
In diesem Blogbeitrag zeige ich, wie man die Sicherheitsstandards in Microsoft Entra ID deaktiviert. Außerdem erkläre ich, wann Sie die Deaktivierung der Sicherheitsstandardrichtlinie für Ihren Mandanten in Betracht ziehen sollten, und zeige bewährte Methoden zur Aufrechterhaltung der Sicherheit nach der Deaktivierung auf.
Laut Microsoft erleichtern Sicherheitsvorgaben den Schutz Ihres Unternehmens vor identitätsbezogenen Angriffen wie Passwort-Spray, Replay und Phishing, die in heutigen Umgebungen häufig vorkommen. Sie eignen sich hervorragend für kleine bis mittlere Mieter oder solche, die nicht in der Lage sind, detaillierte Richtlinien zu verwalten.
Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, sind die Sicherheitsstandards möglicherweise bereits in Ihrem Mandanten aktiviert. Microsoft hat angekündigt, dass Sicherheitsstandards automatisch auf alle neu erstellten Mandanten angewendet werden, um den Benutzerschutz zu gewährleisten. Wenn Ihre Organisation jedoch komplexe Sicherheitsanforderungen hat, können Sie diese deaktivieren und auf bedingten Zugriff umsteigen.
Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC
Was sind Sicherheitsstandards?
Vereinfacht ausgedrückt handelt es sich bei den Sicherheitsstandards um vorkonfigurierte Sicherheitseinstellungen, die von Microsoft bereitgestellt werden, um einen grundlegenden Schutz für Ihren Mandanten in Entra ID zu gewährleisten. Zu diesen Sicherheitsgrundsätzen gehören:
-
Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für Administratoren.
-
Schutz vor häufigen identitätsbezogenen Angriffen.
-
Benutzer müssen sich für MFA registrieren.
-
Blockierung älterer Authentifizierungsprotokolle, die anfällig für Angriffe sind.
Wann sollten die Sicherheitsstandards deaktiviert werden?
Das Deaktivieren der Sicherheitsstandards kann aus folgenden Gründen erforderlich sein:
-
Benutzerdefinierte Sicherheitsrichtlinien: Sicherheitsstandards unterstützen keine Anpassungen, die viele Organisationen benötigen. Richtlinien für bedingten Zugriff bieten eine umfassende Palette an Anpassungsmöglichkeiten, die komplexere Organisationen benötigen.
-
Unterstützung älterer Anwendungen: Bestimmte ältere Anwendungen erfordern möglicherweise Authentifizierungsmethoden, die durch Sicherheitsstandards blockiert werden.
-
Flexibilität: Sie benötigen eine genauere Kontrolle darüber, wie Sicherheitsmaßnahmen in Ihrem Mandanten angewendet werden. Wenn es um komplexe Szenarien geht, ist Conditional Access zweifellos die bessere Option.
-
Dienstkonten ausschließen: Sicherheitsstandards sollten deaktiviert werden, wenn Sie eine bessere Kontrolle und Anwendbarkeit über MFA wünschen.
-
Für Entwicklungsumgebungen: Sie können die Sicherheitsstandards in einer Testumgebung vorübergehend deaktivieren, um häufige MFA-Eingabeaufforderungen zu vermeiden, die die Entwicklungsaktivitäten stören können.
Voraussetzungen
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie die Sicherheitsstandards für Ihren Mandanten aktivieren.
-
Globaler Administrator oder Administrator mit privilegierter Rolle (für das Entra-Portal).
-
Entsprechende Graph-Berechtigungen (Policy.ReadWrite.SecurityDefaults) für Graph-basierte Methoden, falls Sie dies über PowerShell tun.
-
Für die Deaktivierung der Sicherheitsstandards ist keine Premium-Lizenz erforderlich; Für die Verwendung des bedingten Zugriffs ist jedoch mindestens die Entra-ID P1 erforderlich.
-
Ich empfehle, mindestens ein Notfallzugriffskonto und ein Glasbruchkonto mit strengen, überwachten Kontrollen vom bedingten Zugriff auszuschließen.
Achtung: Ich möchte hier einen wichtigen Punkt hervorheben. Sie sollten Sicherheitsstandards nur dann deaktivieren, wenn Sie bereit sind, sie durch gleichwertige oder stärkere Sicherheitsmaßnahmen zu ersetzen, wie z. B. die Implementierung von Richtlinien für bedingten Zugriff in Microsoft Entra ID. Wenn Sie es deaktivieren, ohne einen Plan zur sofortigen Implementierung von Alternativen zu haben, wird Ihr Unternehmen anfällig für häufige Angriffe. Daher wird empfohlen, es aktiviert zu lassen, es sei denn, Sie haben einen besonderen Bedarf.
Methode 1: Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center
Melden Sie sich mit Ihrem globalen Administratorkonto beim Microsoft Entra Admin Center an. Navigieren Sie zu Entra ID > Übersicht > Eigenschaften und klicken Sie unten auf Sicherheitsstandards verwalten. Klicken Sie auf das Dropdown-Menü „Sicherheitsstandards“ und wählen Sie „Deaktiviert“ aus. Wählen Sie einen gültigen Grund für die Deaktivierung der Sicherheitsstandards und klicken Sie dann auf Speichern.
Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center
Sie werden aufgefordert zu bestätigen, ob Sie die Sicherheitsstandards für Ihre Organisation deaktivieren möchten. Wählen Sie „Deaktivieren“ aus.
Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center
In der oberen rechten Ecke des Entra-Portals erscheint eine Benachrichtigung mit der Bestätigung „Sicherheitsstandardrichtlinie erfolgreich deaktiviert“. Das ist es!!
Deaktivieren Sie die Sicherheitsstandards mit dem Entra Admin Center
Navigieren Sie im Microsoft Entra Portal zu Entra ID > Übersicht > Eigenschaften. Scrollen Sie nach unten und im Abschnitt „Sicherheitsstandards“ wird die folgende Warnmeldung angezeigt: „Ihre Organisation ist nicht durch Sicherheitsstandards geschützt“. Dies bestätigt, dass Sie die Sicherheitseinstellungen für Ihren Mandanten erfolgreich deaktiviert haben.
Ihre Organisation ist nicht durch Sicherheitsstandards geschützt
Methode 2: Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell
Microsoft Graph PowerShell ist eine weitere nützliche Methode, mit der Sie die Sicherheitsstandards Ihres Mandanten deaktivieren können. Voraussetzung hierfür ist jedoch die Installation des Graphmoduls für PowerShell. Aber keine Sorge, ich habe eine Anleitung zur Installation des Microsoft Graph PowerShell-Moduls für Anfänger veröffentlicht, der Sie folgen können.
Schritt 1: Installieren Sie das Graph-Modul
Öffnen Sie zunächst die PowerShell und führen Sie den folgenden Befehl aus, um das Graph-Modul zu installieren.
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force
Kopie
Install-Module
Microsoft.Graph
-
Scope CurrentUser
-
Repository PSGallery
-
Force
Schritt 2: Stellen Sie eine Verbindung zu Microsoft Graph her
Stellen Sie als Nächstes mit dem folgenden Befehl eine Verbindung zum Diagramm her.
Connect-MgGraph -Scopes "Policy.ReadWrite.SecurityDefaults", "Policy.Read.All"
Kopie
Connect-MgGraph
-
Scopes
"Policy.ReadWrite.SecurityDefaults"
,
"Policy.Read.All"
Nachdem Sie den obigen Befehl ausgeführt haben, müssen Sie sich mit Ihren Arbeitsanmeldeinformationen anmelden und die Authentifizierung abschließen. Nach erfolgreicher Authentifizierung werden Sie von den Microsoft Graph-Befehlszeilentools aufgefordert, die Einwilligung im Namen Ihrer Organisation zu erteilen. Überprüfen Sie die erforderlichen App-Berechtigungen sorgfältig und klicken Sie auf „Akzeptieren“.
Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell
Schritt 3: Deaktivieren Sie die Sicherheitsstandards
Sobald Sie eine Verbindung zu MS Graph hergestellt haben, führen Sie den folgenden Befehl aus, um die Sicherheitsstandards für Ihren Mandanten dauerhaft zu deaktivieren.
Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled:$false
Kopie
Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy
-
IsEnabled:
$false
Deaktivieren Sie die Sicherheitsstandards mit Microsoft Graph PowerShell
Schritt 4: Überprüfen Sie, ob die Sicherheitsstandards deaktiviert sind
Um abschließend zu bestätigen, ob die Sicherheitsstandards deaktiviert sind, verwenden Sie den folgenden Befehl.
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | fl Id,IsEnabled,DisplayName
Kopie
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy
|
fl Id
,
IsEnabled
,
DisplayName
Wenn in der Befehlsausgabe IsEnabled=False angegeben ist, bedeutet dies, dass die Sicherheitsstandards deaktiviert sind. Wenn IsEnabled=True , bedeutet dies, dass die Sicherheitsstandards aktiv sind.
Überprüfen Sie, ob die Sicherheitsstandards über PowerShell deaktiviert sind
Best Practices nach dem Deaktivieren der Sicherheitsstandards
Kommen wir hier zum Hauptthema. Nachdem Sie nun die Sicherheitsstandards für Ihren Mandanten deaktiviert haben, wie geht es weiter? Denken Sie, dass die Deaktivierung der Sicherheitsstandards bedeutet, dass Sie Ihren Mandanten ungeschützt lassen sollten? Absolut nicht. Ich habe einige Best Practices aufgeführt, die nach dem Deaktivieren der Sicherheitsstandards befolgt werden müssen.
-
Implementieren Sie Richtlinien für bedingten Zugriff: Dies ist sehr wichtig. Nachdem Administratoren die Sicherheitsstandards deaktiviert haben, müssen Organisationen sofort Richtlinien für bedingten Zugriff aktivieren, um ihre Organisation zu schützen.
-
Überwachen Sie die Benutzeraktivität: Sie sollten die Anmeldeprotokolle und Überwachungsprotokolle regelmäßig auf verdächtige Aktivitäten überprüfen.
-
Aktivieren Sie MFA für alle Benutzer: Während die Sicherheitsstandards MFA für Administratoren erzwingen, ist es eine gute Idee, MFA für alle Benutzer in Ihrer Organisation zu fordern. Bestätigen Sie, dass MFA-Eingabeaufforderungen weiterhin durch den bedingten Zugriff erzwungen werden. Stellen Sie sicher, dass Administratorrollen für jede Anmeldung oder vertrauliche Aktion MFA erfordern.
Abschluss
Durch das Deaktivieren von Sicherheitsstandards in Microsoft Entra ID haben Sie die Flexibilität, benutzerdefinierte Sicherheitsrichtlinien zu implementieren, die besser auf die Anforderungen Ihres Unternehmens abgestimmt sind. Es ist jedoch wichtig, diese Standardeinstellungen so schnell wie möglich durch geeignete Richtlinien für den bedingten Zugriff zu ersetzen. Durch die Befolgung von Best Practices und den Einsatz von Tools wie Conditional Access können Sie einen starken Sicherheitsstatus aufrechterhalten und gleichzeitig den Schutz an Ihre individuellen Anforderungen anpassen.
Teilen Sie mir Ihre Meinung mit oder teilen Sie mir Ihre Erfahrungen mit der Verwaltung von Sicherheitseinstellungen in Microsoft Entra ID!
Brauchen Sie noch Hilfe?
Wenn Sie weitere Hilfe zu dem oben genannten Artikel benötigen oder andere technische Probleme besprechen möchten, sehen Sie sich einige dieser Optionen an.
Foren
Telegramm
Kontaktieren Sie mich
*️⃣ Quelllink:
Microsoft , Mandant,
,
Entra ID P1 ,
Richtlinien für bedingten Zugriff in Microsoft Entra ID,
Microsoft Entra Admin Center, Installation des Microsoft Graph PowerShell-Moduls,
Foren
, Telegramm ,
Kontaktieren Sie mich
,