☁️Azure Entra IDGuest ExternalIdentityPermissions

Azure Gastkonten: Die Vergessene Angriffsfläche in Ihrem Tenant

Uneingeschränkte Gasteinladungen, fehlende MFA für externe Benutzer und veraltete Gastkonten schaffen persistente Angriffsfläche in Azure Entra ID. Lernen Sie externen Zugriff zu verwalten.

ES
EtcSec Security Team
2 min read
Azure Gastkonten: Die Vergessene Angriffsfläche in Ihrem Tenant

Was Sind Azure Gastkonten?

Azure Entra ID Gastkonten (B2B-Zusammenarbeit) ermöglichen externen Benutzern — Partnern, Auftragnehmern, Lieferanten — den Zugriff auf Ihre Microsoft 365-Ressourcen ohne ein Konto in Ihrem Tenant zu haben.

Das Problem ist die Governance. Organisationen laden externe Benutzer für kurzfristige Projekte ein und entfernen sie nie. Einladungseinstellungen werden offen gelassen. MFA wird für Gäste nicht verlangt. Das Ergebnis ist eine wachsende Population externer Identitäten — viele vergessen, einige bereits compromittiert.

Die Angriffskette

Schritt 1 - Veraltete Gastkonten Identifizieren

Connect-MgGraph -Scopes "Directory.Read.All"
Get-MgUser -Filter "userType eq 'Guest'" -Select "displayName,userPrincipalName,signInActivity" |
    Select-Object DisplayName, UserPrincipalName, @{N="LetzteAnmeldung";E={$_.SignInActivity.LastSignInDateTime}} |
    Sort-Object LetzteAnmeldung

Schritt 2 - Uneingeschränkte Einladungsrechte Ausnutzen

# Jedes Mitglied kann externe Angreifer-Konten einladen
New-MgInvitation -InvitedUserEmailAddress "[email protected]" `
    -InviteRedirectUrl "https://myapps.microsoft.com" `
    -SendInvitationMessage $false

Erkennung

SIEM-Erkennungsabfrage (Elastic KQL)

azure.auditlogs.operation_name: "Invite external user" AND
NOT azure.auditlogs.properties.initiated_by.user.roles: "*Admin*"

💡 Tipp: Führen Sie vierteljährliche Zugriffsüberprüfungen aller Gastkonten durch. Gäste ohne Anmeldung seit 90+ Tagen sollten überprüft und wahrscheinlich entfernt werden.

Behebung

💡 Schnelle Massnahme: Einladungsrechte auf Globale Admins und Gasteinlader einschränken.

1. Einladungsrechte Einschränken

Entra ID > Externe Identitäten > Externe Zusammenarbeit:
Gasteinladungseinstellungen: "Nur Benutzer mit bestimmten Administratorrollen können einladen"

2. MFA für Gastbenutzer Erfordern

Richtlinie: MFA erfordern — Gastbenutzer
Benutzer: Gast- oder externe Benutzer > Alle Gäste
Steuerungen: MFA erfordern

3. Veraltete Gastkonten Entfernen

$cutoff = (Get-Date).AddDays(-90)
Get-MgUser -Filter "userType eq 'Guest'" -Select "id,displayName,userPrincipalName,signInActivity" |
    Where-Object {$_.SignInActivity.LastSignInDateTime -lt $cutoff -or $null -eq $_.SignInActivity.LastSignInDateTime} |
    ForEach-Object {
        Remove-MgUser -UserId $_.Id
        Write-Host "Entfernt: $($_.UserPrincipalName)"
    }

So Erkennt EtcSec Dies

GUEST_INVITATION_UNRESTRICTED identifiziert Tenants, in denen Gasteinladungsrechte nicht auf Administratoren beschränkt sind.

GUEST_NO_MFA_REQUIRED kennzeichnet Tenants, in denen Gastbenutzer keiner MFA-Richtlinie unterliegen.

GUEST_STALE_90_DAYS zählt alle Gastkonten ohne Anmeldung seit 90+ Tagen auf.

ℹ️ Hinweis: EtcSec prüft automatisch die Gastkonto-Governance bei jedem Azure-Scan. Starten Sie ein kostenloses Audit.

☁️ AzureGuest ExternalIdentityPermissions
EtcSec

© 2026 EtcSec. All rights reserved.

Azure Gastkonten: Sicherheitsrisiken und Behebung | EtcSec — EtcSec Blog | EtcSec