Die 12 wichtigsten Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus

Wenn Sie wie Microsoft sind und plötzlich eine hauptsächlich home-based Belegschaft unterstützen, möchten wir Ihnen helfen, sicherzustellen, dass Ihre Organisation so sicher wie möglich arbeitet. In diesem Artikel werden Aufgaben priorisiert, damit Sicherheitsteams die wichtigsten Sicherheitsfunktionen so schnell wie möglich implementieren können.

Die wichtigsten Aufgaben zur Unterstützung der Arbeit von zu Hause aus

Wenn Sie eine kleine oder mittlere Organisation sind, die einen der Microsoft-Geschäftspläne verwendet, lesen Sie stattdessen die folgenden Ressourcen:

Für Kunden, die unsere Enterprise-Pläne verwenden, empfiehlt Microsoft, die in der folgenden Tabelle aufgeführten Aufgaben auszuführen, die für Ihren Serviceplan gelten. Wenn Sie anstelle eines Microsoft 365 Enterprise-Plans Abonnements kombinieren, beachten Sie Folgendes:

  • Microsoft 365 E3 umfasst Enterprise Mobility + Security (EMS) E3 und Azure AD P1
  • Microsoft 365 E5 umfasst EMS E5 und Azure AD P2

Schritt Aufgabe Alle Office 365 Enterprise Pläne Microsoft 365 E3 Microsoft 365 E5
1 Aktivieren der mehrstufigen Azure AD-Authentifizierung (MFA) Iinklusive. Iinklusive. Iinklusive.
2 Schutz vor Bedrohungen Iinklusive. Iinklusive. Iinklusive.
3 Konfigurieren von Microsoft Defender for Office 365 Iinklusive.
4 Konfigurieren von Microsoft Defender for Identity Iinklusive.
5 Microsoft 365 Defender aktivieren Iinklusive.
6 Konfigurieren Intune des Schutzes mobiler Apps für Smartphones und Tablets Iinklusive. Iinklusive.
7 Konfigurieren von MFA und bedingtem Zugriff für Gäste, einschließlich Intune App-Schutz Iinklusive. Iinklusive.
8 Registrieren von PCs für die Geräteverwaltung und Erfordern von kompatiblen PCs Iinklusive. Iinklusive.
9 Optimieren Ihres Netzwerks für Cloudkonnektivität Iinklusive. Iinklusive. Enthalten
10 Schulung der Benutzer Iinklusive. Iinklusive. Iinklusive.
11 Erste Schritte mit Microsoft Defender for Cloud Apps Iinklusive.
12 Überwachen auf Bedrohungen und Ergreifen von Maßnahmen Iinklusive. Iinklusive. Iinklusive.

Bevor Sie beginnen, überprüfen Sie Ihre Microsoft 365-Sicherheitsbewertung im Microsoft 365 Defender Portal. Über ein zentrales Dashboard können Sie die Sicherheit Ihrer Microsoft 365-Identitäten, Daten, Apps, Geräte und Infrastruktur überwachen und verbessern. Sie erhalten Punkte zum Konfigurieren empfohlener Sicherheitsfeatures, zum Ausführen sicherheitsrelevanter Aufgaben (z. B. anzeigen von Berichten) oder zum Adressieren von Empfehlungen mit einer Drittanbieteranwendung oder -software. Die empfohlenen Aufgaben in diesem Artikel erhöhen Ihre Bewertung.

Der Microsoft-Sicherheitsbewertungsbildschirm im Microsoft 365 Defender-Portal

1: Aktivieren der mehrstufigen Azure AD-Authentifizierung (MFA)

Das einzige Beste, was Sie tun können, um die Sicherheit für Mitarbeiter zu verbessern, die von zu Hause aus arbeiten, besteht darin, MFA zu aktivieren. Wenn Sie noch nicht über Prozesse verfügen, behandeln Sie dies als Notfallpilot und stellen Sie sicher, dass Sie Unterstützungsmitarbeiter haben, die bereit sind, Mitarbeitern zu helfen, die hängen bleiben. Da Sie wahrscheinlich keine Hardwaresicherheitsgeräte verteilen können, verwenden Sie Windows Hello Biometrie- und Smartphone-Authentifizierungs-Apps wie Microsoft Authenticator.

Normalerweise empfiehlt Microsoft, Benutzern 14 Tage Zeit zu geben, ihr Gerät für die mehrstufige Authentifizierung zu registrieren, bevor MFA erforderlich ist. Wenn Ihre Mitarbeiter jedoch plötzlich von zu Hause aus arbeiten, gehen Sie fort, fordern Sie MFA als Sicherheitspriorität an und seien Sie bereit, Benutzern zu helfen, die sie benötigen.

Das Anwenden dieser Richtlinien dauert nur wenige Minuten, ist aber bereit, Ihre Benutzer in den nächsten Tagen zu unterstützen.


Plan Empfehlung
Microsoft 365-Pläne (ohne Azure AD P1 oder P2) Aktivieren Sie die Sicherheitsstandards in Azure AD. Zu den Sicherheitsstandards in Azure AD gehört MFA für Nutzer und Administratoren.
Microsoft 365 E3 (mit Azure AD P1) Verwenden Sie Allgemeine Richtlinien für den bedingten Zugriff, um die folgenden Richtlinien zu konfigurieren:
- MFA für Administratoren erforderlich
- MFA für alle Nutzer erforderlich
- Blockieren von Legacy-Authentifizierung
Microsoft 365 E5 (mit Azure AD P2) Nutzen Sie Azure AD Identity Protection, und beginnen Sie mit der Implementierung des empfohlenen Microsoft-Satzes von bedingtem Zugriff und zugehörigen Richtlinien , indem Sie diese Richtlinien erstellen:
- MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist
- Blockieren von Clients, die die moderne Authentifizierung nicht unterstützen
- Nutzer mit hohem Risiko müssen das Kennwort ändern

2: Schutz vor Bedrohungen

Alle Microsoft 365-Pläne enthalten eine Vielzahl von Bedrohungsschutzfeatures. Das Anstoßen des Schutzes für diese Features dauert nur wenige Minuten.

  • Schutz vor Schadsoftware
  • Schutz vor bösartigen URLs und Dateien
  • Antiphishingschutz
  • Antispamschutz

Anleitungen, die Sie als Ausgangspunkt verwenden können, finden Sie unter "Schutz vor Bedrohungen in Office 365".

3: Konfigurieren von Microsoft Defender for Office 365

Microsoft Defender for Office 365, die in Microsoft 365 E5 und Office 365 E5 enthalten sind, schützt Ihre Organisation vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Die Konfiguration kann mehrere Stunden dauern.

Microsoft Defender for Office 365:

  • Schützt Ihre Organisation vor unbekannten E-Mail-Bedrohungen in Echtzeit, indem intelligente Systeme verwendet werden, die Anlagen und Links auf schädliche Inhalte untersuchen. Zu diesen automatisierten Systemen gehören eine robuste Detonationsplattform, Heuristiken und Machine Learning-Modelle.
  • Schützt Ihre Organisation, wenn Benutzer zusammenarbeiten und Dateien freigeben, indem bösartige Dateien in Teamwebsites und Dokumentbibliotheken identifiziert und blockiert werden.
  • Wendet Machine Learning-Modelle und erweiterte Algorithmen zur Erkennung von Identitätswechseln an, um Phishingangriffe zu verhindern.

Eine Übersicht, einschließlich einer Zusammenfassung der Pläne, finden Sie unter Defender for Office 365.

Ihr globaler Administrator kann diese Schutzmaßnahmen konfigurieren:

Sie müssen mit Ihrem Exchange Online- und SharePoint Online-Administrator zusammenarbeiten, um Defender for Office 365 für diese Workloads zu konfigurieren:

4: Konfigurieren von Microsoft Defender for Identity

Microsoft Defender for Identity ist eine cloudbasierte Sicherheitslösung, die Ihre lokalen Active Directory-Signale nutzt, um komplexe Bedrohungen, kompromittierte Identitäten und bösartige, gegen Ihre Organisation gerichtete Insideraktionen zu identifizieren, zu erkennen und zu untersuchen. Konzentrieren Sie sich auf diese Nächste, da sie Ihre lokale und Ihre Cloudinfrastruktur schützt, keine Abhängigkeiten oder Voraussetzungen hat und sofortige Vorteile bieten kann.

5: Aktivieren Microsoft 365 Defender

Nachdem Sie nun Microsoft Defender for Office 365 und Microsoft Defender for Identity konfiguriert haben, können Sie die kombinierten Signale dieser Funktionen in einem Dashboard anzeigen. Microsoft 365 Defender vereint Warnungen, Vorfälle, automatisierte Untersuchung und Reaktion sowie erweiterte Suche über Workloads (Microsoft Defender for Identity, Defender for Office 365, Microsoft Defender für Endpunkt und Microsoft Defender for Cloud Apps) in einem einzelnen Bereich im Microsoft 365 Defender Portal.

Das Microsoft 365 Defender-Dashboard

Nachdem Sie einen oder mehrere Ihrer Defender for Office 365-Dienste konfiguriert haben, aktivieren Sie MTP. Neue Features werden kontinuierlich zu MTP hinzugefügt; Erwägen Sie, sich für den Empfang von Vorschaufeatures zu entscheiden.

6: Konfigurieren Intune des Schutzes mobiler Apps für Smartphones und Tablets

Microsoft Intune Mobile Application Management (MAM) ermöglicht es Ihnen, die Daten Ihrer Organisation auf Smartphones und Tablets zu verwalten und zu schützen, ohne diese Geräte zu verwalten. Funktionsweise:

  • Sie erstellen eine App-Schutzrichtlinie (APP), die bestimmt, welche Apps auf einem Gerät verwaltet werden und welche Verhaltensweisen zulässig sind (z. B. verhindern, dass Daten aus einer verwalteten App in eine nicht verwaltete App kopiert werden). Sie erstellen eine Richtlinie für jede Plattform (iOS, Android).
  • Nachdem Sie die App-Schutzrichtlinien erstellt haben, erzwingen Sie diese, indem Sie eine Regel für bedingten Zugriff in Azure AD erstellen, um genehmigte Apps und APP-Datenschutz zu erfordern.

APP-Schutzrichtlinien enthalten viele Einstellungen. Glücklicherweise müssen Sie nicht über jede Einstellung erfahren und die Optionen abwägen. Microsoft erleichtert das Anwenden einer Konfiguration von Einstellungen durch Empfehlen von Ausgangspunkten. Das Datenschutzframework mit App-Schutzrichtlinien umfasst drei Ebenen, aus der Sie wählen können.

Noch besser: Microsoft koordiniert dieses App-Schutzframework mit einer Reihe von bedingtem Zugriff und zugehörigen Richtlinien, die von allen Organisationen als Ausgangspunkt empfohlen werden. Wenn Sie MFA mithilfe der Anleitung in diesem Artikel implementiert haben, sind Sie auf halbem Weg!

Verwenden Sie zum Konfigurieren des Schutzes mobiler Apps die Anleitungen in allgemeinen Identitäts- und Gerätezugriffsrichtlinien:

  1. Verwenden Sie die Richtlinien zum Anwenden von APP-Datenschutzrichtlinien , um Richtlinien für iOS und Android zu erstellen. Stufe 2 (erweiterter Datenschutz) wird für grundlegenden Schutz empfohlen.
  2. Erstellen Sie eine Regel für bedingten Zugriff, um genehmigte Apps und APP-Schutz zu verlangen.

7: Konfigurieren von MFA und bedingtem Zugriff für Gäste, einschließlich Intune Schutz mobiler Apps

Als Nächstes stellen wir sicher, dass Sie weiterhin zusammenarbeiten und mit Gästen zusammenarbeiten können. Wenn Sie den Microsoft 365 E3-Plan verwenden und MFA für alle Benutzer implementiert haben, sind Sie festgelegt.

Wenn Sie den Microsoft 365 E5-Plan verwenden und Azure Identity Protection für risikobasierte MFA nutzen, müssen Sie einige Anpassungen vornehmen (da Sich Azure AD Identity Protection nicht auf Gäste erstreckt):

  • Erstellen Sie eine neue Regel für bedingten Zugriff, damit MFA immer für Gäste und externe Benutzer erforderlich ist.
  • Aktualisieren Sie die risikobasierte MFA-Regel für bedingten Zugriff, um Gäste und externe Benutzer auszuschließen.

Verwenden Sie die Anleitung zum Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen des Gast- und externen Zugriffs , um zu verstehen, wie der Gastzugriff mit Azure AD funktioniert, und um die betroffenen Richtlinien zu aktualisieren.

Die von Ihnen erstellten Intune Richtlinien zum Schutz mobiler Apps sowie die Regel für den bedingten Zugriff, um genehmigte Apps und APP-Schutz zu verlangen, gelten für Gästekonten und tragen zum Schutz Ihrer Organisationsdaten bei.

Hinweis

Wenn Sie PCs bereits für die Geräteverwaltung registriert haben, um kompatible PCs zu erfordern, müssen Sie auch Gastkonten von der Regel für bedingten Zugriff ausschließen, die die Gerätekompatibilität erzwingt.

8: Registrieren von PCs für die Geräteverwaltung und Erfordern von kompatiblen PCs

Es gibt mehrere Methoden zum Registrieren der Geräte Ihrer Mitarbeiter. Jede Methode hängt von der Art des Besitzes des Geräts (privat oder geschäftlich), vom Gerätetyp (iOS, Windows, Android) und von Verwaltungsanforderungen (Zurücksetzungen, Affinität, Sperrung) ab. Dies kann ein wenig Zeit in Anspruch nehmen, um zu sortieren. Siehe: Registrieren von Geräten in Microsoft Intune.

Die schnellste Möglichkeit, loslegen zu können, ist das Einrichten der automatischen Registrierung für Windows 10 Geräte.

Sie können auch die folgenden Lernprogramme nutzen:

Verwenden Sie nach der Registrierung von Geräten die Anleitungen in allgemeinen Identitäts- und Gerätezugriffsrichtlinien , um diese Richtlinien zu erstellen:

  • Definieren von Richtlinien für die Gerätecompliance – Zu den empfohlenen Einstellungen für Windows 10 gehören die Anforderung von Antivirusschutz. Wenn Sie über Microsoft 365 E5 verfügen, verwenden Sie Microsoft Defender for Endpoint, um die Integrität von Mitarbeitergeräten zu überwachen. Stellen Sie sicher, dass Compliancerichtlinien für andere Betriebssysteme Antivirusschutz und Endpunktschutzsoftware enthalten.
  • Kompatible PCs erforderlich – Dies ist die Regel für bedingten Zugriff in Azure AD, die die Gerätekompatibilitätsrichtlinien erzwingt.

Nur eine Organisation kann ein Gerät verwalten. Schließen Sie daher Gastkonten aus der Regel für bedingten Zugriff in Azure AD aus. Wenn Sie Gastbenutzer und externe Benutzer nicht von Richtlinien ausschließen, die gerätekonform sind, werden diese Benutzer durch diese Richtlinien blockiert. Weitere Informationen finden Sie unter Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen des Gast- und externen Zugriffs.

9: Optimieren Ihres Netzwerks für Cloudkonnektivität

Wenn Sie den Großteil Ihrer Mitarbeiter schnell von zu Hause aus arbeiten lassen, kann dieser plötzliche Wechsel von Konnektivitätsmustern erhebliche Auswirkungen auf die Netzwerkinfrastruktur des Unternehmens haben. Viele Netzwerke wurden skaliert und entworfen, bevor Clouddienste eingeführt wurden. In vielen Fällen sind Netzwerke gegenüber Remotemitarbeitern tolerant, wurden aber nicht so konzipiert, dass sie von allen Benutzern gleichzeitig remote verwendet werden.

Netzwerkelemente wie VPN-Konzentratoren, zentrale Netzwerkausgangsgeräte (z. B. Proxys und Geräte zur Verhinderung von Datenverlust), zentrale Internetbandbreite, Backhaul-MPLS-Schaltkreise, NAT-Funktionen usw. werden aufgrund der Last des gesamten Unternehmens, das sie nutzt, plötzlich enorm belastet. Das Endergebnis ist eine schlechte Leistung und Produktivität in Verbindung mit einer schlechten Benutzererfahrung für Benutzer, die sich an die Arbeit von zu Hause aus anpassen.

Einige der Schutzmaßnahmen, die traditionell durch das Weiterleiten von Datenverkehr über ein Unternehmensnetzwerk bereitgestellt wurden, werden von den Cloud-Apps bereitgestellt, auf die Ihre Benutzer zugreifen. Wenn Sie diesen Schritt in diesem Artikel erreicht haben, haben Sie eine Reihe komplexer Cloudsicherheitssteuerelemente für Microsoft 365-Dienste und -Daten implementiert. Mit diesen Steuerelementen können Sie den Datenverkehr von Remotebenutzern direkt an Office 365 weiterleiten. Wenn Sie dennoch eine VPN-Verbindung für den Zugriff auf andere Anwendungen benötigen, können Sie Ihre Leistung und Benutzerfreundlichkeit erheblich verbessern, indem Sie split tunneling implementieren. Sobald Sie in Ihrer Organisation eine Einigung erzielt haben, kann dies innerhalb eines Tages von einem gut koordinierten Netzwerkteam erreicht werden.

Weitere Informationen finden Sie in den folgenden Ressourcen auf Docs:

Aktuelle Blogartikel zu diesem Thema:

10: Schulen von Benutzern

Schulungen für Benutzer können Ihren Benutzern und dem Sicherheitsteam viel Zeit und Frustration sparen. Versierte Benutzer sind weniger wahrscheinlich, Anlagen zu öffnen oder auf Links in fragwürdigen E-Mail-Nachrichten zu klicken, und sie vermeiden eher verdächtige Websites.

Das Harvard Kennedy School Cybersecurity Campaign Handbook bietet hervorragende Anleitungen zum Aufbau einer starken Kultur des Sicherheitsbewusstseins in Ihrer Organisation, einschließlich der Schulung von Benutzern zur Identifizierung von Phishing-Angriffen.

Microsoft 365 stellt die folgenden Ressourcen bereit, um Benutzer in Ihrer Organisation zu informieren:


Konzept Ressourcen
Microsoft 365 Anpassbare Lernpfade

Diese Ressourcen können Ihnen helfen, Schulungen für Endbenutzer in Ihrer Organisation zusammenzustellen.

Microsoft 365 Security Lernmodul: Sichern Ihrer Organisation mit integrierter, intelligenter Sicherheit von Microsoft 365

Mit diesem Modul können Sie beschreiben, wie Microsoft 365-Sicherheitsfeatures zusammenarbeiten, und die Vorteile dieser Sicherheitsfeatures formulieren.

Mehrstufige Authentifizierung Überprüfung in zwei Schritten: Was ist die zusätzliche Überprüfungsseite?

Dieser Artikel hilft Endbenutzern zu verstehen, was mehrstufige Authentifizierung ist und warum sie in Ihrer Organisation verwendet wird.

Zusätzlich zu diesem Leitfaden empfiehlt Microsoft Ihren Benutzern, die in diesem Artikel beschriebenen Aktionen zu ergreifen: Schützen Sie Ihr Konto und Ihre Geräte vor Hackern und Schadsoftware. Diese setzen sich wie folgt zusammen:

  • Verwenden sicherer Kennwörter
  • Schützen von Geräten
  • Aktivieren von Sicherheitsfeatures auf Windows 10- und Mac-PCs (für nicht verwaltete Geräte)

Microsoft empfiehlt benutzern außerdem, ihre persönlichen E-Mail-Konten zu schützen, indem sie die in den folgenden Artikeln empfohlenen Aktionen ergreifen:

11: Erste Schritte mit Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps bietet umfassende Sichtbarkeit, Kontrolle über Datenreisen und anspruchsvolle Analysen, um Cyberbedrohungen in allen Clouddiensten zu identifizieren und zu bekämpfen. Sobald Sie mit Defender für Cloud-Apps beginnen, werden Anomalieerkennungsrichtlinien automatisch aktiviert, aber Defender für Cloud-Apps hat einen anfänglichen Lernzeitraum von sieben Tagen, in dem nicht alle Warnungen zur Anomalieerkennung ausgelöst werden.

Beginnen Sie jetzt mit Defender für Cloud-Apps. Später können Sie komplexere Überwachungen und Steuerelemente einrichten.

12: Überwachen auf Bedrohungen und Ergreifen von Maßnahmen

Microsoft 365 umfasst mehrere Möglichkeiten, den Status zu überwachen und entsprechende Maßnahmen zu ergreifen. Der beste Ausgangspunkt ist das Microsoft 365 Defender Portal, in dem Sie die Microsoft-Sicherheitsbewertung Ihrer Organisation sowie alle Warnungen oder Entitäten anzeigen können, die Ihre Aufmerksamkeit erfordern.

Nächste Schritte

Herzlichen Glückwunsch! Sie haben schnell einige der wichtigsten Sicherheitsschutzmechanismen implementiert, und Ihre Organisation ist viel sicherer. Jetzt sind Sie bereit, mit bedrohungsschutzfunktionen (einschließlich Microsoft Defender for Endpoint), Datenklassifizierungs- und Schutzfunktionen und dem Sichern von Verwaltungskonten noch weiter zu gehen. Eine tiefergehende, methodische Reihe von Sicherheitsempfehlungen für Microsoft 365 finden Sie unter Microsoft 365 Security for Business Decision Makers (BDMs) .For a deeper, methodical set of security recommendations for Microsoft 365, see Microsoft 365 Security for Business Decision Makers (BDMs).

Besuchen Sie auch die neue Microsoft Defender for Cloud in Security-Dokumentation.