Konfigurieren Ihres Microsoft 365-Mandanten für höhere Sicherheit

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Ihre Organisationsanforderungen erfordern Sicherheit.

Die Einzelheiten sind von Ihrem Unternehmen bestimmt.

Dieses Thema führt Sie durch die manuelle Konfiguration mandantenweiter Einstellungen, die sich auf die Sicherheit Ihrer Microsoft 365-Umgebung auswirken. Verwenden Sie diese Empfehlungen als Ausgangspunkt.

Optimieren von Richtlinien für die Bedrohungsverwaltung im Microsoft 365 Defender-Portal

Das Microsoft 365 Defender-Portal verfügt über Funktionen für Schutz und Berichterstellung. Es verfügt über Dashboards, die Sie verwenden können, um zu überwachen und Maßnahmen zu ergreifen, wenn Bedrohungen auftreten.

Beachten Sie, dass in einigen Bereichen Standardrichtlinienkonfigurationen enthalten sind. Einige Bereiche enthalten keine Standardrichtlinien oder -regeln.

Die empfohlene Einrichtung von Microsoft Defender for Office 365 (Plan 1 und Plan 2) wird beispielsweise in dieser praktischen Schritt-für-Schritt-Anleitung beschrieben: "Sicherstellen, dass Sie immer über die optimale Sicherheit verfügen". Aber trotzdem entscheiden sich einige Administratoren für einen praxisnäheren Ansatz für dieses Produkt.

Um Ihre Einrichtung von Microsoft Defender for Office 365 zu automatisieren, besuchen Sie die Richtlinien Standard und Strict unter Email &Regeln für Richtlinien für &die Zusammenarbeit >Bedrohungsrichtlinien, um Die Einstellungen für das Bedrohungsmanagement für eine sicherere Umgebung zu optimieren.>

Bereich Standardrichtlinie? Empfehlung
Antiphishing Ja Konfigurieren Sie die Standardmäßige Antiphishingrichtlinie wie hier beschrieben: Konfigurieren von Antiphishingschutzeinstellungen in EOP und Defender for Office 365.

Weitere Informationen:

Antischadsoftware-Engine Ja Konfigurieren Sie die Standardmäßige Antischadsoftwarerichtlinie wie hier beschrieben: Konfigurieren der Einstellungen für den Schutz vor Schadsoftware in EOP.

Weitere Informationen:

Sichere Anlagen in Defender für Office 365 Nein Konfigurieren Sie die globalen Einstellungen für sichere Anlagen, und erstellen Sie eine Richtlinie für sichere Anlagen, wie hier beschrieben: Konfigurieren von Einstellungen für sichere Anlagen in Microsoft Defender for Office 365.

Weitere Informationen:

Sichere Links in Microsoft Defender for Office 365 Nein Erstellen Sie eine Richtlinie für sichere Links wie hier beschrieben: Konfigurieren von Einstellungen für sichere Links in Microsoft Defender for Office 365.

Weitere Informationen:

Antispam (E-Mail-Filterung) Ja Konfigurieren Sie die Standard-Antispamrichtlinie wie hier beschrieben: Konfigurieren von Antispamschutzeinstellungen in EOP

Weitere Informationen:

Email-Authentifizierung Ja Email Authentifizierung verwendet DNS-Einträge, um E-Mail-Nachrichten über die Nachrichtenquelle und den Absender nachprüfbare Informationen hinzuzufügen. Microsoft 365 konfiguriert automatisch die E-Mail-Authentifizierung für die Standarddomäne (onmicrosoft.com), aber Microsoft 365-Administratoren können auch die E-Mail-Authentifizierung für benutzerdefinierte Domänen konfigurieren. Es werden drei Authentifizierungsmethoden verwendet:
  • Authentifizierte empfangene Kette (Authenticated Received Chain, ARC) in Microsoft 365 Defender für Office.

Hinweis

Für nicht standardmäßige Bereitstellungen von SPF, Hybridbereitstellungen und Problembehandlung: Wie Microsoft 365 Sender Policy Framework (SPF) verwendet, um Spoofing zu verhindern.

Anzeigen von Dashboards und Berichten im Microsoft 365 Defender-Portal

Navigieren Sie zu security.microsoft.com. Das Menü von Microsoft 365 Defender ist in Abschnitte unterteilt, die in der Reihenfolge, Start, Email & Zusammenarbeit, Cloud-Apps und Berichte beginnen (je nach Plan werden möglicherweise einige oder alle angezeigt). Sie suchen nach Berichten.

  1. Navigieren Sie zu security.microsoft.com.
  2. Klicken Sie im Menü auf Berichte .
    1. Hier können Sie Informationen zu Sicherheitstrends anzeigen und den Schutzstatus Ihrer Identitäten, Daten, Geräte, Apps und Infrastruktur nachverfolgen.

Die Daten in diesen Berichten werden umfangreicher, wenn Ihre Organisation Office 365-Dienste verwendet. Bedenken Sie dies, wenn Sie sich in Pilot- oder Testphase befinden. Machen Sie sich vorerst damit vertraut, was Sie überwachen und maßnahmen können.

In jedem Bericht werden Karten für die überwachten Bereiche angezeigt.

  1. Klicken Sie auf die Email & Berichte zusammenarbeiten.
  2. Notieren Sie sich die verfügbaren Berichtskarten.
    1. Alles von Schadsoftware, die in E-Mails erkannt wurde, über Spam-Erkennungen, kompromittierte Benutzer bis hin zu vom Benutzer gemeldeten Nachrichten und Übermittlungen der letzten beiden, mit einer Schaltfläche, die zu Übermittlungen verlinkt.
  3. Klicken Sie auf einen Bericht, z. B. Mailflow-Statuszusammenfassung , und klicken Sie auf die Schaltfläche Details anzeigen , um die Daten zu untersuchen (die sogar eine Trichteransicht für eine einfachere Interpretation des gesamten E-Mail-Flusses im Vergleich zu blockierten E-Mails, Spam- und Phishing-E-Mails und mehr enthält).
Dashboard Beschreibung
Sicherheitsberichte Identitäten und Gerätesicherheitsberichte, z. B. Benutzer und Geräte mit Schadsoftwareerkennungen, Gerätekonformität und gefährdete Benutzer.
Defender für Office 365-Berichte Die Berichte sind nur in Defender for Office 365 verfügbar. Weitere Informationen finden Sie unter Anzeigen Defender for Office 365 Berichte im Microsoft 365 Defender-Portal.
Nachrichtenflussberichte und -erkenntnisse Diese Berichte und Erkenntnisse sind im Exchange Admin Center (EAC) verfügbar. Weitere Informationen finden Sie unter Nachrichtenflussberichte und Erkenntnisse zum Nachrichtenfluss.
Sicherheitsrisiken-Explorer (oder Echtzeit-Erkennung) Wenn Sie einen Angriff auf Ihren Mandanten untersuchen oder einen Angriff auf Ihren Mandanten erleben, verwenden Sie den Explorer (oder Echtzeiterkennungen), um Bedrohungen zu analysieren. Der Explorer (und der Echtzeiterkennungsbericht) zeigt Ihnen das Volumen der Angriffe im Laufe der Zeit an, und Sie können diese Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr analysieren. Sie können auch jede verdächtige E-Mail für die Liste der Vorfälle markieren.

Konfigurieren zusätzlicher Exchange Online mandantenweiten Einstellungen

Hier sind einige zusätzliche Einstellungen, die empfohlen werden.

Bereich Empfehlung
Nachrichtenflussregeln (auch als Transportregeln bezeichnet) Fügen Sie eine E-Mail-Flussregel hinzu, um sich vor Ransomware zu schützen, indem Sie ausführbare Dateitypen und Office-Dateitypen blockieren, die Makros enthalten. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online.

Weitere Informationen finden Sie in den folgenden Themen:

Erstellen Sie eine E-Mail-Flussregel, um die automatische Weiterleitung von E-Mails an externe Domänen zu verhindern. Weitere Informationen finden Sie unter Mindern von Regeln für die externe Clientweiterleitung mit Sicherheitsbewertung.

Weitere Informationen: Nachrichtenflussregeln (Transportregeln) in Exchange Online

Moderne Authentifizierung Moderne Authentifizierung ist eine Voraussetzung für die Verwendung der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA). MFA wird empfohlen, um den Zugriff auf Cloudressourcen, einschließlich E-Mail, zu schützen.

Weitere Informationen finden Sie in den folgenden Themen:

Die moderne Authentifizierung ist standardmäßig für Office 2016-Clients, SharePoint Online und OneDrive for Business aktiviert.

Weitere Informationen: Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps

Konfigurieren mandantenweiter Freigaberichtlinien im SharePoint Admin Center

Microsoft Empfehlungen für die Konfiguration von SharePoint-Teamwebsites mit zunehmenden Schutzebenen, beginnend mit dem Baselineschutz. Weitere Informationen finden Sie unter Richtlinienempfehlungen zum Schützen von SharePoint-Websites und -Dateien.

SharePoint-Teamwebsites, die auf Basisebene konfiguriert sind, ermöglichen die Freigabe von Dateien für externe Benutzer mithilfe von Links für anonymen Zugriff. Dieser Ansatz wird empfohlen, anstatt Dateien per E-Mail zu senden.

Um die Ziele für den Baselineschutz zu unterstützen, konfigurieren Sie mandantenweite Freigaberichtlinien wie hier empfohlen. Die Freigabeeinstellungen für einzelne Websites können restriktiver sein als diese mandantenweite Richtlinie, aber nicht weniger einschränkend.

Bereich Enthält eine Standardrichtlinie. Empfehlung
Freigabe (SharePoint Online und OneDrive for Business) Ja Die externe Freigabe ist standardmäßig aktiviert. Diese Einstellungen werden empfohlen:
  • Zulassen der Freigabe für authentifizierte externe Benutzer und Verwenden von Links für anonymen Zugriff (Standardeinstellung).
  • Anonyme Zugriffslinks laufen in diesen tagen ab. Geben Sie bei Bedarf eine Zahl ein, z. B. 30 Tage.
  • Standardlinktyp – Wählen Sie Intern (nur Personen in der Organisation) aus. Benutzer, die anonyme Links verwenden möchten, müssen diese Option im Freigabemenü auswählen.

Weitere Informationen: Übersicht über die externe Freigabe

SharePoint Admin Center und OneDrive for Business Admin Center enthalten die gleichen Einstellungen. Die Einstellungen in beiden Admin Center gelten für beide.

Konfigurieren von Einstellungen in Azure Active Directory

Besuchen Sie diese beiden Bereiche in Azure Active Directory, um die mandantenweite Einrichtung für sicherere Umgebungen abzuschließen.

Konfigurieren benannter Speicherorte (unter bedingtem Zugriff)

Wenn Ihre Organisation Niederlassungen mit sicherem Netzwerkzugriff umfasst, fügen Sie die vertrauenswürdigen IP-Adressbereiche azure Active Directory als benannte Standorte hinzu. Dieses Feature trägt dazu bei, die Anzahl der gemeldeten falsch positiven Ergebnisse für Anmelderisikoereignisse zu reduzieren.

Siehe: Benannte Standorte in Azure Active Directory

Blockieren von Apps, die die moderne Authentifizierung nicht unterstützen

Die mehrstufige Authentifizierung erfordert Apps, die die moderne Authentifizierung unterstützen. Apps, die die moderne Authentifizierung nicht unterstützen, können nicht mithilfe von Regeln für bedingten Zugriff blockiert werden.

Deaktivieren Sie für sichere Umgebungen die Authentifizierung für Apps, die die moderne Authentifizierung nicht unterstützen. Sie können dies in Azure Active Directory mit einem Steuerelement tun, das in Kürze verfügbar ist.

Verwenden Sie in der Zwischenzeit eine der folgenden Methoden, um dies für SharePoint Online und OneDrive for Business zu erreichen:

Erste Schritte mit Defender for Cloud Apps oder Office 365 Cloud App Security

Verwenden Sie Office 365 Cloud App Security, um Risiken auszuwerten, bei verdächtigen Aktivitäten zu warnen und automatisch Maßnahmen zu ergreifen. Erfordert Office 365 E5 Plan.

Oder verwenden Sie Microsoft Defender for Cloud Apps, um auch nach dem Gewähren des Zugriffs, umfassende Kontrollen und verbesserten Schutz für alle Ihre Cloudanwendungen, einschließlich Office 365, zu erhalten.

Da diese Lösung den EMS E5-Plan empfiehlt, empfehlen wir Ihnen, mit Defender for Cloud Apps zu beginnen, damit Sie diesen mit anderen SaaS-Anwendungen in Ihrer Umgebung verwenden können. Beginnen Sie mit Standardrichtlinien und -einstellungen.

Weitere Informationen:

Das Defender for Cloud Apps-Dashboard

Zusätzliche Ressourcen

Diese Artikel und Leitfäden enthalten zusätzliche präskriptive Informationen zum Schutz Ihrer Microsoft 365-Umgebung: