Office/Microsoft 365 Sicherheitseinstellungen

    Hier ein paar Einstellungen zur Verbesserung der Sicherheit unter Office/Microsoft 365 für Admins


    1. Multi-Faktor-Authentifizierung (MFA) - Detaillierte Einrichtung

    Grundlegende MFA-Aktivierung

    Navigation: Azure AD Portal (portal.azure.com) > Azure Active Directory > Sicherheit > MFA

    Schritt-für-Schritt:

    1. Gehe zu "Erste Schritte" > "Konfigurieren"
    2. Wähle "Benutzer" aus
    3. Markiere die gewünschten Benutzer oder "Alle Benutzer"
    4. Klicke auf "Aktivieren" im rechten Menü
    5. Bestätige mit "Multi-Factor Auth aktivieren"

    MFA über Conditional Access (empfohlen)

    Navigation: Azure AD > Sicherheit > Conditional Access > Neue Richtlinie

    Konfiguration:

    Name: "MFA für alle Benutzer"

    Zuweisungen:

    - Benutzer und Gruppen: Alle Benutzer

    - Cloud-Apps: Alle Cloud-Apps

    - Bedingungen: Keine speziellen

    Zugriffssteuerungen:

    - Gewähren: Zugriff gewähren > Mehrstufige Authentifizierung erforderlich

    - Sitzung: Nach Bedarf (z.B. Anmeldehäufigkeit: 90 Tage)

    Richtlinie aktivieren: Ein

    MFA-Methoden konfigurieren

    Navigation: Azure AD > Sicherheit > MFA > Zusätzliche cloudbasierte MFA-Einstellungen

    Verfügbare Methoden:

    • Microsoft Authenticator App (empfohlen)
    • SMS (Backup-Methode)
    • Anruf
    • OATH-Hardwaretoken
    • FIDO2-Sicherheitsschlüssel

    Trusted IPs einrichten: Unter "Vertrauenswürdige IPs" kannst du Firmen-IP-Bereiche hinzufügen, von denen aus keine MFA erforderlich ist (optional, aber Vorsicht!).

    2. Sensitivitätsbezeichnungen - Komplette Implementierung

    Aktivierung und Grundkonfiguration

    Navigation: Microsoft Purview Compliance Portal (compliance.microsoft.com) > Informationsschutz

    Schritt 1: Bezeichnungen erstellen

    1. Klicke auf "+ Bezeichnung erstellen"
    2. Gib Namen und Beschreibungen ein:
    1. Name: Streng VertraulichAnzeigename: Streng Vertraulich - Nur für GeschäftsführungBeschreibung für Benutzer: Nur für C-Level und autorisierte PersonenBeschreibung für Admins: Höchste Schutzstufe, automatische Verschlüsselung

    Schritt 2: Verschlüsselung konfigurieren

    • "Verschlüsselung anwenden": Ja
    • "Zugriff auf Inhalte in bezeichneten Dateien und E-Mails einschränken": Ja
    • Berechtigungen zuweisen:
      • "Jetzt Berechtigungen zuweisen" wählen
      • Benutzer/Gruppen hinzufügen
      • Berechtigungsstufe wählen:
        • Viewer: Nur Ansicht
        • Reviewer: Ansicht + Kommentare
        • Co-Author: Bearbeiten, aber kein Drucken
        • Co-Owner: Vollzugriff

    Schritt 3: Inhaltsmarkierung

    • Wasserzeichen hinzufügen:
    • Text: STRENG VERTRAULICH - [Datum]Schriftgröße: 48Farbe: RotLayout: Diagonal
    • Text: Klassifizierung: Streng VertraulichSchriftgröße: 12Farbe: RotAusrichtung: Zentriert
    • Kopfzeile hinzufügen:

    Schritt 4: Auto-Labeling konfigurieren

    • Bedingungen für automatische Anwendung:
      • Inhalt enthält > Sensible Informationstypen:
        • Kreditkartennummern
        • EU-Personalausweisnummern
        • Sozialversicherungsnummern
      • Oder benutzerdefinierte Schlüsselwörter:
        • "Streng vertraulich"
        • "Geschäftsgeheimnis"
        • "M&A"

    Bezeichnungen in SharePoint/OneDrive aktivieren

    Navigation: SharePoint Admin Center > Richtlinien > Freigabe

    Konfiguration:

    1. "Sensitivitätsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktivieren": Ein
    2. Warte 24-48 Stunden für die Synchronisation

    PowerShell-Alternative (schneller):

    Connect-SPOService -Url https://[tenant]-admin.sharepoint.com

    Set-SPOTenant -EnableAIPIntegration $true

    Bezeichnungsrichtlinien veröffentlichen

    Navigation: Purview > Informationsschutz > Bezeichnungsrichtlinien

    1. "+ Richtlinie veröffentlichen"
    2. Bezeichnungen auswählen (alle erstellten)
    3. Benutzer/Gruppen auswählen
    4. Richtlinieneinstellungen:
    • Standardbezeichnung für Dokumente: "Intern"
    • Standardbezeichnung für E-Mails: "Öffentlich"
    • Benutzer müssen Begründung angeben zum Entfernen: Ja
    • Benutzer müssen Begründung für niedrigere Klassifizierung angeben: Ja

    3. Conditional Access - Erweiterte Szenarien

    Szenario 1: Standortbasierte Einschränkungen

    Navigation: Azure AD > Conditional Access > Neue Richtlinie

    Name: "Blockieren aus Risikoländern"

    Zuweisungen:

    - Benutzer: Alle Benutzer

    - Cloud-Apps: Alle Apps

    - Bedingungen:

    - Standorte:

    - Einschließen: Alle Standorte

    - Ausschließen: Vertrauenswürdige Standorte (Deutschland, Österreich, Schweiz)

    Zugriffssteuerungen:

    - Blockieren

    Szenario 2: Geräte-Compliance

    Name: "Nur verwaltete Geräte für SharePoint"

    Zuweisungen:

    - Benutzer: Alle Benutzer

    - Cloud-Apps: Office 365 SharePoint Online

    - Bedingungen:

    - Geräteplattformen: Alle

    - Clientapps: Browser, Mobile Apps

    Zugriffssteuerungen:

    - Gewähren mit Anforderungen:

    - Gerät muss als kompatibel markiert sein

    ODER

    - Hybrid Azure AD eingebundenes Gerät erforderlich

    Szenario 3: Risikobasierter Zugriff

    Name: "MFA bei Risikoanmeldung"

    Zuweisungen:

    - Benutzer: Alle Benutzer

    - Cloud-Apps: Alle Apps

    - Bedingungen:

    - Anmelderisiko: Mittel und höher

    Zugriffssteuerungen:

    - MFA erforderlich

    - Kennwortänderung erforderlich

    4. Data Loss Prevention (DLP) - Detaillierte Einrichtung

    DLP-Richtlinie erstellen

    Navigation: Purview Compliance Portal > Verhinderung von Datenverlust > Richtlinien

    Schritt 1: Neue Richtlinie

    1. "+ Richtlinie erstellen"
    2. Vorlage wählen oder "Benutzerdefiniert"
    3. Name: "Schutz sensibler Kundendaten"

    Schritt 2: Standorte wählen

    • Exchange-E-Mail: Ein
    • SharePoint-Websites: Ein
    • OneDrive-Konten: Ein
    • Teams-Chat und -Kanalnachrichten: Ein
    • Geräte: Ein (erfordert Endpoint DLP)

    Schritt 3: Inhalte definieren

    Bedingungen:

    - Inhalt enthält:

    - Sensible Informationstypen:

    - Deutsche Personalausweisnummer (Min. 1)

    - IBAN (Min. 1)

    - Kreditkartennummer (Min. 1)

    - ODER Schlüsselwörter:

    - Kundenliste

    - Preisliste

    - Gehalt

    - Vertraulich

    Ausnahmen:

    - Absender ist Mitglied von: "DLP-Ausnahmegruppe"

    Schritt 4: Aktionen

    Bei geringer Übereinstimmung (1-5 Instanzen):

    - Benutzer benachrichtigen

    - Richtlinientipp anzeigen

    Bei hoher Übereinstimmung (6+ Instanzen):

    - Freigabe für externe Benutzer blockieren

    - E-Mail senden an: compliance@firma.de

    - Vorfall melden

    - Geschäftliche Begründung erforderlich zum Überschreiben

    DLP für Teams konfigurieren

    Spezielle Teams-Einstellungen:

    1. In Teams Admin Center > Messaging-Richtlinien
    2. "Nachrichten mit DLP-Verletzung löschen": Ein
    3. "Besitzer über gelöschte Nachrichten informieren": Ein

    5. Exchange Online Protection - Erweiterte Konfiguration

    Anti-Phishing-Richtlinien

    Navigation: Microsoft 365 Defender Portal > Richtlinien & Regeln > Bedrohungsrichtlinien > Anti-Phishing

    Konfiguration:

    Phishing-Schwellenwert: 2 (Ausgewogen)

    Aktionen:

    - Spoofed User: Nachricht in Quarantäne

    - Unauthenticated Sender: Nachricht als Spam verschieben

    - Mailbox Intelligence: Ein

    - Spoofing-Schutz: Ein

    Impersonation-Schutz:

    - Geschützte Benutzer hinzufügen:

    - CEO: max.mustermann@firma.de

    - CFO: maria.mueller@firma.de

    - Geschützte Domänen:

    - firma.de

    - partner-firma.com

    Trusted Senders:

    - newsletter@vertrauenswuerdig.de

    Safe Attachments

    Navigation: Defender Portal > Richtlinien > Safe Attachments

    Aktion für unbekannte Malware:

    - Dynamische Übermittlung (empfohlen)

    ODER

    - Blockieren

    Umleitung:

    - Bei Erkennung an admin@firma.de senden

    Scanning-Optionen:

    - Anhänge in internen Nachrichten scannen: Ein

    - OneDrive, SharePoint, Teams scannen: Ein

    Transportregeln für Verschlüsselung

    Navigation: Exchange Admin Center > Nachrichtenfluss > Regeln

    Beispielregel:

    Name: "Automatische Verschlüsselung sensibler Daten"

    Bedingungen:

    - Betreff oder Text enthält:

    - "Vertraulich"

    - "Personaldaten"

    - "Finanzdaten"

    ODER

    - An externe Empfänger

    UND Anhang vorhanden

    Aktionen:

    - Office 365-Nachrichtenverschlüsselung anwenden

    - Vorlage: "Verschlüsselt - Externe dürfen nicht weiterleiten"

    - Disclaimer hinzufügen: "Diese Nachricht enthält vertrauliche Informationen"

    6. Teams-Sicherheit im Detail

    Gastzugriff granular steuern

    Navigation: Teams Admin Center > Organisationsweite Einstellungen > Gastzugriff

    Einstellungen:

    Allgemein:

    - Gastzugriff in Teams zulassen: Ein

    Anrufe:

    - Private Anrufe tätigen: Aus

    Besprechungen:

    - Video zulassen: Ein

    - Bildschirmfreigabe: Nur in Besprechungen

    - Jetzt besprechen: Aus

    Nachrichten:

    - Gesendete Nachrichten bearbeiten: Aus

    - Gesendete Nachrichten löschen: Aus

    - Giphys: Aus

    Teams-Aufbewahrungsrichtlinien

    Navigation: Purview > Datenlebenszyklus-Verwaltung > Aufbewahrungsrichtlinien

    Name: "Teams 90 Tage Aufbewahrung"

    Standorte:

    - Teams-Kanalnachrichten: Ein

    - Teams-Chats: Ein

    - Teams-private Kanalnachrichten: Ein

    Einstellungen:

    - Elemente beibehalten: 90 Tage

    - Nach Ablauf: Automatisch löschen

    - Erweiterte Einstellungen:

    - Aufbewahrungszeitraum basiert auf: Erstellungsdatum

    7. SharePoint/OneDrive Erweiterte Sicherheit

    Externe Freigabe im Detail

    Navigation: SharePoint Admin Center > Richtlinien > Freigabe

    Organisationsebene:

    - SharePoint: Neue und bestehende Gäste

    - OneDrive: Nur Personen in der Organisation

    Erweiterte Einstellungen:

    - Gastzugriff läuft ab nach: 30 Tagen

    - Gäste müssen sich authentifizieren mit: Einmalkennung

    - Externe Benutzer können freigeben: Aus

    - Standardfreigabelink: Spezifische Personen

    - Link-Ablauf: 7 Tage

    Domäneneinschränkungen:

    - Modus: Zulassen

    - Domänen:

    - partner1.com

    - partner2.de

    Versionierung aktivieren

    PowerShell-Skript für alle Dokumentbibliotheken:

    Connect-PnPOnline -Url https://[tenant].sharepoint.com

    $sites = Get-PnPTenantSite

    foreach ($site in $sites) {

    Connect-PnPOnline -Url $site.Url

    $lists = Get-PnPList | Where {$_.BaseTemplate -eq 101}

    foreach ($list in $lists) {

    Set-PnPList -Identity $list -EnableVersioning $true -MajorVersions 50 -MinorVersions 10

    }

    }

    8. Monitoring und Audit

    Unified Audit Log aktivieren

    PowerShell:

    Connect-ExchangeOnline

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    Wichtige Audit-Suchen einrichten

    Navigation: Purview > Audit > Neue Suche

    Beispiel 1: Admin-Aktivitäten

    Aktivitäten:

    - Benutzer zur Rolle hinzugefügt

    - Benutzerpasswort zurückgesetzt

    - Benutzer gelöscht

    Benutzer: Alle Admins

    Datumsbereich: Letzte 7 Tage

    Beispiel 2: Datenzugriff

    Aktivitäten:

    - FileDownloaded

    - FileAccessed

    - FileDeleted

    - FileMalwareDetected

    Standorte: SharePoint und OneDrive

    Benutzer: Alle

    Alert-Richtlinien erstellen

    Navigation: Purview > Alert-Richtlinien

    Name: "Massenhafter Datei-Download"

    Bedingung:

    - Aktivität: FileDownloaded

    - Benutzer: Alle

    - Schwellenwert: 100 Dateien in 5 Minuten

    Benachrichtigung:

    - E-Mail an: security@firma.de

    - Schweregrad: Hoch

    9. Security Defaults vs. Conditional Access

    Security Defaults (für kleine Unternehmen)

    Navigation: Azure AD > Eigenschaften > Sicherheitsstandards verwalten

    Was wird aktiviert:

    • MFA für alle Benutzer
    • MFA für Administratoren bei jeder Anmeldung
    • Legacy-Authentifizierung blockiert
    • Azure Portal-Zugriff nur für Admins

    Wichtig: Security Defaults und Conditional Access schließen sich gegenseitig aus!

    10. Privileged Identity Management (PIM)

    PIM einrichten

    Navigation: Azure AD > Privileged Identity Management

    Schritt 1: Rollen konfigurieren

    1. Azure AD-Rollen > Rollen > Global Administrator
    2. Einstellungen bearbeiten:

    Aktivierung:

    - Max. Aktivierungsdauer: 8 Stunden

    - MFA bei Aktivierung: Erforderlich

    - Begründung: Erforderlich

    - Ticket-Information: Optional

    Genehmigung:

    - Genehmigung erforderlich: Ja

    - Genehmigende Personen: Security-Team

    Benachrichtigung:

    - Bei Aktivierung benachrichtigen

    - Bei Rollenzuweisung benachrichtigen

    Schritt 2: Berechtigte Zuweisungen

    1. "+ Zuweisungen hinzufügen"
    2. Rolle: Global Administrator
    3. Mitglieder auswählen
    4. Zuweisungstyp: Berechtigt (nicht Aktiv!)
    5. Ablaufdatum: 1 Jahr

    11. Microsoft Defender for Office 365

    Attack Simulation Training

    Navigation: Microsoft 365 Defender > Attack simulation training

    Simulation erstellen:

    Technik: Credential Harvest

    Vorlage: Microsoft-themed

    Zielgruppe: Alle Benutzer

    Landing Page: Microsoft-Lookalike

    Training:

    - Bei Klick: Sofortiges Training (5 Min Video)

    - Erinnerung nach: 1 Woche

    Safe Links Richtlinien

    Navigation: Defender Portal > Richtlinien > Safe Links

    URL-Scanning:

    - Echtzeitprüfung bei Klick: Ein

    - Für interne E-Mails: Ein

    - In Office-Apps: Ein

    - Teams: Ein

    Nicht neu schreiben für:

    - *.firma.de

    - *.microsoft.com

    Benutzerklicks nachverfolgen: Ein

    12. Lizenzierung - Wichtige Features pro Lizenz

    Microsoft 365 Business Basic

    • Exchange Online Protection (Basis)
    • MFA
    • Basis-DLP (nur Erkennung)

    Microsoft 365 Business Standard

    • Alles von Basic
    • Desktop-Office-Apps

    Microsoft 365 Business Premium

    • Alles von Standard
    • Azure AD P1 (Conditional Access)
    • Microsoft Defender for Business
    • Safe Attachments/Safe Links
    • Auto-expanding Archive

    Microsoft 365 E3

    • Alles von Business Premium
    • Unbegrenzte Benutzer
    • eDiscovery
    • Litigation Hold
    • Information Barriers

    Microsoft 365 E5

    • Alles von E3
    • Azure AD P2 (PIM, Identity Protection)
    • Microsoft Defender for Office 365 P2
    • Insider Risk Management
    • Advanced eDiscovery
    • Customer Lockbox

    Praktische Tipps für die Implementierung

    Rollout-Plan (6 Wochen)

    Woche 1-2:

    • Security Defaults oder Basic Conditional Access
    • MFA-Registrierung für alle Benutzer
    • Audit-Logging aktivieren

    Woche 3-4:

    • Sensitivitätsbezeichnungen erstellen und testen
    • DLP-Richtlinien im Testmodus
    • Anti-Phishing konfigurieren

    Woche 5-6:

    • Externe Freigabe einschränken
    • Erweiterte Conditional Access
    • Monitoring und Alerts

    PowerShell-Verbindungen (für Automatisierung)

    # Alle Module installieren

    Install-Module -Name AzureAD

    Install-Module -Name ExchangeOnlineManagement

    Install-Module -Name Microsoft.Online.SharePoint.PowerShell

    Install-Module -Name MicrosoftTeams

    Install-Module -Name PnP.PowerShell

    # Verbindungen herstellen

    Connect-AzureAD

    Connect-ExchangeOnline

    Connect-SPOService -Url https://[tenant]-admin.sharepoint.com

    Connect-MicrosoftTeams

    Connect-PnPOnline -Url https://[tenant].sharepoint.com -Interactive

    Veröffentlicht