zuverlässig gegen unautorisierte Zugriffe abgesichert. Durch die Kombination aus Zugriffsrichtlinien und netzwerkbasierten Schutzmechanismen reduziert Global Secure Access effektiv Angriffsvektoren wie Token-Diebstahl oder Replay-Angriffe. Gleichzeitig unterstützt diese Architektur die Einhaltung regulatorischer Vorgaben und unternehmensspezifischer Sicherheitsanforderungen. Dieser Beitrag zeigt, wie das Microsoft-Datenverkehrsprofil konfiguriert wird, um den Zugriff auf Microsoft 365-Dienste ausschliesslich über Global Secure Access zu steuern. Voraussetzungen und Lizenzierung Lizenzen Das Microsoft-Datenverkehrsprofil in Microsoft Entra Global Secure Access erfordert die folgende Lizenz: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Geräte Folgende Voraussetzungen gelten für die Geräte: Rollen nach dem Prinzip der geringsten Rechte Microsoft Entra Global Secure Access lässt sich mit den folgenden Microsoft Entra Rollen konfigurieren und verwalten. Rolle Berechtigung Global Secure Access Administrator Einrichten und Verwalten von Microsoft Entra Global Secure Access Administrator für bedingten Zugriff Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff Anwendungsadministrator Hinzufügen oder Entfernen von Benutzern zu Datenverkehrsprofilen (in Kombination mit der Rolle Global Secure Access Administrator) Microsoft Entra Global Secure Access: Datenverkehrsprofil konfigurieren Profil für Microsoft-Datenverkehr aktivieren Microsoft Entra Global Secure Access wird im Microsoft Entra Admin Center (https://entra.microsoft.com) aktiviert. Profil für Microsoft-Datenverkehr unter Globaler sicherer Zugriff > Verbinden > Datenverkehrsweiterleitung aktivieren. Microsoft-Datenverkehrsrichtlinien aktivieren oder deaktivieren.Standardmässig wird der Datenverkehr der folgenden Applikationen berücksichtigt: Bei Bedarf lässt sich der Datenverkehr für jede Applikation granular steuern. Dazu die gewünschte Applikation aufklappen: Benutzer- und Gruppenzuweisungen vornehmen.Es können alle Benutzer (1), einzelne Benutzer oder Gruppen (2) ausgewählt werden. Die Aktion setzt die Rolle Global Secure Access Administrator und Anwendungsadministrator gleichzeitig voraus. Das Profil für Microsoft-Datenverkehr ist konfiguriert. Adaptiver Zugriff aktivieren Mit aktiviertem adaptivem Zugriff können ZS-Signale (Zero Trust Signals) aus dem Datenverkehr von Global Secure Access im bedingten Microsoft Entra Zugriff verarbeitet werden. Globaler sicherer Zugriff > Einstellungen > Sitzungsverwaltung > Adaptiver Zugriff aufrufen und Aktivieren der ZS-Signalisierung für Entra ID (für alle Cloud-Apps) aktivieren. Bedingter Microsoft Entra-Zugriff für Microsoft 365 mit Entra Global Secure Access konfigurieren Durch den bedingten Microsoft Entra-Zugriff wird der Zugriff auf Microsoft 365-Dienste wie Exchange Online, SharePoint Online oder Microsoft Teams ausschliesslich über Global Secure Access möglich sein. Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Neue Richtlinie erstellen Name für den bedingten Microsoft Entra-Zugriff vergeben.Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn Benutzer für diese Richtlinie auswählen.Notfallzugriffskonten (Emergency Accounts) ausschliessen. Alle Zielressourcen auswählen, welche im Microsoft 365 Datenverkehrsprofil zu Global Secure Access geroutet werden, z.B. Exchange Online und Sharepoint Online. Netzwerk auswählen und alle Netzwerke mit Beliebiges Netzwerk oder beliebiger Standort einschliessen. Ebenfalls unter Netzwerk Alle konformen Netzewerkstandorte ausschliessen. Datenverkehr über das Global Secure Access Netzwerk wird als konform eingestuft. Wenn nur bestimmte Geräteplattformen, z.B. Windows oder Android in die Richtlinie einbezogen werden sollen, kann dies unter Bedingungen > Geräteplattformen konfigurieren werden. Unter Gewähren die Option Blockzugriff aktivieren. Richtlinie mit Ein aktivieren und Erstellen speichern. Die Richtlinie tritt sofort in Kraft und erlaubt den Zugriff auf die ausgewählten Ressourcen ausschliesslich über Global Secure Access. Global Secure Access Client für Microsoft 365 bereitstellen Der Global Secure Access Client für die Verwendung des Microsoft Datenverkehrsprofil ist für verschiedene Betriebssysteme veröffentlicht. Die Bereitstellung des Software Clients unter Windows ist im Beitrag Microsoft Entra Private Access: Onboard Clientsoftware beschrieben. Nach erfolgreicher Installation des Global Secure Access Clients ist das Microsoft Datenverkehrsprofil verbunden. Funktionskontrolle Erfolgt der Zugriff, in diesem Beispiel auf https://outlook.com, von einem Gerät, das nicht über Global Secure Access verbunden ist, wird der Authentifizierungsvorgang mit Fehlercode 53003 abgebrochen und folgende Meldung angzeigt: Hierauf können Sie zurzeit nicht zugreifenIhre Anmeldung war erfolgreich, entspricht jedoch nicht den Kriterien für den Zugriff auf diese Ressource. Möglicherweise melden Sie sich von einem Browser, einer App oder einem Standort aus ein, der bzw. die von Ihrem Administrator eingeschränkt wurde. Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn Erfolgt der Zugriff hingegen über das Global Secure Access Netzwerk, wird https://outlook.com wie gewohnt geladen. Fehlersuche und Fehlerbehebung Die Log- und Diagnosemöglichkeiten für Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung detaillierter beschrieben. Der Beitrag Sicherer Zugriff auf Microsoft 365 Apps mit Microsoft Entra Global Secure Access erschien zuerst auf cloudkaffee.ch 06.05.2025 - 16:00:00 https://www.cloudkaffee.ch/microsoft-365/sicherer-zugriff-auf-microsoft-365-apps ...   Sicherheit erhöhen mit Microsoft Entra Protected Actions und Conditional Access Microsoft Entra Protected Actions schützen besonders sensible Administratoraktionen in Microsoft Entra, indem sie eine zusätzliche Authentifizierung erfordern. Wenn ein Benutzer eine solche Aktion ausführen möchte, muss er zunächst die festgelegten Richtlinien erfüllen. Es kann beispielsweise festgelegt werden, dass bestimmte Aktionen ausschliesslich von Geräten ausgeführt werden dürfen, die entweder Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden sind oder vor Ausführung eine phishingresistente Multi-Faktor-Authentifzierung notwendig ist. Die nachfolgenden Aktionen lassen sich durch Microsoft Entra geschützte Aktionen zusätzlich absichern. Die detaillierte Beschreibung kann hier abgerufen werden: Was sind geschützte Aktionen in der Microsoft Entra-ID? – Microsoft Entra ID | Microsoft Learn Die Implementierung von Microsoft Entra geschützte Aktionen bietet die Möglichkeit, strengere Richtlinien erst beim Versuch, die Aktion durchzuführen, anzuwenden. Dies bedeutet, das zusätzliche Authentifizierungsmassnahmen nur dann durchlaufen werden müssen, wenn dies wirklich notwendig ist. Dieser Blogpost erläutert Schritt für Schritt, wie Microsoft Entra Geschützte Aktionen so eingerichtet werden, dass Änderungen an den bedingten Microsoft Entra-Zugriffen nur unter bestimmten Voraussetzungen möglich sind. Dazu kann beispielsweise gefordert werden, dass die Änderung ausschliesslich von einem registrierten Gerät (Microsoft Entra Joined) oder Microsoft Entra Hybrid Joined) aus erfolgt oder dass eine phishingresistente Multi-Faktor-Authentifizierung erforderlich ist. Voraussetzungen und Lizenzierung Lizenzen Für die Nutzung von Microsoft Entra Geschützte Aktionen ist die folgende Lizenzen notwendig: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für die Verwaltung von Microsoft Entra Geschützte Aktionen sind folgenden Rollen nach dem Prinzip der geringsten Berechtigungen geeignet: Rolle Beschreibung Administrator für den bedingten Zugriff Erstellen, Aktualisieren und Löschen von bedingten Zugriffsrichtlinien sowie Verwalten von geschützten Aktionen. Sicherheitsadministrator Verwalten von Sicherheitsrichtlinien und -protokollen, einschliesslich der Verwaltung von bedingten Zugriffsrichtlinien und geschützten Aktionen. Geschütze Aktionen erstellen Die folgenden Schritte konfigurieren Microsoft Entra Geschützte Aktionen so, dass bedingte Microsoft Entra-Zugriffe nur von Geräten erstellt, aktualisiert oder gelöscht werden können, die im eigenen Tenant als Microsoft Entra Joined oder Microsoft Entra Hybrid Joined registriert sind. Authentifizierungskontext Authentifizierungskontexte in Microsoft Entra ermöglichen es, unterschiedliche Sicherheitsstufen für verschiedene Aktionen festzulegen. Das bedeutet, dass für besonders sensible Bereiche zusätzliche Sicherheitsüberprüfungen erforderlich sind, während weniger kritische Bereiche einfacher zugänglich sind.Der folgende Authentifizierungskontext wird benötigt, damit später die Geräteregistration geprüft werden kann, bevor eine Anpassung an den bedingten Microsoft Entra-Zugriffen ausgeführt wird. Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Authentifizierungskontexte öffnen und neuer Authentifizierungskontext auswählen. Der Authentifizierungskontext ist erfolgreich angelegt. Geschützte Aktionen zuweisen Der soeben erstelle Authentifizierungskontext wird nun den geschützten Aktionen zugewiesen. Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Rollen und Admins > Geschützte Aktionen öffnen und Geschützte Aktionen hinzufügen auswählen. Die geschützen Aktionen zum Schutz des bedingten Microsoft Entra-Zugriffs ist erfolgreich konfiguriert. Bedingter Microsoft Entra-Zugriff erstellen Mit dem bedingten Microsoft Entra-Zugriff wird festgelegt, dass geschützte Aktionen nur von registrierten Geräten (Microsoft Entra Joined oder Microsoft Entra Hybrid Joined) ausgeführt werden können. Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Neue Richtlinie erstellen Name für den bedingten Microsoft Entra-Zugriff vergeben.Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn Benutzer für diese Richtlinie auswählen.Notfallzugriffskonten (Emergency Accounts) ausschliessen. In den Zielressourcen den zuvor erstellen Authentifizierungskontext auswählen, z.B. Protect CAP Die Geräteregistrierung wird unter Bedingungen geprüft.1. Nach Geräten filtern auswählen2. Konfigurieren auf Ja setzen3. Option Gefilterte Geräte von Richtlinie ausschliessen auswählen4. TrustType auf die gewünschten Werte setzen, wenn mehrere Registrationstypen zulässig sind, zwingend darauf achten, dass der logische Operator auf Oder gesetzt ist– in Microsoft Entra eingebunden– in Microsoft Entra Hybrid eingebunden5. Ausdruck hinzufügen anklicken6. Das Filterkriterium wird eingefügt7. Filter mit Fertig speichern Unter Gewähren die Option Blockzugriff aktivieren. Richtlinie mit Ein aktivieren und Erstellen speichern. Die Richtlinie wurde erfolgreich erstellt und erfordert nun für das Erstellen, Aktualisieren oder Löschen eines bedingten Microsoft Entra-Zugriffs ein registriertes Gerät. Funktionskontrolle Mit dem soeben konfigurierten bedingten Microsoft Entra-Zugriff wird das Erstellen, Aktualisieren oder Löschen von bedingten Microsoft Entra-Zugriffen nur noch von Geräte ermöglicht, die in Microsoft Entra als Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden sind. Beim Versuch, einen bedingten Microsoft Entra-Zugriff von einem Gerät aus zu erstellen, aktualisieren oder löschen, dass nicht Microsoft Entra eingebunden oder Microsoft Entra Hybrid eingebunden ist, erscheint die Aufforderung für die zusätzliche Authentifizierung. Beim Erstellen oder Löschen eines bedingten Microsoft Entra-Zugriffs: Die ausgewählte Aktion wird durch eine zusätzliche Zugriffsanforderung geschützt. Möchten Sie den Vorgang fortsetzen? Beim Aktualisieren eines bedingten Microsoft Entra-Zugriffs: Die Bearbeitung wird durch eine zusätzliche Zugriffsanforderung geschützt. Klicken Sie hier, um sich erneut zu authentifizieren. Die zusätzliche Authentifizierung wird von einem Gerät aus durchgeführt, dass nicht Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden ist und schlägt daher mit dem Fehlercode 53003 fehl, der darauf hinweist, dass die Aktion von einem nicht registrierten Gerät ausgeführt wurde und wird abgelehnt wird. Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn Der Beitrag Sicherheit erhöhen mit Microsoft Entra Protected Actions und Conditional Access erschien zuerst auf cloudkaffee.ch 07.04.2025 - 14:00:00 https://www.cloudkaffee.ch/microsoft-azure/sicherheit-erhoehen-mit-microsoft-ent ...   Seite 1 von 1 1

© 2009-2025 RSSads.de - Alle Rechte vorbehalten. RSS Portal zum Speichern, Eintragen und Lesen von RSS-Feeds

Startseite | Impressum