2 Möglichkeiten zum Deaktivieren von Sicherheitsstandards in Entra ID

/de/images/Disable-Security-Defaults-in-Entra-ID_ftimg.png

In diesem Blogbeitrag zeige ich, wie man die Sicherheitsstandards in Microsoft Entra ID deaktiviert. Außerdem erkläre ich, wann Sie die Deaktivierung der Sicherheitsstandardrichtlinie für Ihren Mandanten in Betracht ziehen sollten, und zeige bewährte Methoden zur Aufrechterhaltung der Sicherheit nach der Deaktivierung auf.

Laut Microsoft erleichtern Sicherheitsvorgaben den Schutz Ihres Unternehmens vor identitätsbezogenen Angriffen wie Passwort-Spray, Replay und Phishing, die in heutigen Umgebungen häufig vorkommen. Sie eignen sich hervorragend für kleine bis mittlere Mieter oder solche, die nicht in der Lage sind, detaillierte Richtlinien zu verwalten.

Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, sind die Sicherheitsstandards möglicherweise bereits in Ihrem Mandanten aktiviert. Microsoft hat angekündigt, dass Sicherheitsstandards automatisch auf alle neu erstellten Mandanten angewendet werden, um den Benutzerschutz zu gewährleisten. Wenn Ihre Organisation jedoch komplexe Sicherheitsanforderungen hat, können Sie diese deaktivieren und auf bedingten Zugriff umsteigen.

/de/images/PatchMyPC-AppCatalog-725x250-1.jpg Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC

Was sind Sicherheitsstandards?

Vereinfacht ausgedrückt handelt es sich bei den Sicherheitsstandards um vorkonfigurierte Sicherheitseinstellungen, die von Microsoft bereitgestellt werden, um einen grundlegenden Schutz für Ihren Mandanten in Entra ID zu gewährleisten. Zu diesen Sicherheitsgrundsätzen gehören:

  1. Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für Administratoren.

  2. Schutz vor häufigen identitätsbezogenen Angriffen.

  3. Benutzer müssen sich für MFA registrieren.

  4. Blockierung älterer Authentifizierungsprotokolle, die anfällig für Angriffe sind.

Wann sollten die Sicherheitsstandards deaktiviert werden?

Das Deaktivieren der Sicherheitsstandards kann aus folgenden Gründen erforderlich sein:

  • Benutzerdefinierte Sicherheitsrichtlinien: Sicherheitsstandards unterstützen keine Anpassungen, die viele Organisationen benötigen. Richtlinien für bedingten Zugriff bieten eine umfassende Palette an Anpassungsmöglichkeiten, die komplexere Organisationen benötigen.

  • Unterstützung älterer Anwendungen: Bestimmte ältere Anwendungen erfordern möglicherweise Authentifizierungsmethoden, die durch Sicherheitsstandards blockiert werden.

  • Flexibilität: Sie benötigen eine genauere Kontrolle darüber, wie Sicherheitsmaßnahmen in Ihrem Mandanten angewendet werden. Wenn es um komplexe Szenarien geht, ist Conditional Access zweifellos die bessere Option.

  • Dienstkonten ausschließen: Sicherheitsstandards sollten deaktiviert werden, wenn Sie eine bessere Kontrolle und Anwendbarkeit über MFA wünschen.

  • Für Entwicklungsumgebungen: Sie können die Sicherheitsstandards in einer Testumgebung vorübergehend deaktivieren, um häufige MFA-Eingabeaufforderungen zu vermeiden, die die Entwicklungsaktivitäten stören können.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie die Sicherheitsstandards für Ihren Mandanten aktivieren.

  • Globaler Administrator oder Administrator mit privilegierter Rolle (für das Entra-Portal).

  • Entsprechende Graph-Berechtigungen (Policy.ReadWrite.SecurityDefaults) für Graph-basierte Methoden, falls Sie dies über PowerShell tun.

  • Für die Deaktivierung der Sicherheitsstandards ist keine Premium-Lizenz erforderlich; Für die Verwendung des bedingten Zugriffs ist jedoch mindestens die Entra-ID P1 erforderlich.

  • Ich empfehle, mindestens ein Notfallzugriffskonto und ein Glasbruchkonto mit strengen, überwachten Kontrollen vom bedingten Zugriff auszuschließen.

Achtung: Ich möchte hier einen wichtigen Punkt hervorheben. Sie sollten Sicherheitsstandards nur dann deaktivieren, wenn Sie bereit sind, sie durch gleichwertige oder stärkere Sicherheitsmaßnahmen zu ersetzen, wie z. B. die Implementierung von Richtlinien für bedingten Zugriff in Microsoft Entra ID. Wenn Sie es deaktivieren, ohne einen Plan zur sofortigen Implementierung von Alternativen zu haben, wird Ihr Unternehmen anfällig für häufige Angriffe. Daher wird empfohlen, es aktiviert zu lassen, es sei denn, Sie haben einen besonderen Bedarf.

Methode 1: Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center

Melden Sie sich mit Ihrem globalen Administratorkonto beim Microsoft Entra Admin Center an. Navigieren Sie zu Entra ID > Übersicht > Eigenschaften und klicken Sie unten auf Sicherheitsstandards verwalten. Klicken Sie auf das Dropdown-Menü „Sicherheitsstandards“ und wählen Sie „Deaktiviert“ aus. Wählen Sie einen gültigen Grund für die Deaktivierung der Sicherheitsstandards und klicken Sie dann auf Speichern.

/de/images/Disable-Security-Defaults-using-Entra-Admin-Center-Snap1-1024x683.png Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center

Sie werden aufgefordert zu bestätigen, ob Sie die Sicherheitsstandards für Ihre Organisation deaktivieren möchten. Wählen Sie „Deaktivieren“ aus.

/de/images/Disable-Security-Defaults-using-Entra-Admin-Center-Snap2-1024x610.png Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center

In der oberen rechten Ecke des Entra-Portals erscheint eine Benachrichtigung mit der Bestätigung „Sicherheitsstandardrichtlinie erfolgreich deaktiviert“. Das ist es!!

/de/images/Disable-Security-Defaults-using-Entra-Admin-Center-Snap3-1024x573.png Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center

Navigieren Sie im Microsoft Entra Portal zu Entra ID > Übersicht > Eigenschaften. Scrollen Sie nach unten und im Abschnitt „Sicherheitsstandards“ wird die folgende Warnmeldung angezeigt: „Ihre Organisation ist nicht durch Sicherheitsstandards geschützt“. Dies bestätigt, dass Sie die Sicherheitseinstellungen für Ihren Mandanten erfolgreich deaktiviert haben.

/de/images/Check-if-Security-Defaults-are-disabled-1024x938.png Ihre Organisation ist nicht durch Sicherheitsstandards geschützt

Methode 2: Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell

Microsoft Graph PowerShell ist eine weitere nützliche Methode, mit der Sie die Sicherheitsstandards Ihres Mandanten deaktivieren können. Voraussetzung hierfür ist jedoch die Installation des Graphmoduls für PowerShell. Aber keine Sorge, ich habe eine Anleitung zur Installation des Microsoft Graph PowerShell-Moduls für Anfänger veröffentlicht, der Sie folgen können.

Schritt 1: Installieren Sie das Graph-Modul

Öffnen Sie zunächst die PowerShell und führen Sie den folgenden Befehl aus, um das Graph-Modul zu installieren.


Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force

Kopie


Install-Module

 Microsoft.Graph 

-

Scope CurrentUser 

-

Repository PSGallery 

-

Force


Schritt 2: Stellen Sie eine Verbindung zu Microsoft Graph her

Stellen Sie als Nächstes mit dem folgenden Befehl eine Verbindung zum Diagramm her.


Connect-MgGraph -Scopes "Policy.ReadWrite.SecurityDefaults", "Policy.Read.All"

Kopie


Connect-MgGraph

 

-

Scopes 

"Policy.ReadWrite.SecurityDefaults"

,

 

"Policy.Read.All"


Nachdem Sie den obigen Befehl ausgeführt haben, müssen Sie sich mit Ihren Arbeitsanmeldeinformationen anmelden und die Authentifizierung abschließen. Nach erfolgreicher Authentifizierung werden Sie von den Microsoft Graph-Befehlszeilentools aufgefordert, die Einwilligung im Namen Ihrer Organisation zu erteilen. Überprüfen Sie die erforderlichen App-Berechtigungen sorgfältig und klicken Sie auf „Akzeptieren“.

/de/images/Disable-Security-Defaults-using-Microsoft-Graph-PowerShell-Snap1-1024x793.png Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell

Schritt 3: Deaktivieren Sie die Sicherheitsstandards

Sobald Sie eine Verbindung zu MS Graph hergestellt haben, führen Sie den folgenden Befehl aus, um die Sicherheitsstandards für Ihren Mandanten dauerhaft zu deaktivieren.


Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled:$false

Kopie


Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy

 

-

IsEnabled:

$false


/de/images/Disable-Security-Defaults-using-Microsoft-Graph-PowerShell-Snap2-1024x368.png Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell

Schritt 4: Überprüfen Sie, ob die Sicherheitsstandards deaktiviert sind

Um abschließend zu bestätigen, ob die Sicherheitsstandards deaktiviert sind, verwenden Sie den folgenden Befehl.


Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | fl Id,IsEnabled,DisplayName

Kopie


Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy

 

|

 fl Id

,

IsEnabled

,

DisplayName


Wenn in der Befehlsausgabe IsEnabled=False angegeben ist, bedeutet dies, dass die Sicherheitsstandards deaktiviert sind. Wenn IsEnabled=True , bedeutet dies, dass die Sicherheitsstandards aktiv sind.

/de/images/Verify-if-Security-Defaults-are-disabled-via-PowerShell-1024x353.png Überprüfen Sie, ob die Sicherheitsstandards über PowerShell deaktiviert sind

Best Practices nach dem Deaktivieren der Sicherheitsstandards

Kommen wir hier zum Hauptthema. Nachdem Sie nun die Sicherheitsstandards für Ihren Mandanten deaktiviert haben, wie geht es weiter? Denken Sie, dass die Deaktivierung der Sicherheitsstandards bedeutet, dass Sie Ihren Mandanten ungeschützt lassen sollten? Absolut nicht. Ich habe einige Best Practices aufgeführt, die nach dem Deaktivieren der Sicherheitsstandards befolgt werden müssen.

  1. Implementieren Sie Richtlinien für bedingten Zugriff: Dies ist sehr wichtig. Nachdem Administratoren die Sicherheitsstandards deaktiviert haben, müssen Organisationen sofort Richtlinien für bedingten Zugriff aktivieren, um ihre Organisation zu schützen.

  2. Überwachen Sie die Benutzeraktivität: Sie sollten die Anmeldeprotokolle und Überwachungsprotokolle regelmäßig auf verdächtige Aktivitäten überprüfen.

  3. Aktivieren Sie MFA für alle Benutzer: Während die Sicherheitsstandards MFA für Administratoren erzwingen, ist es eine gute Idee, MFA für alle Benutzer in Ihrer Organisation zu fordern. Bestätigen Sie, dass MFA-Eingabeaufforderungen weiterhin durch den bedingten Zugriff erzwungen werden. Stellen Sie sicher, dass Administratorrollen für jede Anmeldung oder vertrauliche Aktion MFA erfordern.

Abschluss

Durch das Deaktivieren von Sicherheitsstandards in Microsoft Entra ID haben Sie die Flexibilität, benutzerdefinierte Sicherheitsrichtlinien zu implementieren, die besser auf die Anforderungen Ihres Unternehmens abgestimmt sind. Es ist jedoch wichtig, diese Standardeinstellungen so schnell wie möglich durch geeignete Richtlinien für den bedingten Zugriff zu ersetzen. Durch die Befolgung von Best Practices und den Einsatz von Tools wie Conditional Access können Sie einen starken Sicherheitsstatus aufrechterhalten und gleichzeitig den Schutz an Ihre individuellen Anforderungen anpassen.

Teilen Sie mir Ihre Meinung mit oder teilen Sie mir Ihre Erfahrungen mit der Verwaltung von Sicherheitseinstellungen in Microsoft Entra ID!

Brauchen Sie noch Hilfe?

Wenn Sie weitere Hilfe zu dem oben genannten Artikel benötigen oder andere technische Probleme besprechen möchten, sehen Sie sich einige dieser Optionen an.

Foren

Telegramm

Kontaktieren Sie mich

*️⃣ Quelllink:

Microsoft , Mandant, /de/images/PatchMyPC-AppCatalog-725x250-1.jpg , Entra ID P1 , Richtlinien für bedingten Zugriff in Microsoft Entra ID, Microsoft Entra Admin Center, Installation des Microsoft Graph PowerShell-Moduls,

Foren

, Telegramm ,

Kontaktieren Sie mich

,