Freigeben über


Erreichen Sie acsc Essential Eight MFA Maturity Level 3 mit Microsoft Entra

MFA Maturity Level 3 ACSC Definition

  • Die mehrstufige Authentifizierung wird verwendet, um Benutzer bei der Onlinedienste ihrer organization zu authentifizieren, die die vertraulichen Daten ihrer organization verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um Benutzer bei Drittanbieter-Onlinedienste zu authentifizieren, die vertrauliche Daten ihrer organization verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung (sofern verfügbar) wird verwendet, um Benutzer bei Drittanbieter-Onlinedienste zu authentifizieren, die die nicht vertraulichen Daten ihrer organization verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um Benutzer bei den Online-Kundendiensten ihrer organization zu authentifizieren, die die vertraulichen Kundendaten ihrer organization verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um Benutzer bei Online-Kundendiensten von Drittanbietern zu authentifizieren, die die vertraulichen Kundendaten ihrer organization verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um privilegierte Benutzer von Systemen zu authentifizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um nicht privilegierte Benutzer von Systemen zu authentifizieren.
  • Die mehrstufige Authentifizierung wird verwendet, um Benutzer von Datenrepositorys zu authentifizieren.
  • Die mehrstufige Authentifizierung verwendet entweder etwas , das Benutzer habenund etwas wissen, oder etwas, das Benutzer haben , das durch etwas entsperrt wird , was Benutzer wissen oder sind.
  • Die mehrstufige Authentifizierung, die für die Authentifizierung von Benutzernvon Onlinedienste verwendet wird, ist phishingresistent.
  • Die mehrstufige Authentifizierung, die für die Authentifizierung von Benutzern von Systemen verwendet wird, ist phishingresistent.
  • Die mehrstufige Authentifizierung, die für die Authentifizierung von Benutzern von Datenrepositorys verwendet wird, ist phishingresistent.
  • Erfolgreiche und nicht erfolgreicheEreignisse der mehrstufigen Authentifizierung werden zentral protokolliert.
  • Ereignisprotokolle sind vor nicht autorisierten Änderungen und Löschungengeschützt.

Nicht inbegriffen

Kundendienst

Die folgenden ACSC-Anforderungen für Reifegrad 2 beziehen sich auf Kundenidentitäten und liegen außerhalb des Rahmens für diesen Leitfaden auf Microsoft Entra.

  • Die mehrstufige Authentifizierung wird verwendet, um Kunden bei Online-Kundendiensten zu authentifizieren, die vertrauliche Kundendaten verarbeiten, speichern oder kommunizieren.
  • Die mehrstufige Authentifizierung, die zur Authentifizierung von Kunden von Online-Kundendiensten verwendet wird, ist phishingresistent.

Organisationsprozesse

Die folgenden ACSC-Anforderungen für Reifegrad 2 gelten für organization Prozesse und liegen außerhalb des Rahmens dieses Leitfadens zu Microsoft Entra Personalidentitäten.

  • Ereignisprotokolle von Servern mit Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen.
  • Ereignisprotokolle von Servern ohne Internetzugriff werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen.
  • Ereignisprotokolle von Arbeitsstationen werden rechtzeitig analysiert, um Cybersicherheitsereignisse zu erkennen.
  • Cybersicherheitsereignisse werden rechtzeitig analysiert, um Cybersicherheitsvorfälle zu identifizieren.
  • Cybersicherheitsvorfälle werden dem Chief Information Security Officer oder einem seiner Stellvertretungen so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden.
  • Cybersicherheitsvorfälle werden der ASD so bald wie möglich gemeldet, nachdem sie auftreten oder entdeckt wurden.
  • Nach der Identifizierung eines Cybersicherheitsvorfalls wird der Plan zur Reaktion auf Cyber-Sicherheitsvorfälle in Kraft gesetzt.

Übersicht über MFA Maturity Level 3

Visuelle Darstellung der ACSC-Anforderungen des Reifegrads 3

Zulässige Authentifikatortypen

Jeder ism-zugelassene Phishing-resistente Multi-Factor Authenticator kann verwendet werden, um Reifegrad 3 zu erreichen.

Microsoft Entra Authentifizierungsmethoden Authentifikatortyp
Ja. Hardwaregeschütztes Zertifikat (Smartcard/Sicherheitsschlüssel/TPM)
Ja. Hauptschlüssel (gerätegebunden)
->Ja. FIDO 2-Sicherheitsschlüssel
->Ja. Windows Hello for Business mit Hardware-TPM (Trusted Platform Module)
->Ja. Hauptschlüssel in Microsoft Authenticator (gerätegebunden)
Multi-Factor Crypto Hardware

Unsere Empfehlungen

Anleitungen zur kennwortlosen Authentifizierung, die die größte Angriffsfläche, das Kennwort, eliminiert, finden Sie unter Planen einer kennwortlosen Authentifizierungsbereitstellung in Microsoft Entra.

Weitere Informationen zum Implementieren von Windows Hello for Business finden Sie im Windows Hello for Business-Bereitstellungshandbuch.

Microsoft Entra Authentifizierungsmethoden, die von Reifegrad 3 nicht zulässig sind

  • SMS-Anmeldung
  • Email OTP
  • Microsoft Authenticator-App (Anmeldung per Telefon)
  • Kennwort plus Telefon (SMS)
  • Kennwort plus Telefon (Sprachanruf)
  • Kennwort plus Email OTP
  • Kennwort und Microsoft Authenticator-App (OTP)
  • Kennwort plus einstufiger OTP
  • Kennwort plus Microsoft Entra mit Software-TPM verknüpft
  • Kennwort plus kompatibles mobiles Gerät
  • Kennwort plus Microsoft Entra hybrid mit Software-TPM verknüpft
  • Kennwort plus Microsoft Authenticator-App (Benachrichtigung)
  • Kennwort plus Microsoft Entra mit Hardware-TPM verknüpft
  • Kennwort plus Microsoft Entra hybrid mit Hardware-TPM verknüpft

Phishing-resistente mehrstufige Authentifizierung für Gäste

Microsoft Entra ID unterstützt keine Gäste, die sich für Phishing-resistente Multi-Faktor-Authentifizierungsoptionen im Ressourcenmandanten registrieren.

Um phishingsichere mehrstufige Authentifizierung für Gäste in Ihrem Mandanten zu erzwingen, muss der mandantenübergreifende Zugriff so konfiguriert werden, dass eingehende Vertrauensstellungen für MFA aktiviert werden.

Eingehende Vertrauensstellung für MFA ermöglicht Es Gästen, phishingsichere mehrstufige Authentifizierung in ihrem Basismandanten durchzuführen und die Anforderung der Richtlinie für bedingten Zugriff für die phishingsichere Authentifizierung in Ihrem Mandanten zu erfüllen.

Weitere Informationen finden Sie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit– Ändern von Eingehenden Vertrauenseinstellungen für MFA- und Geräteansprüche.

Mehrstufige Authentifizierung für Systeme (Desktops und Server)

Informationen zum Zugriff auf Desktops und Server finden Sie unter Mehrstufige Authentifizierung.

Integrieren von organization- und Drittanbieter-Apps in Microsoft Entra ID

Informationen zum Integrieren organization Apps, die Ihre Entwickler mit Microsoft Entra ID erstellen, finden Sie unter Integrieren von Apps, die Ihre Entwickler erstellen.

Informationen zum Integrieren von Drittanbieter-Apps in Microsoft Entra ID finden Sie unter Fünf Schritte zum Integrieren Ihrer Apps in Microsoft Entra ID.

Nächste Schritte