Azure AD Identity Protection erklärt Sicherheit für Benutzerkonten in Azure Active Directory

Von Thomas Joos

Mit Azure AD Identity Protection bietet Microsoft in Azure die Möglichkeit Benutzerkonten vor Hackerangriffen und Malware zu schützen. Dazu kann der Dienst dafür sorgen, dass Konten in Azure AD unter einem besonderen Schutz stehen.

Anbieter zum Thema

Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen.
Mit Azure AD Identity Protection bietet Microsoft Unternehmen eine Lösung um Angriffsversuche auf Benutzerkonten im Azure Active Directory zu erkennen.
(© Amgun - stock.adobe.com)

Azure AD Identity Protection ist ein Feature, das Microsoft ab der P2-Lizenz von Azure AD integriert hat. Im Fokus des Features steht das Erkennen von Angriffsversuchen auf Benutzerkonten in Azure AD.

Dabei spielt es keine Rolle, ob die Benutzerkonten direkt in Azure AD angelegt wurde, oder durch Azure AD von lokalen AD-Umgebungen zu Azure AD synchronisiert wurden. Mit Azure AD Identity Protection können Unternehmen die Benutzerkonten ihrer Anwender ein Stück weit vor Angriffe von Hackern und Malware schützen.

Bildergalerie
Bildergalerie mit 5 Bildern

Dazu überprüft der Dienst in Echtzeit die Benutzeranmeldungen und kann dadurch sicherstellen, ob diese (wahrscheinlich) sicher oder (wahrscheinlich) unsicher sind. Auf Basis der Entscheidungen können Administratoren Richtlinien hinterlegen, mit denen gesteuert werden kann, ob die Anmeldung eines Benutzers erlaubt oder zunächst blockiert wird. Auch einzelne Einschränkungen, zum Beispiel das Sperren des Zugriffs auf besonders heikle Daten sind mit Azure AD Identity Protection möglich.

Azure ID Identity Protection in das Sicherheitskonzept von Microsoft Azure einbinden

Azure AD Identity Protection arbeitet mit anderen Sicherheitsdiensten in Azure zusammen. Beispiele dafür sind Microsoft Cloud App Security und Azure Advanced Treat Protection. Der Fokus des Dienstes besteht vor allem darin Angriffe auf Benutzerkonten zu verhindern, zum Beispiel Kennwortangriffe oder Anmeldungen aus unüblichen Orten. Meldet sich ein Benutzer zum Beispiel immer nur aus München an, an einem Tag aber aus Nairobi, ist das durchaus ein Verdachtsmoment, den eine Sicherheitslösung bemerken sollte.

Azure AD Identity Protection kann in diesem Fall Benutzer und Administratoren benachrichtigen und weitere Untersuchungen einbinden. Der Dienst arbeitet dazu mit KI-Technologien. Erkennt das System, dass sich der Benutzer ständig aus verschiedenen Orten anmeldet, kann Azure ID Identity Protection das natürlich in seine Vorgehensweise mit einbeziehen. Meldet sich ein Benutzer zum Beispiel regelmäßig aus München, Nairobi und Moskau an, ist das für den Dienst erkennbar. Gleichzeitig würde er aber eine neue Anmeldung aus Peking als verdächtig einstufen.

Azure ID Identity Protection bewertet die Sicherheit von Benutzeranmeldungen. Daher kann der Dienst die Anmeldung auch verhindern, wenn Azure der Meinung ist, dass diese nicht vom eigentlichen Benutzer stammt, sondern von einem Angreifer. Dafür können Administratoren der Umgebung zum Beispiel auch mit Conditional Access-Szenarien arbeiten.

Erkennung von verdächtigen IP-Räumen und VPNs

Azure Identity Protection überprüft auch den Netzwerkweg einer Anmeldung. Kommt diese aus verdächtigen VPNs oder von IP-Adressen, deren Bereich bereits als verdächtig eingestuft ist, haben Anmeldungen bei diesem Dienst ein besonderes Augenmerk. Auch die IP-Adressen von Bot-Netzwerken kann Identity Protection erkennen.

Bereits kompromittierte Anmeldedaten und Anmeldeversuche mit diesen Daten nutzt Azure AD Identity Protection ebenfalls und bezieht diese in die Entscheidungen mit ein, ob die Anmeldung erlaubt und blockiert werden sollen.

Azure AD Identity Protection einrichten

Wenn ein Abonnement für Azure AD P2 vorliegt, lassen sich die Einstellungen und Richtlinien für Azure AD Identity Protection über den Menüpunkt „Sicherheit\Identity Protection“ anpassen. Hier sind auch die Berichte zu finden. Mit denen Administratoren die Anmeldungen der Benutzer überwachen können.

Hier sind bei „Schützen“ auch die drei Richtlinien „Benutzerrisiko-Richtlinie“, „Anmelderisiko-Richtlinie“ und „MFA-Registrierungsrichtlinie“ zu finden. Nach einem Klick auf diese Richtlinien lassen sich diese anpassen. Dazu gehören zum Beispiel die Bedingungen für die Benutzer die dieser Richtlinie zugeordnet sind. Hier lassen sich mit „Alle Benutzer“ auch alle Benutzerkonten einbinden.

Im Rahmen der Konfiguration von Richtlinien lassen sich auch Benachrichtigungen definieren, zum Beispiel an Administratoren er Umgebung, den Benutzersupport oder Abteilungsleiter. Natürlich kann auch der Benutzer selbst darüber informiert werden, dass nach Meinung von Azure AD Identity Protection etwas mit dem Konto nicht stimmt.

Im Rahmen der Richtlinienkonfiguration kann auch festgelegt werden, dass die Richtlinien aufeinander aufbauen. Erkennt die „Anmelderisiko-Richtlinie“ zum Beispiel, dass die Anmeldung eines Benutzers hochwahrscheinlich den Schwellenwert überschreitet, der eine Blockierung auslöst, kann neben der kompletten Blockade und die MFA-Registrierung überprüft werden. Nutzt ein Benutzer Multifaktor-Authentifizierung reduziert das natürlich massiv das Risiko einer gefälschten Benutzeranmeldung. Verwendet ein Benutzer noch keine MFA, kann die Richtlinie diese erzwingen, sodass der Benutzer gezwungen wird diese zu aktivieren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Bei „Benachrichtigungen“ lassen sich bestimmte Benutzerkonten hinterlegen, die bei erkannten Problemen von Azure AD Identity Protection benachrichtigt werden. An dieser Stelle lassen sich auch externe E-Mail-Adressen einbinden.

Bildergalerie
Bildergalerie mit 5 Bildern

Azure AD Identity Protection kostenlos nutzen

Wer kein Abonnement von Azure AD P2 hat, kann eine Zeitlang den Dienst nutzen, indem er im Azure-Portal ein Testabonnement für die P2-Lizenz aktiviert. Innerhalb des Zeitraums ist es möglich den Dienst umfassend und kostenlos zu testen. Nach Ablauf des Testzeitraums stehen die Richtlinien nicht mehr zur Verfügung.

Dauerhaft kostenlos sind im Bereich „Sicherheit“ bei Azure AD aber die Berichte „Riskante Benutzer“ und „Riskante Anmeldungen“ bei „Bericht“. Hier können Administratoren der Umgebung auch ohne P2-Abonnement Sicherheitsrisiken identifizieren. Es lohnt sich für jeden Administrator ab und zu einen Blick in diese Berichte zu werfen. Diese geben zumindest grundlegende Informationen, ob Benutzerkonten des Abonnements aktuell angegriffen werden, oder Benutzerkonten kompromittiert sind.

(ID:48127313)