Die 12 wichtigsten Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus

Wenn Sie wie Microsoft sind und plötzlich eine hauptsächlich zu Hause ansässige Belegschaft unterstützen, möchten wir Ihnen helfen, sicherzustellen, dass Ihre organization so sicher wie möglich funktioniert. In diesem Artikel werden Aufgaben priorisiert, damit Sicherheitsteams die wichtigsten Sicherheitsfunktionen so schnell wie möglich implementieren können.

Wenn Sie ein kleiner oder mittelgroßer organization sind, der einen der Geschäftspläne von Microsoft verwendet, lesen Sie stattdessen die folgenden Ressourcen:

• Bewährte Methoden zum Sichern von Microsoft 365 for Business-Pläne
• Microsoft 365 für Kampagnen (enthält eine empfohlene Sicherheitskonfiguration für Microsoft 365 Business)

Kunden, die unsere Enterprise-Pläne verwenden, empfiehlt Microsoft, die in der folgenden Tabelle aufgeführten Aufgaben auszuführen, die für Ihren Serviceplan gelten. Wenn Sie abonnements kombinieren, anstatt einen Microsoft 365 Enterprise-Plan zu erwerben, beachten Sie Folgendes:

• Microsoft 365 E3 umfasst Enterprise Mobility + Security (EMS) E3 und Azure AD P1.
• Microsoft 365 E5 umfasst EMS E5 und Azure AD P2.

Schritt	Aufgabe	Alle Office 365 Enterprise Pläne	Microsoft 365 E3	Microsoft 365 E5
1	Aktivieren von Azure AD Multifactor Authentication (MFA)
2	Schutz vor Bedrohungen
3	Konfigurieren von Microsoft Defender for Office 365
4	Konfigurieren von Microsoft Defender for Identity
5	Microsoft 365 Defender aktivieren
6	Konfigurieren des Intune Schutzes mobiler Apps für Smartphones und Tablets
7	Konfigurieren von MFA und bedingtem Zugriff für Gäste, einschließlich Intune App-Schutz
8	Registrieren von PCs bei der Geräteverwaltung und Erfordern von kompatiblen PCs
9	Optimieren Ihres Netzwerks für Cloudkonnektivität
10	Schulung der Benutzer
11	Erste Schritte mit Microsoft Defender for Cloud Apps
12	Überwachen auf Bedrohungen und Ergreifen von Maßnahmen

Bevor Sie beginnen, überprüfen Sie Ihre Microsoft 365-Sicherheitsbewertung im Microsoft 365 Defender-Portal. Über eine zentralisierte Dashboard können Sie die Sicherheit für Ihre Microsoft 365-Identitäten, -Daten, -Apps, -Geräte und -Infrastruktur überwachen und verbessern. Sie erhalten Punkte für die Konfiguration empfohlener Sicherheitsfeatures, das Ausführen sicherheitsbezogener Aufgaben (z. B. anzeigen von Berichten) oder das Behandeln von Empfehlungen mit einer Anwendung oder Software von Drittanbietern. Die empfohlenen Aufgaben in diesem Artikel erhöhen Ihre Bewertung.

1: Aktivieren von Azure AD Multifactor Authentication (MFA)

Das beste, was Sie tun können, um die Sicherheit für Mitarbeiter zu verbessern, die von zu Hause aus arbeiten, ist die Aktivierung der MFA. Wenn Sie noch keine Prozesse eingerichtet haben, behandeln Sie dies als Notfallpilot, und stellen Sie sicher, dass Sie Supportmitarbeiter haben, die bereit sind, Mitarbeitern zu helfen, die hängen bleiben. Da Sie wahrscheinlich keine Hardwaresicherheitsgeräte verteilen können, verwenden Sie Windows Hello Biometrie- und Smartphone-Authentifizierungs-Apps wie Microsoft Authenticator.

Normalerweise empfiehlt Microsoft, benutzern 14 Tage Zeit zu geben, um ihr Gerät für die mehrstufige Authentifizierung zu registrieren, bevor sie MFA benötigen. Wenn Ihre Mitarbeiter jedoch plötzlich von zu Hause aus arbeiten, fordern Sie MFA als Sicherheitspriorität an, und seien Sie darauf vorbereitet, Benutzern zu helfen, die sie benötigen.

Das Anwenden dieser Richtlinien dauert nur wenige Minuten, aber seien Sie darauf vorbereitet, Ihre Benutzer in den nächsten Tagen zu unterstützen.

Plan	Empfehlung
Microsoft 365-Pläne (ohne Azure AD P1 oder P2)	Aktivieren Sie die Sicherheitsstandards in Azure AD. Zu den Sicherheitsstandards in Azure AD gehört MFA für Nutzer und Administratoren.
Microsoft 365 E3 (mit Azure AD P1)	Verwenden Sie Allgemeine Richtlinien für den bedingten Zugriff, um die folgenden Richtlinien zu konfigurieren: - MFA für Administratoren erforderlich - MFA für alle Nutzer erforderlich - Blockieren von Legacy-Authentifizierung
Microsoft 365 E5 (mit Azure AD P2)	Beginnen Sie mit der Implementierung des von Microsoft empfohlenen Satzes bedingten Zugriffs und zugehöriger Richtlinien , z. B.: – MFA wird erforderlich, wenn das Anmelderisiko mittel oder hoch ist. – Blockieren von Clients, die keine moderne Authentifizierung unterstützen. – Benutzer mit hohem Risiko müssen ihr Kennwort ändern.

2: Schutz vor Bedrohungen

Alle Microsoft 365-Pläne enthalten eine Vielzahl von Bedrohungsschutzfunktionen. Die Erhöhung des Schutzes für diese Features dauert nur wenige Minuten.

• Schutz vor Schadsoftware
• Schutz vor schädlichen URLs und Dateien
• Antiphishingschutz
• Antispamschutz

Anleitungen, die Sie als Ausgangspunkt verwenden können, finden Sie unter Schutz vor Bedrohungen in Office 365.

3: Konfigurieren von Microsoft Defender for Office 365

Microsoft Defender for Office 365, die in Microsoft 365 E5 und Office 365 E5 enthalten sind, schützt Ihre organization vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Die Konfiguration kann mehrere Stunden dauern.

Microsoft Defender for Office 365:

• Schützt Ihre organization in Echtzeit vor unbekannten E-Mail-Bedrohungen, indem intelligente Systeme verwendet werden, die Anlagen und Links auf schädliche Inhalte überprüfen. Diese automatisierten Systeme umfassen eine stabile Detonationsplattform, Heuristiken und Machine Learning-Modelle.
• Schützt Ihre organization, wenn Benutzer zusammenarbeiten und Dateien freigeben, indem schädliche Dateien in Teamwebsites und Dokumentbibliotheken identifiziert und blockiert werden.
• Wendet Machine Learning-Modelle und erweiterte Algorithmen zur Erkennung von Identitätswechseln an, um Phishingangriffe abzuwenden.

Eine Übersicht, einschließlich einer Zusammenfassung der Pläne, finden Sie unter Defender for Office 365.

Ihr globaler Administrator kann diese Schutzmaßnahmen konfigurieren:

• Einrichten von Richtlinien für sichere Links
• Konfigurieren globaler Einstellungen für sichere Links
• Einrichten von Richtlinien für sichere Anlagen

Sie müssen mit Ihrem Exchange Online-Administrator und SharePoint Online-Administrator zusammenarbeiten, um Defender for Office 365 für diese Workloads zu konfigurieren:

• Microsoft Defender for Endpoint für SharePoint, OneDrive und Microsoft Teams

4: Konfigurieren von Microsoft Defender for Identity

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um komplexe Bedrohungen, kompromittierte Identitäten und bösartige, gegen Ihre Organisation gerichtete Insideraktionen zu identifizieren, zu erkennen und zu untersuchen. Konzentrieren Sie sich als Nächstes darauf, da es Ihre lokale Infrastruktur und Ihre Cloudinfrastruktur schützt, keine Abhängigkeiten oder Voraussetzungen aufweist und sofortige Vorteile bieten kann.

• Informationen zum schnellen Einrichten finden Sie unter schnell Microsoft Defender for Identity Schnellstarts.
• Video ansehen: Einführung in Microsoft Defender for Identity
• Überprüfen der drei Phasen der bereitstellung von Microsoft Defender for Identity

5: Aktivieren von Microsoft 365 Defender

Nachdem Sie nun Microsoft Defender for Office 365 und Microsoft Defender for Identity konfiguriert haben, können Sie die kombinierten Signale dieser Funktionen in einem Dashboard anzeigen. Microsoft 365 Defender vereint Warnungen, Incidents, automatisierte Untersuchung und Reaktion sowie erweitertes Hunting über Workloads hinweg (Microsoft Defender for Identity, Defender for Office 365, Microsoft Defender for Endpoint und Microsoft Defender for Cloud Apps) in einen einzelnen Bereich im Microsoft 365 Defender-Portal.

Nachdem Sie einen oder mehrere Ihrer Defender for Office 365-Dienste konfiguriert haben, aktivieren Sie MTP. MTP werden kontinuierlich neue Features hinzugefügt; Erwägen Sie, sich für den Empfang von Vorschaufeatures zu entscheiden.

• Weitere Informationen zu MTP
• Aktivieren von MTP
• Aktivieren von Vorschaufeatures

6: Konfigurieren des Intune Mobilen App-Schutzes für Smartphones und Tablets

mit Microsoft Intune Mobile Application Management (MAM) können Sie die Daten Ihrer organization auf Smartphones und Tablets verwalten und schützen, ohne diese Geräte zu verwalten. Funktionsweise:

• Sie erstellen eine App-Schutzrichtlinie (App Protection Policy, APP), die bestimmt, welche Apps auf einem Gerät verwaltet werden und welche Verhaltensweisen zulässig sind (z. B. verhindern, dass Daten aus einer verwalteten App in eine nicht verwaltete App kopiert werden). Sie erstellen eine Richtlinie für jede Plattform (iOS, Android).
• Nach dem Erstellen der App-Schutzrichtlinien erzwingen Sie diese, indem Sie eine Regel für bedingten Zugriff in Azure AD erstellen, um genehmigte Apps und APP-Datenschutz zu erfordern.

APP-Schutzrichtlinien enthalten viele Einstellungen. Glücklicherweise müssen Sie sich nicht über jede Einstellung informieren und die Optionen abwägen. Microsoft erleichtert das Anwenden einer Konfiguration von Einstellungen, indem Ausgangspunkte empfohlen werden. Das Datenschutzframework mit App-Schutzrichtlinien umfasst drei Ebenen, aus der Sie auswählen können.

Noch besser: Microsoft koordiniert dieses App-Schutzframework mit einer Reihe von bedingten Zugriff und zugehörigen Richtlinien, die allen Organisationen als Ausgangspunkt empfohlen werden. Wenn Sie MFA mithilfe der Anleitung in diesem Artikel implementiert haben, sind Sie auf halbem Weg!

Verwenden Sie zum Konfigurieren des Schutzes mobiler Apps die Anleitung unter Allgemeine Identitäts- und Gerätezugriffsrichtlinien:

1. Verwenden Sie den Leitfaden App-Datenschutzrichtlinien anwenden , um Richtlinien für iOS und Android zu erstellen. Stufe 2 (erweiterter Datenschutz) wird für den grundlegenden Schutz empfohlen.
2. Erstellen Sie eine Regel für bedingten Zugriff, um genehmigte Apps und APP-Schutz erforderlich zu machen.

7: Konfigurieren von MFA und bedingtem Zugriff für Gäste, einschließlich Intune Schutz mobiler Apps

Als Nächstes stellen wir sicher, dass Sie weiterhin mit Gästen zusammenarbeiten und mit Gästen zusammenarbeiten können. Wenn Sie den Microsoft 365 E3 Plan verwenden und MFA für alle Benutzer implementiert haben, sind Sie eingestellt.

Wenn Sie den Microsoft 365 E5-Plan verwenden und Azure Identity Protection für risikobasierte MFA nutzen, müssen Sie einige Anpassungen vornehmen (da Azure AD Identity Protection nicht auf Gäste ausgedehnt wird):

• Erstellen Sie eine neue Regel für bedingten Zugriff, um MFA immer für Gäste und externe Benutzer zu erfordern.
• Aktualisieren Sie die risikobasierte MFA-Regel für bedingten Zugriff, um Gäste und externe Benutzer auszuschließen.

Verwenden Sie den Leitfaden unter Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen des Gast- und externen Zugriffs , um zu verstehen, wie der Gastzugriff mit Azure AD funktioniert, und um die betroffenen Richtlinien zu aktualisieren.

Die Intune Schutzrichtlinien für mobile Apps, die Sie erstellt haben, sowie die Regel für bedingten Zugriff, um genehmigte Apps und APP-Schutz zu erfordern, gelten für Gästekonten und tragen zum Schutz Ihrer organization Daten bei.

Hinweis

Wenn Sie bereits PCs bei der Geräteverwaltung registriert haben, um kompatible PCs zu erfordern, müssen Sie auch Gastkonten von der Regel für bedingten Zugriff ausschließen, die die Gerätekonformität erzwingt.

8: Registrieren von PCs bei der Geräteverwaltung und Erfordern von kompatiblen PCs

Es gibt mehrere Methoden zum Registrieren der Geräte Ihrer Mitarbeiter. Jede Methode hängt von der Art des Besitzes des Geräts (privat oder geschäftlich), vom Gerätetyp (iOS, Windows, Android) und von Verwaltungsanforderungen (Zurücksetzungen, Affinität, Sperrung) ab. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden Sie unter Registrieren von Geräten in Microsoft Intune.

Am schnellsten können Sie die automatische Registrierung für Windows 10 Geräte einrichten.

Sie können auch die folgenden Tutorials nutzen:

• Verwenden von Autopilot zum Registrieren von Windows-Geräten in Intune
• Verwenden Sie die Unternehmensgeräteregistrierungsfeatures von Apple in Apple Business Manager (ABM), um iOS-/iPadOS-Geräte in Intune

Verwenden Sie nach dem Registrieren von Geräten die Anleitung unter Allgemeine Identitäts- und Gerätezugriffsrichtlinien , um diese Richtlinien zu erstellen:

• Definieren von Gerätekonformitätsrichtlinien – Die empfohlenen Einstellungen für Windows 10 umfassen die Anforderung eines Antivirenschutzes. Wenn Sie über Microsoft 365 E5 verfügen, verwenden Sie Microsoft Defender for Endpoint, um die Integrität von Mitarbeitergeräten zu überwachen. Stellen Sie sicher, dass Konformitätsrichtlinien für andere Betriebssysteme Antivirenschutz- und Endpunktschutzsoftware enthalten.
• Kompatible PCs erforderlich : Dies ist die Regel für bedingten Zugriff in Azure AD, die die Gerätekonformitätsrichtlinien erzwingt.

Nur ein organization kann ein Gerät verwalten. Schließen Sie daher Gastkonten von der Regel für bedingten Zugriff in Azure AD aus. Wenn Sie Gastbenutzer und externe Benutzer nicht von Richtlinien ausschließen, die Gerätekonformität erfordern, werden diese Benutzer durch diese Richtlinien blockiert. Weitere Informationen finden Sie unter Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen des Gast- und externen Zugriffs.

9: Optimieren Ihres Netzwerks für Cloudkonnektivität

Wenn Sie es dem Großteil Ihrer Mitarbeiter schnell ermöglichen, von zu Hause aus zu arbeiten, kann sich dieser plötzliche Wechsel der Konnektivitätsmuster erheblich auf die Infrastruktur des Unternehmensnetzwerks auswirken. Viele Netzwerke wurden skaliert und entworfen, bevor Clouddienste eingeführt wurden. In vielen Fällen sind Netzwerke gegenüber Remotemitarbeitern tolerant, wurden aber nicht so konzipiert, dass sie von allen Benutzern gleichzeitig remote verwendet werden.

Netzwerkelemente wie VPN-Konzentratoren, zentrale Netzwerk-Ausgangsgeräte (wie Proxys und Geräte zur Verhinderung von Datenverlust), zentrale Internetbandbreite, Backhaul-MPLS-Leitungen, NAT-Funktionen usw. werden aufgrund der Last des gesamten Unternehmens, das sie nutzt, plötzlich enorm belastet. Das Endergebnis ist eine schlechte Leistung und Produktivität in Verbindung mit einer schlechten Benutzererfahrung für Benutzer, die sich an die Arbeit von zu Hause anpassen.

Einige der Schutzmaßnahmen, die bisher durch das Zurückleiten von Datenverkehr über ein Unternehmensnetzwerk bereitgestellt wurden, werden von den Cloud-Apps bereitgestellt, auf die Ihre Benutzer zugreifen. Wenn Sie diesen Schritt in diesem Artikel erreicht haben, haben Sie eine Reihe komplexer Cloudsicherheitskontrollen für Microsoft 365-Dienste und -Daten implementiert. Mit diesen Steuerelementen sind Sie möglicherweise bereit, den Datenverkehr von Remotebenutzern direkt an Office 365 weiterzuleiten. Wenn Sie weiterhin eine VPN-Verbindung für den Zugriff auf andere Anwendungen benötigen, können Sie Ihre Leistung und Benutzererfahrung erheblich verbessern, indem Sie geteiltes Tunneling implementieren. Sobald Sie in Ihrem organization eine Einigung erzielt haben, kann dies innerhalb eines Tages durch ein gut koordiniertes Netzwerkteam erreicht werden.

Weitere Informationen finden Sie in den folgenden Ressourcen in der Dokumentation:

• Übersicht: Optimieren der Konnektivität für Remotebenutzer mithilfe von geteilten VPN-Tunneln
• Implementieren eines geteilten VPN-Tunnels für Office 365

Aktuelle Blogartikel zu diesem Thema:

• Schnelles Optimieren des Datenverkehrs für Remotemitarbeiter & , um die Last für Ihre Infrastruktur zu reduzieren
• Alternative Möglichkeiten für Sicherheitsexperten und IT,moderne Sicherheitskontrollen in den heutigen einzigartigen Remotearbeitsszenarien zu erreichen

10: Trainieren von Benutzern

Das Trainieren von Benutzern kann Ihren Benutzern und dem Sicherheitsteam viel Zeit und Frustration ersparen. Versierte Benutzer öffnen weniger Anlagen oder klicken auf Links in fragwürdigen E-Mail-Nachrichten, und sie vermeiden eher verdächtige Websites.

Das Handbuch zur Cybersicherheitskampagne der Harvard Kennedy School bietet hervorragende Anleitungen zum Aufbau einer starken Kultur des Sicherheitsbewusstseins in Ihren organization, einschließlich der Schulung von Benutzern zur Identifizierung von Phishingangriffen.

Microsoft 365 bietet die folgenden Ressourcen, um Benutzer in Ihrer organization zu informieren:

Konzept	Ressourcen
Microsoft 365	Anpassbare Lernpfade Diese Ressourcen können Ihnen helfen, Schulungen für Endbenutzer in Ihrem organization
Microsoft 365 Security	Lernmodul: Schützen Ihrer organization mit integrierter, intelligenter Sicherheit von Microsoft 365 In diesem Modul können Sie beschreiben, wie Microsoft 365-Sicherheitsfeatures zusammenarbeiten, und die Vorteile dieser Sicherheitsfeatures erläutern.
Mehrstufige Authentifizierung	Zweistufige Überprüfung: Was ist die zusätzliche Überprüfungsseite? Dieser Artikel hilft Endbenutzern zu verstehen, was die mehrstufige Authentifizierung ist und warum sie auf Ihrem organization verwendet wird.

Zusätzlich zu diesem Leitfaden empfiehlt Microsoft Ihren Benutzern, die in diesem Artikel beschriebenen Aktionen zu ergreifen: Schützen Sie Ihr Konto und Ihre Geräte vor Hackern und Schadsoftware. Diese setzen sich wie folgt zusammen:

• Verwenden sicherer Kennwörter
• Schützen von Geräten
• Aktivieren von Sicherheitsfeatures auf Windows 10- und Mac-PCs (für nicht verwaltete Geräte)

Microsoft empfiehlt Benutzern außerdem, ihre persönlichen E-Mail-Konten zu schützen, indem sie die in den folgenden Artikeln empfohlenen Aktionen ausführen:

• Schützen Ihres Outlook.com-E-Mail-Kontos

• Schützen Ihres Gmail-Kontos mit einer zweistufigen Überprüfung

11: Erste Schritte mit Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps bietet umfassende Transparenz, Kontrolle über den Datenverkehr und komplexe Analysen, um Cyberbedrohungen in allen Ihren Clouddiensten zu identifizieren und zu bekämpfen. Sobald Sie mit Defender für Cloud-Apps begonnen haben, werden Richtlinien zur Anomalieerkennung automatisch aktiviert, aber Defender für Cloud Apps hat einen anfänglichen Lernzeitraum von sieben Tagen, in dem nicht alle Warnungen zur Anomalieerkennung ausgelöst werden.

Beginnen Sie jetzt mit Defender for Cloud Apps. Später können Sie komplexere Überwachungen und Kontrollen einrichten.

• Schnellstart: Erste Schritte mit Defender for Cloud Apps
• Sofortige Verhaltensanalysen und Anomalieerkennung
• Weitere Informationen zu Microsoft Defender for Cloud Apps
• Überprüfen neuer Features und Funktionen
• Grundlegende Setupanweisungen

12: Überwachen auf Bedrohungen und Ergreifen von Maßnahmen

Microsoft 365 bietet mehrere Möglichkeiten, status zu überwachen und geeignete Maßnahmen zu ergreifen. Der beste Ausgangspunkt ist das Microsoft 365 Defender-Portal, in dem Sie die Microsoft-Sicherheitsbewertung Ihres organization und alle Warnungen oder Entitäten anzeigen können, die Ihre Aufmerksamkeit erfordern.

• Erste Schritte mit dem Microsoft 365 Defender-Portal
• Weitere Informationen finden Sie in den Sicherheitsportalen in Microsoft 365.

Nächste Schritte

Herzlichen Glückwunsch! Sie haben schnell einige der wichtigsten Sicherheitsschutzmechanismen implementiert, und Ihre organization ist viel sicherer. Jetzt können Sie mit Funktionen zum Schutz vor Bedrohungen (einschließlich Microsoft Defender for Endpoint), Datenklassifizierungs- und -schutzfunktionen und dem Schützen von Administratorkonten noch weiter gehen. Einen tieferen, methodischen Satz von Sicherheitsempfehlungen für Microsoft 365 finden Sie unter Microsoft 365 Security for Business Decision Makers (BDMs).

Besuchen Sie auch die neue Microsoft Defender for Cloud in Security-Dokumentation.