Identität & Sicherheit
Best Practices für Tenant-Setup, Conditional Access, Security Baselines und Defender-Konfiguration nach dem Concat Standard. Der Grundsatz: Zero Trust — Never trust, always verify.
Architektur-Übersicht
Concat Standard auf einen Blick
| Bereich | Standard | Details |
|---|---|---|
| Join-Typ | Entra ID Join (Cloud-native) | Hybrid Join nur bei dokumentiertem Legacy-Bedarf |
| MFA | Für alle User erzwungen (CA-001) | Authenticator App bevorzugt, FIDO2 für Admins |
| Conditional Access | 7 Baseline-Policies | Report-Only in Phase 2, aktiv ab Phase 3 |
| Break-Glass | 2x Cloud-only Global Admin | FIDO2 + 30-Zeichen-Passwort, im Safe aufbewahrt |
| Security Baselines | Open Intune Baseline (OIB) | Einheitlich für alle Kunden, Ausnahmen dokumentieren |
| Endpoint Security | Microsoft Defender for Endpoint | Antivirus, EDR, ASR Rules, Tamper Protection |
| Admin-Rechte | Kein lokaler Admin für User | Windows LAPS für IT, EPM für granulare Elevation |
| Verschlüsselung | BitLocker Silent (XTS-AES 256) | Recovery Key zwingend in Entra ID |
Unterseiten
Abhängigkeiten & Querverweise
| Thema | Verwandte Seite | Zusammenhang |
|---|---|---|
| Conditional Access blockiert User | Troubleshooting 2.2 | CA Sign-in Logs analysieren, Blockierungsgrund identifizieren |
| MFA-Reset für User | Runbook 3.3 | Operative Anleitung für den Helpdesk |
| Break-Glass Nutzung | Runbook 3.5 | Notfall-Prozess bei Tenant-Aussperrung |
| LAPS-Passwort auslesen | Runbook 3.2 | Operative Anleitung für den 2nd Level |
| BitLocker Recovery Key | Runbook 3.1 | Operative Anleitung für den Helpdesk |
| Defender Alerts / ASR | Troubleshooting 4.2 & 4.3 | Sensor-Onboarding, ASR False Positives |
| RBAC / Least Privilege | RBAC Rollen | Wer darf Security-Einstellungen ändern? |
| Go-Live Prüfung | Go-Live Checkliste | Identity & Security Prüfpunkte vor dem Rollout |
Note
Die Security-Konfigurationen in diesem Bereich werden zentral über Intune gepflegt und bei allen Kunden einheitlich als Open Intune Baseline deployt. Kundenspezifische Ausnahmen dürfen das Sicherheitsniveau nicht signifikant senken und müssen zwingend im Decision Log dokumentiert werden.
Last updated on