|
|
 Bookmarks
|
|
|
|
Suche
|
|
Login
|
|
|
|
|
|
Kategorien
|
|
|
RSS-Feed
|
|
|
|
|
Tauche in frisch zubereitete Artikel ein, die Dir die Grundlagen sowie fortgeschrittene Konzepte von Microsoft Azure und Microsoft 365 näherbringen.
Profitiere von anschaulichen Schritt-für-Schritt-Anleitungen und den besten Methoden, um die vielfältigen Aufgaben und Strategien für den Einsatz der Microsoft Cloud zu beherrschen.
|
|
cloud microsoft-azure microsoft-365 cloud-sicherheit
|
|
Hinzugefügt am 01.06.2024 - 16:50:36
|
|
|
|
https://www.cloudkaffee.ch/
|
|
;
|
|
RSS-Feed - Einträge
|
|
|
|
|
|
|
|
Die Registrierung von Sicherheitsinformationen wie der Microsoft Authenticator App, FIDO2-Sicherheitsschlüsseln oder OATH Tokens ist ein zentraler Bestandteil moderner Identitätssicherheit. Zur Absicherung dieser sensiblen Aktion kommt der bedingte Microsoft Entra-Zugriff in Kombination mit Microsoft Entra ID Protection zum Einsatz. Wird ein Benutzerrisiko oder ein Anmelderisiko erkannt, verhindert die Zugriffsrichtlinie die Registrierung unter unsicheren Bedingungen. Dadurch wird sichergestellt, dass sicherheitsrelevante Informationen nur unter vertrauenswürdigen Umständen hinterlegt werden. Erfolgt die Registrierung dennoch unter unsicheren Bedingungen, besteht das Risiko, dass ein Angreifer alternative Authentifizierungsmethoden hinterlegt. Dadurch könnte der Zugriff auf ein kompromittiertes Konto selbst nach einer Passwortänderung aufrechterhalten werden. Die Registrierung muss daher unter kontrollierten und vertrauenswürdigen Bedingungen erfolgen. Eine Einführung in die Funktionen von Microsoft Entra ID Protection bietet der folgende Beitrag mit praxisorientierter Konfigurationsanleitung: Microsoft Entra ID Protection: Identitäten schützen, Risiken erkennen und Bedrohungen abwehren – cloudkaffee.ch Voraussetzungen und Lizenzierung Lizenzen Für die Absicherung der Registrierung von Sicherheitsinformationen werden die Funktionen bedingter Microsoft Entra-Zugriff und Microsoft Entra ID Protection benötigt. Beide Funktionen sind Bestandteil von Microsoft Entra ID P2. Microsoft Entra ID P2 ist unter anderem in den folgenden Lizenzpaketen enthalten: Alternativ werden die Voraussetzungen auch mit Microsoft Entra ID P1 in Kombination mit der Microsoft Entra Suite erfüllt. Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für die Konfiguration der Absicherung von Sicherheitsinformationen sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet. Zusätzlich ist eine Rolle erforderlich, die den Zugriff auf Anmeldeprotokolle ermöglicht, um die Wirksamkeit der bedingten Microsoft Entra-Zugriffsrichtlinie zu überprüfen. Rolle Berechtigung Administrator für den bedingten Zugriff Konfiguration und Verwaltung der bedingten Microsoft Entra-Zugriffsrichtlinien Berichtleseberechtigter Lesen von Anmeldeprotokollen Sicherheitsinformationen mit bedingtem Microsoft Entra-Zugriff absichern Mit bedingtem Microsoft Entra-Zugriff und Microsoft Entra ID Protection wird sichergestellt, dass die Registrierung von Sicherheitsinformationen nur unter risikofreien Bedingungen erfolgt. Dabei werden sowohl das Benutzerrisiko als auch das Anmelderisiko berücksichtigt. Bedingter Zugriff: Benutzerrisiko absichern Das Benutzerrisiko bewertet, ob ein Benutzerkonto kompromittiert sein könnte, beispielsweise durch gestohlene Anmeldeinformationen oder ungewöhnliche Aktivitäten. Die bedingte Microsoft Entra-Zugriffrichtlinie zur Absicherung des Benutzerrisikos wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Bedingter Zugriff > Neue Richtlinie erstellen eingerichtet. Name für die bedingte Microsoft Entra-Zugriffsrichtlinie vergeben.Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn Die Richtlinie auf Alle Benutzer anwenden.Notfallzugriffskonten (Emergency Accounts) ausschliessen. Unter Zielressourcen die Option Benutzeraktionen (1) auswählen und Sicherheitsinformationen registrieren (2) aktivieren. Unter Bedingungen > Benutzerrisiko die Risikostufen Niedrig, Mittel und Hoch aktivieren. Damit wird festgelegt, dass die Richtlinie bei jedem erkannten Benutzerrisiko angewendet wird. Unter Gewähren die Option Zugriff blockieren aktivieren. Richtlinie mit Ein aktivieren und Erstellen speichern. Bedingter Zugriff: Anmelderisiko absichern Das Anmelderisiko bewertet das Risiko einer aktuellen Anmeldung, etwa durch unbekannte Standorte oder anonyme IP-Adressen. Die bedingte Microsoft Entra-Zugriffrichtlinie zur Absicherung des Anmelderisikos wird im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Bedingter Zugriff > Neue Richtlinie erstellen eingerichtet. Name für die bedingte Microsoft Entra-Zugriffsrichtlinie vergeben.Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn Die Richtlinie auf Alle Benutzer anwenden.Notfallzugriffskonten (Emergency Accounts) ausschliessen. Unter Zielressourcen die Option Benutzeraktionen (1) auswählen und Sicherheitsinformationen registrieren (2) aktivieren. Unter Bedingungen > Anmelderisiko die Risikostufen Niedrig, Mittel und Hoch aktivieren. Damit wird festgelegt, dass die Richtlinie bei jedem erkannten Anmelderisiko angewendet wird. Unter Gewähren die Option Zugriff blockieren aktivieren. Richtlinie mit Ein aktivieren und Erstellen speichern. Funktionskontrolle: bedingter Microsoft Entra-Zugriff prüfen Risikosimulation über Tor Browser Zur Überprüfung der bedingten Microsoft Entra-Zugriffsrichtlinie erfolgt der Anmeldeversuch mit einem regulären Benutzerkonto über den Tor Browser. Durch die anonyme IP-Adresse wird dabei ein erhöhtes Anmelderisiko ausgelöst. Nach erfolgreicher Anmeldung an https://myaccount.microsoft.com und dem Aufruf von Sicherheitsinformationen wird der Zugriff mit dem Fehlercode 53003 verweigert. Dieser Fehlercode weist darauf hin, dass eine bedingte Microsoft Entra-Zugriffsrichtlinie aktiv ist, die den Zugriff blockiert. Eine Liste aller AADSTS-Fehlercodes mit Beschreibung befindet sich unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn Anmeldeprotokolle Das Blockieren der Registrierung von Sicherheitsinformationen durch die bedingte Microsoft Entra-Zugriffsrichtlinie ist im Anmeldeprotokoll mit dem Fehler 53003 aufgeführt. Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer > Anmeldeprotokolle In den Details ist ersichtlich, dass die bedingte Microsoft Entra-Zugriffsrichtlinie die Registrierung neuer Sicherheitsinformationen aufgrund des erkannten Anmelderisikos (1) blockiert (2) hat.
Der Beitrag Sicherheitsinformationen mit bedingtem Microsoft Entra-Zugriff und Microsoft Entra ID Protection absichern erschien zuerst auf cloudkaffee.ch
|
|
02.09.2025 - 14:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/sicherheitsinformationen-absichern-entr ...
|
|
|
|
|
|
|
Mit der Einführung der anwendungsbasierten Authentifizierung (Application Based Authentication, ABA) bringt Microsoft moderne Authentifizierungsmechanismen in Microsoft Entra Connect. Bislang authentifizierte sich der Synchronisierungsdienst über ein Dienstkonto, das ein lokal gespeichertes Kennwort zur Anmeldung bei Microsoft Entra ID verwendet. Ein Ansatz, der aus sicherheitstechnischer Sicht als veraltet und potenziell angreifbar gilt. Die anwendungsbasierte Authentifizierung (ABA) ersetzt dieses Konto durch eine registrierte Anwendung in Microsoft Entra ID, die sich über den OAuth?2.0 Client Credential Flow authentifiziert. Die Anmeldung erfolgt dabei über ein von Microsoft Entra Connect automatisch hinterlegtes und verwaltetes Zertifikat. Dieser Wechsel bringt mehrere Vorteile mit sich: Zum einen wird die Angriffsfläche durch den Verzicht auf lokal gespeicherte Kennwörter reduziert, zum anderen entspricht die Lösung modernen Cloud-Sicherheitsstandards. In diesem Beitrag wird die Migration von Microsoft Entra Connect vom klassischen Dienstkonto hin zur anwendungsbasierten Authentifizierung (ABA) Schritt für Schritt beschrieben. Voraussetzungen und Lizenzierung Lizenzen Für den Einsatz von Microsoft Entra Connect ist Microsoft Entra ID Free, das in jedem Microsoft Tenant enthalten ist, ausreichend. Eine kostenpflichtige Lizenz ist für die Synchronisierung nicht erforderlich. Rollen Für die Installation und Konfiguration von Microsoft Entra Connect wird nach dem Prinzip der geringsten Berechtigungen folgende Rolle benötigt: Rolle Berechtigung Hybrididentitätsadministrator Bereitstellung von Microsoft Entra Connect, Verwaltung der Verzeichnissynchronisierung Microsoft Entra Connect Für die Migration auf die anwendungsbasierte Authentifizierung (ABA) ist eine bestehende, funktionsfähige Microsoft Entra Connect Installation erforderlich. Anwendungsbasierte Authentifizierung (ABA) wird ab Version?2.5.76.0 (Allgemeine Verfügbarkeit, GA) unterstützt. Die aktuellste Version ist direkt im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Entra Connect > Connect-Synchronisierung > Die neuste Version von Entra Connect Sync herunterladen erhältlich. Microsoft Entra Connector-Konto identifizieren Das Microsoft Entra Connector-Konto wird zur Authentifizierung gegenüber Microsoft Entra ID verwendet und hat das Format Sync_*@tenant.onmicrosoft.com. Bei der Umstellung auf die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) wird dieses Konto automatisch entfernt. Es ist dennoch sinnvoll, das Microsoft Entra Connector-Konto vor der Migration zu identifizieren und danach zu prüfen, dass das Konto entfernt wurde. Synchronization Service Manager > Operations > Eintrag mit *.onmicrosoft.com auswählen > Properties auswählen. Unter Connectivity > UserName wird das aktuell verwendete Microsoft Entra Connector-Konto angezeigt. Der Benutzername für eine spätere Kontrolle notieren. Zusätzlich lässt sich das Microsoft Entra Connector-Konto im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer auffinden. Upgrade von Microsoft Entra Connect Die zuvor heruntergeladene Installationsdatei AzureAdConnect.msi auf dem Server starten und Vorgang mit Upgrade starten. Das Upgrade der Komponenten von Microsoft Entra Connect beginnt. Anmeldung mit einem Konto durchführen, dem die Rolle Hybrididentitätsadministrator zugewiesen ist. Konfiguration prüfen und mit einem Klick auf Upgrade starten.Die Migration auf die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) erfolgt automatisch. Nach kurzer Zeit ist der Upgrade von Microsoft Entra Connect erfolgreich abgeschlossen. Überprüfung nach dem Upgrade Microsoft Entra Connect In den Einstellungen von Microsoft Entra Connect können nun die Details für die anwendungsbasierte Authentifizierung (Application Based Authentication, ABA) abgerufen werden. Microsoft Entra Connect > Konfigurieren > Aktuelle Konfiguration anzeigen oder exportieren Im Abschnitt Zertifikatsdetails werden die relevanten Informationen für die anwendungsbasierte Authentifizierung (ABA) angezeigt, z.?B. der Hashwert des Zertifikats (1) und das Ablaufdatum des Zertifikats (2). Mit der Einstellung Automatische Rotation Aktiviert wird sichergestellt, dass das Zertifikat vor Ablauf automatisch von Microsoft Entra Connect erneuert wird. Microsoft Entra Admin Center Während des Upgrades von Microsoft Entra Connect wird die Applikation ConnectSyncProvisioning_* automatisch erstellt.Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > App-Registrierungen > Alle Anwendungen Unter Zertifikate & Geheimnisse wird der Fingerabdruck (Thumbprint) aus der App-Registrierung angezeigt. Dieser Wert stimmt mit dem Fingerabdruck in den Einstellungen von Microsoft Entra Connect überein. Synchronization Service Manager Im Synchronization Service Manager > Operations sollten alle Vorgänge mit dem Status Success abgeschlossen sein. Microsoft Entra Connector-Konto Das zuvor identifizierte Microsoft Entra Connector-Konto wurde automatisch entfernt und im Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Benutzer nicht mehr angezeigt. Gut zu wissen Anwendungszertifikat manuell rotieren Falls erforderlich, lässt sich das Anwendungszertifikat manuell über Microsoft Entra Connect rotieren. Microsoft Entra Connect > Konfigurieren > Rotieren des Anwendungszertifikats Anmeldung mit einem Konto durchführen, dem die Rolle Hybrididentitätsadministrator zugewiesen ist. Konfiguration prüfen und Anwendungszertifikat mit Klick auf Konfigurieren rotieren. Das Anwendungszertifikat wurde erfolgreich rotiert. Das neue Zertifikat wird unter Microsoft Entra Connect > Konfigurieren > Aktuelle Konfiguration anzeigen oder exportieren angezeigt.
Der Beitrag Microsoft Entra Connect: Migration auf die anwendungsbasierte Authentifizierung (ABA) erschien zuerst auf cloudkaffee.ch
|
|
05.08.2025 - 14:00:00
|
|
https://www.cloudkaffee.ch/microsoft-azure/microsoft-entra-connect-migration-app ...
|
|
|
|
|
|
|
Phishing, Malware und Social Engineering gehören weiterhin zu den häufigsten Einstiegspunkten für Cyberangriffe. Technische Schutzmassnahmen spielen eine entscheidende Rolle bei der Stärkung der Sicherheit, dennoch bleibt der menschliche Faktor oft eine zentrale Schwachstelle. Das Angriffssimulationstraining, eine Funktion von Microsoft Defender for Office 365, bietet eine praxisnahe Möglichkeit, das Sicherheitsbewusstsein der Benutzer zu fördern und die Sicherheitslage der Organisation nachhaltig zu stärken. Mit Microsoft Defender Angriffssimulationstraining können realistische Angriffszenarien simuliert werden, ohne dass dabei die tatsächliche Sicherheit gefährdet wird. Durch das Nachstellen von Phishing-Angriffen lässt sich das Verhalten des Benutzers testen und gezielt schulen. Dieser Beitrag zeigt, wie Microsoft Defender für Office 365 Angriffssimulationstraining eingesetzt wird, von den Voraussetzungen und der Lizenzierung bis hin zur Konfiguration von Simulationen und der Auswertung der Ergebnisse. Ziel ist es, die Sicherheit zu erhöhen und Benutzer für Cybersicherheit zu sensibilisieren. Voraussetzungen und Lizenzierung Lizenzen Für die Nutzung von Microsoft Defender für Office 365 Angriffssimulationstraining ist einer der folgenden Pläne geeignet: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Microsoft Defender für Office 365 Angriffssimulationstraining benötigt die folgenden Rollen nach dem Prinzip der geringsten Rechte: Rolle Berechtigung Sicherheitsadministrator oderAdministrator für Angriffssimulation Einrichtung und Konfiguration von Angriffssimulationstraining, Verwaltung der Angriffssimulationen Autor der Angriffsnutzdaten Angriffsszenarien erstellen, die ein Administrator später auslösen kann Microsoft Exchange Online Postfächer Für das Angriffssimulationstraining stellt Microsoft Exchange Online die notwendige E-Mail-Infrastruktur zur Verfügung. Microsoft Exchange Online benötigt keine weitergehende Konfiguration. Microsoft Defender Angriffssimulationstraining konfigurieren Eine Simulation ist eine kontrollierte Übung, bei der realistische Angriffsszenarien nachgestellt werden, um die Reaktion der Benutzer auf potenzielle Sicherheitsbedrohungen zu testen. Ziel ist es, Schwachstellen in der Sicherheitsstrategie zu identifizieren und das Sicherheitsbewusstsein zu fördern. Simulationen werden im Microsoft Defender Portal erstellt.Anmelden an Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen > Eine Simulation starten Als nächstes wird das Verfahren ausgewählt, welches für die Simulation verwendet werden soll. In diesem Beispiel wird Diebstahl von Anmeldeinformationen verwendet.Die vorgeschlagenen Möglichkeiten basieren auf dem MITRE ATT&CK-Framework, einer weltweit zugänglichen Wissensdatenbank zu Taktiken und Techniken von Angreifern, basierend auf realen Beobachtungen. Diebstahl von AnmeldeinformationenEine E-Mail enthält einen Link zu einer gefälschten Website. Ziel ist es, dass die Zielperson dort Anmeldedaten eingibt, welche vom Angreifer abgegriffen werden. SchadsoftwareanlageDie Nachricht enthält eine Datei, die beim ?-ffnen schädlichen Code ausführen kann, beispielsweise ein Makro oder ein eingebettetes Skript. Link in AnlageEin hybrides Szenario, bei dem ein Link nicht direkt in der Nachricht steht, sondern in einer beigefügten Datei eingebettet ist. Wird die Anlage geöffnet, wird der Link sichtbar und kann angeklickt werden. Link zu SchadsoftwareDie eigentliche Schadsoftware befindet sich nicht im Anhang, sondern ist auf einer externen Dateiablage gehostet (z.?B. SharePoint oder Dropbox). Die Nachricht enthält lediglich den Link zu dieser Datei. Drive-by-URLEin Link führt zu einer manipulierten Website, die beim Aufruf versucht, im Hintergrund automatisch Schadcode auf dem System der Zielperson auszuführen. Erteilung einer Zustimmung in OAuthEin Angreifer nutzt eine legitime OAuth-Anfrage, um einer Anwendung übermässige Rechte zu erteilen. Die Zielperson wird dazu verleitet, der App Zugriff auf sensible Daten zu gewähren. AnleitungDieses Verfahren dient nicht der Kompromittierung eines Kontos, sondern verfolgt ein didaktisches Ziel innerhalb einer Phishing-Simulation. Die simulierte Nachricht enthält gezielte Anweisungen, die darauf ausgelegt sind, dass die Empfängerin oder der Empfänger eine bestimmte Sicherheitsaktion durchführt, etwa das korrekte Melden einer verdächtigen E-Mail. Name für die Simulation vergeben, z.B. M365_Link_Phishing_CredSteal Phishing-Inhalt auswählen, welche simulierte E-Mail mit welchem Inhalt verschickt wird, z.?B. eine angebliche Voicemail oder eine Paketbenachrichtigung. Im gezeigten Beispiel wurde eine Nachricht über ein angeblich volles Postfach ausgewählt.Tipp: Beachtet die Sprache der Vorlage, nicht alle sind in Deutsch verfügbar. Über den Bereich Mandantennutzlasten > Eine Nutzlast erstellen lässt sich im Microsoft Angriffssimulationstraining eigener Inhalt definieren. Die Erstellung individueller Nutzlasten wird in dieser Anleitung nicht behandelt. Empfänger auswählen, es können alle Benutzer oder gezielt einzelne Benutzer oder Benutzergruppen ausgewählt werden. Bei Bedarf können bestimmte Benutzer von der Simulation ausgeschlossen werden. Sensibilisierungstraining für Benutzer auswählen, wenn sie während der Simulation auf eine simulierte, bösartige Nachricht reagieren, z.?B. durch Klicken auf einen Link oder ?-ffnen einer Anlage. Benachrichtigungsseite auswählen, welche den Benutzern angezeigt wird, wenn sie während der Simulation auf die E-Mail reagieren. Sie dient als Lernmoment und kann individuell angepasst werden. Tipp: beim Klick auf den Namen wird die Vorschau der Benachrichtigungsseite angezeigt. Über den Bereich Landing Pages des Mandanten > Neu erstellen lässt sich eine eigene Benachrichtigungsseite definieren. Die Erstellung einer solchen Seite wird in dieser Anleitung nicht behandelt. Benutzer aktiv über das Ergebnis der Simulation sowie über ausstehende Sensibilisierungstrainings informieren (1). Den Versandzeitpunkt (2) der Benachrichtigung individuell anpassen. Eine Vorschau der Nachricht (3) anzeigen. Die Simulation kann entweder sofort oder geplant (1) gestartet werden. Eine Simulation dauert zwischen 2 und maximal 30 Tagen (2). Zum Abschluss können die Angriffssimulationseinstellungen nochmals überprüft werden. Optional lässt sich eine Testnachricht an den aktuell angemeldeten Benutzer senden. Mit dem Absenden wird die Simulation gestartet. Das Angriffssimulationstraining ist erfolgreich geplant. Assistent mit Fertig verlassen. Das Microsoft Defender für Office 365 Angriffssimulationstraining erscheint in der Übersicht und wird durchgeführt. Microsoft Defender Angriffssimulationstraining Ergebnisse und Berichterstattung Das Microsoft Defender für Office 365 Angriffssimulationstraining stellt umfassende Auswertungsberichte bereit. Diese stehen nicht erst nach Abschluss der Simulation zur Verfügung, sondern bereits unmittelbar nach dem Start. Während der gesamten Laufzeit werden die Berichte kontinuierlich aktualisiert und liefern so stets aktuelle Einblicke. Die Berichte können direkt im Microsoft Defender Portal eingesehen werden. Dazu die Simulation unter Microsoft Defeder Portal (https://security.microsoft.com/) > E-Mail & Zusammenarbeit > Angriffssimulationstraining > Simulationen aufrufen. Unter Melden (1) werden die Ergebnisse der laufenden Angriffssimulation dargestellt. Die Ansicht zeigt unter anderem den Zustellstatus der Phishing-Nachricht (2), das gesamte Nutzerverhalten wie das Klicken auf Links oder die Eingabe von Anmeldedaten (3), sowie den aktuellen Stand des zugewiesenen Sensibilisierungstraining (4). Im Bereich Auswirkungen der Simulation (5) ist ersichtlich, wie viele Benutzer kompromittiert und ob verdächtige Aktivitäten gemeldet wurden. Unter Benutzer (1) werden die Teilnehmer des Angriffssimulationstrainings mit dem jeweilig aktuellen Status aufgeführt. Die Übersicht zeigt, ob ein Benutzer kompromittiert (2) wurde, die Nachricht gemeldet (3) hat und wie der Sensibilisierungstrainingsstatus (4) ist. Weitere Informationen geben Aufschluss über Zustellprobleme (5) der E-Mail. Unter Weitere Aktionen (6) wird aufgeführt, welche Interaktionen mit der Nachricht erfolgt sind. So zum Beispiel das Klicken auf einen Link, das Löschen oder das Melden der E-Mail. So lässt sich auf einen Blick erkennen, welche Benutzer auf die Simulation reagiert haben und ob entsprechendes Sensibilisierungstraining erforderlich ist. Phishing-Simulation aus Sicht der Benutzer Beispiel Phishing-Mail im Posteingang Im Rahmen des Microsoft Defender für Office 365 Angriffssimulationstraining erhalten die Benutzer eine täuschend echt gestaltete E-Mail direkt in den Posteingang.Die Nachricht orientiert sich in Aufbau, Sprache und Absenderdetails an realen Phishing-Versuchen. Ziel ist es, das Erkennen von Bedrohungen im Arbeitsalltag praxisnah zu trainieren, ohne Vorwarnung und unter realistischen Bedingungen. In diesem Beispiel handelt es sich um eine Benachrichtigung über ein angeblich volles Postfach. Klickt der Benutzer auf den Link Storage Limits und meldet sich mit seinem Benutzernamen und Passwort an, wird eine Hinweisseite angezeigt, die auf die laufende Angriffssimulation aufmerksam macht. Der Benutzer erhält eine E-Mail, die ihm das entsprechende Sensibilisierungstraining zuweist. E-Mail als Phishing melden Wird die verdächtige Nachricht vom Benutzer erkannt, kann sie direkt über die integrierte Schaltfläche im E-Mail-Client als Phishing gemeldet werden. Diese Funktion steht in Microsoft Outlook standardmässig zur Verfügung. Das Melden von Phishing-Mails ist nicht nur Bestandteil des Trainings, sondern ein wichtiger Schritt zur Stärkung der Sicherheitskultur im Unternehmen. Melden > Phishing melden In der Auswertung des Microsoft Defender für Office 365 Angriffssimulationstraining wird das Melden einer Phishing-E-Mail durch den Benutzer angezeigt. Für den Benutzer sind damit keine weiteren Schritte erforderlich, es wird kein zusätzliches E-Mail mit einem Sensibilisierungstraining versendet. Zugriff auf Sensibilisierungstraining Sobald ein Benutzer auf einen Sensibilisierungstraining-Link klickt wird automatisch das Trainingscenter geöffnet. Hier erwarten den Benutzer interaktive Inhalte, die anschaulich erklären, wie echte Bedrohungen erkannt und vermieden werden können. Das Training ist bewusst kurz gehalten und vermittelt dennoch alle wichtigen Sicherheitsgrundlagen effizient und praxisnah. Das Sensibilisierungstraining beginnt mit einem Klick auf Start.
Der Beitrag Microsoft Defender Angriffssimulationstraining: Sicherheitsbewusstsein praxisnah stärken erschien zuerst auf cloudkaffee.ch
|
|
02.07.2025 - 10:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-defender-attack-simulation-tr ...
|
|
|
|
|
|
|
Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID ist eine Funktion zur Verwaltung von Benutzerzustimmungen für Berechtigungen von Unternehmensanwendungen. Der Administratoreinwilligungs-Workflow ermöglicht es, Berechtigungsanfragen zu prüfen sowie freizugeben oder abzulehnen. Anstatt Benutzern direkt weitreichende Zustimmungen zu gestatten, kann mit dem Administratoreinwilligungs-Workflow sichergestellt werden, dass nur autorisierte Anwendungen Zugriff auf sensible Daten erhalten. Zum Beispiel kann eine Applikation die Berechtigung anfordern, auf das Benutzerprofil zuzugreifen oder den Inhalt des Benutzerpostfachs zu lesen. Der Administratoreinwilligungs-Workflow trägt damit wesentlich zur Umsetzung des Prinzips der minimalen Rechte (Least-Privilege-Prinzips) bei und minimiert das Risiko unbeabsichtigter Datenexposition. Dieser Blogpost bietet eine Anleitung zur Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID. Er zeigt, wie Benutzer Anfragen für Applikationsberechtigungen stellen und wie diese überprüft und bearbeitet werden. Voraussetzungen und Lizenzierung Lizenzen Der Administratoreinwilligungs-Workflow (Admin Consent Workflow) in Microsoft Entra ID setzt folgende Lizenz voraus: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für die Konfiguration des Administratoreinwilligungs-Workflow (Admin Consent Workflow), Überprüfung von Anfragen sowie das Erteilen oder Ablehnen von Zugriffsanfragen sind nach dem Prinzip der geringsten Berechtigung die folgenden Rollen geeignet: Rolle Beschreibung Globaler Administrator Einrichtung und Aktivierung des Administratoreinwilligungs-WorkflowBerechtigungsanfragen prüfen, freigeben oder ablehnen *Administrator für privilegierte Rollen*Cloudanwendungsadministrator Berechtigungsanfragen prüfen, freigeben oder ablehnen * Details zu diesen Rollen können hier nachgelesen werden: Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung – Microsoft Entra ID | Microsoft Learn Konfiguration Administratoreinwilligungs-Workflow in Microsoft Entra ID Benutzereinwilligung (User Consent) in Microsoft Entra ID konfigurieren Die Benutzereinwilligung (User Consent) in Microsoft Entra ID steuert, ob und in welchem Umfang Benutzer Anwendungen die Zustimmung zum Zugriff auf Daten erteilen dürfen. Ohne eine zentrale Steuerung besteht das Risiko, dass Benutzer unbeabsichtigt Anwendungen Zugriff auf sensible Daten gewähren, ohne sich der möglichen Sicherheits- und Compliance-Risiken bewusst zu sein. Die Konfiguration der Benutzereinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Benutzereinwilligung. Für die Konfiguration der Benutzereinwilligung stehen folgende Optionen zur Verfügung, mit denen sich der Zugriff auf Daten durch Drittanbieter-Apps steuern lässt: Für maximale Sicherheit empfiehlt es sich, die Option Benutzereinwilligung nicht zulassen zu aktivieren. Administratoreinwilligung-Workflow (Admin Consent Workflow) in Microsoft Entra ID aktivieren Die Administratoreinwilligung (Admin Consent) in Microsoft Entra ID ermöglicht eine sichere und kontrollierte Verwaltung von Anwendungsberechtigungen. Sie regelt, wie Benutzer Zustimmungsanfragen für Anwendungen einreichen können, wenn diese Berechtigungen erfordern, die sie selbst nicht genehmigen dürfen. Durch den Administratoreinwilligung-Workflow (Admin Consent Workflow) wird der Zugriff auf sensible Ressourcen effektiv gesteuert und die Sicherheit der Umgebung erhöht. Die Konfiguration der Administratoreinwilligung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Einstellungen für die Administratoreinwilligung. Folgende Optionen können für den Administratoreinwilligungs-Workflow konfiguriert werden, um den Genehmigungsprozess zu steuern: Berechtigungsklassifizierungen (Permission classifications) in Microsoft Entra ID Berechtigungsklassifizierungen (Permission Classifications) im Microsoft Entra Admin Center ermöglichen es, API-Berechtigungen basierend auf ihrem Risikoprofil in Kategorien wie Niedrig, Mittel und Hoch einzuteilen. Anhand dieser Klassifizierung kann die Benutzereinwilligung (User Consent) so automatisiert werden, dass Benutzer bestimmten Berechtigungen ohne zusätzliche Genehmigung zustimmen können. Die Klassifizierung der API-Berechtigungen erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Einwilligung und Berechtigungen > Berechtigungsklassifizierungen. Die Klassifizierungen lassen sich entweder pauschal für die meisten angeforderten Anwendungsberechtigungen (1) konfigurieren oder granular pro API (2) steuern. Admin Experience und User Experience Benutzererfahrung (User Experience) Wenn ein Benutzer die Berechtigungsanfrage einer Unternehmensanwendung nicht selbst genehmigen darf, wird eine entsprechende Meldung angezeigt. Durch Eingabe einer Begründung (1) und Klick auf Genehmigungsanforderung (2) wird der Administratoreinwilligungs-Workflow (Admin Consent Workflow) gestartet. Die Genehmigungsanforderung wurde erfolgreich übermittelt und wartet nun auf die weitere Bearbeitung durch einen Prüfer. Administratorerfahrung (Admin Experience) Jeder Prüfer erhält die Genehmigungsanfrage per E-Mail. Die Bearbeitung erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Anforderungen zur Administratoreinwilligung > Meine ausstehenden Anforderungen Die prüfende Person hat nun die Möglichkeit, die Anwendung entweder abzulehnen (2) oder zu blockieren (1).Ablehnen bedeutet, dass die aktuelle Genehmigungsanfrage einmalig zurückgewiesen wird. Blockieren hingegen verhindert, dass zukünftig Genehmigungsanfragen für diese Anwendung gestellt werden können. Die prüfende Person kann eine Genehmigungsanfrage einsehen, ablehnen oder blockieren. Für die Anzeige der angeforderten Berechtigungen und deren Freigabe sind die Rollen Globaler Administrator, Administrator für privilegierte Rollen oder Cloudanwendungsadministrator erforderlich. Stimmen die Berechtigungen, kann die Anfrage durch Klicken auf Akzeptieren freigegeben werden. Im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Entra ID > Unternehmens-Apps > Alle Anwendungen > Anwendung auswählen > Berechtigungen werden die freigegebenen Berechtigungen angezeigt. Die Anwendung ist nun einsatzbereit. Gut zu wissen Microsofts empfohlene Einwilligungsrichtlinie ab August 2025 Microsoft stellt ab August 2025 die empfohlene Einwilligungsrichtlinie Lassen Sie Microsoft Ihre Einwilligungseinstellungen verwalten bereit. Diese von Microsoft verwaltete Einwilligungsrichtlinie gilt als neue Standardempfehlung für Microsoft Entra ID und erlaubt Endbenutzern ausschliesslich die Zustimmung zu delegierten Berechtigungen mit geringem Risiko. Ausgenommen sind die Berechtigungen Files.Read.All, Files.ReadWrite.All, Sites.Read.All und Sites.ReadWrite.All. Microsoft aktualisiert diese Einwilligungsrichtlinie automatisch und kündigt jede Änderung mindestens 30 Tage im Voraus an.
Der Beitrag Microsoft Entra ID: Admin Consent Workflow für sichere Anwendungsberechtigungen erschien zuerst auf cloudkaffee.ch
|
|
02.06.2025 - 13:57:13
|
|
https://www.cloudkaffee.ch/microsoft-azure/microsoft-entra-id-admin-consent-work ...
|
|
|
|
|
|
|
Microsoft 365 sicher zugänglich machen: Microsoft Entra Global Secure Access bietet mit dem Microsoft-Datenverkehrsprofil einen verschlüsselten Zugriff auf Microsoft 365-Dienste wie Exchange Online und SharePoint Online. Der gesamte Datenverkehr wird über geschützte Netzwerkpfade geleitet und dadurch zuverlässig gegen unautorisierte Zugriffe abgesichert. Durch die Kombination aus Zugriffsrichtlinien und netzwerkbasierten Schutzmechanismen reduziert Global Secure Access effektiv Angriffsvektoren wie Token-Diebstahl oder Replay-Angriffe. Gleichzeitig unterstützt diese Architektur die Einhaltung regulatorischer Vorgaben und unternehmensspezifischer Sicherheitsanforderungen. Dieser Beitrag zeigt, wie das Microsoft-Datenverkehrsprofil konfiguriert wird, um den Zugriff auf Microsoft 365-Dienste ausschliesslich über Global Secure Access zu steuern. Voraussetzungen und Lizenzierung Lizenzen Das Microsoft-Datenverkehrsprofil in Microsoft Entra Global Secure Access erfordert die folgende Lizenz: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Geräte Folgende Voraussetzungen gelten für die Geräte: Rollen nach dem Prinzip der geringsten Rechte Microsoft Entra Global Secure Access lässt sich mit den folgenden Microsoft Entra Rollen konfigurieren und verwalten. Rolle Berechtigung Global Secure Access Administrator Einrichten und Verwalten von Microsoft Entra Global Secure Access Administrator für bedingten Zugriff Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff Anwendungsadministrator Hinzufügen oder Entfernen von Benutzern zu Datenverkehrsprofilen (in Kombination mit der Rolle Global Secure Access Administrator) Microsoft Entra Global Secure Access: Datenverkehrsprofil konfigurieren Profil für Microsoft-Datenverkehr aktivieren Microsoft Entra Global Secure Access wird im Microsoft Entra Admin Center (https://entra.microsoft.com) aktiviert. Profil für Microsoft-Datenverkehr unter Globaler sicherer Zugriff > Verbinden > Datenverkehrsweiterleitung aktivieren. Microsoft-Datenverkehrsrichtlinien aktivieren oder deaktivieren.Standardmässig wird der Datenverkehr der folgenden Applikationen berücksichtigt: Bei Bedarf lässt sich der Datenverkehr für jede Applikation granular steuern. Dazu die gewünschte Applikation aufklappen: Benutzer- und Gruppenzuweisungen vornehmen.Es können alle Benutzer (1), einzelne Benutzer oder Gruppen (2) ausgewählt werden. Die Aktion setzt die Rolle Global Secure Access Administrator und Anwendungsadministrator gleichzeitig voraus. Das Profil für Microsoft-Datenverkehr ist konfiguriert. Adaptiver Zugriff aktivieren Mit aktiviertem adaptivem Zugriff können ZS-Signale (Zero Trust Signals) aus dem Datenverkehr von Global Secure Access im bedingten Microsoft Entra Zugriff verarbeitet werden. Globaler sicherer Zugriff > Einstellungen > Sitzungsverwaltung > Adaptiver Zugriff aufrufen und Aktivieren der ZS-Signalisierung für Entra ID (für alle Cloud-Apps) aktivieren. Bedingter Microsoft Entra-Zugriff für Microsoft 365 mit Entra Global Secure Access konfigurieren Durch den bedingten Microsoft Entra-Zugriff wird der Zugriff auf Microsoft 365-Dienste wie Exchange Online, SharePoint Online oder Microsoft Teams ausschliesslich über Global Secure Access möglich sein. Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Neue Richtlinie erstellen Name für den bedingten Microsoft Entra-Zugriff vergeben.Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn Benutzer für diese Richtlinie auswählen.Notfallzugriffskonten (Emergency Accounts) ausschliessen. Alle Zielressourcen auswählen, welche im Microsoft 365 Datenverkehrsprofil zu Global Secure Access geroutet werden, z.B. Exchange Online und Sharepoint Online. Netzwerk auswählen und alle Netzwerke mit Beliebiges Netzwerk oder beliebiger Standort einschliessen. Ebenfalls unter Netzwerk Alle konformen Netzewerkstandorte ausschliessen. Datenverkehr über das Global Secure Access Netzwerk wird als konform eingestuft. Wenn nur bestimmte Geräteplattformen, z.B. Windows oder Android in die Richtlinie einbezogen werden sollen, kann dies unter Bedingungen > Geräteplattformen konfigurieren werden. Unter Gewähren die Option Blockzugriff aktivieren. Richtlinie mit Ein aktivieren und Erstellen speichern. Die Richtlinie tritt sofort in Kraft und erlaubt den Zugriff auf die ausgewählten Ressourcen ausschliesslich über Global Secure Access. Global Secure Access Client für Microsoft 365 bereitstellen Der Global Secure Access Client für die Verwendung des Microsoft Datenverkehrsprofil ist für verschiedene Betriebssysteme veröffentlicht. Die Bereitstellung des Software Clients unter Windows ist im Beitrag Microsoft Entra Private Access: Onboard Clientsoftware beschrieben. Nach erfolgreicher Installation des Global Secure Access Clients ist das Microsoft Datenverkehrsprofil verbunden. Funktionskontrolle Erfolgt der Zugriff, in diesem Beispiel auf https://outlook.com, von einem Gerät, das nicht über Global Secure Access verbunden ist, wird der Authentifizierungsvorgang mit Fehlercode 53003 abgebrochen und folgende Meldung angzeigt: Hierauf können Sie zurzeit nicht zugreifenIhre Anmeldung war erfolgreich, entspricht jedoch nicht den Kriterien für den Zugriff auf diese Ressource. Möglicherweise melden Sie sich von einem Browser, einer App oder einem Standort aus ein, der bzw. die von Ihrem Administrator eingeschränkt wurde. Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn Erfolgt der Zugriff hingegen über das Global Secure Access Netzwerk, wird https://outlook.com wie gewohnt geladen. Fehlersuche und Fehlerbehebung Die Log- und Diagnosemöglichkeiten für Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung detaillierter beschrieben.
Der Beitrag Sicherer Zugriff auf Microsoft 365 Apps mit Microsoft Entra Global Secure Access erschien zuerst auf cloudkaffee.ch
|
|
06.05.2025 - 16:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/sicherer-zugriff-auf-microsoft-365-apps ...
|
|
|
|
|
|
|
|
|
