Verwaltete Geräte sind für die Authentifizierung nicht erforderlich

Standardmäßig lässt Microsoft Entra ID die Authentifizierung von beliebigen Geräten aus zu. Dies kann zu nicht autorisiertem Zugriff und Sicherheitsverletzungen führen, insbesondere dann, wenn das Gerät kompromittiert oder nicht konform ist oder von einem Angreifer kontrolliert wird.

Das Zero-Trust-Modell gibt vor, dass die Authentifizierung vom Status des Geräts abhängig sein sollte und der Zugriff nur von Geräten zulässig ist, die den Sicherheitsrichtlinien des Unternehmens entsprechen und vom Unternehmen verwaltet werden.

Die Richtlinie MS.AAD.3.7v1 aus der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die in BOD 25-01 vorgeschrieben wird, erfordert, dass verwaltete Geräte für die Authentifizierung vorgeschrieben werden SOLLTEN. In Anlehnung an CISA-Empfehlungen stellt dieser IoE sicher, dass mindestens eine Richtlinie für bedingten Zugriff die folgenden Einstellungen enthält:

• „ Benutzer“ ist so festgelegt, dass „Alle Benutzer“ eingeschlossen werden.
• „Zielressourcen“ ist auf „Alle Ressourcen“ festgelegt.
• „Grant“ (Zugriff gewähren) ist auf „Grant access“ (Zugriff gewähren) festgelegt und die Optionen „Require device to be marked as compliant“ (Gerät muss als konform gekennzeichnet werden) und „Require Microsoft Entra hybrid joined device“ (In Microsoft Entra eingebundene Hybridgeräte erforderlich) sind ausgewählt. Unten ist die Option „Require one of the selected controls“ (Eines der ausgewählten Steuerelemente erforderlich) ausgewählt.
• „Richtlinie aktivieren“ ist auf „Ein“ festgelegt (nicht „Aus“ oder „Nur Bericht“).

Wenn Sie der Empfehlung von Microsoft folgen, stellt dieser IoE sicher, dass mindestens eine Richtlinie für bedingten Zugriff dieselben Einstellungen enthält, mit dem Zusatz „Require multifactor authentication“ (Multi-Faktor-Authentifizierung erfordern), was bedeutet:

• „Grant“ (Zugriff gewähren) ist auf „Grant access“ (Zugriff gewähren) festgelegt und die Optionen „Require multifactor authentication“ (Multi-Faktor-Authentifizierung erfordern), „Require device to be marked as compliant“ (Gerät muss als konform gekennzeichnet werden) und „Require Microsoft Entra hybrid joined device“ (In Microsoft Entra eingebundene Hybridgeräte erforderlich) sind ausgewählt. Unten ist die Option „Require one of the selected controls“ (Eines der ausgewählten Steuerelemente erforderlich) ausgewählt.

Es muss eine aktivierte Richtlinie für bedingten Zugriff (Conditional Access Policy, CAP) vorhanden sein, damit der Mandant die Authentifizierung von nicht verwalteten Geräten blockiert.

CISA und Microsoft haben unterschiedliche Meinungen zur Vermeidung dieses Risikos:

• Die Richtlinie MS.AAD.3.7v1 aus der CISA „M365 Secure Configuration Baseline for Microsoft Entra ID“, die durch BOD 25-01 vorgeschrieben wird, akzeptiert nur konforme oder eingebundene Hybridgeräte.
• Im Gegensatz dazu akzeptiert Microsoft auch Multifaktor-Authentifizierungen.

Tenable empfiehlt, den CISA-Empfehlungen zu folgen, da dies der sicherste Ansatz ist. Da sie jedoch auch am restriktivsten ist, können Sie mithilfe der bereitgestellten Option im IoE problemlos zur Microsoft-Empfehlung wechseln.

Dazu können Sie folgendermaßen eine CAP erstellen:

• Ändern Sie eine vorhandene CAP, indem Sie die Einstellungen anwenden, die in der Beschreibung dieses IoE angegeben sind.
• Erstellen Sie eine dedizierte CAP und konfigurieren Sie sie gemäß den Spezifikationen in der Beschreibung des IoE.

Wenn Sie der Empfehlung von Microsoft folgen, können Sie die CAP-Vorlage „Require compliant or hybrid Azure AD joined device or multifactor authentication for all users“ (Konforme oder in Azure AD eingebundene Hybridgeräte oder Multifaktor-Authentifizierung für alle Benutzer erforderlich) verwenden. Diese Vorlage erfüllt alle IoE-Kriterien, wenn Sie die Option der Microsoft-Empfehlung aktivieren. Alternativ gibt es die Vorlage „Require compliant device or Microsoft Entra hybrid joined device for administrators“ (Konformes Gerät oder in Microsoft Entra eingebundenes Hybridgerät für Administratoren erforderlich), die weniger restriktiv ist und sich nur an Administratoren richtet. Sie erfüllt jedoch keine IoE-Kriterien.

Hinweis: „Require device to be marked as compliant“ (Gerät muss als konform gekennzeichnet werden) erfordert, dass Ihre Organisation Intune MDM verwendet.

Achtung: Sowohl Microsoft als auch Tenable empfehlen, bestimmte Konten aus Richtlinien für bedingten Zugriff auszuschließen, um eine mandantenweite Kontosperre und unerwünschte Nebenwirkungen zu verhindern. Tenable empfiehlt außerdem, die Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen, um eine ordnungsgemäße Planung und ein korrektes Änderungsmanagement sicherzustellen und das Risiko zu mindern, sich selbst auszusperren. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie nicht einhalten kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Name: Verwaltete Geräte sind für die Authentifizierung nicht erforderlich

Codename: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure