> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/cloud-scan/microsoft-azure-entra-id-microsoft-365.md).

# Microsoft Azure / Entra ID / Microsoft 365

Diese Ergebnisse gelten für Organisationen, die Microsoft-Cloud-Dienste verwenden (Azure-Abonnements, Microsoft 365, Entra ID / Azure Active Directory).

## Privilegierte Benutzer mit deaktivierter MFA

**Schweregrad: Hoch**

### Was das bedeutet

Die Multi-Faktor-Authentifizierung (MFA) fügt beim Anmelden eine zweite Sicherheitsebene hinzu, typischerweise einen Code aus einer Smartphone-App oder einen Hardware-Schlüssel. Ohne MFA erhält ein Angreifer, wenn er das Kennwort eines Administrators errät oder stiehlt (durch Phishing, einen Datenverstoß oder Brute-Force), vollen Zugriff auf Ihre Cloud-Umgebung, ohne dass ihn sonst noch etwas aufhält.

Dieser Befund kennzeichnet **Administratorkonten, für die MFA nicht aktiviert ist**. Dies sind die sensibelsten Konten in Ihrer Organisation: Ein kompromittiertes Administratorkonto kann zur vollständigen Kontrolle über Ihre E-Mails, Dateien und Infrastruktur führen.

### Was der Scan prüft

Der Scan untersucht alle Benutzer mit privilegierten Rollen (Globaler Administrator, Anwendungsadministrator, Sicherheitsadministrator usw.) und prüft, ob sie sich für MFA registriert haben. Der Alarm wird ausgelöst, wenn bei einem privilegierten Benutzer MFA deaktiviert ist.

### So beheben Sie es

**Option A: Sicherheitsstandards aktivieren (am einfachsten)**

Wenn Sie noch keine Richtlinien für den bedingten Zugriff haben, sind Sicherheitsstandards der schnellste Weg, MFA für alle Benutzer durchzusetzen:

1. Gehen Sie zu [Entra ID](https://entra.microsoft.com) > `Identität` > `Übersicht` > `Eigenschaften`.
2. Klicken Sie auf `Sicherheitsstandards verwalten`.
3. Festlegen auf `Aktiviert`.

**Option B: Bedingten Zugriff verwenden (empfohlen für größere Organisationen)**

1. Gehen Sie zu [Entra ID](https://entra.microsoft.com) > `Schutz` > `Bedingter Zugriff`.
2. Klicken Sie auf `+ Neue Richtlinie`.
3. Nennen Sie sie: „MFA für Administratoren anfordern“.
4. Unter `Benutzer`: wählen Sie `Verzeichnisrollen` aus und wählen Sie alle Admin-Rollen aus (Globaler Administrator, Sicherheitsadministrator usw.).
5. Unter `Gewähren`: wählen Sie `Mehrstufige Authentifizierung verlangen`.
6. Setzen Sie die Richtlinie auf `Ein` und speichern Sie sie.

Nach dem Erstellen der Richtlinie wird jeder Administrator bei seiner nächsten Anmeldung aufgefordert, MFA einzurichten.

## Shadow-Admin-Benutzer

**Schweregrad: Niedrig**

### Was das bedeutet

Ein „Shadow Admin“ ist ein Benutzer, der über Administratorrechte verfügt, ohne offensichtlich ein Administrator zu sein. Er hat Rollen wie „Kennwortadministrator“ oder „Helpdesk-Administrator“, die ihm erhebliche Berechtigungen geben (z. B. das Zurücksetzen des Kennworts von beliebigen Personen, das Verwalten von Anwendungen), aber er unterliegt möglicherweise nicht denselben Sicherheitskontrollen (MFA, Zugriffsüberprüfungen) wie die offiziell anerkannten Administratoren.

Das Risiko besteht darin, dass diese Konten unter dem Radar bleiben: Sie erscheinen nicht in der Liste „Globale Administratoren“, aber ein Angreifer, der eines davon kompromittiert, kann dennoch erheblichen Schaden anrichten, z. B. das Kennwort eines globalen Administrators zurücksetzen und den gesamten Mandanten übernehmen.

### Was der Scan prüft

Der Scan identifiziert Benutzer, denen eine dieser Entra ID-Rollen zugewiesen ist:

* Anwendungsadministrator
* Authentifizierungsadministrator
* Cloud-Anwendungsadministrator
* Helpdesk-Administrator
* Kennwortadministrator
* Privilegierter Authentifizierungsadministrator
* Privilegierter Rollenadministrator
* Benutzerkontoadministrator

Benutzer, die auch die Rolle des globalen Administrators haben, werden ausgeschlossen (sie sind bereits als vollständige Administratoren sichtbar).

### So beheben Sie es

1. Gehen Sie zu [Entra ID](https://entra.microsoft.com) > `Rollen und Administratoren`.
2. Klicken Sie auf jede der oben aufgeführten Rollen.
3. Überprüfen Sie die Liste der zugewiesenen Benutzer. Fragen Sie für jeden Benutzer:
   * **Benötigt diese Person diese Rolle tatsächlich?** Wenn nicht, entfernen Sie sie.
   * **Ist dies eine dauerhafte Zuweisung?** Erwägen Sie die Verwendung von [Privileged Identity Management (PIM)](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/) für Zugriff bei Bedarf statt dauerhafter Rollenzuweisungen.
   * **Ist MFA für diesen Benutzer aktiviert?** Shadow-Administratoren sollten dieselben MFA-Anforderungen haben wie vollständige Administratoren.

## Hoher Anteil privilegierter Benutzer

**Schweregrad: Mittel**

### Was das bedeutet

Mehr als **10 % Ihrer Benutzer** haben Administratorrollen in Entra ID. Das ist ein Zeichen dafür, dass Administratorberechtigungen zu weitreichend vergeben wurden, vielleicht aus Bequemlichkeit oder weil temporärer Zugriff nie widerrufen wurde.

Jedes Administratorkonto ist ein potenzieller Einstiegspunkt für einen Angreifer. Wenn Sie die Anzahl der Administratoren reduzieren, begrenzen Sie den Schadensradius, falls ein Konto kompromittiert wird.

### Was der Scan prüft

Der Scan zählt die Gesamtzahl der Benutzer mit irgendeiner Admin-Rolle und vergleicht sie mit der Gesamtzahl der aktivierten Benutzer. Der Alarm wird ausgelöst, wenn das Verhältnis 10 % überschreitet.

### So beheben Sie es

1. Gehen Sie zu [Entra ID](https://entra.microsoft.com) > `Rollen und Administratoren`.
2. Überprüfen Sie für jede Admin-Rolle, wem sie zugewiesen ist.
3. Entfernen Sie Benutzer, die keinen Administratorzugriff mehr benötigen.
4. Für Benutzer, die nur gelegentlich Administratorzugriff benötigen, verwenden Sie **Privileged Identity Management (PIM)** für die Just-in-Time-Erhöhung.

## Benutzer mit deaktivierter MFA

**Schweregrad: Hoch**

### Was das bedeutet

Einige Benutzer in Ihrer Organisation haben MFA nicht aktiviert. Ohne MFA reicht ein gestohlenes oder erratenes Kennwort aus, um einem Angreifer Zugriff auf ihr Postfach, ihre Dateien und alle Anwendungen zu verschaffen, auf die sie Zugriff haben.

So laufen die meisten Business-E-Mail-Kompromittierungen (BEC) ab: Ein Angreifer phished das Kennwort eines Benutzers, meldet sich ohne MFA an und sendet dann betrügerische E-Mails oder stiehlt sensible Daten.

### Was der Scan prüft

Der Scan überprüft den MFA-Registrierungsstatus aller aktivierten Benutzer. Jeder Benutzer mit `isMfaRegistered = false` löst den Alarm aus.

### So beheben Sie es

Am effektivsten ist es, MFA für alle Benutzer über bedingten Zugriff oder Sicherheitsstandards durchzusetzen (siehe oben „Privilegierte Benutzer mit deaktivierter MFA“ für eine Schritt-für-Schritt-Anleitung).

So prüfen Sie, welche Benutzer MFA nicht haben:

1. Gehen Sie zu [Entra ID](https://entra.microsoft.com) > `Schutz` > `Authentifizierungsmethoden` > `Details zur Benutzerregistrierung`.
2. Filtern Sie nach „MFA-fähig = Nein“, um zu sehen, wer sich nicht registriert hat.

## Kein Sicherheitskontakt festgelegt

**Schweregrad: Mittel**

### Was das bedeutet

Microsoft Defender for Cloud kann Sicherheitsbedrohungen in Ihrer Azure-Umgebung erkennen (verdächtige Anmeldeversuche, Malware, freigegebene Dienste usw.). Wenn jedoch keine E-Mail-Adresse konfiguriert ist, haben diese Warnungen keinen Empfänger: Niemand wird benachrichtigt, und Angriffe können unentdeckt bleiben.

### Was der Scan prüft

Der Scan prüft, ob in den Benachrichtigungseinstellungen von Microsoft Defender for Cloud mindestens eine E-Mail-Adresse für den Sicherheitskontakt konfiguriert ist.

### So beheben Sie es

1. Gehen Sie zum [Azure-Portal](https://portal.azure.com).
2. Navigieren Sie zu `Microsoft Defender for Cloud` > `Umgebungseinstellungen`.
3. Wählen Sie Ihr Abonnement aus.
4. Klicken Sie auf `E-Mail-Benachrichtigungen`.
5. Füllen Sie Folgendes aus:
   * **Zusätzliche E-Mail-Adressen:** fügen Sie eine Verteilerliste hinzu (z. B. `security@yourcompany.com`), verwenden Sie nicht die E-Mail-Adresse einer einzelnen Person.
   * **Benachrichtigungstypen:** mindestens Warnungen mit „hohem Schweregrad“.
6. Klicken Sie auf `Speichern`.

## Keine Rolle zum Verwalten von Ressourcensperren

**Schweregrad: Niedrig**

### Was das bedeutet

Azure **Ressourcensperren** schützen kritische Ressourcen (Datenbanken, virtuelle Netzwerke, Speicherkonten) vor versehentlichem Löschen oder Ändern. Selbst ein Administrator mit vollständigen Berechtigungen kann eine gesperrte Ressource nicht löschen, ohne zuvor die Sperre zu entfernen.

Dieser Befund bedeutet, dass in Ihrer Organisation niemand eine Rolle speziell für die Verwaltung dieser Sperren zugewiesen bekommen hat. Ohne jemanden, der dafür verantwortlich ist, werden Sperren möglicherweise nicht konsistent verwendet, oder kritische Ressourcen bleiben ungeschützt.

### Was der Scan prüft

Der Scan sucht nach einer benutzerdefinierten RBAC-Rolle mit Berechtigungen zum Verwalten von Ressourcensperren (`Microsoft.Authorization/locks/*`). Wenn keine solche Rolle existiert oder niemand ihr zugewiesen ist, wird der Alarm ausgelöst.

### So beheben Sie es

1. Gehen Sie zum [Azure-Portal](https://portal.azure.com) > `Abonnements` > Wählen Sie Ihr Abonnement aus.
2. Gehen Sie zu `Zugriffskontrolle (IAM)` > `Rollen` > `+ Hinzufügen` > `Benutzerdefinierte Rolle hinzufügen`.
3. Erstellen Sie eine Rolle mit den folgenden Berechtigungen:

```
Microsoft.Authorization/locks/read
Microsoft.Authorization/locks/write
Microsoft.Authorization/locks/delete
```

4. Weisen Sie diese Rolle einem vertrauenswürdigen Administrator zu.
5. Lassen Sie diesen Administrator **Löschsperren** auf kritischen Ressourcen (Datenbanken, Speicherkonten, Key Vaults).

## Key Vault nicht wiederherstellbar

**Schweregrad: Hoch**

### Was das bedeutet

Azure Key Vault speichert Ihre Geheimnisse, Verschlüsselungsschlüssel und Zertifikate. Wenn jemand einen Key Vault versehentlich (oder böswillig) löscht, verlieren Sie all diese Daten. Ohne **Soft Delete** und **Schutz vor endgültigem Löschen** aktiviert ist ein gelöschter Key Vault für immer verloren: Eine Wiederherstellung ist nicht möglich.

### Was der Scan prüft

Der Scan prüft, ob beide Schutzmechanismen aktiviert sind:

* **Soft Delete:** gelöschte Key Vaults werden für einen Aufbewahrungszeitraum aufbewahrt (standardmäßig 90 Tage) und können wiederhergestellt werden.
* **Schutz vor endgültigem Löschen:** selbst nach Soft Delete kann der Tresor während des Aufbewahrungszeitraums nicht endgültig gelöscht werden.

### So beheben Sie es

1. Gehen Sie zum [Azure-Portal](https://portal.azure.com) > `Schlüsseltresore` > Wählen Sie Ihren Tresor aus.
2. Gehen Sie zu `Eigenschaften`.
3. Aktivieren `Soft Delete` (Hinweis: Dies ist bei neuen Tresoren jetzt standardmäßig aktiviert und kann nicht deaktiviert werden).
4. Aktivieren `Schutz vor endgültigem Löschen`.
5. Klicken Sie auf `Speichern`.

Für vorhandene Tresore über die Azure CLI:

```bash
az keyvault update --name <vault-name> --enable-purge-protection true
```

## HTTPS auf dem App Service nicht erzwungen

**Schweregrad: Hoch**

### Was das bedeutet

Ihr Azure App Service (Website oder API) akzeptiert unverschlüsselten HTTP-Verkehr. Das bedeutet, dass Daten, die zwischen Benutzern und Ihrer Anwendung gesendet werden, einschließlich Anmeldedaten, persönlicher Informationen und Sitzungstokens, von jedem auf dem Netzwerkpfad abgefangen werden können.

### Was der Scan prüft

Der Scan überprüft die `Nur HTTPS` -Einstellung bei jedem App Service. Wenn sie auf `Aus`festgelegt ist, wird der Alarm ausgelöst.

### So beheben Sie es

1. Gehen Sie zum [Azure-Portal](https://portal.azure.com) > `App Services` > Wählen Sie Ihre App aus.
2. Gehen Sie zu `Einstellungen` > `Konfiguration` > `Allgemeine Einstellungen`.
3. Setzen Sie `Nur HTTPS` auf `Ein`.
4. Klicken Sie auf `Speichern`.

## Unsichere TLS-Version auf App Service

**Schweregrad: Hoch**

### Was das bedeutet

Ihr App Service akzeptiert Verbindungen mit TLS 1.0 oder 1.1, also veralteten Verschlüsselungsprotokollen mit bekannten Schwachstellen. Moderne Browser und Sicherheitsstandards erfordern TLS 1.2 oder höher.

### Was der Scan prüft

Die auf dem App Service konfigurierte minimale TLS-Version. Der Alarm wird ausgelöst, wenn sie unter 1.2 liegt.

### So beheben Sie es

1. Gehen Sie zum [Azure-Portal](https://portal.azure.com) > `App Services` > Wählen Sie Ihre App aus.
2. Gehen Sie zu `Einstellungen` > `Konfiguration` > `Allgemeine Einstellungen`.
3. Setzen Sie `Minimale TLS-Version` auf `1.2`.
4. Klicken Sie auf `Speichern`.

## SQL / PostgreSQL / MySQL: SSL-Erzwingung deaktiviert

**Schweregrad: Hoch**

### Was das bedeutet

Ihr Datenbankserver akzeptiert unverschlüsselte Verbindungen. Ohne SSL/TLS-Erzwingung können Anmeldedaten und Daten, die zwischen Ihrer Anwendung und der Datenbank gesendet werden, im Netzwerk abgefangen werden.

### So beheben Sie es

**Für Azure Database für MySQL:**

1. Gehen Sie zu [Azure-Portal](https://portal.azure.com) > `Azure Database für MySQL` > Wählen Sie Ihren Server aus.
2. Gehen Sie zu `Verbindungssicherheit`.
3. Setzen Sie `SSL-Verbindung erzwingen` auf `AKTIVIERT`.
4. Klicken Sie auf `Speichern`.

**Für Azure Database für PostgreSQL:**

1. Gehen Sie zu [Azure-Portal](https://portal.azure.com) > `Azure Database für PostgreSQL` > Wählen Sie Ihren Server aus.
2. Gehen Sie zu `Verbindungssicherheit`.
3. Setzen Sie `SSL-Verbindung erzwingen` auf `AKTIVIERT`.
4. Klicken Sie auf `Speichern`.

## Öffentlicher Blob-Container

**Schweregrad: Hoch**

### Was das bedeutet

Ein oder mehrere Ihrer Azure Storage-Blob-Container sind für **öffentlichen Zugriff** konfiguriert, was bedeutet, dass jeder im Internet die darin enthaltenen Dateien ohne Authentifizierung lesen kann. Dies ist eine häufige Ursache für Datenlecks.

### So beheben Sie es

1. Gehen Sie zu [Azure-Portal](https://portal.azure.com) > `Speicherkonten` > Wählen Sie das Konto aus.
2. Gehen Sie zu `Konfiguration`.
3. Setzen Sie `Öffentlichen Blob-Zugriff zulassen` auf `Deaktiviert`.
4. Oder, um einzelne Container zu beheben: gehen Sie zu `Container`, wählen Sie den Container aus und ändern Sie `Öffentliche Zugriffsebene` auf `Privat`.

## VM-Festplatten nicht verschlüsselt

**Schweregrad: Hoch**

### Was das bedeutet

Die Festplatten Ihrer virtuellen Maschine sind nicht verschlüsselt. Wenn die zugrunde liegende physische Hardware kompromittiert, außer Betrieb genommen oder unsachgemäß entsorgt wird, könnten die Daten auf diesen Festplatten im Klartext gelesen werden.

### So beheben Sie es

1. Gehen Sie zu [Azure-Portal](https://portal.azure.com) > `Virtuelle Maschinen` > Wählen Sie die VM aus.
2. Gehen Sie zu `Festplatten` > `Zusätzliche Einstellungen`.
3. Aktivieren `Azure-Diskverschlüsselung` (ADE) oder `Serverseitige Verschlüsselung mit vom Kunden verwalteten Schlüsseln`.
4. Aktivieren Sie bei neuen VMs die Verschlüsselung bei der Erstellung.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/cloud-scan/microsoft-azure-entra-id-microsoft-365.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
