Fehlende MFA für privilegiertes Konto

• Dieser IoE funktioniert aufgrund von Datenverfügbarkeitsbeschränkungen von Microsoft nur mit einer Microsoft Entra ID-P1- oder -P2-Lizenz. Daher gibt er keine Ergebnisse zu Entra ID-Free-Mandanten zurück.*

Multifaktor-Authentifizierung (MFA) oder vorher Zweifaktor-Authentifizierung (2FA) bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere bei privilegierten Konten. Wenn ein Angreifer sich mit einer beliebige Methode ein Passwort eines privilegierten Benutzers verschafft, blockiert MFA die Authentifizierung, indem sie einen zusätzlichen Faktor anfordert, z. B. einen zeitlich ablaufenden Code aus einer mobilen App, ein physisches Token, ein biometrisches Merkmal usw.

Dieser Indicator of Exposure warnt Sie, wenn ein Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen. ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar. Dieser Indicator of Exposure kann jedoch nicht darüber Auskunft geben, ob Microsoft Entra ID MFA erzwingt oder nicht, da Richtlinien für bedingten Zugriff die Verwendung von MFA in Abhängigkeit von dynamischen Kriterien erfordern können.

Sie können außerdem die Funktionen „Aktivität für Authentifizierungsmethoden“ und „MFA-Berichte“ in Entra ID verwenden.

Siehe auch den zugehörigen IoE „Fehlende MFA für nicht-privilegiertes Konto“ für nicht privilegierte Konten.

Deaktivierte Benutzer werden ignoriert, da sie nicht unmittelbar von Angreifern missbraucht werden können, und außerdem aufgrund einer Einschränkung der Microsoft Graph-API, die einen falschen MFA-Status für deaktivierte Benutzer meldet.

Alle gemeldeten privilegierten Benutzer müssen MFA-Methoden registrieren und MFA erzwingen, um ihren Schutz vor Passwortangriffen zu erhöhen, wie im Microsoft-Artikel „Best Practices für Microsoft Entra-Rollen“ empfohlen: „3. Aktivieren Sie die mehrstufige Authentifizierung für alle Ihre Administratorkonten. Basierend auf unseren Studien ist Ihr Konto bei Verwendung von MultiFactor-Authentifizierung (MFA) 99,9 % weniger wahrscheinlich gefährdet.“

Für Microsoft Entra ID bietet Microsoft eine Vorlage für Richtlinien für bedingten Zugriff namens Require MFA for administrators. Diese Richtlinie fordert Benutzer zum Registrieren einer MFA-Methode auf, wenn sie sich nach der MFA-Erzwingung zum ersten Mal authentifizieren. Wir empfehlen, die Anweisungen in der Microsoft-Dokumentation „Planen einer Bereitstellung für bedingten Zugriff“ zu befolgen. Insbesondere wenn Sie hybride Identitätslösungen wie Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung verwenden, müssen Sie das zugehörige Dienstkonto aus der Richtlinie ausschließen, da es die Richtlinie für bedingten Zugriff nicht erfüllen kann. Verwenden Sie die Aktion „Benutzer ausschließen“ und schließen Sie die Dienstkonten entweder direkt aus oder aktivieren Sie die Option „Verzeichnisrollen“ und wählen Sie die Rolle „Verzeichnissynchronisierungskonten“ aus.

Hinweis: Sie sollten die Verwendung von ein oder zwei privilegierten Konten für den Notfallzugriff (Break-Glass-Konten) planen, die andere MFA-Methoden als die normalen Administratorkonten verwenden, wie in der Microsoft-Dokumentation „Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID“ empfohlen.

Weitere Informationen zu Microsoft Entra MFA finden Sie in diesem Abschnitt der Dokumentation zur Microsoft Entra-Authentifizierung (siehe auch verwandte Seiten).

Name: Fehlende MFA für privilegiertes Konto

Codename: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

Schweregrad: High

Typ: Microsoft Entra ID Indicator of Exposure