Identity and access management

Protect user credentials and access

Die Absicherung von Systemen, Anwendungen und Daten beginnt mit einer identitätsbasierten Zugriffssteuerung. Die in Microsoft-Unternehmensprodukte und -dienste integrierten Funktionen zur Identitäts- und Zugriffsverwaltung schützen Ihre Unternehmensdaten und privaten Daten vor einem nicht autorisierten Zugriff. Gleichzeitig steht den legitimen Benutzern jederzeit und an jedem Ort ein entsprechender Zugriff zur Verfügung.

Mithilfe dieser Funktionen können Sie die Identitäten, Anmeldeinformationen und Zugriffsrechte von Benutzern von der Erstellung bis zur Löschung verwalten. Darüber hinaus ermöglichen sie die Automatisierung und Zentralisierung des Identitätslebenszyklus. Um strengere Authentifizierungsmethoden zu realisieren, geht Microsoft über die üblichen Verfahren mit einem Benutzernamen und einem Kennwort hinaus. Komplettiert wird dieser Ansatz durch vereinfachte Prozesse und eine einmalige Anmeldung (Single Sign-on, SSO), die in puncto Sicherheit für mehr Benutzerfreundlichkeit sorgen. Robuste Tools erleichtern den Administratoren die Identitätsverwaltung, und Entwickler können eine richtlinienbasierte Identitätsverwaltung in ihre Apps integrieren.

Sichere Identitäten

Microsoft nutzt in seinen Produkten und Diensten verschiedene Sicherheitsmethoden und -technologien zur Identitäts- und Zugriffsverwaltung.

  • Die Multi-Factor Authentication schreibt die Nutzung mehrerer Methoden beim Zugriff auf On-Premises-Ressourcen und Cloudressourcen vor. Sie bietet eine starke Authentifizierung über einfache Überprüfungsoptionen und realisiert ein benutzerfreundliches und einfaches Anmeldeverfahren.
  • Mit Microsoft Authenticator steht eine benutzerfreundliche MFA-Lösung zur Verfügung, die Microsoft Azure Active Directory- und Microsoft-Konten sowie Authentifizierungsmöglichkeiten über Wearables und Fingerabdruckscanner unterstützt.
  • Eine Erzwingung von Kennwortrichtlinien sorgt für mehr Sicherheit bei den traditionellen Kennwörtern. Dabei werden Anforderungen an die Länge und Komplexität gestellt, eine regelmäßige Erneuerung durchgesetzt und Konten nach mehreren fehlerhaften Authentifizierungsversuchen gesperrt.
  • Die tokenbasierte Authentifizierung ermöglicht die Authentifizierung über Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) oder Drittanbietersysteme für sichere Token.
  • Über die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) können Sie dem Benutzer Zugriff auf Basis der ihm zugewiesenen Rolle gewähren. So erhält er nur die Zugriffsberechtigungen, die er für seine Aufgaben benötigt. Sie können RBAC entsprechend des Geschäftsmodells und der Risikotoleranz Ihrer Organisation anpassen.
  • Mit der integrierten Identitätsverwaltung (hybride Identitäten) steuern Sie den Zugriff der Benutzer für interne Rechenzentren und Cloud-Plattformen. So sorgen Sie für eine einzige Benutzeridentität, die zur Authentifizierung und Autorisierung für alle Ressourcen genutzt werden kann.

Sichere Infrastruktur

Viele der Dienste von Microsoft basieren auf Microsoft Azure. Azure Active Directory und Windows Server Active Directory Domain Services ermöglichen Ihnen die Überwachung von Zugriffsmustern für Cloudressourcen und lokale Ressourcen. So erkennen Sie nicht autorisierte Zugriffsversuche und andere potenzielle Bedrohungen. Die Azure Active Directory Domain Services unterstützen zudem in vielen Unternehmen eingesetzte Funktionen wie den Domänenbeitritt, LDAP, NTLM und die Kerberos-Authentifizierung.

Sie können ältere, lokal ausgeführte Anwendungen mit Verzeichniszugriff problemlos zu Azure migrieren, ohne sich um Identitäten sorgen zu müssen. Sie müssen weder Domänencontroller als virtuelle Azure-Maschinen bereitstellen noch eine standortübergreifende Verbindung, beispielweise Standort-zu-Standort-VPN oder ExpressRoute, zu Ihrer Identitätsinfrastruktur verwenden.

Sichere Apps und Daten

Sichere Identitäten und eine sichere Infrastruktur bilden die Grundlage für alle Produkte und Dienste von Microsoft.

Alle einblenden

  • Azure Active Directory (Azure AD) ist eine umfassende Cloudlösung für die Identitäts- und Zugriffsverwaltung, die den sicheren Zugriff auf Daten in lokalen Anwendungen und Cloudanwendungen ermöglicht und die Verwaltung von Benutzern und Gruppen vereinfacht. Azure AD vereint wesentliche Verzeichnisdienste, eine erweiterte Identitätskontrolle, Sicherheit und die Verwaltung des Anwendungszugriffs. Mithilfe von Azure Active Directory können Entwickler zudem einfach eine richtlinienbasierte Identitätsverwaltung in ihre Apps integrieren.
  • Cloud App Discovery ist eine Premiumfunktion von Azure Active Directory, über die Sie von den Mitarbeitern Ihrer Organisation genutzte Cloudanwendungen ermitteln können.
  • Azure Active Directory Identity Protection ist ein Sicherheitsdienst, der die Anomalieerkennung von Azure AD nutzt, um eine konsolidierte Ansicht von Risikoereignissen und möglichen Sicherheitslücken bereitzustellen, die die Identitäten Ihrer Organisation gefährden könnten.
  • Azure Active Directory Domain Services ermöglicht den Beitritt von Azure-VMs zu Domänen, ohne dass ein Domänencontroller erforderlich ist. Die Benutzer melden sich mit ihren Active Directory-Anmeldeinformationen an den VMs an und können direkt auf Ressourcen zugreifen.
  • Azure Multi-Factor Authentication schreibt die Nutzung mehrerer Methoden zur Authentifizierung von Benutzern für den Zugriff auf Daten in lokalen Apps und Cloud-Apps vor. Sie sorgt für eine starke Authentifizierung über einfache Überprüfungsoptionen und realisiert ein benutzerfreundliches und einfaches Anmeldeverfahren.
  • Azure Active Directory B2C ist ein hochverfügbarer, globaler Identitätsverwaltungsdienst für kundenseitige Apps, der für hunderte Millionen Identitäten skalierbar ist. Er lässt sich in mobile Plattformen und in Webplattformen integrieren. Kunden können sich im Rahmen von anpassbaren Erfahrungen über vorhandene soziale Konten oder durch Erstellung neuer Anmeldeinformationen in all Ihren Anwendungen anmelden.
  • Die Azure Active Directory B2B-Zusammenarbeit ist eine sichere Lösung zur Partnerintegration. Sie ermöglicht eine enge Zusammenarbeit mit Partnern, indem diesen über selbstverwaltete Identitäten ein selektiver Zugriff auf Unternehmensanwendungen und -daten gewährt wird.
  • Azure Active Directory Join ermöglicht die Ausweitung von Cloudfunktionalitäten auf Windows 10-Geräte zur zentralisierten Verwaltung. Benutzer können sich über Azure Active Directory mit der Unternehmens- oder Organisationscloud verbinden und so einfacher auf Apps und Ressourcen zugreifen.
  • Der Azure Active Directory-Anwendungs-Proxy ermöglicht eine einmalige Anmeldung (Single Sign-on, SSO) und den sicheren Remotezugriff für On-Premises gehostete Webanwendungen.

Weitere Informationen erhalten Sie in der Dokumentation zur Azure-Sicherheit

Zum Schutz vor nicht autorisierten Zugriffen nutzt Dynamics 365 Azure Active Directory, um die Benutzerauthentifizierung zu steuern und die Benutzer- und Gruppenverwaltung zu vereinfachen. Auch das Zuweisen und Widerrufen von Zugriffsberechtigungen ist so problemlos möglich. Standardmäßig können nur authentifizierte Benutzer eine Verbindung mit dem Dynamics 365-Dienst aufbauen.

Erfahren Sie mehr über die Authentifizierung in Dynamics 365

Dynamics 365 for Operations arbeitet bei der Autorisierung des Zugriffs auf Endpunktgruppen mit einem rollenbasierten Sicherheitssystem. Die Sicherheitsrollen werden den Benutzern auf Basis ihrer jeweiligen geschäftlichen Verantwortungsbereiche zugewiesen. Die Kunden können die Sicherheit gezielt anpassen. Sie können den Benutzerzugriff auf Daten über verschiedene Berechtigungsebenen und Zugriffsberechtigungen steuern.

Erfahren Sie mehr über die rollenbasierte Sicherheit in Dynamics 365 for Finance and Operations

Office 365 verwendet Azure Active Directory für die Benutzerverwaltung. Bei der Einrichtung und Verwaltung von Benutzerkonten können Sie in Office 365 drei Identitätsmodelle nutzen. Sollten sich Ihre Anforderungen ändern, können Sie zu einem anderen Identitätsmodell wechseln.

  • Cloudidentität Verwalten Sie Ihre Benutzerkonten nur in Office 365. Es sind keine lokalen Server erforderlich. Alle Aufgaben werden in der Cloud erledigt.
  • Synchronisierte Identität Synchronisieren Sie lokale Verzeichnisobjekte mit Office 365 und verwalten Sie Ihre Benutzer lokal. Auch die Kennwörter können synchronisiert werden. So können die Benutzer lokal und in der Cloud dieselben Kennwörter nutzen. Sie müssen sich jedoch weiterhin zusätzlich bei Office 365 anmelden.
  • Verbundidentität Synchronisieren Sie lokale Verzeichnisobjekte mit Office 365, und verwalten Sie Ihre Benutzer lokal. Die Benutzer arbeiten lokal und in der Cloud mit denselben Kennwörtern. Sie müssen sich nicht erneut bei Office 365 anmelden. Dies wird auch als einmaliges Anmelden (Single Sign-on, SSO) bezeichnet.

Erfahren Sie mehr über die Office 365-Identität und Azure Active Directory

Azure Active Directory bietet außerdem eine interne Lösung für die Multi-Faktor-Authentifizierung per Anruf, Textnachricht oder Benachrichtigung in einer dedizierten App. Der Dienst unterstützt zudem Drittanbieterlösungen zur Multi-Faktor-Authentifizierung. Sobald sich Benutzer über die Multi-Faktor-Authentifizierung angemeldet haben, können sie ein oder mehrere App-Kennwörter für die Office-Clientanwendungen anlegen.

Erfahren Sie mehr über das Einrichten der Multi-Factor Authentication für Office 365

Power BI nutzt Azure Active Directory zur Authentifizierung der Benutzer während der Anmeldung am Dienst. Sobald ein Benutzer versucht, auf Ressourcen zuzugreifen, für die eine Authentifizierung erforderlich ist, werden die Benutzer zur Eingabe der Power BI-Anmeldeinformationen aufgefordert. Die Benutzer melden sich über die E-Mail-Adresse an, die sie in ihren Power BI-Konten angegeben haben. Power BI nutzt diese E-Mail-Adresse als Benutzername. Sie wird bei Verbindungsversuchen der Benutzer weitergereicht.

Erfahren Sie mehr über die Steuerung des Zugriffs und die Sicherheit in Power BI

Visual Studio Team Services (Team Services)-Benutzer können über Microsoft-Konten oder Azure Active Directory authentifiziert werden. Azure AD führt die Authentifizierung, die Autorisierung und die Zugriffssteuerung durch, unterstützt branchenübliche Standardprotokolle und vereinfacht über ein Identity-as-a-Service-Angebot die Authentifizierung. Azure AD unterstützt die Multi-Faktor-Authentifizierung sowie das einmalige Anmelden über verschiedene Cloud Services hinweg. Mit Azure Multi-Factor Authentication können Sie die Verifizierung der Benutzeranmeldungen über eine mobile App, einen Telefonanruf oder eine Textnachricht durchsetzen.

Mithilfe von in VSTS integrierte Gruppen können Sie eigene Gruppen für die Zugriffssteuerung auf Teamprojekte und Sammlungen einrichten. Sie können den Zugriff über DevOps-Berechtigungen, Arbeitselement-Nachverfolgungsberechtigungen und Team-Administrationsrollen und-Berechtigungen erteilen oder verweigern. Sie können zudem Beteiligten ohne VSTS-Lizenz einen eingeschränkten Zugriff gewähren. So können diese ihre Ideen beisteuern und auf die Team-Dashboards zugreifen.

Erfahren Sie mehr über die Verwaltung der Benutzer und den Zugriff in Team Services

Microsoft hat Active Directory in Windows Server 2016 durch eine Verbesserung der Funktionen zur Identitäts- und Zugriffsverwaltung erweitert. Dadurch wurde die Steuerung per Administratorzugriff optimiert. Die „Just In Time”- und „Just Enough”-Administration beschränkt den Zeitrahmen und den Umfang des privilegierten Zugriffs. Die interoperable Multi-Faktor-Authentifizierung von Windows Server 2016 und die enge Integration der Windows 10-Funktionen zur Clientsicherheit (beispielsweise Microsoft Passport und Windows Hello) sorgen dafür, dass keine Kennwörter mehr erforderlich sind.

Credential Guard isoliert die Anmeldeinformationen über virtualisierungsbasierte Technologien. Angreifer mit Zugriff auf einen Server können keine abgeleiteten Domänenanmeldeinformationen zum Angriff auf weitere Systeme nutzen. Die neuen Funktionen und Verbesserungen arbeiten Hand in Hand mit den Active Directory Domain Services, Active Directory-Verbunddiensten und Active Directory Rights Management Services, die bereits zur sicheren Identitätsverwaltung, Authentifizierung und Zugriffssteuerung in Organisationen im Einsatz sind.

Erfahren Sie mehr über das Absichern des privilegierten Zugriffs in Windows Server 2016