Zero-Trust-Leitfaden für kleine Unternehmen
In diesem Artikel werden Anleitungen zur Zero Trust-Bereitstellung und Ressourcen für Kunden und Partner beschrieben, die mit Microsoft 365 Business Premium und anderen Technologien arbeiten, die häufig von Kunden aus kleinen und mittleren Unternehmen verwendet werden. Diese Ressourcen helfen Ihnen, die Prinzipien von Zero Trust zu implementieren:
| Explizit verifizieren | Verwenden des Zugriffs mit den geringsten Rechten | Von einer Sicherheitsverletzung ausgehen |
|---|---|---|
| Verwenden Sie zum Authentifizieren und Autorisieren immer Identitäts- und Gerätezugriffsrichtlinien. | Gewähren Sie den Benutzer*innen nur den Zugang, den sie benötigen, und nur für die Zeit, die sie zur Erfüllung ihrer Aufgaben benötigen. | Tun Sie Ihr Möglichstes, um Angriffe zu verhindern, schützen Sie sich vor Bedrohungen und seien Sie bereit, zu reagieren. |
Dieser Artikel enthält auch Informationen und Ressourcen für Microsoft-Partner.
Konfigurationsleitfaden für Microsoft 365 Business Premium
Microsoft 365 Business Premium ist eine umfassende Cloudproduktivitäts- und Sicherheitslösung, die speziell für kleine und mittlere Unternehmen entwickelt wurde. Dieser Leitfaden wendet die Prinzipien von Zero Trust in einem End-to-End-Konfigurationsprozess mithilfe der in Microsoft 365 Business Premium bereitgestellten Funktionen an.
| Playbook für Cybersicherheit | Beschreibung |
|---|---|
|
In dieser Bibliothek:
|
Weitere Informationen finden Sie in den folgenden Ressourcen:
- Microsoft 365 Business Premium – Produktivität und Cybersicherheit für kleine Unternehmen
- Microsoft 365 Business Premium-Ressourcen für Partner und kleine Unternehmen
| Zero-Trust-Prinzip | Anforderungen: |
|---|---|
| Explizit verifizieren | Die Multi-Faktor-Authentifizierung (MFA) wird mithilfe von Sicherheitsstandards (oder mit bedingtem Zugriff) aktiviert. Für diese Konfiguration müssen sich Benutzer für MFA registrieren. Außerdem wird der Zugriff über ältere Authentifizierungsmethoden (Geräte, die keine moderne Authentifizierung unterstützen) deaktiviert und es wird erfordert, dass Administratoren sich jedes Mal authentifizieren, wenn sie sich anmelden. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Es werden Anweisungen zum Schutz von Administratorkonten bereitgestellt, die darauf hinweisen, dass diese Konten nicht für Benutzeraufgaben verwendet werden sollen. |
| Von einer Sicherheitsverletzung ausgehen | Der Schutz vor Schadsoftware und anderen Cybersicherheitsbedrohungen wird durch die Verwendung voreingestellter Sicherheitsrichtlinien erhöht. Es wird eine Anleitung bereitgestellt, um Ihr Team darin zu schulen, nicht verwaltete Geräte („Bring your own Device“ oder BYOD) einzurichten, E-Mails sicher zu verwenden und sicherer zusammenzuarbeiten sowie Dateien freizugeben. Es wird eine zusätzliche Anleitung für das Sichern verwalteter Geräte (Geräte, die Ihre Organisation besitzt) bereitgestellt. |
Zusätzlicher Bedrohungsschutz
Microsoft 365 Business Premium umfasst Microsoft Defender for Business, welches umfassende Gerätesicherheit mit einer vereinfachten Konfigurationserfahrung bietet. Die für kleine und mittelständische Unternehmen optimierten Funktionen umfassen Bedrohungs- und Sicherheitsrisikomanagement, Schutz der nächsten Generation (Virenschutz und Firewall), automatisierte Untersuchungen und Wartung sowie vieles mehr.
Microsoft 365 Business Premium umfasst auch erweiterten Antiphishing-, Antispam- und Schadsoftwareschutz für E-Mail-Inhalte und Office-Dateien (sichere Links und sichere Anlagen) mit Plan 1 des Microsoft Defender für Office 365. Mit diesen Funktionen sind Ihre E-Mail- und Zusammenarbeitsinhalte sicherer und besser geschützt.
Weitere Informationen finden Sie in den folgenden Ressourcen:
| Zero-Trust-Prinzip | Anforderungen: |
|---|---|
| Explizit verifizieren | Geräte, die auf Unternehmensdaten zugreifen, müssen Sicherheitsanforderungen erfüllen. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Es wird eine Anleitung zur Verwendung von Rollen zum Zuweisen von Berechtigungen und Sicherheitsrichtlinien bereitgestellt, um unbefugten Zugriff zu verhindern. |
| Von einer Sicherheitsverletzung ausgehen | Es wird erweiterter Schutz für Geräte, E-Mails und Zusammenarbeitsinhalte bereitgestellt. Korrekturmaßnahmen werden ausgeführt, wenn Bedrohungen erkannt werden. |
Leitfaden und Tools für Partner
Wenn Sie ein Microsoft-Partner sind, stehen ihnen mehrere Ressourcen zur Verfügung, die Ihnen bei der Verwaltung der Sicherheit für Ihre Geschäftskunden helfen. Zu diesen Ressourcen gehören Lernpfade, Leitfäden und Integrationen.
Die Bezeichnung „Lösungspartner für Sicherheit“ ermöglicht es Kunden, Sie als Partner zu identifizieren, dem sie für integrierte Sicherheits-, Compliance- und Identitätslösungen vertrauen können. Siehe „Lösungspartner für Sicherheit“-Lernpfad (Microsoft Partner Center).
Es ist eine Anleitung verfügbar, die Kunden bei der Überprüfung von Berechtigungen und dem Administratorzugriff hilft, die Partnern gewährt werden. Außerdem stehen Anleitungen zur Verfügung, die Microsoft Managed Security Service Provider (MSSP) bei der Integration in die Mandanten ihrer Geschäftskunden unterstützen. Weitere Informationen finden Sie in folgenden Artikeln:
- Überprüfen von Administratorrechten für Partner
- Konfigurieren der Managed Security Service Provider-Integration
Es stehen Ihnen als Microsoft-Partner Ressourcen zur Verfügung, um die Sicherheitseinstellungen Ihrer Kunden zu verwalten und ihre Geräte und Daten zu schützen. Microsoft 365 Lighthouse kann mit Microsoft 365 Business Premium, Microsoft Defender for Business und Microsoft Defender für Endpunkt integriert werden.
Die Defender for Endpoint-APIs können verwendet werden, um Gerätesicherheitsfunktionen in Microsoft 365 Business Premium mit RMM-Tools (Remote Monitoring and Management) und Professional Service Automation(PSA)-Software zu integrieren. Weitere Informationen finden Sie in folgenden Artikeln:
- Integrieren der Microsoft-Endpunktsicherheit in Ihre RMM-Tools und PSA-Software
- Verwenden von Microsoft 365 Lighthouse zum Sichern und Verwalten der Geräte und Daten Ihrer Kunden
- Hilfe für Partner (allgemeine Informationen und Support)
| Zero-Trust-Prinzip | Anforderungen: |
|---|---|
| Explizit verifizieren | Es sind Partnerressourcen verfügbar, um Microsoft-Partner bei der Konfiguration und Verwaltung der Identitäts- und Zugriffsmethoden und -richtlinien ihrer Kunden zu unterstützen. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Partner können die Integration mit Kundenmandanten konfigurieren. Kunden können Berechtigungen und den Administratorzugriff überprüfen, die Partnern gewährt werden. |
| Von einer Sicherheitsverletzung ausgehen | Microsoft 365 Lighthouse kann in die Microsoft Threat Protection-Funktionen für kleine und mittlere Unternehmen integriert werden. |
Schützen anderer SaaS-Apps, die Sie oder Ihre Kunden verwenden
Sie oder Ihre Kunden aus kleinen Unternehmen verwenden wahrscheinlich andere Software-as-a-Service (SaaS)-Anwendungen wie Salesforce, Adobe Creative Cloud und DocuSign. Sie können diese Anwendungen in Microsoft Entra ID integrieren und in Ihre MFA- und Richtlinien für bedingten Zugriff einschließen.
Der Microsoft Entra-Anwendungskatalog ist eine Sammlung von SaaS-Anwendungen (Software-as-a-Service), die bereits in Entra ID integriert sind. Alles, was Sie tun müssen, ist die Anwendung im Katalog zu suchen und der Umgebung hinzuzufügen. Anschließend steht ihnen die Anwendung zur Verfügung, die Sie in den Bereich Ihrer MFA und Regeln für bedingten Zugriff einbeziehen können. Weitere Informationen finden Sie unter Übersicht über den Microsoft Entra-Anwendungskatalog.
Nachdem Sie Ihrer Umgebung SaaS-Apps hinzugefügt haben, werden diese Apps automatisch durch Microsoft Entra-MFA und die anderen Schutzmaßnahmen geschützt, die von Sicherheitsstandards bereitgestellt werden. Wenn Sie Richtlinien für den bedingten Zugriff anstelle von Sicherheitsstandards verwenden, müssen Sie diese Apps dem Umfang Ihres bedingten Zugriffs und zugehöriger Richtlinien hinzufügen. Weitere Informationen finden Sie unter Aktivieren der MFA in Microsoft 365 Business Premium.
Microsoft Entra ID entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann Benutzer*innen zur MFA aufgefordert werden. Diese Funktion schützt alle Anwendungen, die bei Microsoft Entra ID registriert sind (einschließlich SaaS-Anwendungen). Weitere Informationen finden Sie unter Benutzer*innen bei Bedarf zur MFA auffordern.
| Zero-Trust-Prinzip | Anforderungen: |
|---|---|
| Explizit verifizieren | Für den Zugriff auf alle SaaS-Apps, die Sie hinzufügen, ist MFA erforderlich. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Benutzer müssen die Authentifizierungsanforderungen erfüllen, um Apps zu verwenden, die auf Unternehmensdaten zugreifen. |
| Von einer Sicherheitsverletzung ausgehen | Faktoren wie Standort, Gerät, Rolle und Aufgabe werden berücksichtigt, wenn Benutzer authentifiziert werden. MFA wird bei Bedarf verwendet. |
Zusätzliche Zero Trust-Dokumentation
Lesen Sie weitere Zero Trust-Inhalte basierend auf der Dokumentation oder den Rollen in Ihrer Organisation.
Dokumentationssatz
In der folgenden Tabelle finden Sie die besten Zero Trust-Dokumentationssätze für Ihre Anforderungen.
| Dokumentationssatz | Hilfsfunktion | Rollen |
|---|---|---|
| Adoption Framework für detaillierte Anleitungen für wichtige Geschäftslösungen und -ergebnisse | Anwenden von Zero Trust-Schutzmechanismen aus der C-Suite auf die IT-Implementierung | Sicherheitsarchitekt*innen, IT-Teams und Projektmanager*innen |
| Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Anwenden von Zero Trust-Schutzmechanismen für Technologiebereiche | IT-Teams und Sicherheitsmitarbeiter*innen |
| Schneller Zero Trust-Modernisierungsplan (Rapid Modernization Plan, RaMP) für Anleitungen und Prüflisten in der Projektverwaltung für schnelle Erfolge | Schnelle Implementierung von wichtigen Zero Trust-Schutzschichten | Sicherheitsarchitekt*innen und IT-Implementierer*innen |
| Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Ihren Microsoft 365-Mandanten | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für Microsoft-Copilots für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero-Trust-Schutz auf Microsoft-Copilots | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust-Modell für Azure-Dienste für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Azure-Workloads und -Dienste | IT-Teams und Sicherheitsmitarbeiter*innen |
| Integration von Zero Trust-Schutzmechanismen in Partnerlösungen für Entwurfsanleitungen für Technologiebereiche und Spezialisierungen | Anwenden von Zero Trust-Schutzmechanismen auf Microsoft-Cloudlösungen von Partnerunternehmen | Entwickler*innen in Partnerunternehmen, IT-Teams und Sicherheitsmitarbeiter*innen |
| Verwenden von Zero Trust-Prinzipien für den Anwendungsentwicklungsleitfaden und Best Practices | Anwenden von Zero Trust-Schutzmechanismen auf Ihre Anwendung | Anwendungsentwickler |
Ihre Rolle
In der folgenden Tabelle finden Sie die besten Dokumentationssätze für Ihre Rolle in Ihrer Organisation.
| Rolle | Dokumentationssatz | Hilfsfunktion |
|---|---|---|
| Sicherheitsarchitekt*in IT-Projektmanager*in Verantwortlicher für die IT-Implementierung |
Adoption Framework für detaillierte Anleitungen für wichtige Geschäftslösungen und -ergebnisse | Anwenden von Zero Trust-Schutzmechanismen aus der C-Suite auf die IT-Implementierung |
| Mitglied eines IT-Teams oder Sicherheitsteams | Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Anwenden von Zero Trust-Schutzmechanismen für Technologiebereiche |
| Sicherheitsarchitekt*in Verantwortlicher für die IT-Implementierung |
Schneller Zero Trust-Modernisierungsplan (Rapid Modernization Plan, RaMP) für Anleitungen und Prüflisten in der Projektverwaltung für schnelle Erfolge | Schnelle Implementierung von wichtigen Zero Trust-Schutzschichten |
| Mitglied eines IT-Teams oder Sicherheitsteams für Microsoft 365 | Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen detaillierten Entwurfs- und Bereitstellungsleitfaden für Microsoft 365 | Anwenden von Zero Trust-Schutzmechanismen auf Ihren Microsoft 365-Mandanten |
| Mitglied eines IT-Teams oder Sicherheitsteams für Microsoft Copilot | Zero Trust für Microsoft-Copilots für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero-Trust-Schutz auf Microsoft-Copilots |
| Mitglied eines IT-Teams oder Sicherheitsteams für Azure-Dienste | Zero Trust-Modell für Azure-Dienste für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Azure-Workloads und -Dienste |
| Entwickler*in in Partnerunternehmen oder Mitglied eines IT-Teams oder Sicherheitsteams | Integration von Zero Trust-Schutzmechanismen in Partnerlösungen für Entwurfsanleitungen für Technologiebereiche und Spezialisierungen | Anwenden von Zero Trust-Schutzmechanismen auf Microsoft-Cloudlösungen von Partnerunternehmen |
| Anwendungsentwickler | Verwenden von Zero Trust-Prinzipien für den Anwendungsentwicklungsleitfaden und Best Practices | Anwenden von Zero Trust-Schutzmechanismen auf Ihre Anwendung |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für