So wenden Sie das Zero Trust-Modell mit Entra ID und Intune an

So wenden Sie das Zero Trust-Modell mit Entra ID und Intune an

08.02.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieure bei der Implementierung des Zero Trust-Sicherheitsmodells unter Verwendung der Funktionen von Microsoft Entra ID (ehemals Azure Active Directory) und Microsoft Intune anleiten. Das auf dem „Niemals vertrauen, immer überprüfen“-Prinzip basierende Zero-Trust-Modell ist ein moderner Sicherheitsansatz, der davon ausgeht, dass keiner Zugriffsanfrage automatisch vertraut werden sollte, unabhängig davon, woher sie kommt oder auf welche Ressource sie zuzugreifen versucht [1].

Einführung

Mit der Ausweitung der Remote-Arbeit, der Verbreitung persönlicher Geräte und der Migration in die Cloud ist der traditionelle Sicherheitsbereich von Unternehmensnetzwerken obsolet geworden. Als Reaktion auf dieses neue Szenario entsteht das Zero-Trust-Modell, das eine explizite Überprüfung für jeden Zugriffsversuch erfordert, den Zugriff mit den geringsten Privilegien gewährt und immer von einem Verstoß ausgeht. Microsoft Entra ID und Microsoft Intune sind entscheidende Komponenten für den Aufbau einer robusten Zero-Trust-Architektur, die Identitäten bzw. Endpunkte schützt [2].

Dieser praktische Leitfaden behandelt die Prinzipien von Zero Trust und zeigt, wie Microsoft Entra ID und Microsoft Intune konfiguriert und integriert werden, um diese Prinzipien anzuwenden. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser die Sicherheitslage seines Unternehmens mit einem Zero-Trust-Ansatz implementieren und stärken kann.

Zero-Trust-Prinzipien

Das Zero-Trust-Modell basiert auf drei Grundprinzipien [3]:

  1. Explizit überprüfen: Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten, einschließlich Benutzeridentität, Standort, Gerätezustand, Ressourcenempfindlichkeit und Anomalien.
  2. Zugriff mit den geringsten Privilegien verwenden: Beschränken Sie den Benutzerzugriff auf das Notwendige. Nutzen Sie Just-In-Time (JIT) und Just-Enough Access (JEA), risikobasierte adaptive Richtlinien und Datenschutz, um Daten und Produktivität zu schützen.
  3. Bruch vermuten: Minimieren Sie den Explosionsradius und den Segmentzugang. Überprüfen Sie die Ende-zu-Ende-Verschlüsselung und nutzen Sie Analysen, um Transparenz zu gewinnen, Bedrohungen zu erkennen und die Abwehrmaßnahmen zu verbessern.

Voraussetzungen

Um das Zero Trust-Modell mit Microsoft Entra ID und Intune zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Lizenzen, die für Microsoft Entra ID Premium P1 oder P2 (für bedingten Zugriff) und Microsoft Intune (normalerweise Teil von Microsoft 365 E3/E5- oder EMS E3/E5-Paketen) geeignet sind [4].
  2. Administratorzugriff: Konten mit den Berechtigungen „Globaler Administrator“, „Sicherheitsadministrator“ oder „Intune-Administrator“ auf den Portalen Microsoft Entra Admin Center („entra.microsoft.com“) und Microsoft Endpoint Manager Admin Center („endpoint.microsoft.com“).
  3. Intune-registrierte Geräte: Windows 10/11-Geräte, die bereits von Microsoft Intune registriert und verwaltet werden.
  4. Identitäten in Microsoft Entra ID: Benutzer und Gruppen, die in Microsoft Entra ID synchronisiert oder erstellt werden.

Schritt für Schritt: Anwendung des Zero-Trust-Modells

Wir konzentrieren uns darauf, wie Microsoft Entra ID und Intune zusammenarbeiten, um Zero-Trust-Prinzipien durchzusetzen, insbesondere „Explizite Überprüfung“ und „Zugriff mit den geringsten Berechtigungen verwenden“.

1. Stärkung der Identität mit Microsoft Entra ID

Microsoft Entra ID ist das Rückgrat von Zero Trust für Identitäten und stellt sicher, dass nur verifizierte Benutzer Zugriff haben.

1.1. Implementieren Sie die Multi-Faktor-Authentifizierung (MFA)

MFA ist ein grundlegender Bestandteil des „Explicitly Check“-Prinzips.

  1. Konfigurieren Sie MFA über bedingten Zugriff: Erstellen Sie wie in Artikel 3 beschrieben eine Richtlinie für bedingten Zugriff, um MFA für alle Benutzer oder für bestimmte Gruppen oder für den Zugriff von außerhalb des Unternehmensnetzwerks zu erfordern.
    • Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff.
    • Erstellen Sie eine neue Richtlinie mit den folgenden Einstellungen:
      • Zuweisungen > Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer (außer Notfallkonten).
      • Cloud-Ressourcen oder -Aktionen: Alle Cloud-Anwendungen.
      • Gewähren: Aktivieren Sie Mehrfaktorauthentifizierung erforderlich.
      • Richtlinie aktivieren: Aktiviert.

1.2. Aktivieren Sie den Azure AD-Identitätsschutz

Identity Protection erkennt Schwachstellen, die sich auf die Identitäten Ihres Unternehmens auswirken, konfiguriert automatisierte risikobasierte Richtlinien zum Schutz dieser Identitäten und untersucht riskante Aktivitäten [5].

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Identitätsschutz.
  2. Richtlinien zum Benutzerrisiko: Konfigurieren Sie diese Richtlinie so, dass für Benutzer mit mittlerem oder hohem Risiko MFA oder ein Zurücksetzen des Passworts erforderlich ist.
    • Rollen > Benutzer: Wählen Sie Alle Benutzer aus.
    • Bedingungen > Benutzerrisiko: Wählen Sie Mittel und höher.
    • Kontrollen > Zugriff: Zugriff gewähren und Zurücksetzen des Passworts erforderlich oder Mehrfaktorauthentifizierung erforderlich.
    • Richtlinie aktivieren: Aktiviert.
  3. Eingaberisikorichtlinien: Konfigurieren Sie diese Richtlinie, um MFA für riskante Eingaben zu blockieren oder zu erfordern.
    • Rollen > Benutzer: Wählen Sie Alle Benutzer aus.
    • Bedingungen > Eintrittsrisiko: Wählen Sie Mittel und höher.
    • Kontrollen > Zugriff: Zugriff gewähren und Mehrfaktorauthentifizierung erforderlich (oder Zugriff blockieren für hohes Risiko).
    • Richtlinie aktivieren: Aktiviert.

2. Sicherstellung der Endpunktintegrität mit Microsoft Intune

Intune stellt sicher, dass Geräte, die auf Unternehmensressourcen zugreifen, fehlerfrei und kompatibel sind, indem das Prinzip der „expliziten Prüfung“ auf das Gerät angewendet wird.

2.1. Erstellen Sie Geräte-Compliance-Richtlinien

Compliance-Richtlinien definieren die Sicherheitsanforderungen, die ein Gerät erfüllen muss, um als konform zu gelten. Bei nicht konformen Geräten kann der Zugriff über den bedingten Zugriff blockiert oder eingeschränkt werden.

  1. Gehen Sie im Microsoft Endpoint Manager Admin Center („https://endpoint.microsoft.com“) zu Endpoint Security > Gerätekonformität > Richtlinien.
  2. Klicken Sie auf Richtlinie erstellen.
  3. Plattform: Windows 10 und höher.
  4. Compliance-Einstellungen:
    • Geräteintegrität: Erfordert BitLocker, Secure Boot usw.
    • Gerätesicherheit: Erfordert Antivirenprogramm (z. B. Microsoft Defender Antivirus), Firewall, komplexe Passwörter usw.
    • Geräteeigenschaften: Erfordert eine Mindestversion des Betriebssystems.
  5. Aktionen bei Nichtkonformität: Konfigurieren Sie Aktionen wie das sofortige Markieren des Geräts als nicht konform oder nach einer Kulanzfrist.
  6. Zuweisungen: Weisen Sie die Richtlinie den relevanten Windows-Gerätegruppen zu.

2.2. Erstellen Sie Gerätekonfigurationsprofile

Mit Konfigurationsprofilen können Sie bestimmte Sicherheitseinstellungen bereitstellen, z. B. Firewall-Einstellungen, Microsoft Defender-Sicherheitseinstellungen und Geräteeinschränkungen.

  1. Gehen Sie im Microsoft Endpoint Manager Admin Center zu Geräte > Windows > Konfigurationsprofile.
  2. Klicken Sie auf Profil erstellen.
  3. Plattform: Windows 10 und höher.
  4. Profiltyp: Wählen Sie Vorlagen wie „Endpunktschutz“ aus, um Microsoft Defender Antivirus und Firewall zu konfigurieren, oder „Geräteeinschränkungen“, um bestimmte Funktionen zu deaktivieren.
  5. Konfigurieren Sie die Sicherheitseinstellungen gemäß den Best Practices Ihres Unternehmens.
  6. Zuweisungen: Weisen Sie das Profil den relevanten Windows-Gerätegruppen zu.

3. Integration von Entra ID und Intune mit bedingtem Zugriff

Conditional Access ist die Engine, die Identitäts- (Entra ID) und Geräterichtlinien (Intune) zusammenführt, um Zero Trust durchzusetzen.

3.1. Erstellen Sie eine Richtlinie für bedingten Zugriff, um ein kompatibles Gerät zu erfordern

Diese Richtlinie stellt sicher, dass nur Geräte, die den Compliance-Standards von Intune entsprechen, auf Cloud-Apps zugreifen können.

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff.
  2. Klicken Sie auf Neue Richtlinie > Neue Richtlinie erstellen.
  3. Name: „Kompatibles Gerät für Zugriff erforderlich“.
  4. Zuweisungen > Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer (außer Notfallkonten).
  5. Cloud-Ressourcen oder -Aktionen: Alle Cloud-Anwendungen.
  6. Bedingungen (Optional): Sie können Bedingungen wie „Geräteplattformen“ für Windows hinzufügen.
  7. Gewährung:
    • Wählen Sie Zugriff gewähren.
    • Markieren Sie Gerät muss als unterstützt markiert werden. Klicken Sie auf Auswahlect*.
  8. Richtlinie aktivieren: Aktiviert.
  9. Klicken Sie auf Erstellen.

Validierung und Tests

Die Validierung der Zero-Trust-Implementierung ist von entscheidender Bedeutung, um sicherzustellen, dass Richtlinien wie erwartet funktionieren.

1. Testen Sie den Zugriff von einem kompatiblen Gerät

  1. Versuchen Sie auf einem von Intune verwalteten, kompatiblen Windows-Gerät, auf eine Cloud-Anwendung zuzugreifen (z. B. „portal.office.com“).
  2. Der Zugriff muss nach der Benutzerauthentifizierung (und MFA, falls konfiguriert) gewährt werden.

2. Testen Sie den Zugriff von einem nicht kompatiblen Gerät

  1. Auf einem Windows-Gerät, das nicht kompatibel ist (z. B. deaktivieren Sie die Firewall, ändern Sie die Betriebssystemversion auf eine, die von der Intune-Konformitätsrichtlinie nicht zugelassen wird, oder verwenden Sie ein nicht verwaltetes Gerät).
  2. Versuchen Sie, auf eine Cloud-Anwendung zuzugreifen (z. B. „portal.office.com“).
  3. Der Zugriff muss gesperrt werden und der Benutzer muss eine Nachricht erhalten, dass das Gerät nicht konform ist und nicht auf die Ressource zugreifen kann.

3. Überwachen Sie Berichte zum bedingten Zugriff

  1. Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff > Berichte.
  2. Überprüfen Sie die Eingabeprotokolle, um zu sehen, welche Richtlinien für bedingten Zugriff angewendet wurden, und sehen Sie sich das Ergebnis an (Erfolg, Fehler, nur Bericht).

Sicherheitstipps und Best Practices

  • Klein anfangen, schrittweise erweitern: Implementieren Sie Zero-Trust-Richtlinien in Testgruppen, bevor Sie unternehmensweit expandieren, um Störungen zu minimieren.
  • Bildung und Kommunikation: Kommunizieren Sie Änderungen klar an Benutzer und bieten Sie Schulungen dazu an, wie Sie ihre Geräte kompatibel halten und MFA verwenden.
  • Kontinuierliche Überwachung: Überwachen Sie regelmäßig Intune-Complianceberichte sowie Protokolle für bedingten Zugriff und Identitätsschutz, um etwaige Lücken oder Anomalien zu identifizieren.
  • Zugriff mit geringsten Privilegien: Kombinieren Sie Richtlinien für bedingten Zugriff mit PIM (Privileged Identity Management), um sicherzustellen, dass der privilegierte Zugriff Just-In-Time und Just-Enough erfolgt.
  • Annahme eines Verstoßes: Konfigurieren Sie Microsoft Defender für Endpoint für die erweiterte Endpunkt-Bedrohungserkennung und Microsoft Sentinel für Sicherheitsorchestrierung und automatisierte Reaktion.
  • Periodische Überprüfung: Überprüfen und passen Sie Ihre Zero-Trust-Richtlinien regelmäßig an, um sie an Änderungen in der Bedrohungsumgebung und den Geschäftsanforderungen anzupassen.

Allgemeine Fehlerbehebung

  • Zugriff unerwartet blockiert: Überprüfen Sie die Anmeldeprotokolle für bedingten Zugriff, um festzustellen, welche Richtlinie den Zugriff blockiert. Überprüfen Sie die Intune-Konformitätsrichtlinien für das betroffene Gerät.
  • Gerät nicht kompatibel: Überprüfen Sie den Konformitätsstatus Ihres Geräts in Intune. Es kann sein, dass das Gerät die Richtlinien nicht erhalten hat oder dass eine Konfiguration die Einhaltung verhindert (z. B. deaktiviertes Antivirenprogramm, alte Betriebssystemversion).
  • Richtlinienkonflikte: Überprüfen Sie alle Richtlinien für bedingten Zugriff und Compliance, um sicherzustellen, dass es keine widersprüchlichen Ausschlüsse oder Einschlüsse gibt, die zu unerwartetem Verhalten führen könnten.
  • Synchronisierungsprobleme: Stellen Sie sicher, dass Geräte und Benutzer korrekt mit Intune bzw. Azure AD synchronisiert werden.

Fazit

Die Anwendung des Zero-Trust-Modells ist eine wesentliche Sicherheitsstrategie zum Schutz von Organisationen in der aktuellen digitalen Landschaft. Durch die Nutzung von Microsoft Entra ID zur Verwaltung von Identitäten und Microsoft Intune zur Gewährleistung der Endpunktintegrität können Unternehmen einen robusten Sicherheitsansatz implementieren, der jede Zugriffsanfrage explizit prüft und auf dem Prinzip der geringsten Rechte basiert. Durch die Integration dieser Tools über Conditional Access entsteht ein leistungsstarker, adaptiver Schutz, der sicherstellt, dass nur vertrauenswürdige Benutzer und Geräte unabhängig von ihrem Standort auf Unternehmensressourcen zugreifen können. Der Weg zu Zero Trust ist noch nicht abgeschlossen und erfordert eine ständige Überwachung und Weiterentwicklung, aber die Vorteile in Bezug auf die Reduzierung von Risiken und die Stärkung der Sicherheit sind von unschätzbarem Wert.

Referenzen:

[1] Microsoft Learn. Was ist Zero Trust?. Verfügbar unter: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn. Zero Trust mit Microsoft Intune. Verfügbar unter: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Zero-Trust-Leitprinzipien. Verfügbar unter: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Lizenzierung für Microsoft Enter ID. Verfügbar unter: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn. Was ist Identitätsschutz?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection