Februar 19

0 comments

Microsoft Security – wie wir unser Microsoft 365 absichern können

Autor: Aaron Siller

Letzte Änderung: 2021-12-16


Microsoft Security: Wenn wir als Unternehmen in die Microsoft 365-Welt einsteigen, kommen natürlich auch recht schnell Fragen zur IT-Security auf.

Wie können wir als Unternehmen unsere Benutzer, Daten und Dienste entsprechend absichern? Welche Möglichkeiten haben wir? Wie steht es um die Microsoft Security?

In diesem Beitrag zeige ich Dir, welche Möglichkeiten rund um die Microsoft 365 bestehen und welchen Mehrwert damit für uns und das Unternehmen erreichen.

Microsoft-Security

Microsoft Security optimieren: Welche Bereiche können wir absichern?

Innerhalb unseres Microsoft 365 Tenants können wir unterschiedliche Bereiche anpassen und nach den Bedürfnissen und Compliance Vorgaben des Unternehmens anpassen.

Einige Funktionalitäten stehen nicht in jeder Lizenz zur Verfügung, sondern erfordern Teilweise eine Azure AD Premium Lizenz oder aber eine Lizenzierung auf dem Level der Microsoft E5 oder EMS E5.

Mögliche Bereiche zur Security-Konfiguration und Anpassung sind:

  • Login und Multi-Faktor Authentifizierung
  • Self-Service Password Reset
  • Automatische Blockung von Accounts bei Nicht-Benutzung
  • Vergabe von Administrator-Rollen
  • Applikation-Management
  • Anwendung der Exchange Online Mail-Verschlüsselung 
  • Einrichtung der Safe Links und Safe Attachments
  • Setzung der DMARC Records
  • Aktivierung der Audit-Logs und des Mailbox Auditing
  • Steuerung des Gast-Zugriffs
  • Einschränkung des Dokumenten Teilens

Das ganze kann man aus der Erfahrung unseres Microsoft 365 Consulting jetzt bis ins "unendliche" fortführen. Schauen wir uns einfach gemeinsam einige der Punkte an, mit denen Ihr Euren Microsoft 365 absichern könnt.


Microsoft-365-Secure-Score

Nutzen des Microsoft 365 Secure Scores

Um ein erstes Gefühl dafür zu bekommen, wie sicher die eigene Umgebung ist, gibt es den Secure Score bzw. den dazugehörigen Compliance Manager.

Der Secure Score prüft, welche Richtlinien und Einstellungen  in unserem Tenant gesetzt sind und vergibt daraufhin Punkte. Jede durchgeführte Aktion führt zusätzliche Punkte (unser Score) zu unserem Konto hinzu.

Innerhalb des Scores erhalten wir auch einen Vergleich zu anderen Unternehmen unserer Größe und unserer Branche. 

Wichtig hierbei zu beachten ist, dass nicht der reine Score ausschlaggebend ist, sondern vielmehr die dahinter stehenden Aktionen bzw. Tätigkeiten. Nicht jeder Empfohlene Schritt wird in unserem Unternehmen technisch oder auch vom Management her umsetzbar sein.

Der Security Score liefert uns eine gute Übersicht zu verschiedenen Punkten und Themen, mit denen wir uns beschäftigen sollten. Den Link zum Compliance Manager findet ihr hier.

Microsoft-365-Security-Score

Multi-Faktor-Authentifizierung


Einrichtung der Multi-Faktor Authentifizierung

Das klassische Passwort dient heute nicht mehr als ausreichender Schutz, um den Benutzer bzw. Account zu schützen.

Natürlich kann die Vergabe von komplexen Passwörtern und die eventuelle Erneuerung in einem gewissen Intervall stattfinden, jedoch wird die reine Kombination aus Benutzername und Passwort nicht mehr als goldener Standard wahrgenommen.

Um auch in diesem Bereich abgesichert zu sein, können wir die Multi-Faktor Authentifizierung einrichten. Hierzu haben wir mehrere unterschiedliche Wege, wie wir vorgehen können:

1. Über das Microsoft 365 Admin Portal

Im Microsoft 365 Admin Portal können wir über die aktiven Benutzer den Menüpunkt "Mehrstufige Authentifizierung" auswählen:

MFA-Aktivierung

Danach erhalten wir eine Auflistung unserer Benutzer und können für diese entsprechend MFA aktivieren:

Multi-Faktor-Einrichtung

Hinweis: Das selbe Menü erreichen wir auch über

Einstellungen > Einstellungen der Organisation > Dienste > Mehrstufige Authentifizierung

Meldet sich der Benutzer dann beim nächsten Mal im seinem Office 365 Portal an, erhält er die Aufforderung, einen zweiten Faktor zur Einwahl einzurichten.

2. Über die Microsoft Security Defaults

Über das Azure Active Directory Portal (den Link zum Portal habt Ihr hier) können wir die Security Defaults aktivieren.

Durch die Aktivierung der Security Defaults wird Multi-Faktor für alle Benutzer im Tenant auf erforderlich gesetzt. Dies sind allerdings nicht die einzigen Einstellungen - folgendes wird ergänzend mit eingerichtet:

  • Blockieren älterer Authentifizierungsprotokolle (z.B.: IMAP oder POP3)
  • Festlegen, dass Administratoren ebenfalls die mehrstufige Authentifizierung durchführen müssen.
  • Schützen von Zugriffen auf Admin-Portale, PowerShell oder die CLI

Hinweis: Wir können nicht mit dem Bedingten Zugriff arbeiten, wenn wir die Security Defaults aktiviert haben!

Um die Security Defaults zu aktivieren gehen wir im Azure AD auf

Properties > Manage Security defaults > Yes/No

Security-Defaults-Azure-Portal

Bei Microsoft 365 Tenants, die ab dem 29. Februar 2020 erstellt wurden, sind die Security Default bereits standardmäßig aktiviert.

Enable-Security-Defaults

3. Bedingter Zugriff / Conditional Access:

Mit dem bedingten Zugriff können wir - ähnlich den Security Defaults - recht granulare Einstellungen vornehmen, wie unsere Benutzer sich im Microsoft 365 Tenant bewegen dürfen.

Die Option finden wir wieder im Azure Active Directoy Portal unter

Security > Conditional Access > Policies > New Policy

Security-Azure-AD

Dort können wir dann entsprechend eine neue Richtlinie einrichten und u.a. auswählen, dass MFA für alle Apps und Zugriffe erforderlich ist:

Bedingter-Zugriff-Beispiel

Die Option für MFA finden wir unter den Access controls > Grant:

Erfordere-MFA-Azure-Portal

Im bedingten Zugriff können wir auch steuern, dass nur Administratoren eine Multi-Faktor Authentifizierung benötigen oder das die Legacy Authentifizierung geblockt wird. Es gibt auch weitere Möglichkeiten und Anwendungsszenarien, die wir hiermit steuern können.


IT-Support


Microsoft Security: Einrichtung des Self-Service Passwords

Um die Übergabe von Passwörtern zu verringern und auch eine Entlastung des IT Supports bzw. Service Desks zu erreichen können wir das Self-Service Password Feature einrichten.

Dadurch ermöglichen wir unseren Benutzern im Microsoft 365 Tenant ihre Passwörter eigenständig zurück zu setzen.

Diese Funktionalität aktivieren wir wieder über das Azure Active Directory und gehen auf den Punkt Password reset

Azure-AD-Passwort-erneuern

In den Einstellungen des Passwort Resets definieren wir entsprechend, welche Authentifizierungsmethoden wir freigeben, wie häufig diese Registrierung erneuert werden muss und ob wir bei einer Änderung des Passworts informiert werden möchten.

Passwort-Reset-Optionen

Benutzer-löschen


Löschen von inaktiven Nutzern

Um Lizenzen einzusparen und den Überblick darüber zu behalten, wer denn theoretisch noch Zugang zu unserem Microsoft 365 Tenant hat, können wir uns einen Report alle Benutzer erstellen, die sich in den letzten 90 Tage nicht angemeldet haben.

Diesen Report können wir über ein PowerShell Skript, welches Ihr hier findet, erstellen lassen.

Löschen von Gastbenutzern

Auch den Zugriff seitens unserer Gastbenutzer sollten wir regelmäßig überprüfen. Eine Übersicht der aktuell vorhandenen Gast-Accounts finden wir im Microsoft 365 Admin Center unter Benutzer > Gastbenutzer.

Dort können wir entsprechend die Gastbenutzer über die GUI löschen.

Gastbenutzer-Microsoft-365

Administrator-Rollen-Microsoft-365


Microsoft Security: Arbeiten mit den Administrator-Rollen

Der Klassiker in der Arbeit mit Benutzern im Microsoft 365 Bereich ist es, dass jeder die Rolle des Globalen Administratoren bekommt. Ist das die richtige Vorgehensweise? Natürlich nicht 🙂

Generell empfiehlt es sich natürlich mehr als nur einem Account die Rolle des Globalen Administratoren zu zuordnen, um hier keinen Flaschenhals zu erzeugen.

Weitere Zugriffe, z.B.: für die Benutzerverwaltung oder Einsicht der Lizenz Abrechnung sollte über delegierte Administrator-Rollen passieren.

Eine Prüfung dieser im M365 Admin Portal oder auch im Azure Portal ermöglicht uns auf Basis des Role-Bases Access Controls den Zugriff granularer aufzubauen.

Eine Liste der delegierten Administratoren finden wir bei der Auswahl eines Benutzers und  der Auswahl Rollen im Benutzer-Menü:

Administrator-Rollen

Einsicht aller globaler Administratoren im Tenant

Eine Möglichkeit, um sich alle globalen Administratoren in unserem Tenant anzeigen zu lassen und entsprechend auch zu exportieren geht über ein PowerShell Skript, welches Ihr hier findet.


App-Schutz


Microsoft Security: Steuerung von Dritt-Anbieter-Apps

Um unsere App-Landschaft möglichst sauber zu halten, können wir die Registrierung unserer Nutzer bei Apps von Dritt-Anbietern unterbinden.

Dadurch sorgen wir dafür, dass die geschäftliche Mail-Adresse nicht in fremden Verzeichnissen landet und wir die Compliance-Vorgaben unseres Unternehmens auf Basis der Microsoft 365 Landschaft erfüllen.

Die Option finden wir im Microsoft 365 Admincenter unter den Punkten

Einstellungen  > Einstellungen der Organisation > Dienste > Zustimmung von Benutzern zu Apps

App-Steuerung-Microsoft-365

Microsoft-365-Verschlüsselung


Anwenden der Microsoft 365 Message Encryption

Per Default ist die Microsoft 365 Message Encryption in den meisten Tenants bereits aktiviert und kann vom Nutzer z.B.: über die Outlook Web App direkt ausgeführt werden

Verschlüsselte-Mail

Über den Exchange Online können wir auch ein Regelwerk anwenden, dass die Verschlüsselung von Mails automatisch durchführt.

Dazu gehen wir in die Nachrichtenfluss-Regeln und wählen über das +-Symbol die Vorlage zur Nachrichtenverschlüsselung aus:

Microsoft-365-Message-Encryption

Anhand von Bedingungen geben wir an, wann die Nachrichtenverschlüsselung angewendet werden soll:

  • Bei bestimmten Begriffen im Titel oder Inhalt
  • Automatisch bei bestimmten Absendern
  • Sobald der Mailversand sich außerhalb der eigenen Domäne befindet

Wird eine Mail dann z.B.: an einen Empfänger geschickt, der seine Mails in Google oder Strato gehostet hat, so muss dieser einen One-Time-Token zur Authentifzierung angeben:

One-Time-Token

Microsoft Security: Anwenden der ATP Safe Links und Safe Attachments

Eine sehr einfach zu integrierende Lösung - die allerdings auch eine EMS E5 oder Microsoft 365 E5 Lizenz erfordert, ist die Anwendung der ATP Safe Links und Safe Attachments.

Bei den Safe Links werden alle eingefügten Links innerhalb von Dokumenten und E-Mails einem Scan unterzogen und auf Schadsoftware überprüft. Auch bei einem Klick auf den Link, findet eine Echtzeit-Prüfung statt - wir als Administratoren können festlegen, ob der Klick in einem Tracking zur späteren Auswertung aufbewahrt wird oder nicht.

Safe Attachments geht ähnlich vor, so werden hier alle Dateien und Anhänge in einer virtualisierten Sandbox auf Malware oder andere Gefahren überprüft und je nach Einstellung im Security & Compliance Center gegen eine Text-Datei ausgetauscht und/oder in ein Quarantäne-Postfach verschickt.

Die Einstellungen dazu finden wir im Security & Compliance Center unter den Punkten Bedrohungsmanagement > Richtlinie.

Safe-Attachment-Microsoft-365

Microsoft Security: Setzen des DMARC Eintrags

Eine vermeintliche Kleinigkeit, die wir direkt bei der Einrichtung unserer Domains im Microsoft 365 Tenant durchführen können, jedoch oftmals vergessen wird.

Mit DMARC (Domain-based Message Authentication Reporting and Conformance) haben wir einen Standard, der den Missbrauch von E-Mails wie durch Spam- oder Phishing-E-Mails eindämmen soll. Der Standard arbeitet mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zusammen.

Über Setup > Domain und der Auswahl unserer Mail-Domänen können wir den Eintrag entsprechend bei unserem DNS Provider setzen.


Kalender-Zugriff


Teilen von Kalendern mit Externen

Per Default können unsere Nutzer ihre Kalender mit externen Partnern, Lieferanten oder Kunden teilen.

Dies führt natürlich auch dazu, das potenziell interne Informationen von außen erreichbar sind. Damit dies nicht passiert, können wir im Microsoft 365 Admincenter das Teilen mit Externen unterbinden.

Dazu gehen wir im M365 Admin-Portal auf

Einstellungen > Einstellungen der Organisation > Dienste > Kalender

Externes-Teilen-Kalender

Microsoft Security: Einrichten der Audit Logs

Wer hat welche Einstellung vorgenommen? Welche Datei wurde wann gelöscht? Wann war der letzte Login eines Benutzers?

Dies sind nur einige Beispiele (von über 100 möglichen Filtern), die wir mit den Audit Logs überprüfen können.

Standardmäßig ist das Audit Log nicht aktiv, sondern muss von uns im Security & Compliance Center entsprechend eingerichtet werden.

Dazu gehen wir im Security & Compliance Center auf Suchen > Überwachungsprotokolle. Alternativ können wir die Audit Logs auch im neuen Compliance Center verwenden.

Nach erfolgter Aktivierung benötigt das System noch ungefähr 48 Stunden, bevor wir von dieser Funktionalität gebraucht machen können. Sind diese verstrichen, können wir nach unterschiedlichen Aktivitäten und Benutzern filtern.

Überwachungsprotokolle-Microsoft-365

Microsoft Security: Regelmäßige Reports durchführen

Zur Erhöhung der Sicherheit ist es empfehlenswert regelmäßig Reports zu verschiedenen Tätigkeiten und Teilbereichen in unserem Tenant durchzuführen. 

Folgende Beispiele sind mit dem Audit Log durchführbar:

  • Änderungen an den Administrator-Rollen
  • Mailbox Weiterleitungs-Regeln
  • Mailbox Zugriff von Nicht-Besitzern
  • Malware Detection Reports
  • Geteilte Dateien und Zugriffe
  • SharePoint Aktivitäten
  • Tätigkeiten im Microsoft Teams

Teams-Logo


Microsoft Security: Absichern von Microsoft Teams

Um gerade eine der zentralen Plattformen der Zusammenarbeit abzusichern, müssen wir auch hier verschiedene Bereiche und Konfigurationsmöglichkeiten beachten:

  • Nutzung von privaten Kanälen
  • Steuerung des Gast-Zugriffs
  • Nachrichten-Richtlinien für Gäste und Benutzer in Microsoft Teams
  • Dritt-Anbieter Apps blockieren oder erlauben
  • Datei-Verwaltung und Ablage in Team
  • Nutzung der ATP-Funktionen für Teams

Dies auch nur als einige Beispiele. Eine ausführlichere Anleitung dazu findet Ihr in meinem Beitrag zu Microsoft Teams Datenschutz.


Wer darf Teams erstellen?

Damit kein Wildwuchs bei der Erstellung von Teams und Microsoft 365 Gruppen entsteht, können wir über die PowerShell steuern, welche Benutzer in unserem Tenant neue Teams-Räume erstellen dürfen.

Wie das möglich ist, habe ich für Euch in dem Beitrag zu Einschränkung der Teams Erstellung aufgeschrieben.


Ablaufdatum für Teams und Microsoft 365 Gruppen

Im Laufe eines Tenant Lebens werden recht viele Teams- und Microsoft 365- Gruppen angelegt.

Mit sehr hoher Wahrscheinlichkeit befinden sich dabei auch Gruppen, die nicht mehr benötigt werden oder damals sogar nur zu Testzwecken angelegt wurden.

Damit wir hier keine Datenlasten haben, können wir ein Ablaufdatum setzen. Über das Azure Active Directory Portal gehen wir auf

Azure Active Directory > Groups > Expiration

Microsoft-365-Gruppen-Ablaufdatum

In meiner Konfiguration werden alle Microsoft 365 Gruppen, in denen in den letzten 180 Tagen keine Aktion (Mail, Chat, Datei) stattgefunden hat aus dem Verzeichnis gelöscht.

Der Besitzer einer Gruppe oder Alternativ der Administrator erhält eine Mail 30-,15- und 1-Tag vor Ablauf.


Microsoft Security: Steuerung vom Datenfluss, Diensten und der Mobilen Endgeräte

Natürlich richtet es sich ganz nach unserer eingesetzten Lizenz und eventuell Dritt-Anbieter-Lösungen, die wir schon aufwenden, aber folgende Punkte sollten wir bei der Absicherung unserer Microsoft 365 Umgebung nicht außen vor lassen:

  • Einrichten vom Mobile Device Management
  • Verwenden der App-Protection Polices zum Schutz der Unternehmensdaten mit Microsoft Intune
  • Anwenden der Data Loss Prevention zur Verhinderung von Mail-Versand mit bestimmten (sprich: kritischem oder internen) Inhalt
  • Festlegen, wie Benutzer Links mit Externen über OneDrive und SharePoint teilen dürfen
  • Setzen eines Ablauftermins für geteilte Dateien von z.B.: 7 Tagen
Ablaufoption-Microsoft-OneDrive

Deaktivierung nicht erforderlicher Dienste

Nicht alle Dienste und Services in unserer Microsoft 365 Lizenz werden auch benötigt. Gerade Dienste, wie z.B.: Sway sind nicht in Deutschland oder Europa gehostet und damit für die meisten Unternehmen nicht konform.

Wir sollten somit - ob im Rollout oder im laufenden Betrieb - prüfen, welche Dienste für unsere Nutzer erforderlich sind und auch unsere Anforderungen erfüllt.

Einige Dienste, die sehr wahrscheinlich nicht für jeden Nutzer erforderlich sind, könnten sein:

  • Kaizala
  • Yammer
  • Sway
  • PowerBI
  • Forms
  • Stream
  • Delve
  • MyAnalytics

Die Dienste können wir über die Lizenz aktivieren und deaktivieren. Je nach Anzahl unserer Benutzer lohnt es sich, auf dynamischen Gruppen zurück zu greifen.


Erweiterung der Microsoft 365 Security Features

Ein einzelner Beitrag zu allen Microsoft Security Funktionen würde den Rahmen sprengen, daher sind in diesem Beitrag nur einige Optionen aufgelistet.

Je nach Lizenz haben wir aber auch die Möglichkeit auf weitere Dienste und Administration Einfluss zu nehmen, so wären da u.a.:

  • Anwendung der Cloud App Security
  • Einrichtung von Azure Sentinel
  • Nutzung der Azure Information Protection
  • Konfiguration und Steuerung des Microsoft Defenders

Am Ende ist es immer ein Spagat zwischen dem gewünschten Ziel, den Verfügbaren Ressourcen und der Usability für unsere Nutzer. Diesen Weg gilt es möglichst effektiv zu gehen.


Welche Security-Funktionen habe ich mit meiner Lizenz?

Wenn es nicht ganz klar ist, welche Security Funktionen mir mit meiner aktuellen Lizenz überhaupt zur Verfügung stehen, stellt uns Microsoft einer Auflistung aller Features sortiert nach seinen aktuellen Lizenzen hier zur Verfügung.

Kostenloses Beratungsgespräch

Unser Gespräch ist für Sie kostenlos und unverbindlich.

Aaron Siller, Geschäftsführer von siller.consulting

Fazit und Blog

Ich hoffe Dir damit gezeigt zu haben, wie Du Deine Microsoft 365 Umgebung absichern und fit für die Zukunft machst.

Schau dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um dich bei der Arbeit mit Microsoft 365 und anderen Microsoft Produkten zu unterstützen!

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>