Die 12 wichtigsten Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus

Wenn Sie Wie Microsoft sind und plötzlich in erster Linie heimisch arbeiten, möchten wir Ihnen helfen, sicherzustellen, dass Ihre Organisation so sicher wie möglich arbeitet. In diesem Artikel werden Aufgaben priorisiert, damit Sicherheitsteams die wichtigsten Sicherheitsfunktionen so schnell wie möglich implementieren können.

Führen Sie diese wichtigsten Aufgaben aus, um die Arbeit von zu Hause aus zu unterstützen.

Wenn Sie eine kleine oder mittelständische Organisation sind, die einen der Geschäftspläne von Microsoft verwendet, sehen Sie sich stattdessen die folgenden Ressourcen an:

Für Kunden, die unsere Enterprise-Pläne verwenden, empfiehlt Microsoft, die in der folgenden Tabelle aufgeführten Aufgaben auszuführen, die für Ihren Serviceplan gelten. Wenn Sie abonnements kombinieren, anstatt einen Microsoft 365 Enterprise-Plan zu erwerben, beachten Sie Folgendes:

  • Microsoft 365 E3 umfasst Enterprise Mobility + Security (EMS) E3 und Azure AD P1
  • Microsoft 365 E5 umfasst EMS E5 und Azure AD P2

Schritt Aufgabe Alle Office 365 Enterprise-Pläne Microsoft 365 E3 Microsoft 365 E5
1 Aktivieren der mehrstufigen Azure AD-Authentifizierung (MFA) Iinklusive. Iinklusive. Iinklusive.
2 Schutz vor Bedrohungen Iinklusive. Iinklusive. Iinklusive.
3 Konfigurieren von Microsoft Defender für Office 365 Iinklusive.
4 Konfigurieren von Microsoft Defender for Identity Iinklusive.
5 Microsoft 365 Defender aktivieren Iinklusive.
6 Konfigurieren des Intune-Schutzes mobiler Apps für Smartphones und Tablets Iinklusive. Iinklusive.
7 Konfigurieren von MFA und bedingtem Zugriff für Gäste, einschließlich Intune-App-Schutz Iinklusive. Enthalten
8 Registrieren von PCs bei der Geräteverwaltung und Anfordern kompatibler PCs Iinklusive. Enthalten
9 Optimieren Ihres Netzwerks für Cloudkonnektivität Iinklusive. Enthalten Enthalten
10 Benutzer trainieren Iinklusive. Enthalten Enthalten
11 Erste Schritte mit Microsoft Cloud App Security Enthalten
12 Überwachen auf Bedrohungen und Ergreifen von Maßnahmen Iinklusive. Enthalten Enthalten

Bevor Sie beginnen, überprüfen Sie Ihre Microsoft 365 Sicherheitsbewertung im Microsoft 365 Security Center. Über ein zentrales Dashboard können Sie die Sicherheit Ihrer Microsoft 365 Identitäten, Daten, Apps, Geräte und Infrastruktur überwachen und verbessern. Sie erhalten Punkte für die Konfiguration empfohlener Sicherheitsfeatures, das Ausführen sicherheitsrelevanter Aufgaben (z. B. das Anzeigen von Berichten) oder das Adressieren von Empfehlungen mit einer Drittanbieteranwendung oder -software. Die empfohlenen Aufgaben in diesem Artikel erhöhen Ihre Bewertung.

Screenshot der Microsoft-Sicherheitsbewertung.

1: Aktivieren der mehrstufigen Azure AD-Authentifizierung (MFA)

Das Beste, was Sie tun können, um die Sicherheit für Mitarbeiter zu verbessern, die von zu Hause aus arbeiten, ist das Aktivieren von MFA. Wenn Sie noch keine Prozesse eingerichtet haben, behandeln Sie dies als Notfallpilot, und stellen Sie sicher, dass Supportmitarbeiter bereit sind, um Mitarbeitern zu helfen, die hängen bleiben. Da Sie wahrscheinlich keine Hardwaresicherheitsgeräte verteilen können, verwenden Sie Windows Hello biometrie- und Smartphone-Authentifizierungs-Apps wie Microsoft Authenticator.

Normalerweise empfiehlt Microsoft, Benutzern 14 Tage Zeit zu geben, um ihr Gerät für die mehrstufige Authentifizierung zu registrieren, bevor MFA erforderlich ist. Wenn Ihre Mitarbeiter jedoch plötzlich von zu Hause aus arbeiten, müssen Sie MFA als Sicherheitspriorität anfordern und bereit sein, Benutzern zu helfen, die sie benötigen.

Das Anwenden dieser Richtlinien dauert nur ein paar Minuten, ist aber bereit, Ihre Benutzer in den nächsten Tagen zu unterstützen.


Plan Empfehlung
Microsoft 365 Pläne (ohne Azure AD P1 oder P2) Aktivieren Sie die Sicherheitsstandards in Azure AD. Zu den Sicherheitsstandards in Azure AD gehört MFA für Nutzer und Administratoren.
Microsoft 365 E3 (mit Azure AD P1) Verwenden Sie Allgemeine Richtlinien für den bedingten Zugriff, um die folgenden Richtlinien zu konfigurieren:
- MFA für Administratoren erforderlich
- MFA für alle Nutzer erforderlich
- Blockieren von Legacy-Authentifizierung
Microsoft 365 E5 (mit Azure AD P2) Nutzen Sie den Azure AD-Identity Protection, beginnen Sie mit der Implementierung des von Microsoft empfohlenen Satzes von bedingtem Zugriff und zugehörigen Richtlinien, indem Sie die folgenden 2 Richtlinien nutzen:
- MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist
- Blockieren von Clients, die die moderne Authentifizierung nicht unterstützen
- Nutzer mit hohem Risiko müssen das Kennwort ändern

2: Schutz vor Bedrohungen

Alle Microsoft 365 Pläne enthalten eine Vielzahl von Bedrohungsschutzfunktionen. Das Aufprallen des Schutzes für diese Features dauert nur einige Minuten.

  • Antischadsoftwareschutz
  • Schutz vor bösartigen URLs und Dateien
  • Antiphishingschutz
  • Antispamschutz

Eine Anleitung, die Sie als Ausgangspunkt verwenden können, finden Sie unter "Schutz vor Bedrohungen in Office 365".

3: Konfigurieren von Microsoft Defender für Office 365

Microsoft Defender für Office 365, enthalten in Microsoft 365 E5 und Office 365 E5, schützt Ihre Organisation vor bösartigen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Die Konfiguration kann mehrere Stunden dauern.

Microsoft Defender für Office 365:

  • Schützt Ihre Organisation in Echtzeit vor unbekannten E-Mail-Bedrohungen, indem intelligente Systeme verwendet werden, die Anlagen und Links auf schädliche Inhalte prüfen. Diese automatisierten Systeme umfassen eine stabile Detonationsplattform, Heuristiken und Machine Learning-Modelle.
  • Schützt Ihre Organisation, wenn Benutzer zusammenarbeiten und Dateien freigeben, indem schädliche Dateien auf Teamwebsites und Dokumentbibliotheken identifiziert und blockiert werden.
  • Wendet Machine Learning-Modelle und erweiterte Algorithmen zur Erkennung von Identitätswechseln an, um Phishingangriffe zu verhindern.

Eine Übersicht, einschließlich einer Zusammenfassung der Pläne, finden Sie unter Defender für Office 365.

Ihr globaler Administrator kann diese Schutzmaßnahmen konfigurieren:

Sie müssen mit Ihrem Exchange Online-Administrator und SharePoint Onlineadministrator zusammenarbeiten, um Defender für Office 365 für diese Workloads zu konfigurieren:

4: Konfigurieren von Microsoft Defender for Identity

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um komplexe Bedrohungen, kompromittierte Identitäten und bösartige, gegen Ihre Organisation gerichtete Insideraktionen zu identifizieren, zu erkennen und zu untersuchen. Konzentrieren Sie sich als Nächstes darauf, da es Ihre lokale Umgebung und Ihre Cloudinfrastruktur schützt, keine Abhängigkeiten oder Voraussetzungen hat und sofortige Vorteile bieten kann.

5: Aktivieren Microsoft 365 Defender

Nachdem Sie Microsoft Defender für Office 365 und Microsoft Defender for Identity konfiguriert haben, können Sie die kombinierten Signale dieser Funktionen in einem Dashboard anzeigen. Microsoft 365 Defender vereint Warnungen, Vorfälle, automatisierte Untersuchung und Reaktion sowie die erweiterte Suche über Workloads hinweg (Microsoft Defender for Identity, Defender für Office 365, Microsoft Defender für Endpunkt und Microsoft Cloud App Security) in einem einzigen Bereich bei security.microsoft.com.

Abbildung des MTP-Dashboards.

Nachdem Sie einen oder mehrere Ihrer Defender für Office 365 Dienste konfiguriert haben, aktivieren Sie MTP. MtP werden kontinuierlich neue Features hinzugefügt. Erwägen Sie, sich für den Empfang von Vorschaufeatures zu entscheiden.

6: Konfigurieren des Intune-Schutzes mobiler Apps für Smartphones und Tablets

Microsoft Intune Mit der mobilen Anwendungsverwaltung (Mobile Application Management, MAM) können Sie die Daten Ihrer Organisation auf Smartphones und Tablets verwalten und schützen, ohne diese Geräte zu verwalten. Funktionsweise:

  • Sie erstellen eine App-Schutzrichtlinie (App), die bestimmt, welche Apps auf einem Gerät verwaltet werden und welches Verhalten zulässig ist (z. B. verhindern, dass Daten aus einer verwalteten App in eine nicht verwaltete App kopiert werden). Sie erstellen eine Richtlinie für jede Plattform (iOS, Android).
  • Nach dem Erstellen der App-Schutzrichtlinien erzwingen Sie diese, indem Sie eine Regel für bedingten Zugriff in Azure AD erstellen, um genehmigte Apps und app-Datenschutz zu erfordern.

APP-Schutzrichtlinien enthalten viele Einstellungen. Glücklicherweise müssen Sie nicht alle Einstellungen kennen lernen und die Optionen abwägen. Microsoft erleichtert das Anwenden einer Konfiguration von Einstellungen, indem es Startpunkte empfiehlt. Das Datenschutzframework, das App-Schutzrichtlinien verwendet, umfasst drei Ebenen, aus der Sie auswählen können.

Noch besser: Microsoft koordiniert dieses App-Schutzframework mit einer Reihe von bedingtem Zugriff und zugehörigen Richtlinien, die von allen Organisationen als Ausgangspunkt empfohlen werden. Wenn Sie MFA mithilfe der Anleitung in diesem Artikel implementiert haben, sind Sie auf halbem Weg!

Um den Schutz mobiler Apps zu konfigurieren, verwenden Sie die Anleitungen in den allgemeinen Identitäts- und Gerätezugriffsrichtlinien:

  1. Verwenden Sie den Leitfaden zum Anwenden von APP-Datenschutzrichtlinien, um Richtlinien für iOS und Android zu erstellen. Ebene 2 (erweiterter Datenschutz) wird für grundlegenden Schutz empfohlen.
  2. Erstellen Sie eine Regel für bedingten Zugriff, um genehmigte Apps und APP-Schutz erforderlich zu machen.

7: Konfigurieren der MFA und des bedingten Zugriffs für Gäste, einschließlich Intune Mobile App Protection

Als Nächstes stellen wir sicher, dass Sie weiterhin zusammenarbeiten und mit Gästen arbeiten können. Wenn Sie den plan Microsoft 365 E3 verwenden und MFA für alle Benutzer implementiert haben, sind Sie festgelegt.

Wenn Sie den plan Microsoft 365 E5 verwenden und Azure Identity Protection für risikobasierte MFA nutzen, müssen Sie einige Anpassungen vornehmen (da Azure AD Identity Protection nicht auf Gäste erweitert wird):

  • Erstellen Sie eine neue Regel für bedingten Zugriff, damit MFA immer für Gäste und externe Benutzer erforderlich ist.
  • Aktualisieren Sie die risikobasierte MFA-Regel für bedingten Zugriff, um Gäste und externe Benutzer auszuschließen.

Verwenden Sie die Anleitungen zum Aktualisieren der allgemeinen Richtlinien, um den Gast- und externen Zugriff zuzulassen und zu schützen, um zu verstehen, wie der Gastzugriff mit Azure AD funktioniert, und um die betroffenen Richtlinien zu aktualisieren.

Die von Ihnen erstellten Intune-Richtlinien zum Schutz mobiler Apps gelten zusammen mit der Regel für bedingten Zugriff, um genehmigte Apps und APP-Schutz zu erfordern, auf Gästekonten und tragen zum Schutz Ihrer Unternehmensdaten bei.

Hinweis

Wenn Sie bereits PCs bei der Geräteverwaltung registriert haben, um kompatible PCs zu benötigen, müssen Sie auch Gastkonten von der Regel für bedingten Zugriff ausschließen, die die Gerätekompatibilität erzwingt.

8: Registrieren von PCs bei der Geräteverwaltung und Anfordern kompatibler PCs

Es gibt mehrere Methoden zum Registrieren der Geräte Ihrer Mitarbeiter. Jede Methode hängt von der Art des Besitzes des Geräts (privat oder geschäftlich), vom Gerätetyp (iOS, Windows, Android) und von Verwaltungsanforderungen (Zurücksetzungen, Affinität, Sperrung) ab. Das Sortieren kann einige Zeit in Anspruch nehmen. Siehe: Registrieren von Geräten in Microsoft Intune.

Die schnellste Möglichkeit besteht darin, die automatische Registrierung für Windows 10 Geräte einzurichten.

Sie können auch die folgenden Lernprogramme nutzen:

Verwenden Sie nach der Registrierung von Geräten die Anleitungen in den allgemeinen Identitäts- und Gerätezugriffsrichtlinien, um diese Richtlinien zu erstellen:

  • Definieren von Richtlinien für die Gerätecompliance – die empfohlenen Einstellungen für Windows 10 das Erfordern von Antivirusschutz umfassen. Wenn Sie Microsoft 365 E5 haben, verwenden Sie Microsoft Defender für Endpunkt, um den Zustand der Mitarbeitergeräte zu überwachen. Stellen Sie sicher, dass Compliancerichtlinien für andere Betriebssysteme Antivirenschutz und Endpunktschutzsoftware enthalten.
  • Kompatible PCs erforderlich – dies ist die Regel für bedingten Zugriff in Azure AD, die die Gerätekompatibilitätsrichtlinien erzwingt.

Nur eine Organisation kann ein Gerät verwalten. Achten Sie daher darauf, Gastkonten von der Regel für bedingten Zugriff in Azure AD auszuschließen. Wenn Sie Gastbenutzer und externe Benutzer nicht von Richtlinien ausschließen, die Gerätekompatibilität erfordern, blockieren diese Richtlinien diese Benutzer. Weitere Informationen finden Sie unter Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen des Gast- und externen Zugriffs.

9: Optimieren Ihres Netzwerks für Cloudkonnektivität

Wenn Sie den Großteil Ihrer Mitarbeiter schnell für die Arbeit von zu Hause aus aktivieren, kann dieser plötzliche Wechsel von Konnektivitätsmustern erhebliche Auswirkungen auf die Unternehmensnetzwerkinfrastruktur haben. Viele Netzwerke wurden skaliert und entworfen, bevor Clouddienste eingeführt wurden. In vielen Fällen sind Netzwerke für Remotemitarbeiter tolerant, wurden aber nicht so konzipiert, dass sie von allen Benutzern gleichzeitig verwendet werden können.

Netzwerkelemente wie VPN- Concentratoren, zentrale Netzwerkausgangsgeräte (z. B. Proxys und Geräte zur Verhinderung von Datenverlust), zentrale Internetbandbreite, Backhaul MPLS-Leitungen, NAT-Funktionen usw. werden aufgrund der Last des gesamten Unternehmens, das sie verwendet, plötzlich unter enorme Belastung gestellt. Das Endergebnis ist eine schlechte Leistung und Produktivität in Verbindung mit einer schlechten Benutzererfahrung für Benutzer, die sich an die Arbeit von zu Hause aus anpassen.

Einige der Schutzmaßnahmen, die traditionell durch das Weiterleiten von Datenverkehr über ein Unternehmensnetzwerk bereitgestellt wurden, werden von den Cloud-Apps bereitgestellt, auf die Ihre Benutzer zugreifen. Wenn Sie diesen Schritt in diesem Artikel erreicht haben, haben Sie eine Reihe komplexer Cloudsicherheitssteuerelemente für Microsoft 365 Dienste und Daten implementiert. Wenn diese Steuerelemente vorhanden sind, können Sie den Datenverkehr von Remotebenutzern direkt an Office 365 weiterleiten. Wenn Sie weiterhin eine VPN-Verbindung für den Zugriff auf andere Anwendungen benötigen, können Sie Ihre Leistung und Benutzererfahrung erheblich verbessern, indem Sie geteilten Tunnel implementieren. Sobald Sie eine Vereinbarung in Ihrer Organisation erreicht haben, kann dies innerhalb eines Tages von einem gut koordinierten Netzwerkteam erreicht werden.

Weitere Informationen finden Sie in den folgenden Ressourcen zu Dokumenten:

Aktuelle Blogartikel zu diesem Thema:

10: Schulen von Benutzern

Schulungen für Benutzer können Ihren Benutzern und dem Sicherheitsteam viel Zeit und Frustration ersparen. Erfahrene Benutzer öffnen weniger Anlagen oder klicken auf Links in fraglichen E-Mail-Nachrichten, und sie vermeiden eher verdächtige Websites.

Das Cybersicherheitskampagnenhandbuch der Schule Stellt hervorragende Anleitungen zum Aufbau einer starken Kultur des Sicherheitsbewusstseins in Ihrer Organisation bereit, einschließlich der Schulung von Benutzern zur Identifizierung von Phishingangriffen.

Microsoft 365 bietet die folgenden Ressourcen, um Die Benutzer in Ihrer Organisation zu informieren:


Konzept Ressourcen
Microsoft 365 Anpassbare Lernpfade

Diese Ressourcen können Ihnen helfen, Schulungen für Endbenutzer in Ihrer Organisation zusammenzustellen.

Microsoft 365 Security Learning Modul: Sichern Ihrer Organisation mit integrierter, intelligenter Sicherheit vor Microsoft 365

In diesem Modul können Sie beschreiben, wie Microsoft 365 Sicherheitsfeatures zusammenarbeiten und die Vorteile dieser Sicherheitsfeatures erläutern.

Mehrstufige Authentifizierung Zweistufige Überprüfung: Was ist die zusätzliche Überprüfungsseite?

Dieser Artikel hilft Endbenutzern zu verstehen, was die mehrstufige Authentifizierung ist und warum sie in Ihrer Organisation verwendet wird.

Zusätzlich zu diesem Leitfaden empfiehlt Microsoft Ihren Benutzern, die in diesem Artikel beschriebenen Maßnahmen zu ergreifen: Schützen Ihres Kontos und Ihrer Geräte vor Hackern und Schadsoftware. Diese setzen sich wie folgt zusammen:

  • Verwenden sicherer Kennwörter
  • Schützen von Geräten
  • Aktivieren von Sicherheitsfeatures auf Windows 10 und Mac-PCs (für nicht verwaltete Geräte)

Microsoft empfiehlt außerdem, dass Benutzer ihre persönlichen E-Mail-Konten schützen, indem sie die in den folgenden Artikeln empfohlenen Maßnahmen ergreifen:

11: Erste Schritte mit Microsoft Cloud App Security

Microsoft Cloud App Security bietet umfassende Sichtbarkeit, Kontrolle über datenbasierte Reisen und komplexe Analysen, um Cyberbedrohungen in allen Ihren Clouddiensten zu erkennen und zu bekämpfen. Sobald Sie mit Cloud App Security begonnen haben, werden Anomalieerkennungsrichtlinien automatisch aktiviert, aber Cloud App Security hat einen anfänglichen Lernzeitraum von sieben Tagen, in dem nicht alle Anomalieerkennungswarnungen ausgelöst werden.

Erste Schritte mit Cloud App Security jetzt. Später können Sie komplexere Überwachungs- und Steuerungselemente einrichten.

12: Überwachen auf Bedrohungen und Ergreifen von Maßnahmen

Microsoft 365 bietet verschiedene Möglichkeiten, den Status zu überwachen und entsprechende Maßnahmen zu ergreifen. Der beste Ausgangspunkt ist das Microsoft 365 Security Center ( ), in dem Sie die https://security.microsoft.com Microsoft-SicherheitsbewertungIhrer Organisation sowie alle Warnungen oder Entitäten anzeigen können, die Ihre Aufmerksamkeit erfordern.

Nächste Schritte

Herzlichen Glückwunsch! Sie haben schnell einige der wichtigsten Sicherheitsvorkehrungen implementiert, und Ihre Organisation ist viel sicherer. Jetzt können Sie die Bedrohungsschutzfunktionen (einschließlich Microsoft Defender für Endpunkt), die Datenklassifizierungs- und Schutzfunktionen sowie die Sicherung von Administratorkonten noch weiter verbessern. Eine ausführlichere, methodische Reihe von Sicherheitsempfehlungen für Microsoft 365 finden Sie unter Microsoft 365 Security for Business Decision Makers (BDMs).

Besuchen Sie auch das neue Sicherheitscenter von Microsoft auf docs.microsoft.com/security.