Entra ID Setup
Best Practices für das Tenant-Setup und Conditional Access bei Kundenprojekten.
Tenant-Grundkonfiguration
- Security Defaults deaktivieren (werden durch Custom CA Policies ersetzt).
- Self-Service Password Reset (SSPR) aktivieren.
- Company Branding konfigurieren (Kundenlogo + Farben).
- Authentication Methods konfigurieren (Microsoft Authenticator, FIDO2 Security Keys, Windows Hello for Business).
- Named Locations anlegen (Büro-IPs, VPN-IPs, vertrauenswürdige Länder).
Das Company Branding wird oft unterschätzt, ist aber ein wichtiger Baustein für die Phishing-Resistenz. User erkennen so deutlich schneller, wenn sie auf einer nachgebauten, falschen Login-Seite landen.
Conditional Access Baseline
| Policy-ID | Beschreibung | Zielgruppe | Aktion |
|---|---|---|---|
| CA-001 | MFA für alle User | Alle (excl. Break-Glass) | MFA erzwingen |
| CA-002 | Konformes Gerät für M365 | Alle | Compliant Device erforderlich |
| CA-003 | Legacy Auth blockieren | Alle | Blockieren |
| CA-004 | Admin-MFA + Compliant Device | Admins | MFA + Compliant erforderlich |
| CA-005 | Risiko-basierte Anmeldung | Alle | MFA / Pw-Reset bei Medium+ Risk |
| CA-006 | Nutzungsbedingungen (ToU) | Alle | Zustimmung zu IT-Richtlinien |
| CA-010 | Länder-Block | Alle | Blockieren aus Hochrisikoländern |
Lizenz-Hinweis zu CA-005: Die Risiko-basierte Anmeldung (Sign-in/User Risk) erfordert zwingend eine Entra ID P2 Lizenz (bzw. Entra ID Protection).
Bei Kunden, die “nur” Microsoft 365 Business Premium oder E3 (Entra ID P1) einsetzen, steht dieses Feature nicht zur Verfügung.
Die ausführliche Baseline, wie diese ausgeführt, welche Auswirkungen hat, beim entsprechenden Technical Lead erfragen.
Break-Glass Accounts (Notfallzugriff)
- Anzahl & Rolle: 2x Cloud-only Accounts (Domain:
*.onmicrosoft.com) mit der Rolle Globaler Administrator. - Authentifizierung: Bewusster Verzicht auf standardmäßige cloudbasierte MFA (Authenticator App, SMS), um bei Ausfällen der Microsoft-MFA-Dienste handlungsfähig zu bleiben.
- Absicherung (Best Practice): Verwendung von FIDO2 Security Keys (Hardware-Token) in Kombination mit einem extrem starken Passwort (30+ Zeichen). FIDO2 funktioniert unabhängig von Push-Diensten und schützt effektiv vor Phishing.
- Aufbewahrung: Passwörter und physische Hardware-Keys sicher beim Kunden hinterlegen (z. B. physischer Safe oder stark gesicherter Enterprise Password Manager).
- Überwachung: Strenges Monitoring via Entra ID Sign-in Alerts konfigurieren. Jede Anmeldung eines Break-Glass-Accounts muss sofort einen E-Mail-Alarm an das Security-Team / die Geschäftsführung auslösen.
Break-Glass Accounts müssen immer aus allen Conditional Access Policies ausgeschlossen werden! Vergisst man dies, besteht die Gefahr, sich bei einer Fehlkonfiguration oder einem Ausfall der Cloud-MFA-Dienste selbst komplett aus dem Tenant auszusperren.