Konfigurieren Ihres Microsoft 365-Mandanten für höhere Sicherheit

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für

Dieses Thema führt Sie durch die empfohlene Konfiguration für mandantenweite Einstellungen, die sich auf die Sicherheit Ihrer Microsoft 365 umgebung auswirken. Ihre Sicherheitsanforderungen erfordern möglicherweise mehr oder weniger Sicherheit. Verwenden Sie diese Empfehlungen als Ausgangspunkt.

Überprüfen Office 365 Sicherheitsbewertung

Office 365 Sicherheitsbewertung analysiert die Sicherheit Ihrer Organisation basierend auf Ihren regulären Aktivitäten und Sicherheitseinstellungen und weist eine Bewertung zu. Notieren Sie sich zunächst Ihre aktuelle Bewertung. Das Anpassen einiger mandantenweiter Einstellungen erhöht Ihre Bewertung. Das Ziel besteht nicht darin, die maximale Punktzahl zu erreichen, sondern sich der Möglichkeiten bewusst zu sein, Ihre Umgebung zu schützen, die sich nicht negativ auf die Produktivität Ihrer Benutzer auswirken. Siehe Microsoft-Sicherheitsbewertung.

Optimieren von Richtlinien für die Bedrohungsverwaltung im Microsoft 365 Defender Portal

Das Microsoft 365 Defender-Portal enthält Funktionen, die Ihre Umgebung schützen. Es enthält auch Berichte und Dashboards, die Sie zum Überwachen und Ergreifen von Maßnahmen verwenden können. Einige Bereiche verfügen über Standardrichtlinienkonfigurationen. Einige Bereiche enthalten keine Standardrichtlinien oder -regeln. Besuchen Sie diese Richtlinien unter E-Mail & Richtlinien für die Zusammenarbeit > & Regeln für > Bedrohungsrichtlinien, um die Einstellungen für das Bedrohungsmanagement für eine sicherere Umgebung zu optimieren.



Bereich Standardrichtlinie? Empfehlung
Antiphishing Ja Konfigurieren Sie die standardmäßige Antiphishingrichtlinie wie hier beschrieben: Konfigurieren von Antiphishingschutzeinstellungen in EOP und Defender für Office 365.

Weitere Informationen:

Antischadsoftwaremodul Ja Konfigurieren Sie die Standardmäßige Antischadsoftwarerichtlinie wie hier beschrieben: Konfigurieren von Einstellungen zum Schutz vor Schadsoftware in EOP.

Weitere Informationen:

Sichere Anlagen in Defender für Office 365 Nein Konfigurieren Sie die globalen Einstellungen für Tresor Anlagen, und erstellen Sie eine richtlinie für Tresor Anlagen, wie hier beschrieben: Konfigurieren Tresor Anlageneinstellungen in Microsoft Defender für Office 365.

Weitere Informationen:

Tresor Links in Microsoft Defender für Office 365 Nein Konfigurieren Sie die globalen Einstellungen für Tresor Links, und erstellen Sie eine richtlinie für Tresor Links, wie hier beschrieben: Konfigurieren Tresor Links-Einstellungen in Microsoft Defender für Office 365.

Weitere Informationen:

Antispam (E-Mail-Filterung) Ja Konfigurieren Sie die standardmäßige Antispamrichtlinie wie hier beschrieben: Konfigurieren von Antispamschutzeinstellungen in EOP

Weitere Informationen:

E-Mail-Authentifizierung Ja Die E-Mail-Authentifizierung verwendet DNS-Einträge, um E-Mail-Nachrichten über die Nachrichtenquelle und den Absender überprüfbare Informationen hinzuzufügen. Microsoft 365 konfiguriert automatisch die E-Mail-Authentifizierung für die Standarddomäne (onmicrosoft.com), aber Microsoft 365 Administratoren können die E-Mail-Authentifizierung auch für benutzerdefinierte Domänen konfigurieren. Es werden drei Authentifizierungsmethoden verwendet:

Hinweis

Für nicht standardmäßige Bereitstellungen von SPF, Hybridbereitstellungen und Problembehandlung: Wie Microsoft 365 Sender Policy Framework (SPF) verwendet, um Spoofing zu verhindern.

Anzeigen von Dashboards und Berichten im Microsoft 365 Defender Portal

Besuchen Sie diese Berichte und Dashboards, um mehr über den Zustand Ihrer Umgebung zu erfahren. Die Daten in diesen Berichten werden reicher, wenn Ihre Organisation Office 365 Dienste verwendet. Machen Sie sich vorerst damit vertraut, was Sie überwachen und entsprechende Maßnahmen ergreifen können.



Dashboard Beschreibung
E-Mail-Sicherheitsberichte Diese Berichte sind in Exchange Online Protection verfügbar. Weitere Informationen finden Sie unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft 365 Defender Portal.
Defender für Office 365-Berichte Die Berichte sind nur in Defender für Office 365 verfügbar. Weitere Informationen finden Sie unter Anzeigen von Defender für Office 365 Berichte im Microsoft 365 Defender Portal.
Nachrichtenflussberichte und Einblicke Diese Berichte und Einblicke sind im Exchange Admin Center (EAC) verfügbar. Weitere Informationen finden Sie unter Nachrichtenflussberichte und Einblicke in den Nachrichtenfluss.
Sicherheitsrisiken-Explorer (oder Echtzeit-Erkennung) Wenn Sie einen Angriff auf Ihren Mandanten untersuchen oder erleben, verwenden Sie Explorer (oder Echtzeiterkennungen), um Bedrohungen zu analysieren. Der Explorer (und der Bericht über Echtzeiterkennungen) zeigt Ihnen das Volumen von Angriffen im Laufe der Zeit an, und Sie können diese Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr analysieren. Sie können auch verdächtige E-Mails für die Vorfallliste markieren.

Konfigurieren zusätzlicher Exchange Online mandantenweiter Einstellungen

Hier sind einige zusätzliche Einstellungen, die empfohlen werden.



Bereich Empfehlung
Nachrichtenflussregeln (auch als Transportregeln bezeichnet) Fügen Sie eine Nachrichtenflussregel zum Schutz vor Ransomware hinzu, indem Sie ausführbare Dateitypen und Office Dateitypen blockieren, die Makros enthalten. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Überprüfenvon Nachrichtenanlagen in Exchange Online .

Sehen Sie sich diese zusätzlichen Themen an:

Erstellen Sie eine Nachrichtenflussregel, um die automatische Weiterleitung von E-Mails an externe Domänen zu verhindern. Weitere Informationen finden Sie unter "Minimieren externer Clientweiterleitungsregeln mit Sicherheitsbewertung".

Weitere Informationen: Nachrichtenflussregeln (Transportregeln) in Exchange Online

Moderne Authentifizierung Moderne Authentifizierung ist eine Voraussetzung für die Verwendung der mehrstufigen Authentifizierung (MFA). MFA wird empfohlen, um den Zugriff auf Cloudressourcen, einschließlich E-Mails, zu sichern.

Weitere Informationen finden Sie in den folgenden Themen:

Die moderne Authentifizierung ist standardmäßig für Office 2016-Clients, SharePoint Online und OneDrive for Business aktiviert.

Weitere Informationen: Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps

Konfigurieren von mandantenweiten Freigaberichtlinien im SharePoint Admin Center

Microsoft-Empfehlungen zum Konfigurieren SharePoint Teamwebsites auf zunehmenden Schutzebenen, beginnend mit grundlegendem Schutz. Weitere Informationen finden Sie unter Richtlinienempfehlungen zum Sichern SharePoint Websites und Dateien.

SharePoint Teamwebsites, die auf der Basisebene konfiguriert sind, ermöglichen das Freigeben von Dateien für externe Benutzer mithilfe anonymer Zugriffslinks. Dieser Ansatz wird empfohlen, anstatt Dateien per E-Mail zu senden.

Um die Ziele für grundlegenden Schutz zu unterstützen, konfigurieren Sie mandantenweite Freigaberichtlinien wie hier empfohlen. Freigabeeinstellungen für einzelne Websites können restriktiver sein als diese mandantenweite Richtlinie, aber nicht weniger restriktiv.



Bereich Enthält eine Standardrichtlinie Empfehlung
Freigabe (SharePoint Online und OneDrive for Business) Ja Die externe Freigabe ist standardmäßig aktiviert. Diese Einstellungen werden empfohlen:
  • Freigabe für authentifizierte externe Benutzer und Verwendung von Links für anonymen Zugriff zulassen (Standardeinstellung).
  • Links für anonymen Zugriff laufen in diesen vielen Tagen ab. Geben Sie bei Bedarf eine Zahl ein, z. B. 30 Tage.
  • Standardlinktyp – wählen Sie "Intern" aus (nur Personen in der Organisation). Benutzer, die mit anonymen Links teilen möchten, müssen diese Option im Freigabemenü auswählen.

Weitere Informationen: Übersicht über die externe Freigabe

SharePoint Admin Center und OneDrive for Business Admin Center enthalten dieselben Einstellungen. Die Einstellungen in beiden Admin Center gelten für beide.

Konfigurieren von Einstellungen in Azure Active Directory

Besuchen Sie diese beiden Bereiche in Azure Active Directory, um die mandantenweite Einrichtung für sicherere Umgebungen abzuschließen.

Konfigurieren benannter Speicherorte (unter bedingtem Zugriff)

Wenn Ihre Organisation Büros mit sicherem Netzwerkzugriff umfasst, fügen Sie Azure Active Directory die vertrauenswürdigen IP-Adressbereiche als benannte Speicherorte hinzu. Dieses Feature trägt dazu bei, die Anzahl der gemeldeten falsch positiven Ergebnisse für Anmelderisikoereignisse zu verringern.

Siehe: Benannte Speicherorte in Azure Active Directory

Blockieren von Apps, die die moderne Authentifizierung nicht unterstützen

Die mehrstufige Authentifizierung erfordert Apps, die die moderne Authentifizierung unterstützen. Apps, die die moderne Authentifizierung nicht unterstützen, können nicht mithilfe von Regeln für bedingten Zugriff blockiert werden.

Achten Sie bei sicheren Umgebungen darauf, die Authentifizierung für Apps zu deaktivieren, die die moderne Authentifizierung nicht unterstützen. Sie können dies in Azure Active Directory mit einem Steuerelement tun, das in Kürze verfügbar ist.

Verwenden Sie in der Zwischenzeit eine der folgenden Methoden, um dies für SharePoint Online und OneDrive for Business zu erreichen:

  • Verwenden Sie PowerShell, siehe "Blockieren von Apps, die keine moderne Authentifizierung verwenden".
  • Konfigurieren Sie dies im SharePoint Admin Center auf der Seite "Gerätezugriff" – "Steuern des Zugriffs von Apps, die keine moderne Authentifizierung verwenden". Wählen Sie "Blockieren" aus.

Erste Schritte mit Cloud App Security oder Office 365 Cloud App Security

Verwenden Sie Office 365 Cloud App Security, um Risiken zu bewerten, verdächtige Aktivitäten zu benachrichtigen und automatisch Maßnahmen zu ergreifen. Erfordert Office 365 E5 Plan.

Oder verwenden Sie Microsoft Cloud App Security, um eine tiefere Sichtbarkeit zu erhalten, auch nachdem der Zugriff gewährt wurde, umfassende Kontrollen und verbesserter Schutz für alle Ihre Cloudanwendungen, einschließlich Office 365.

Da diese Lösung den EMS E5-Plan empfiehlt, empfehlen wir, mit Cloud App Security zu beginnen, damit Sie dies mit anderen SaaS-Anwendungen in Ihrer Umgebung verwenden können. Beginnen Sie mit Standardrichtlinien und -einstellungen.

Weitere Informationen:

Cloud App Security-Dashboard.

Weitere Ressourcen

Diese Artikel und Leitfäden enthalten zusätzliche Informationen zum Sichern Ihrer Microsoft 365 Umgebung: