Zusammenfassung der Microsoft 365 Enterprise-Sicherheit für die Contoso Corporation
Um die Genehmigung für die Bereitstellung von Microsoft 365 enterprise zu erhalten, hat die IT-Sicherheitsabteilung von Contoso eine gründliche Sicherheitsüberprüfung durchgeführt. Sie haben die folgenden Sicherheitsanforderungen für die Cloud identifiziert:
- Verwenden Sie die stärksten Authentifizierungsmethoden für den Mitarbeiterzugriff auf Cloudressourcen.
- Stellen Sie sicher, dass PCs und mobile Geräte eine sichere Verbindung mit Anwendungen herstellen und darauf zugreifen.
- Schützen Sie PCs und E-Mails vor Schadsoftware.
- Berechtigungen für cloudbasierte digitale Ressourcen definieren, wer auf was zugreifen kann und was sie tun können, und sind für den Zugriff mit den geringsten Rechten konzipiert.
- Sensible und streng regulierte digitale Ressourcen werden gekennzeichnet, verschlüsselt und an sicheren Orten gespeichert.
- Stark regulierte digitale Ressourcen werden durch zusätzliche Verschlüsselung und Berechtigungen geschützt.
- IT-Sicherheitsmitarbeiter können den aktuellen Sicherheitsstatus über zentrale Dashboards überwachen und über Sicherheitsereignisse benachrichtigt werden, um schnell darauf reagieren und abhilfen zu können.
Der Contoso-Pfad zur Microsoft 365-Sicherheitsbereitschaft
Contoso hat die folgenden Schritte ausgeführt, um die Sicherheit für die Bereitstellung von Microsoft 365 Enterprise vorzubereiten:
Einschränken von Administratorkonten für die Cloud
Contoso hat eine umfassende Überprüfung seiner vorhandenen Active Directory Domain Services-Administratorkonten (AD DS) durchgeführt und eine Reihe dedizierter Cloudadministratorkonten und -gruppen eingerichtet.
Klassifizieren von Daten in drei Sicherheitsstufen
Contoso hat eine sorgfältige Überprüfung vorgenommen und die drei Ebenen ermittelt, die verwendet wurden, um die Microsoft 365 Enterprise-Features zum Schutz der wertvollsten Daten zu identifizieren.
Bestimmen von Zugriffs-, Aufbewahrungs- und Datensicherungsrichtlinien für Datenstufen
Basierend auf den Datenebenen hat Contoso detaillierte Anforderungen festgelegt, um zukünftige IT-Workloads zu qualifizieren, die in die Cloud verschoben werden.
Um bewährte Sicherheitsmethoden und Microsoft 365 für Unternehmensbereitstellungsanforderungen zu erfüllen, haben contoso-Sicherheitsadministratoren und die IT-Abteilung viele Sicherheitsfeatures und -funktionen bereitgestellt, wie in den folgenden Abschnitten beschrieben.
Identitäts- und Zugriffsverwaltung
Dedizierte globale Administratorkonten mit MFA und PIM
Anstatt alltäglichen Benutzerkonten die rolle "globaler Administrator" zuzuweisen, hat Contoso drei dedizierte globale Administratorkonten mit sicheren Kennwörtern erstellt. Die Konten werden durch Microsoft Entra mehrstufige Authentifizierung (MFA) und Microsoft Entra Privileged Identity Management (PIM) geschützt. PIM ist nur mit Microsoft 365 E5 verfügbar.
Die Anmeldung mit einem Microsoft Entra DC-Administratorkonto oder einem globalen Administratorkonto erfolgt nur für bestimmte administrative Aufgaben. Die Kennwörter sind nur bestimmten Mitarbeitern bekannt und können nur innerhalb eines Zeitraums verwendet werden, der in Microsoft Entra PIM konfiguriert ist.
Contoso-Sicherheitsadministratoren haben Konten, die für die Aufgabenfunktion dieses IT-Mitarbeiters geeignet sind, weniger Administratorrollen zugewiesen.
Weitere Informationen finden Sie unter Informationen zu Administratorrollen von Microsoft 365.
Mehrstufige Authentifizierung (MFA) für alle Benutzerkonten
MFA fügt dem Anmeldeprozess eine zusätzliche Schutzebene hinzu. Benutzer müssen einen Telefonanruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen, nachdem sie ihr Kennwort richtig eingegeben haben. Mit MFA sind Microsoft Entra Benutzerkonten vor nicht autorisierter Anmeldung geschützt, auch wenn ein Kontokennwort kompromittiert wird.
- Zum Schutz vor einer Kompromittierung des Microsoft 365-Abonnements benötigt Contoso MFA für alle Microsoft Entra DC-Administratorkonten oder globalen Administratorkonten.
- Zum Schutz vor Phishingangriffen, bei denen die Anmeldeinformationen einer vertrauenswürdigen Person in der Organisation kompromittiert und böswillige E-Mails gesendet werden, wurde bei Contoso die mehrstufige Authentifizierung für alle Benutzerkonten aktiviert, einschließlich Manager und Führungskräfte.
Sicherer Zugriff auf Geräte und Anwendungen durch bedingte Zugriffsrichtlinien
Contoso verwendet Richtlinien für bedingten Zugriff für Identität, Geräte, Exchange Online und SharePoint. Zu den Richtlinien für den bedingten Identitätszugriff gehören die Anforderung von Kennwortänderungen für Benutzer mit hohem Risiko und das Blockieren von Clients an der Verwendung von Apps, die keine moderne Authentifizierung unterstützen. Geräterichtlinien umfassen die Definition genehmigter Apps und erfordern kompatible PCs und mobile Geräte. Exchange Online Richtlinien für bedingten Zugriff umfassen das Blockieren von ActiveSync-Clients und das Einrichten Office 365 Nachrichtenverschlüsselung. SharePoint-Richtlinien für bedingten Zugriff enthalten zusätzlichen Schutz für sensible und streng regulierte Websites.
Windows Hello for Business
Contoso hat Windows Hello for Business bereitgestellt, um die Notwendigkeit von Kennwörtern durch eine sichere zweistufige Authentifizierung auf PCs und mobilen Geräten, auf denen Windows 10 Enterprise ausgeführt wird, zu beseitigen.
Windows Defender Credential Guard
Um gezielte Angriffe und Schadsoftware zu blockieren, die im Betriebssystem mit Administratorrechten ausgeführt werden, hat Contoso Windows Defender Credential Guard über die AD DS-Gruppenrichtlinie aktiviert.
Bedrohungsschutz
Schutz vor Schadsoftware mit Microsoft Defender Antivirus
Contoso verwendet Microsoft Defender Antivirus für den Schutz vor Schadsoftware und die Antischadsoftwareverwaltung für PCs und Geräte, auf denen Windows 10 Enterprise ausgeführt werden.
Schützen des E-Mail-Flusses und der Postfachüberwachungsprotokollierung mit Microsoft Defender for Office 365
Contoso verwendet Exchange Online Protection und Defender for Office 365, um sich vor unbekannter Schadsoftware, Viren und schädlichen URLs zu schützen, die über E-Mails übertragen werden.
Contoso hat auch die Postfachüberwachungsprotokollierung aktiviert, um zu ermitteln, wer sich bei Benutzerpostfächern anmeldet, Nachrichten sendet und andere Aktivitäten ausführt, die vom Postfachbesitzer, einem delegierten Benutzer oder einem Administrator ausgeführt werden.
Angriffsüberwachung und -vermeidung mit der Bedrohungssuche und -reaktion von Office 365
Contoso verwendet Office 365 Bedrohungsuntersuchung und -reaktion, um Benutzer zu schützen, indem es es einfach macht, Angriffe zu identifizieren und zu beheben und zukünftige Angriffe zu verhindern.
Schutz vor raffinierten Angriffen mit Advanced Threat Analytics
Contoso verwendet Advanced Threat Analytics (ATA), um sich vor erweiterten gezielten Angriffen zu schützen. ATA analysiert, lernt und identifiziert automatisch normales und ungewöhnliches Entitätsverhalten (Benutzer, Geräte und Ressourcen).
Schutz von Daten
Schützen von vertraulichen und hochgradig regulierten digitalen Objekten mit Azure Information Protection-Bezeichnungen
Contoso hat drei Datenschutzebenen festgelegt und Microsoft 365-Vertraulichkeitsbezeichnungen bereitgestellt, die Benutzer auf digitale Ressourcen anwenden. Für seine Geschäftsgeheimnisse und sonstiges geistiges Eigentum verwendet Contoso Vertraulichkeitsunterbezeichnungen für streng regulierte Daten. Dieser Prozess verschlüsselt Inhalte und schränkt den Zugriff auf bestimmte Benutzerkonten und Gruppen ein.
Verhindern von Datenlecks mit Data Loss Prevention (DLP)
Contoso hat Microsoft Purview Data Loss Prevention Richtlinien für Exchange Online, SharePoint und OneDrive for Business konfiguriert, um zu verhindern, dass Benutzer versehentlich oder absichtlich vertrauliche Daten freigeben.
Verhindern von Geräte-Datenlecks mit Windows Information Protection
Contoso verwendet Windows Information Protection (WIP) zum Schutz vor Datenlecks durch internetbasierte Apps und Dienste sowie Unternehmens-Apps und Daten auf unternehmenseigenen Geräten und persönlichen Geräten, die Mitarbeiter zur Arbeit mitbringen.
Cloudüberwachung mit Microsoft Defender for Cloud Apps
Contoso verwendet Microsoft Defender for Cloud Apps, um seine Cloudumgebung zuzuordnen, deren Nutzung zu überwachen und Sicherheitsereignisse und Incidents zu erkennen. Microsoft Defender for Cloud Apps ist nur mit Microsoft 365 E5 verfügbar.
Geräteverwaltung mit Microsoft Intune
Contoso verwendet Microsoft Intune zum Registrieren, Verwalten und Konfigurieren des Zugriffs auf mobile Geräte und die Darauf ausgeführten Apps. Gerätebasierte Richtlinien für bedingten Zugriff erfordern auch genehmigte Apps und kompatible PCs und mobile Geräte.
Sicherheitsverwaltung
Zentrale Sicherheits-Dashboard für IT mit Microsoft Defender for Cloud
Contoso verwendet die Microsoft Defender für Cloud, um eine einheitliche Ansicht von Sicherheit und Bedrohungsschutz zu präsentieren, Sicherheitsrichtlinien für seine Workloads zu verwalten und auf Cyberangriffe zu reagieren.
Zentrales Sicherheits-Dashboard für Benutzer mit Windows Defender Security Center
Contoso hat die Windows-Sicherheit-App auf seinen PCs und Geräten bereitgestellt, auf denen Windows 10 Enterprise ausgeführt wird, damit Benutzer ihren Sicherheitsstatus auf einen Blick sehen und Maßnahmen ergreifen können.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für