Microsoft Entra ID absichern: Die 15-Punkte-Checkliste

Microsoft Entra ID ist das Identitäts-Rückgrat der meisten Microsoft-Unternehmensumgebungen. Ein fehlkonfigurierter Tenant ist nicht nur eine Sicherheitslücke — er ist eine offene Tür zu Ihrer gesamten IT-Landschaft. Diese Checkliste behandelt 15 Härtungsmaßnahmen, die jeder Entra-ID-Tenant umsetzen sollte, priorisiert nach Wirksamkeit.

Die 15-Punkte-Checkliste

1. Phishing-resistente MFA für alle Administratoren erzwingen

Herkömmliche MFA per SMS oder Telefonanruf reicht für privilegierte Konten nicht mehr aus. Angreifer umgehen diese Methoden routinemäßig durch SIM-Swapping, Social Engineering und Echtzeit-Phishing-Proxys.

Maßnahmen:

• FIDO2-Sicherheitsschlüssel oder zertifikatsbasierte Authentifizierung für alle globalen Administratoren, Sicherheitsadministratoren und Administratoren für privilegierte Rollen vorschreiben
• Conditional-Access-Richtlinie mit Ziel auf die genannten Verzeichnisrollen erstellen, Grant-Kontrolle auf Authentifizierungsstärke „Phishing-resistente MFA" setzen
• 90-Tage-Migrationsfrist für Admins mit schwächeren Methoden festlegen

2. MFA für alle Benutzer erzwingen

Jeder Benutzer im Tenant muss MFA verwenden. Keine Ausnahmen für „risikoarme" Benutzer — kompromittierte Standardkonten sind der häufigste Einstiegspunkt für laterale Bewegung.

Maßnahmen:

• Conditional-Access-Richtlinie erstellen: Alle Benutzer > Alle Cloud-Apps > Gewähren: Authentifizierungsstärke MFA
• Nur die Notfallkonten ausschließen (siehe Punkt 3)
• MFA-Registrierungskampagne im Aktivitätsbericht der Authentifizierungsmethoden überwachen

3. Notfallkonten (Break-Glass) konfigurieren

Notfallkonten sind Ihr Rettungsanker, wenn Conditional Access, MFA oder die Federation ausfallen. Ohne sie riskieren Sie, dauerhaft aus Ihrem eigenen Tenant ausgesperrt zu werden.

Maßnahmen:

• Zwei Notfallkonten mit generischen Namen erstellen, die keinen Rückschluss auf ihren Zweck zulassen
• Globale Administratorrolle permanent zuweisen (nicht über PIM)
• Von allen Conditional-Access-Richtlinien ausschließen
• Langes, komplexes Passwort verwenden, das in einem physischen Tresor aufbewahrt wird — nicht in einem Passwortmanager innerhalb des Tenants
• Anmeldeüberwachung aktivieren: Sentinel-Analyseregel oder Log-Analytics-Warnung erstellen, die bei jeder Anmeldung eines Notfallkontos auslöst
• Konten vierteljährlich testen — Test dokumentieren

4. Legacy-Authentifizierung blockieren

Legacy-Authentifizierungsprotokolle (SMTP, IMAP, POP3, älteres ActiveSync) unterstützen kein MFA. Sie sind der einfachste Angriffsweg für Credential-Stuffing.

Maßnahmen:

• Conditional-Access-Richtlinie erstellen: Alle Benutzer > Alle Cloud-Apps > Bedingungen: Client-Apps = Exchange ActiveSync-Clients, Andere Clients > Blockieren
• Über Anmeldeprotokolle (gefiltert nach Client-App-Typ) prüfen, ob legitime Abhängigkeiten bestehen
• 30 Tage im Report-Only-Modus überwachen, dann auf „Ein" umschalten

5. Privileged Identity Management (PIM) aktivieren

Dauerhafte Administratorzugriffe sind unnötiges Risiko. PIM stellt sicher, dass Admins erhöhte Berechtigungen nur bei Bedarf erhalten, mit Genehmigungsworkflows und Zeitbegrenzung.

Maßnahmen:

• PIM für alle Entra-ID-Rollen und alle Azure-Ressourcenrollen aktivieren
• Maximale Aktivierungsdauer auf 8 Stunden für Standardrollen, 4 Stunden für Globalen Administrator setzen
• Begründung und MFA bei jeder Aktivierung einfordern
• Genehmigung für die Aktivierung von Globalem Administrator, Administrator für privilegierte Rollen und Exchange-Administrator verlangen
• Aktivierungswarnungen konfigurieren, die an das Security-Operations-Team gesendet werden

6. Zugriffsüberprüfungen implementieren

Rollenzuweisungen verwässern mit der Zeit. Mitarbeitende wechseln Positionen, verlassen Projekte oder das Unternehmen — ihre Berechtigungen bleiben jedoch oft bestehen.

Maßnahmen:

• Vierteljährliche Zugriffsüberprüfungen für alle PIM-berechtigten Rollen konfigurieren
• Vierteljährliche Zugriffsüberprüfungen für alle Sicherheitsgruppen mit Zugriff auf sensible Ressourcen
• Automatische Anwendung für empfohlene Aktionen aktivieren (Zugriff entfernen bei ungenutzten Rollen)
• Gruppenbesitzer als Prüfer für gruppenbasierte Überprüfungen zuweisen

7. Risikobasiertes Conditional Access konfigurieren

Microsoft Entra ID Protection erkennt riskante Anmeldungen und riskante Benutzer mithilfe von Machine-Learning-Signalen. Speisen Sie diese Signale in Ihre Conditional-Access-Richtlinien ein.

Maßnahmen:

• Richtlinie erstellen: Alle Benutzer > Alle Cloud-Apps > Bedingungen: Anmelderisiko = Hoch > Gewähren: MFA erforderlich + Kennwortänderung erforderlich
• Richtlinie erstellen: Alle Benutzer > Alle Cloud-Apps > Bedingungen: Benutzerrisiko = Hoch > Gewähren: Kennwortänderung erforderlich
• Riskante Benutzer wöchentlich im Identity-Protection-Dashboard prüfen
• Identity-Protection-Warnungen in Microsoft Sentinel integrieren

8. Benutzereinwilligung für Anwendungen einschränken

Standardmäßig können Benutzer Drittanbieteranwendungen Zugriff auf Organisationsdaten gewähren. Dies ist ein erheblicher Datenexfiltrationsvektor.

Maßnahmen:

• Benutzereinwilligung auf Keine Benutzereinwilligung zulassen oder Nur verifizierte Herausgeber begrenzen
• Admin-Einwilligungsworkflow implementieren, damit Benutzer Zugriff auf Anwendungen beantragen können
• Bestehende Einwilligungen prüfen — zu weitreichende oder von nicht verifizierten Herausgebern widerrufen
• Regelmäßig auditieren: Get-MgServicePrincipal | Where-Object {$_.AppOwnerOrganizationId -ne "<Ihre-Tenant-ID>"}

9. Zugriff auf das Verwaltungsportal einschränken

Nicht-administrative Benutzer sollten das Entra-ID-Verwaltungsportal nicht durchsuchen können. Auch wenn sie keine Änderungen vornehmen können, legt das Portal Verzeichnisinformationen offen, die Reconnaissance erleichtern.

Maßnahmen:

• Zugriff auf das Microsoft Entra Admin Center einschränken in den Benutzereinstellungen auf Ja setzen
• Die Möglichkeit, andere Benutzer zu lesen, einschränken, wenn Ihre Verzeichnisstruktur es erlaubt (Auswirkungen sorgfältig prüfen)

10. Mandantenübergreifende Zugriffsrichtlinien konfigurieren

Wenn Sie über B2B mit externen Organisationen zusammenarbeiten, sind Ihre standardmäßigen mandantenübergreifenden Zugriffseinstellungen möglicherweise zu freizügig.

Maßnahmen:

• Standardeinstellungen für mandantenübergreifenden Zugriff prüfen — eingehende und ausgehende Standardwerte auf Blockieren setzen
• Organisationsspezifische Richtlinien für vertrauenswürdige Partner mit begrenztem Zugriff erstellen
• Mandantenübergreifende Zugriffseinstellungen für B2B-Zusammenarbeit mit spezifischem Anwendungszugriff aktivieren
• Mandanteneinschränkungen v2 in Betracht ziehen, um zu verhindern, dass Ihre Benutzer sich bei nicht verwalteten externen Tenants authentifizieren

11. Token-Schutz aktivieren

Token-Diebstahl wird immer häufiger. Angreifer stehlen Sitzungs-Token von kompromittierten Endpunkten und verwenden sie von angreiferkontrollierten Geräten.

Maßnahmen:

• Token-Schutz in Conditional Access aktivieren (erfordert konforme Windows-Geräte)
• Richtlinie erstellen: Hochrisikobenutzer oder Administratorrollen > Alle Cloud-Apps > Sitzung: Token-Schutz erforderlich
• Token-Replay-Ereignisse in Anmeldeprotokollen und Identity Protection überwachen

12. Benannte Standorte und Standortrichtlinien konfigurieren

Definieren Sie Ihre vertrauenswürdigen Netzwerkstandorte und nutzen Sie diese für intelligentere Zugriffsentscheidungen.

Maßnahmen:

• Benannte Standorte für alle Büronetzwerke, VPN-Austrittspunkte und vertrauenswürdige IP-Bereiche definieren
• Conditional-Access-Richtlinien erstellen, die Zugriff aus Ländern blockieren, in denen Sie keine Geschäftstätigkeit haben
• Zusätzliche Verifizierung für Zugriff von nicht vertrauenswürdigen Standorten verlangen
• GPS-basierte benannte Standorte für mobile Geräte nutzen, wo anwendbar

13. Authentifizierungsmethoden härten

Nicht alle MFA-Methoden sind gleichwertig. Ihre Authentifizierungsmethoden-Richtlinie sollte Ihre Risikobereitschaft widerspiegeln.

Maßnahmen:

• SMS und Telefonanruf als MFA-Methoden für Administratoren deaktivieren
• Microsoft Authenticator mit Nummernabgleich und zusätzlichem Kontext aktivieren
• FIDO2-Sicherheitsschlüssel für hochprivilegierte Rollen aktivieren
• Das Legacy-MFA-Per-User-Portal deaktivieren — alles über Conditional Access und Authentifizierungsmethoden-Richtlinien verwalten
• SSPR-Methoden (Self-Service Password Reset) prüfen und einschränken — Übereinstimmung mit MFA-Methoden sicherstellen

14. Kritische Verzeichnisänderungen überwachen und alarmieren

Bestimmte Änderungen an Ihrer Entra-ID-Konfiguration sollten sofortige Warnungen auslösen.

Maßnahmen:

• Warnungen konfigurieren für:
  • Neue Zuweisungen als Globaler Administrator
  • Änderungen oder Löschungen von Conditional-Access-Richtlinien
  • Neue föderierte Domänen
  • Änderungen an Authentifizierungsmethoden-Richtlinien
  • Neue Anwendungsregistrierungen mit hochprivilegierten API-Berechtigungen
  • Änderungen an mandantenübergreifenden Zugriffseinstellungen
• Diese Warnungen an Ihr SIEM (Microsoft Sentinel) weiterleiten und sicherstellen, dass zugehörige Response-Playbooks zugewiesen sind

15. Workload-Identitäten schützen

Dienstprinzipale, verwaltete Identitäten und Anwendungsregistrierungen werden in Härtungsprogrammen häufig übersehen. Sie verfügen oft über übermäßige Berechtigungen und keine MFA.

Maßnahmen:

• Alle Anwendungsregistrierungen und Dienstprinzipale inventarisieren — jene mit hochprivilegierten API-Berechtigungen identifizieren
• Conditional Access für Workload-Identitäten implementieren (erfordert Workload Identities Premium)
• Client-Geheimnisse und Zertifikate nach definiertem Zeitplan rotieren (90 Tage für Geheimnisse, 12 Monate für Zertifikate)
• Wo möglich verwaltete Identitäten gegenüber Dienstprinzipalen mit Geheimnissen bevorzugen
• Workload-Identitäts-Anmeldungen auf anomale Muster überwachen

Umsetzungspriorität

Wenn nicht alles gleichzeitig möglich ist, liefert diese Reihenfolge die größte Risikoreduktion:

1. Notfallkonten (Punkt 3) — Aussperrung verhindern, bevor Kontrollen verschärft werden
2. Legacy-Auth blockieren + MFA erzwingen (Punkte 2, 4) — die einfachsten Angriffspfade eliminieren
3. Admin-MFA + PIM (Punkte 1, 5) — die mächtigsten Konten schützen
4. Risikobasierte Richtlinien + App-Einwilligung (Punkte 7, 8) — Bedrohungsreaktion automatisieren und Datenexfiltrationspfade schließen
5. Alles Weitere — schichtweise Härtung, die sich über die Zeit aufaddiert

Konfiguration validieren

Nach der Implementierung dieser Kontrollen validieren Sie:

• Microsoft Secure Score-Bewertung durchführen und identitätsspezifische Empfehlungen prüfen
• Microsoft Entra ID Protection-Berichte nutzen, um zu bestätigen, dass Risikorichtlinien korrekt auslösen
• Penetrationstest mit Fokus auf Identität durchführen: Passwort-Spray, Token-Diebstahl, Consent-Phishing
• Anmeldeprotokolle auf Zugriffe prüfen, die Ihre beabsichtigten Richtlinien umgehen

Fazit

Identitätssicherheit ist keine einmalige Einstellung. Entra-ID-Funktionen entwickeln sich monatlich weiter, neue Angriffstechniken entstehen regelmäßig, und die Konfiguration Ihrer Organisation driftet mit der Zeit. Planen Sie eine vierteljährliche Überprüfung dieser Checkliste ein, weisen Sie Verantwortliche für jeden Punkt zu und integrieren Sie Identitätssicherheit in Ihren laufenden Security-Operations-Betrieb.

Brauchen Sie Unterstützung bei der Härtung Ihres Entra-ID-Tenants? Kontaktieren Sie uns — wir führen Entra-ID-Sicherheitsbewertungen durch und implementieren Härtungsprogramme für Unternehmen in ganz Europa.