Konfigurieren Ihres Microsoft 365-Mandanten für höhere Sicherheit

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion im Microsoft 365 Defender Portal-Testhub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Ihre Organisatorischen Anforderungen erfordern Sicherheit.

Einzelheiten liegen in Ihrem Unternehmen.

In diesem Thema werden Sie durch die manuelle Konfiguration mandantenweiter Einstellungen begleitet, die sich auf die Sicherheit Ihrer Microsoft 365-Umgebung auswirken. Verwenden Sie diese Empfehlungen als Ausgangspunkt.

Optimieren von Bedrohungsverwaltungsrichtlinien im Microsoft 365 Defender-Portal

Das Microsoft 365 Defender-Portal verfügt über Funktionen für Schutz und Berichterstellung. Es verfügt über Dashboards, die Sie verwenden können, um zu überwachen und Maßnahmen zu ergreifen, wenn Bedrohungen auftreten.

Beachten Sie, dass einige Bereiche standardmäßige Richtlinienkonfigurationen enthalten. Einige Bereiche enthalten keine Standardrichtlinien oder -regeln.

Die empfohlene Einrichtung von Microsoft Defender for Office 365 (Plan 1 und Plan 2) wird beispielsweise in dieser praktischen Schritt-für-Schritt-Anleitung beschrieben, direkt hier: "Sicherstellen, dass Sie immer die optimale Sicherheit haben". Trotzdem entscheiden sich einige Administratoren für einen praktischeren Ansatz für dieses Produkt.

Um Ihre Einrichtung von Microsoft Defender for Office 365 zu automatisieren, besuchen Sie die Standard- und Strengen Richtlinien unter Email & Regeln für die Zusammenarbeitsrichtlinien>&>Bedrohungsrichtlinien, um bedrohungsverwaltungseinstellungen für eine sicherere Umgebung zu optimieren.

Bereich Standardrichtlinie? Empfehlung
Antiphishing Ja Konfigurieren Sie die Standardmäßige Antiphishingrichtlinie wie hier beschrieben: Konfigurieren von Antiphishingschutzeinstellungen in EOP und Defender for Office 365.

Weitere Informationen:

Antischadsoftwaremodul Ja Konfigurieren Sie die Standardmäßige Antischadsoftwarerichtlinie wie hier beschrieben: Konfigurieren von Einstellungen für den Antischadsoftwareschutz in EOP.

Weitere Informationen:

Sichere Anlagen in Defender für Office 365 Nein Konfigurieren Sie die globalen Einstellungen für sichere Anlagen, und erstellen Sie eine Richtlinie für sichere Anlagen wie hier beschrieben: Konfigurieren von Einstellungen für sichere Anlagen in Microsoft Defender for Office 365.

Weitere Informationen:

Sichere Links in Microsoft Defender for Office 365 Nein Erstellen Sie eine Richtlinie für sichere Links wie hier beschrieben: Konfigurieren von Einstellungen für sichere Links in Microsoft Defender for Office 365.

Weitere Informationen:

Antispam (E-Mail-Filterung) Ja Konfigurieren der Standardmäßigen Antispamrichtlinie wie hier beschrieben: Konfigurieren von Antispamschutzeinstellungen in EOP

Weitere Informationen:

Email-Authentifizierung Ja Email Authentifizierung verwendet DNS-Einträge, um überprüfbare Informationen zu E-Mail-Nachrichten über die Nachrichtenquelle und den Absender hinzuzufügen. Microsoft 365 konfiguriert die E-Mail-Authentifizierung automatisch für die Standarddomäne (onmicrosoft.com), aber Microsoft 365-Administratoren können auch die E-Mail-Authentifizierung für benutzerdefinierte Domänen konfigurieren. Es werden drei Authentifizierungsmethoden verwendet:
  • Authentifizierte empfangene Kette (ARC) in Microsoft 365 Defender für Office.
    • Listen Sie Ihre vertrauenswürdigen ARC-Sealer auf, damit legitime Vermittler auch dann als vertrauenswürdig eingestuft werden, wenn sie E-Mails ändern.

Hinweis

Für nicht standardmäßige Bereitstellungen von SPF, Hybridbereitstellungen und Problembehandlung: Wie Microsoft 365 das Sender Policy Framework (SPF) verwendet, um Spoofing zu verhindern.

Anzeigen von Dashboards und Berichten im Microsoft 365 Defender Portal

Navigieren Sie zu security.microsoft.com. Das Menü der Microsoft 365 Defender ist in Abschnitte unterteilt, die beginnen, in der reihenfolge, Start, Email & Zusammenarbeit, Cloud-Apps und Berichte (je nach Plan können einige oder alle davon angezeigt werden). Sie suchen nach Berichten.

  1. Navigieren Sie zu security.microsoft.com.
  2. Klicken Sie im Menü auf "Berichte ".
    1. Hier können Sie Informationen zu Sicherheitstrends anzeigen und den Schutzstatus Ihrer Identitäten, Daten, Geräte, Apps und Infrastruktur nachverfolgen.

Die Daten in diesen Berichten werden reicher, wenn Ihre Organisation Office 365 Dienste verwendet. Beachten Sie dies, wenn Sie sich im Pilotprojekt oder im Test befinden. Machen Sie sich vorerst damit vertraut, was Sie überwachen und maßnahmen können.

In jedem Bericht werden Karten für die jeweiligen überwachten Bereiche angezeigt.

  1. Klicken Sie auf die Email & Zusammenarbeitsberichte.
  2. Notieren Sie sich die verfügbaren Berichtskarten.
    1. Alles von Schadsoftware, die in E-Mails erkannt wurde, über Spamerkennungen, kompromittierte Benutzer bis hin zu vom Benutzer gemeldeten Nachrichten und Übermittlungen die letzten beiden, mit einer Schaltfläche, die mit Übermittlungen verknüpft ist.
  3. Klicken Sie auf einen Bericht, z. B. auf die Zusammenfassung des E-Mail-Flussstatus , und klicken Sie dann auf die Schaltfläche " Details anzeigen ", um sich mit den Daten zu befassen (die sogar eine Trichteransicht enthält, um die Gesamtmenge des E-Mail-Flusses im Vergleich zu blockierten, Spam- und Phishing-E-Mails und mehr einfacher zu interpretieren).
Dashboard Beschreibung
Sicherheitsberichte Identitäten und Gerätesicherheitsberichte wie Benutzer und Geräte mit Schadsoftwareerkennungen, Gerätekompatibilität und gefährdete Benutzer.
Defender für Office 365-Berichte Die Berichte sind nur in Defender for Office 365 verfügbar. Weitere Informationen finden Sie unter Anzeigen Defender for Office 365 Berichten im Microsoft 365 Defender Portal.
Nachrichtenflussberichte und Einblicke Diese Berichte und Einblicke sind im Exchange Admin Center (EAC) verfügbar. Weitere Informationen finden Sie unter Nachrichtenflussberichte und Einblicke in den Nachrichtenfluss.
Sicherheitsrisiken-Explorer (oder Echtzeit-Erkennung) Wenn Sie einen Angriff auf Ihren Mandanten untersuchen oder feststellen, verwenden Sie Explorer (oder Echtzeiterkennungen), um Bedrohungen zu analysieren. Der Explorer (und der Echtzeiterkennungsbericht) zeigen Ihnen das Volumen der Angriffe im Laufe der Zeit, und Sie können diese Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr analysieren. Sie können auch verdächtige E-Mails für die Liste der Vorfälle markieren.

Konfigurieren zusätzlicher Exchange Online mandantenweite Einstellungen

Hier sind einige zusätzliche Einstellungen, die empfohlen werden.

Bereich Empfehlung
Nachrichtenflussregeln (auch als Transportregeln bezeichnet) Fügen Sie eine Nachrichtenflussregel hinzu, um den Schutz vor Ransomware zu verbessern, indem Sie ausführbare Dateitypen und Office-Dateitypen blockieren, die Makros enthalten. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Überprüfen von Nachrichtenanlagen in Exchange Online.

Weitere Informationen finden Sie in den folgenden zusätzlichen Themen:

Erstellen Sie eine Nachrichtenflussregel, um die automatische Weiterleitung von E-Mails an externe Domänen zu verhindern. Weitere Informationen finden Sie unter "Abschwächung externer Clientweiterleitungsregeln mit Sicherheitsbewertung".

Weitere Informationen: Nachrichtenflussregeln (Transportregeln) in Exchange Online

Moderne Authentifizierung Die moderne Authentifizierung ist eine Voraussetzung für die Verwendung der mehrstufigen Authentifizierung (MFA). MFA wird empfohlen, um den Zugriff auf Cloudressourcen, einschließlich E-Mails, zu sichern.

Weitere Informationen finden Sie in den folgenden Themen:

Die moderne Authentifizierung ist standardmäßig für Office 2016-Clients, SharePoint Online und OneDrive for Business aktiviert.

Weitere Informationen: Funktionsweise der modernen Authentifizierung für Office 2013- und Office 2016-Client-Apps

Konfigurieren von mandantenweiten Freigaberichtlinien im SharePoint Admin Center

Microsoft-Empfehlungen für die Konfiguration von SharePoint-Teamwebsites mit erhöhten Schutzebenen, beginnend mit dem grundlegenden Schutz. Weitere Informationen finden Sie unter Richtlinienempfehlungen zum Sichern von SharePoint-Websites und -Dateien.

SharePoint-Teamwebsites, die auf Basisebene konfiguriert sind, ermöglichen das Freigeben von Dateien für externe Benutzer mithilfe anonymer Zugriffslinks. Dieser Ansatz wird empfohlen, anstatt Dateien per E-Mail zu senden.

Um die Ziele für den grundlegenden Schutz zu unterstützen, konfigurieren Sie mandantenweite Freigaberichtlinien wie hier empfohlen. Freigabeeinstellungen für einzelne Websites können restriktiver sein als diese mandantenweite Richtlinie, jedoch nicht eingeschränkter.

Bereich Enthält eine Standardrichtlinie. Empfehlung
Freigabe (SharePoint Online und OneDrive for Business) Ja Die externe Freigabe ist standardmäßig aktiviert. Diese Einstellungen werden empfohlen:
  • Freigabe für authentifizierte externe Benutzer zulassen und anonyme Zugriffslinks verwenden (Standardeinstellung).
  • Anonyme Zugriffslinks laufen in diesen tagen ab. Geben Sie bei Bedarf eine Zahl ein, z. B. 30 Tage.
  • Standardlinktyp – Wählen Sie "Intern" aus (nur Personen in der Organisation). Benutzer, die anonyme Links freigeben möchten, müssen diese Option im Freigabemenü auswählen.

Weitere Informationen: Übersicht über externe Freigaben

SharePoint Admin Center und OneDrive for Business Admin Center enthalten die gleichen Einstellungen. Die Einstellungen im Admin Center gelten für beide.

Konfigurieren von Einstellungen in Azure Active Directory

Besuchen Sie diese beiden Bereiche in Azure Active Directory, um die mandantenweite Einrichtung für sicherere Umgebungen abzuschließen.

Konfigurieren benannter Speicherorte (unter bedingtem Zugriff)

Wenn Ihre Organisation Niederlassungen mit sicherem Netzwerkzugriff umfasst, fügen Sie azure Active Directory die vertrauenswürdigen IP-Adressbereiche als benannte Speicherorte hinzu. Dieses Feature trägt dazu bei, die Anzahl der gemeldeten falsch positiven Ergebnisse für Anmelderisikoereignisse zu verringern.

Siehe: Benannte Speicherorte in Azure Active Directory

Blockieren von Apps, die keine moderne Authentifizierung unterstützen

Für die mehrstufige Authentifizierung sind Apps erforderlich, die die moderne Authentifizierung unterstützen. Apps, die die moderne Authentifizierung nicht unterstützen, können nicht mithilfe von Regeln für bedingten Zugriff blockiert werden.

Deaktivieren Sie bei sicheren Umgebungen die Authentifizierung für Apps, die die moderne Authentifizierung nicht unterstützen. Sie können dies in Azure Active Directory mit einem Steuerelement tun, das in Kürze verfügbar ist.

Verwenden Sie in der Zwischenzeit eine der folgenden Methoden, um dies für SharePoint Online und OneDrive for Business zu erreichen:

Erste Schritte mit Defender für Cloud-Apps oder Office 365 Cloud App Security

Verwenden Sie Office 365 Cloud App Security, um Risiken zu bewerten, verdächtige Aktivitäten zu benachrichtigen und automatisch Maßnahmen zu ergreifen. Erfordert Office 365 E5 Plan.

Oder verwenden Sie Microsoft Defender for Cloud Apps, um eine tiefere Sichtbarkeit zu erhalten, auch nachdem der Zugriff gewährt wurde, umfassende Kontrollen und verbesserten Schutz für alle Ihre Cloudanwendungen, einschließlich Office 365.

Da diese Lösung den EMS E5-Plan empfiehlt, empfehlen wir, mit Defender für Cloud-Apps zu beginnen, damit Sie dies mit anderen SaaS-Anwendungen in Ihrer Umgebung verwenden können. Beginnen Sie mit Standardrichtlinien und -einstellungen.

Weitere Informationen:

Das Defender für Cloud Apps-Dashboard

Zusätzliche Ressourcen

Diese Artikel und Leitfäden enthalten zusätzliche präskriptive Informationen zum Sichern Ihrer Microsoft 365-Umgebung: