Microsoft Entra ID Protection für kleine Unternehmen in Berlin
Gestohlene Anmeldeinformationen bleiben der häufigste initialer Zugriffsvektor bei Unternehmensangriffen. Phishing, Passwort-Spray, Credential-Stuffing und malwarebasierter Diebstahl von Anmeldeinformationen führen alle zum selben Ergebnis: gültige Benutzeranmeldedaten in den Händen eines Angreifers. Multi-Faktor-Authentifizierung erhöht die Hürde erheblich, bewertet aber allein nicht, ob eine Anmeldung von einem bekannten Gerät, einem vertrauenswürdigen Standort oder einem für den echten Benutzer typischen Verhaltensmuster stammt. Microsoft Entra ID Protection fügt jeder Authentifizierung in Ihrem Entra-ID-Mandanten eine Risikosignalschicht hinzu – bewertet Benutzerrisiko (Indikatoren für kompromittierte Anmeldeinformationen) und Anmelderisiko (Indikatoren für unautorisierte Authentifizierungsversuche) in Echtzeit und speist diese Risikobewertungen in Conditional-Access-Richtlinienentscheidungen ein.
Entra ID Protection ist in Microsoft Entra ID P2 enthalten, das in Microsoft 365 Business Premium verfügbar ist. Die Funktion erfordert keine Agenten, keine Netzwerksensoren und keine Konfiguration, um Risikosignale zu generieren – sie arbeitet bei jeder Anmeldung ab dem Zeitpunkt der Lizenzierung.
Benutzerrisiko vs. Anmelderisiko
- Anmelderisiko: Die Wahrscheinlichkeit, dass ein bestimmter Authentifizierungsversuch nicht vom legitimen Kontoinhaber stammt. Signale umfassen anonyme IP-Adresse, atyp isches Reiseverhalten (Anmeldung aus Berlin und dann Tokyo innerhalb von zwei Stunden), unbekannte Anmeldeeigenschaften (neues Gerät, neues ASN, neues Land) und geleakte Anmeldeinformationen in Echtzeit. Das Risiko wird als Niedrig, Mittel oder Hoch eingestuft.
- Benutzerrisiko: Die Wahrscheinlichkeit, dass die Anmeldeinformationen eines Benutzers kompromittiert wurden, angesammelt über mehrere Signale. Signale umfassen geleakte Anmeldeinformationen auf Underground-Marktplätzen, bestätigte Kompromittierung durch Sicherheitsoperationen und eine hohe Risikoanmeldeverlauf. Benutzerrisiko bleibt bestehen, bis es behoben oder abgelehnt wird.
Risikobasierte Conditional-Access-Richtlinien
ID Protection generiert die Risikosignale; Conditional Access setzt die Reaktion durch. Risikobasierte CA-Richtlinien sind die betrieblich korrekte Reaktion auf riskante Anmeldungen – automatisch, verhältnismäßig und umkehrbar. Die Standardbereitstellung besteht aus zwei Richtlinien:
- Anmelderisiko-Richtlinie: Wenn das Anmelderisiko Mittel oder Hoch ist, MFA zur Authentifizierung anfordern. Konfigurieren Sie als CA-Richtlinie mit Ziel Alle Benutzer, Alle Cloud-Apps, Anmelderisikobedingung auf Mittel und höher, Gewährungssteuerung: MFA erforderlich.
- Benutzerrisiko-Richtlinie: Wenn das Benutzerrisiko Hoch ist, muss der Benutzer sein Kennwort über eine MFA-geschützte Rücksetzung ändern. Konfigurieren Sie ähnlich, Benutzerrisikobedingung auf Hoch, Gewährungssteuerung: Kennwortänderung erforderlich.
Beide Richtlinien sollten das Notfall-Zugriffskonto von ihrem Geltungsbereich ausschließen, um Aussperrungsszenarien zu verhindern.
Riskante Benutzer und riskante Anmeldungen
Navigieren Sie zu Entra Admin Center › Schutz › Riskante Benutzer und Riskante Anmeldungen, um den aktuellen Risikostatus Ihres Mandanten zu überprüfen. Der Bericht zu riskanten Benutzern zeigt alle Konten mit erhöhtem Benutzerrisiko und die beitragenden Erkennungen. Der Bericht zu riskanten Anmeldungen zeigt einzelne Authentifizierungsereignisse, die als riskant gekennzeichnet sind, einschließlich Erkennungstyp und Risikostufe.
Erkennung geleakter Anmeldeinformationen
Microsoft überwacht kontinuierlich Underground-Foren, Paste-Sites und Dark-Web-Marktplätze nach Credential-Leaks und gleicht entdeckte Benutzername/Kennwort-Paare mit Entra-ID-Mandanten ab. Wenn eine Übereinstimmung gefunden wird, wird das Benutzerrisiko sofort erhöht. Für ein kleines Berliner Unternehmen ohne dediziertes SOC stellt diese Erkennung automatisch angewendete externe Bedrohungsintelligenz dar – ohne zusätzliche Konfiguration oder Abonnement externer Bedrohungs-Feeds.
Workload-Identitätsrisiko
ID Protection bewertet auch Risiken für Workload-Identitäten (Service Principals und verwaltete Identitäten), nicht nur für Benutzerkonten. Anomales Service-Principal-Verhalten – etwa die Authentifizierung von einer neuen IP-Adresse oder der Zugriff auf ungewöhnliche Ressourcen – wird als Workload-Identitätsrisiko gekennzeichnet. Dies ist besonders relevant für kleine Unternehmen, die benutzerdefinierte Anwendungen oder Automatisierungsskripte über Entra-App-Registrierungen authentifiziert betreiben.
Integration mit Microsoft Sentinel
Der Entra-ID-Connector für Microsoft Sentinel leitet die ID-Protection-Risikoereignistabellen (AADRiskyUsers, AADUserRiskEvents, AADRiskyServicePrincipals) in den Sentinel-Arbeitsbereich weiter. Dies ermöglicht die Korrelation von Identitätsrisikosignalen mit anderen Datenquellen: Wenn ein Benutzer ein hohes Anmelderisiko aufweist und gleichzeitig eine ungewöhnliche DNS-Abfrage aus einem Netzwerk-Firewall-Protokoll generiert, kann eine Sentinel-Analyseregel einen verknüpften Vorfall erstellen.
Weiterfuehrende Artikel
- Conditional Access: ID Protection liefert die Risikosignale, Conditional Access erzwingt die Reaktion – Anmelderisiko-Richtlinien verlangen MFA bei mittlerem Risiko, Benutzerrisiko-Richtlinien erzwingen Kennworänderung bei hohem Risiko
- Microsoft Sentinel: ID-Protection-Risikoereignisse (AADRiskyUsers, AADUserRiskEvents) an Sentinel weiterleiten – Identitätsrisikosignale mit Endpunkt- und Netzwerkdaten korrelieren für verknüpfte Vorfallserkennung
- Microsoft Defender for Endpoint: MDE-Endpunktrisikosignale mit ID-Protection-Credential-Risikoerkennung kombinieren – wenn ein Gerät verdächtige Aktivitäten und das Benutzerkonto ein hohes Anmelderisiko zeigt, korreliert Defender XDR beides