Microsoft 365 E3 – Zero Trust Securitytools, die Sie haben und nicht nutzen
29.03.2023 | Nastassia Braun
Eine Vielzahl an Securitytools von Microsoft 365 E3 haben Sie bereits lizenziert und nutzen diese vermutlich noch nicht. Um einen guten Einstieg in die Security von Microsoft 365 E3 zu erhalten, gab es einen kompakten Überblick über die wichtigsten Funktionen in unserem Webinar am 06.12.2022: Microsoft 365 E3 – Zero Trust Securitytools, die Sie haben und nicht nutzen.
In diesem Blogartikel fassen wir die wichtigsten Erkenntnisse aus unserem Webinar nochmals für Sie zusammen, sodass Sie eine Übersicht darüber erhalten, wie Sie Ihre Zero Trust Strategie mit vorhandenen Securitytools verbessern können.
Inhaltsverzeichnis
- Zero Trust – Was ist das genau?
- Die Security von Microsoft 365
- Zero Trust Securitytools
- Conditional Access Plus und Multifaktor-Verifizierung
- Tenant- und Security-Checks
- Unsere Services
Zero Trust – Was ist das genau?
Bevor wir darauf eingehen, wie Sie Ihr Unternehmen sicherer machen können, sollten wir klären, was mit “Zero Trust” gemeint ist. Um es zu erklären, können wir uns drei Szenarien mit der Polizei vorstellen: In einem Szenario spricht Sie eine Polizistin in Uniform an [Bild 1] und fragt nach Ihren Daten. Sie vertrauen ihr wahrscheinlich, da die Uniform glaubwürdig wirkt. Im anderen Szenario spricht Sie eine Person ohne Uniform an [Bild 2] und fragt nach Ihren Daten. Sie sind skeptischer und vertrauen der Person nicht sofort.
In dritten Fall werden Sie wieder um eine Datenherausgabe gebeten, jedoch dieses Mal lediglich über einen anonymen Anruf am Telefon [Bild 3]. Es ist höchstwahrscheinlich, dass Sie Ihre Daten nicht preisgeben werden, da Sie dem Anrufer kein Vertrauen entgegenbringen und es sich für Sie aus der Ferne nicht feststellen lässt, ob es sich tatsächlich um eine Person der Polizei handelt.
Diese unterschiedlichen Szenarien, und vor allem der letzte Fall, beschreiben die Sichtweise Zero Trust: Zu jeder Zeit sollte validiert werden, ob es sich um ein vertrauenswürdiges Gegenüber handelt oder nicht und ob dementsprechend der Zugriff auf Anwendungen freigegeben oder blockiert wird. Zu Beginn sollten Sie jedoch skeptisch sein und Ihr Vertrauen nicht ohne weitere Angaben entgegenbringen. Zero Trust öffnet schließlich Möglichkeiten und zusätzliche Sicherheitsmechanismen, mit denen die Sicherheit Ihres Unternehmens untermauert werden kann.
Die Security von Microsoft 365
Für gewöhnlich ist in jedem Windows 10 oder Windows 11 Gerät ein Security Center in Form einer Standard Client Security als eine Art Grundabsicherung implementiert. Hierdurch werden die Standardanwendungen des Geräts geschützt. Werden zudem noch weitere Dienste, wie beispielsweise cloudbasierte Anwendungen von Microsoft 365 genutzt, muss auch hier eine umfassende Sicherheit zu jeder Zeit gewährleistet werden.
Die umfangreichen Services, die in Microsoft 365 E3 enthalten sind, machen schnell deutlich, dass es sich um weitreichende Möglichkeiten und Anwendungen handelt, die in der Praxis nicht immer allumfassend genutzt werden. Vor allem die E3 Produkte von Microsoft 365 sind in vielen Fällen inkludiert und bereits bezahlt, ohne dass sie tatsächlich auch zum Einsatz kommen.
Die Möglichkeiten dieser bereits lizenzierten Produkte stellen wir Ihnen hier vor – dabei folgen alle Services, die eingesetzt werden können, der Einstellung Zero Trust.
Zero Trust Securitytools
Beispiele aus der Praxis eignen sich am besten, um die jeweiligen Produkte und Einstellungen von Zero Trust zu demonstrieren. So zum Beispiel die externen Collaboration-Settings im Azure Active Directory. Diese Einstellung ist standardmäßig aktiviert und hierdurch ist es jedem User möglich innerhalb eines Meetings in die Rolle des Organisators zu wechseln. Damit können andere Gäste wiederum beliebige weitere Gäste zum Meeting hinzufügen. Diese Einstellungen sollte in jedem Fall, aus Sicherheitsgründen, deaktiviert sein.
Aufgrund derartiger Fälle lohnt es sich, die Voreinstellungen zunächst einmal genauer durchzugehen.
Diese weiteren Einstellungen sorgen für noch mehr Sicherheit im Azure Active Directory:
- Conditional Access: Bedingte Regeln, die Sie individuell einstellen können und die aktiv werden, wenn ein bestimmter Zustand eintritt.
- Named Location: Mithilfe der “Bad Countries” definieren Sie Länder, aus denen jede Zugriffsanfrage automatisch blockiert wird.
- Geschützter Raum: Unter Named Location legen Sie fest, an welchen Orten keine Multifaktor-Identifizierung nötig ist. Diese kann beispielsweise für die Anmeldung im Netzwerk des Bürogebäudes deaktiviert werden. Bei der Anmeldung im privaten Homeoffice wird eine Multifaktor-Identifizierung jedoch wieder notwendig.
- Terms of Use: Zusätzlicher Schutz durch entsprechende Nutzungsregeln. Hierbei handelt es sich um eine Conditional Access Policy, die zu jeder Zeit im Nachgang konfiguriert werden kann.
- Multifaktor-Verifizierung: Ein einfaches Tool, um Ihren Anmeldeprozess durch mehrere Schritte abzusichern.
- Secure Score: Ein Wert, der Auskunft über Ihren aktuellen Sicherheitsstand gibt.
- Alert Policies: Eine zusätzliche Absicherung, durch die Sie eine Benachrichtigung erhalten, sobald jemand einen Administrator-Zugriff auf OneDrive Business anfordert.
- Data Loss Prevention: Einstellungen, mit denen ein Datenverlust nach außen verhindert werden kann. Sie können dabei genau festlegen, für welche Services die Data Loss Prevention gelten soll und wann welche Aktion eintritt.
- Microsoft Entra Admin Center: Alle Sicherheitseinstellungen auf einem zentralen Dashboard. Wir empfehlen, hier unbedingt einen Blick darauf zu werfen und dieses Tool zu nutzen.
Terms of Use Fragestellungen
Wann genau sollen Nutzungsbedingungen aktiviert werden?
Auf welchem Device kommen sie zum Einsatz?
Wie oft ist die Zustimmung der Terms of Use nötig (jeden Monat, alle sechs Monate, etc.)?
Multifaktor-Verifizierung und Identity Secure Score
Es gibt verschiedene Arten der Multifaktor-Verifizierung. Eine Möglichkeit zur zusätzlichen Verifizierung im eigenen Unternehmensumfeld ist der OATH Token: Das ist ein Token, mit dem sich Mitarbeiter online verifizieren können. Eine weitere Möglichkeit zur Multifaktor-Verifizierung ist die Authenticator-App.
Beim Secure Store wird zwischen Identity Secure Score und Microsoft Secure Score unterschieden. Der Identity Secure Score hält fest, wie sicher Ihre Identitäten zu diesem Zeitpunkt sind. Wir empfehlen hier einen Wert zwischen 60-70% anzustreben. Der Microsoft Secure Score gilt wiederum über den ganzen Tenant. Unter dem Punkt recommended actions listen beide Scores auf, was Sie unternehmen können, um die Sicherheit Ihrer Prozesse zu verbessern.
Conditional Access Plus und Multifaktor-Verifizierung
Wie bereits erwähnt, handelt es sich beim Conditional Access um bedingte Regeln, die Sie individuell einstellen können und die dann aktiv werden, wenn ein bestimmter Zustand eintritt. Wichtig ist dabei zu prüfen, von welchem Signal, Gerät oder Standort die Anmeldung erfolgen soll und dann zu entscheiden, ob der Zugriff genehmigt oder blockiert wird. Wenn die außenstehende Person zugreifen darf, sichert die Multifaktor-Verifizierung den Prozess zusätzlich ab.
Möchten Sie Ihr Unternehmensumfeld noch weiter absichern, lohnt sich die Erweiterung des Conditional Access von device TRUST. Dabei handelt es sich um den Conditional Access Plus, der zusätzliche Sicherheitseinstellungen ermöglicht. Während Ihr Gerät heute vielleicht die Anforderungen erfüllt, den Zugriff auf Microsoft 365 Anwendungen zu erhalten, wird dies nicht mehr weiterhin automatisch der Fall sein, wenn sich am Gerät während einer aktiven Sitzung etwas verändert. Mit device TRUST dagegen wird der Status eines Teilnehmers permanent überwacht, sodass eine Validierung automatisch erfolgt.
So erhalten Sie zusätzliche Informationen, die zu jeder Zeit in Microsoft 365 übermittelt werden können. device TRUST bietet einen Azure Active Directory Connector, mit dem Informationen direkt ins Azure Active Directory übertragen werden. Auf diesem können die entsprechenden Regeln dann festgesetzt werden. Der Service von device TRUST ist nicht in Microsoft 365 erhalten und er ist kostenpflichtig, jedoch lohnt sich der Mehrwert in den meisten Fällen für das Unternehmen, um für mehr Sicherheit und Gewissheit zu sorgen.
Tenant- und Security-Checks
Auf dem Weg zu mehr Sicherheit im Unternehmen unterstützen und beraten unsere Experten gerne. Unser Beratungsangebot umfasst dabei einen Tenant Check, durch den wir Ihre Arbeitsprozesse mithilfe eines umfassenden Fragenkatalogs kennenlernen. Das hilft uns dabei, die Betreuung individuell anzupassen. Durch unseren Security Check erhalten Sie anschließend Handlungsempfehlungen nach den Best Practices für Ihre Sicherheitseinstellungen. Unsere Security Workshops umfassen zudem drei Phasen bzw. Module, aus denen einzelne Schritte zur Verbesserung Ihrer Sicherheit herausgenommen werden können.
Unsere Services
Wir von Orange Business sind Experten für den modernen Arbeitsplatz. Aus unseren Workspace Services ergibt sich ein umfangreiches Set, aus dem Sie wählen können, was für Sie hilfreich ist. Wir stehen Ihrem Unternehmen in jedem Schritt beratend zur Verfügung und passen uns individuell an Ihre Arbeitsprozesse an.
Jetzt Beratungstermin buchen