☁️Azure Entra IDConfigComplianceIdentity

Azure Tenant-Härtung: Unsichere Standardkonfigurationen Korrigieren

Neue Azure Tenants werden mit unsicheren Standardkonfigurationen ausgeliefert. Lernen Sie, Ihren Tenant mit Security Defaults, Legacy-Auth-Blockierung und Gastbeschränkungen zu härten.

ES
EtcSec Security Team
2 min read
Azure Tenant-Härtung: Unsichere Standardkonfigurationen Korrigieren

Was Ist Azure Tenant-Härtung?

Wenn ein neuer Microsoft 365 oder Azure Tenant erstellt wird, kommt er mit Standardkonfigurationen, die für Benutzerfreundlichkeit ausgelegt sind — nicht für Sicherheit. Legacy-Authentifizierung ist aktiviert, Security Defaults können deaktiviert sein, Gastzugang ist uneingeschränkt, keine Richtlinien für bedingten Zugriff sind konfiguriert.

Tenant-Härtung ist der Prozess der systematischen Überprüfung und Korrektur dieser Standardeinstellungen — die Grundlage, auf der alle anderen Azure-Sicherheitskontrollen aufbauen.

Konfigurations-Audit-Checkliste

1. Security Defaults Status

Connect-MgGraph -Scopes "Policy.Read.All"
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | Select-Object IsEnabled
# Sollte True sein (wenn keine CA-Richtlinien vorhanden)

2. Legacy-Authentifizierungsstatus

Connect-ExchangeOnline
Get-AuthenticationPolicy | Select-Object Name, AllowBasicAuth*
# Alle AllowBasicAuth*-Werte sollten False sein

3. Gasteinladungseinstellungen

Get-MgPolicyAuthorizationPolicy | Select-Object AllowInvitesFrom
# Sollte: adminsAndGuestInviters oder adminsOnly sein

Behebung

💡 Schnelle Massnahme: Führen Sie die Checkliste durch und korrigieren Sie alle Einstellungen, bei denen Legacy-Auth aktiviert oder Security Defaults ohne CA-Ersatz deaktiviert sind.

Security Defaults Aktivieren

Entra ID > Eigenschaften > Security Defaults verwalten > Aktiviert = Ja

Legacy-Authentifizierung Global Deaktivieren

New-AuthenticationPolicy -Name "Basic Auth Blockieren"
Set-AuthenticationPolicy -Identity "Basic Auth Blockieren" `
    -AllowBasicAuthImap $false -AllowBasicAuthPop $false -AllowBasicAuthSmtp $false
Get-User -ResultSize Unlimited | Set-User -AuthenticationPolicy "Basic Auth Blockieren"

Gasteinladungen Einschränken

Entra ID > Externe Identitäten:
Gasteinladungseinstellungen = "Nur Admins können einladen"

Phishing-Resistente MFA-Methoden Aktivieren

Entra ID > Authentifizierungsmethoden > FIDO2-Sicherheitsschlüssel = Aktiviert
SMS = Deaktiviert (durch Authenticator ersetzen)

So Erkennt EtcSec Dies

AZ_SECURITY_DEFAULTS_DISABLED identifiziert Tenants mit deaktivierten Security Defaults ohne äquivalente CA-Abdeckung.

CA_NO_LEGACY_AUTH_BLOCK kennzeichnet fehlende Blockierung von Legacy-Authentifizierungsprotokollen.

B2B_CROSS_TENANT_OPEN erkennt zu permissive mandantenübergreifende Zugriffseinstellungen.

ℹ️ Hinweis: EtcSec prüft Azure-Tenant-Konfiguration automatisch. Starten Sie ein kostenloses Audit.

☁️ AzureConfigComplianceIdentity
EtcSec

© 2026 EtcSec. All rights reserved.

Azure Tenant-Härtung: Security Defaults | EtcSec — EtcSec Blog | EtcSec