Top 5 Azure AD Empfehlungen für Regeln

Es ist wichtig beim Einsatz der Azure AD bestimmte Grundregeln einzuhalten. Im Rahmen dessen habe ich einmal im Rahmen eines Vortrages auf einer Konferenz einen 60 minütigen Vortrag gehalten. In diesem Beitrag möchte ich diesen in einem Blogbeitrag für alle umsetzen:

Meine Top 5

Es sind die Top5 und keine anschließende Liste! Ich werde diese in den nächsten Wochen erweitern.

1. Azure MFA für Administratoren 

Es ist wichtig, dass Accounts von Administratoren zusätzlich mit Multi-Faktor ausgestattet sind, um diese besser schützen zu können. Ebenso sollten die Administratoren einen zusätzlichen Account haben und ihre Admin-Rechte nicht über ihren täglichen Account nutzen.

Zusätzlich gibt es die Möglichkeit mit Conditional Access eine Security Baseline zu setzen, so dass Admin sich MFA auch nicht nehmen können. Für größere Unternehmen sollte man diese lieber selber setzen.

2. Risikobasierte MFA für Anwender 

NutzerInnen, die mit einem Risiko behaftete sind wie Vorstandsvorsitzende, VIPs, Fußballer oder Accounts, die häufiger schon angegriffen wurden, sollten mit MFA ausgestattet werden. Dies ist auch automatisch möglich und kann mit Regeln bestimmt werden. 

Dies muss jedoch vorbereitet werden, da ein einfaches Aktivieren von MFA mit einem Klick machbar ist, aber die Nutzerfreundlichkeit wird stark eingeschränkt. Ein aktiviertes MFA kann hinderlich sein und den Anwender in andere Werkzeuge treiben, so das das Risiko von Datenverlust und Angriffen erhöhter ist als zuvor. Stichpunkte sind: Token, Smartphone, Authentifikator-App, Nutzung mit Office und anderen Anwendungen

3. Anforderung von konformen PCs und Geräterisiken mit konformem bedingtem Zugriff 

Es ist anzuraten mit Conditional Access und Intune zu arbeiten, um den Zugriff auf Ressourcen des Unternehmens nur von gesicherten Geräten zu ermöglichen. Sollte zum Beispiel ein iPhone mit einem Jailbreak versehen werden, dann wird der Zugriff mit diesem Gerät automatisch verhindert. 

4. Schutz für mobile Anwendungen

Mittels Mobile Applikation Management mit z.B. Intune ist es möglich auch mobile Anwendungen zu schützen. Als Erweiterung ist ein CASB Werkzeug wie z.B. MCAS sinnvoll. So können Anwendungen als Business-Anwendungen gekennzeichnet werden.

Desweiteren ist es ratsam auch eigene mobile Anwendungen an die Azure AD zu hängen, so dass es möglichst wenige unterschiedliche Accounts gibt. 

5. Nur genehmigte Apps zulassen

Desweiteren ist es wichtig den App-Store lediglich mit genehmigten und geprüften Apps für Geräte des Unternehmens zuzulassen.  Nur bei diesen Apps kann sich der Anwender anmelden und diese nutzen. Somit ist es möglich auch die Apps, deren Inhalte und auch den möglichen Datenabfluss zu kontrollieren. Weiterhin kann verhindert werden, dass Rechte wie Urheberrechte verletzt werden oder von fremden Applikationen Angriffe auf das Unternehmen gefahren werden.