Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Microsoft Entra ID (Azure AD) härten: Sicherheitskonfiguration für KMU - Cybersicherheit und digitaler Schutz
Netzwerk- & Endpoint Security

Microsoft Entra ID (Azure AD) härten: Sicherheitskonfiguration für KMU

Microsoft Entra ID ist das Identity-System von über 300 Millionen Unternehmensnutzern - und ein primäres Angriffsziel. Dieser Guide erklärt die wichtigsten Sicherheitskonfigurationen: Conditional Access, Privileged Identity Management, Identity Protection, Security Defaults und wie KMU ohne Enterprise-Lizenz ihre Entra-ID-Umgebung absichern.

Vincent Heinen Vincent Heinen Abteilungsleiter Offensive Services
10 Min. Lesezeit
OSCP+ OSCP OSWP OSWA

TL;DR

Fünf Conditional Access Policies bilden das Minimum für eine sichere Entra ID-Umgebung: Legacy-Authentifizierung sofort blockieren, MFA für alle User und Admins erzwingen, Admin-Zugang auf verwaltete Geräte beschränken und risikobasierte Anmeldungen automatisch abfangen. KMU ohne Enterprise-Lizenz sichern ihren Tenant mit Security Defaults (kostenlos) oder M365 Business Premium (~26 EUR/User/Monat) ab, das Entra ID P1 inklusive Conditional Access enthält. Das größte Einzelrisiko sind permanente Global Admins als Alltags-Konten - maximal 2-4 dieser Konten sollten existieren, ausschließlich als separate Admin-Accounts, nie für E-Mail und Teams.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (5 Abschnitte)

Microsoft Entra ID (früher Azure Active Directory) ist für Unternehmen die wichtigste Authentifizierungsinfrastruktur geworden. Wer M365, Teams, Azure oder andere Microsoft-Dienste nutzt, authentifiziert sich über Entra ID. Das macht es zum attraktivsten Ziel für Angreifer - und zur kritischsten Sicherheitskomponente.

Security Defaults und Lizenz-Überblick

Lizenzebenen im Vergleich

LizenzEnthaltene SicherheitsfunktionenKosten
Free (im M365 inklusive)Security Defaults, MFA für alle User aktivierbar, grundlegendes Conditional Access-
Entra ID P1 (oder M365 Business Premium)Vollständiges Conditional Access, Self-Service Password Reset, Group-based Licensing~6 EUR/User/Monat
Entra ID P2 (oder M365 E5)Privileged Identity Management (PIM), Identity Protection, Access Reviews~9 EUR/User/Monat

Empfehlung für KMU: M365 Business Premium (~26 EUR/User/Monat) enthält Entra ID P1, Intune und Defender for Business - alles was ein KMU für solide Sicherheit braucht.

Security Defaults (kostenlos)

Security Defaults sollten sofort aktiviert werden wenn kein eigenes Conditional Access vorhanden ist:

  • MFA für alle Admins: Pflicht
  • MFA für alle User: bedarfsweise
  • Legacy-Authentifizierung blockiert
  • Schutz für privilegierte Aktionen

Aktivierung: Entra ID → Properties → Security Defaults.

Wichtig: Wenn P1/P2 vorhanden ist, Security Defaults deaktivieren und eigene CA-Policies einrichten - beides gleichzeitig führt zu Konflikten.

Conditional Access - Das Herzstück

Conditional Access (CA) Policies folgen dem Prinzip: Wenn [Bedingungen] → Dann [Aktion]. Jede Entra-ID-Umgebung braucht mindestens diese Policies:

Policy 1: MFA für alle User (Basis-Policy)

  • Users: Alle User
  • Cloud Apps: Alle Apps
  • Grant: Require MFA
  • Alle User müssen MFA bei jedem Login durchführen.

Policy 2: MFA für alle Admins (kritisch)

  • Users: Alle Admin-Rollen (Global Admin, Security Admin, etc.)
  • Cloud Apps: Alle Apps
  • Grant: Require MFA + Require compliant device
  • Admins benötigen MFA und ein managed Device.

Policy 3: Legacy Auth blockieren

  • Cloud Apps: Alle Apps
  • Conditions: Client Apps → Exchange ActiveSync, andere Legacy Clients
  • Grant: Block
  • Verhindert Angriffe via veralteter Protokolle (Basic Auth, NTLM). Diese Policy sollte sofort aktiviert werden - Legacy Auth ist ein Bypass für viele CA-Policies.

Policy 4: Risikobasierter Schutz (P2)

  • Sign-in Risk: Mittel oder Hoch
  • Grant: Require MFA
  • Entra Identity Protection erkennt automatisch: Login aus ungewöhnlicher Location, TOR-Browser-Nutzung, Spray-Attack-Pattern.

Policy 5: Admin-Zugang nur von sicheren Geräten

  • Users: Admin-Rollen
  • Cloud Apps: Azure Portal, Entra Admin Center
  • Device State: Compliant (Intune) ODER Hybrid Azure AD Joined
  • Grant: Require compliant device
  • Admins können nur von verwalteten PCs auf das Admin-Portal zugreifen.

Named Locations für Home-Office

Definiere das Firmennetz als Named Location (öffentliche IP-Adressen). Die CA Policy unterscheidet dann: im Firmennetz niedrigeres Risiko (MFA nur bei Hochrisiko), extern immer MFA. Bekannte Standorte wie Hauptsitz und bekannte Home-Office-IPs können als vertrauenswürdig eingestuft werden.

CA Insights und Reporting sind unter Entra ID → Monitoring → Sign-ins verfügbar: fehlgeschlagene Logins (Brute Force sichtbar?), Legacy-Auth-Logins (noch vorhanden?), Auswertung welche CA-Policy wo greift.

Privilegierte Rollen absichern

Warum Admin-Konten so gefährlich sind

Ein Global Admin kann alles: User löschen, Billing ändern, MFA deaktivieren. Ein kompromittierter Global Admin bedeutet vollständigen Tenant-Verlust. Angreifer wissen das - “Global Admin” ist das primäre Ziel.

Regel 1: Kein permanenter Global Admin für normale Arbeit

Schlechte Praxis: IT-Admin hat Global Admin als täglichen Account und nutzt diesen für E-Mail, Teams und alles weitere.

Gute Praxis: IT-Admin hat einen separaten Admin-Account (z.B. max.admin@firma.de). Die tägliche Arbeit läuft über den normalen User-Account. Der Admin-Account wird nur für Admin-Aufgaben genutzt und ist mit zusätzlichem MFA abgesichert.

Regel 2: Anzahl Global Admins minimieren

Maximal 2-4 Global Admins für den Notfall. Alle anderen erhalten spezifischere Rollen nach Least Privilege:

  • Helpdesk → User Administrator (kann Passwörter resetten, aber nicht alles)
  • Security → Security Administrator
  • Compliance → Compliance Administrator

Privileged Identity Management (PIM) - nur P2

PIM ermöglicht Just-in-Time (JIT) Admin-Rechte. Die Aktivierung von Global Admin ist nur für z.B. 60 Minuten möglich, erfordert eine Begründung und optionale Genehmigung durch eine zweite Person. Bei Aktivierung wird ein SOC-Alert ausgelöst.

Konfiguration: Entra ID → Identity Governance → Privileged Identity Management → Roles → Global Administrator → Settings:

  • Maximum activation duration: 60 Minuten
  • Require approval: ja (Approver: IT-Leitung)
  • Require MFA on activation: ja
  • Require justification: ja
  • Send notifications: ja (an Security-Team)

Break-Glass-Accounts (Notfall-Konten)

Zwei Konten mit Global Admin die ausschließlich im Notfall genutzt werden. Sie benötigen kein MFA-Gerät (langes, komplexes Passwort im Safe). Sie sind von allen CA-Policies ausgeschlossen (sonst droht Lockout). Jeder Login dieser Accounts löst sofort einen Alert aus. Sie werden regelmäßig getestet (Passwort-Rotation, Zugangsprüfung).

Identity Protection und Angriffsschutz

Was Microsoft Entra Identity Protection erkennt (P2)

  • Anonymous IP Address: TOR, VPN
  • Atypical Travel: Login München, eine Stunde später Login Tokyo
  • Malware Linked IP Address: aus Microsoft Threat Intelligence
  • Password Spray: viele Logins mit unterschiedlichen Passwörtern
  • Leaked Credentials: Passwort aus HIBP-Datenbank bekannt

Risiko-Policies konfigurieren

User Risk Policy:

  • When user risk: High
  • Then: Require password change + MFA

Sign-in Risk Policy:

  • When sign-in risk: Medium or above
  • Then: Require MFA

Password Spray erkennen

Unter Entra ID → Security → Risky Sign-ins nach Sign-in risk level = High filtern. Viele fehlgeschlagene Logins verschiedener User von der gleichen IP? Das ist sehr wahrscheinlich ein Password Spray.

Passwortschutz (Entra Password Protection)

Sperrt bekannte schwache Passwörter (global und benutzerdefiniert). “Company123!”, “Sommer2024” und “Passwort1” werden blockiert. Die benutzerdefinierte Liste sollte eigene Unternehmensnamen und Produktnamen enthalten - Angreifer versuchen diese gezielt als Passwort. Auch für On-Premises AD möglich (Agent auf DC installieren).

Aktivierung: Entra ID → Security → Authentication Methods → Password Protection → Custom banned passwords.

SSPR sicher konfigurieren

Self-Service Password Reset spart Helpdesk-Tickets und reduziert gleichzeitig Schwachstellen. Für SSPR sollten mindestens 2 Authentifizierungsmethoden erforderlich sein. Empfohlen: Authenticator App und E-Mail (kein SMS). Security Questions sollten nicht erlaubt werden (zu leicht zu erraten). Alle User sollten zur Registrierung verpflichtet werden.

Monitoring und Alerting

Wichtige Log-Typen

Log-TypInhalt
Sign-in LogsAlle Login-Versuche (erfolgreich und fehlgeschlagen)
Audit LogsAlle Änderungen (User angelegt, Rolle zugewiesen, etc.)
Risk EventsIdentity Protection Findings
ProvisioningAutomatische User-Erstellung und -Löschung

Export ins SIEM

Entra ID → Monitoring → Diagnostic Settings → Hinzufügen. Logs: SignInLogs, AuditLogs, RiskyUsers, UserRiskEvents → Log Analytics Workspace (für Sentinel).

Kritische Alerts

Folgende Alerts sollten immer aktiv sein:

  • Neuer Global Admin erstellt
  • MFA für User deaktiviert
  • Legacy Auth erfolgreich genutzt
  • Break-Glass-Account Login
  • User mit Identity Protection Risk = High
  • Conditional Access Policy geändert
  • Service Principal erstellt mit Admin-Berechtigungen

KQL-Query für Brute-Force-Erkennung (Sentinel)

SigninLogs
| where TimeGenerated > ago(1h)
| where ResultType != 0  // Fehlgeschlagene Logins
| summarize FailedCount = count(),
            UniqueUsers = dcount(UserPrincipalName)
  by IPAddress
| where FailedCount > 20
| order by FailedCount desc

Microsoft Secure Score

Unter Microsoft 365 Defender → Secure Score ist der aktuelle Sicherheitsstatus (0-100%) sichtbar, mit priorisierten Empfehlungen nach Punktgewinn und Aufwand sowie einem Benchmark-Vergleich mit ähnlichen Organisationen. Das Ziel für eine solide Baseline liegt bei über 70% Secure Score.

Microsoft Entra ID richtig konfiguriert ist einer der wirksamsten Schutzfaktoren gegen Account-Takeover. AWARE7 analysiert bestehende Entra-ID-Konfigurationen und empfiehlt priorisierte Härtungsmaßnahmen.

Entra ID Assessment anfragen | ISO 27001 Beratung

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung