Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Nachdem Sie die allgemeinen Sicherheitsrichtlinien für Zero Trust in Ihrer Microsoft 365-Organisation konfiguriert haben, müssen Sie zusätzliche Richtlinien und Einstellungen für bestimmte Apps und Workloads basierend auf den drei Leitprinzipien von Zero Trust konfigurieren:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Die zusätzlichen Richtlinien und Einstellungen für bestimmte Apps und Workloads werden in diesem Artikel beschrieben.
Tipp
Testen Sie ihre Richtlinien nach Möglichkeit in einer Nichtproduktionsumgebung, bevor Sie sie für Ihre Produktionsbenutzer bereitstellen. Tests sind wichtig, um mögliche Auswirkungen für Ihre Benutzer zu identifizieren und zu kommunizieren.
Microsoft Copilot-Empfehlungen für Zero Trust
Weitere Informationen finden Sie unter Verwendung von Zero-Trust-Sicherheit, um sich auf KI-Begleiter, einschließlich Microsoft Copilots, vorzubereiten.
Exchange Online-Empfehlungen für Zero Trust
In diesem Abschnitt werden die empfohlenen Einstellungen für Zero Trust in Exchange Online beschrieben.
Überprüfen, ob die automatische E-Mail-Weiterleitung an externe Empfänger deaktiviert ist
Standardmäßig blockieren ausgehende Spamrichtlinien in Exchange Online Protection (EOP) die automatische E-Mail-Weiterleitung an externe Empfänger, die von Posteingangsregeln oder von Postfachweiterleitung (auch als SMTP-Weiterleitung bezeichnet) ausgeführt werden. Weitere Informationen finden Sie unter Steuerung der automatischen externen E-Mail-Weiterleitung in Microsoft 365.
Überprüfen Sie in allen ausgehenden Spamrichtlinien, ob der Wert der Einstellung für automatische Weiterleitungsregeln"Automatisch " – vom System gesteuert (Standardwert) oder "Aus" – "Weiterleitung" deaktiviert ist. Beide Werte blockieren die automatische E-Mail-Weiterleitung an externe Empfänger durch betroffene Benutzer. Eine Standardrichtlinie gilt für alle Benutzer, und Administratoren können benutzerdefinierte Richtlinien erstellen, die für bestimmte Benutzergruppen gelten. Weitere Informationen finden Sie unter Konfigurieren von ausgehenden Spamrichtlinien in EOP-.
Blockieren von Exchange ActiveSync-Clients
Exchange ActiveSync ist ein Clientprotokoll, das E-Mail- und Kalenderdaten auf Desktop- und mobilen Geräten synchronisiert. Blockieren des Zugriffs auf Unternehmens-E-Mails durch unsichere ActiveSync-Clients, wie in den folgenden Verfahren beschrieben:
Mobile Geräte: Um den E-Mail-Zugriff von den folgenden Arten mobiler Geräte zu blockieren, erstellen Sie die unter "Genehmigte Apps oder App-Schutzrichtlinien" beschriebene Richtlinie für bedingten Zugriff:
- ActiveSync-Clients, die die Standardauthentifizierung verwenden.
- ActiveSync-Clients, die moderne Authentifizierung unterstützen, jedoch keine Intune-App-Schutzrichtlinien.
- Geräte, die Intune-App-Schutzrichtlinien unterstützen, jedoch nicht in einer App-Schutzrichtlinie definiert sind. Weitere Informationen finden Sie unter "Anfordern einer App-Schutzrichtlinie".
Tipp
Wir empfehlen Microsoft Outlook für iOS und Android als App für den Zugriff auf Unternehmens-E-Mails von iOS-/iPadOS- und Android-Geräten.
PCs und andere Geräte: Um alle ActiveSync-Clients zu blockieren, die die Standardauthentifizierung verwenden, erstellen Sie die unter "Exchange ActiveSync blockieren" beschriebene Richtlinie für bedingten Zugriff auf allen Geräten.
Einschränken des Zugriffs auf E-Mail-Anlagen in Outlook im Web und dem neuen Outlook für Windows
Sie können einschränken, wie Benutzer auf nicht verwalteten Geräten mit E-Mail-Anlagen in Outlook im Web (früher outlook Web App oder OWA) und in der neuen Outlook für Windows interagieren können:
- Verhindern, dass Benutzer E-Mail-Anhänge herunterladen können. Sie können diese Dateien mithilfe von Office Online anzeigen und bearbeiten, ohne das Risiko einzugehen, dass die Dateien auf dem Gerät gespeichert oder preisgegeben werden.
- Verhindern, dass Benutzer Anhänge anzeigen können.
Sie erzwingen diese Einschränkungen mithilfe von Richtlinien für Web-Postfächer in Outlook. Microsoft 365-Organisationen mit Exchange Online-Postfächern haben die eingebaute Standardmailboxrichtlinie für Outlook im Web mit dem Namen OwaMailboxPolicy-Default. Diese Richtlinie wird standardmäßig auf alle Benutzer angewendet. Administratoren können auch benutzerdefinierte Richtlinien erstellen, die für bestimmte Benutzergruppen gelten.
So können Sie den Zugriff auf E-Mail-Anhänge auf nicht verwalteten Geräten einschränken:
Stellen Sie eine Verbindung mit Exchange Online PowerShell her.
Um die verfügbaren Postfachrichtlinien für Outlook im Web anzuzeigen, führen Sie den folgenden Befehl aus:
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicyVerwenden Sie die folgende Syntax, um den Zugriff auf E-Mail-Anhänge in der Webversion von Outlook und im neuen Outlook für Windows auf nicht verwalteten Geräten zu beschränken.
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>In diesem Beispiel können Anhänge in der Standardrichtlinie angezeigt, aber nicht heruntergeladen werden.
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyIn diesem Beispiel wird die Anzeige von Anhängen in der Standardrichtlinie blockiert.
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAuf der Seite Bedingter Zugriff | Übersicht im Microsoft Entra Admin-Center unter https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, erstellen Sie eine neue Richtlinie für bedingten Zugriff mit den folgenden Einstellungen.
- Abschnitt "Zuordnungen ":
- Benutzer: Wählen Sie geeignete Benutzer und Gruppen aus, die auf den Registerkarten Einschließen und Ausschließen ein- und ausgeschlossen werden sollen.
- Zielressourcen: Wählen Sie aus, worauf diese Richtlinie angewendet werden soll>Ressourcen (früher Cloud-Apps)>Einschließen Registerkarte >Ressourcen auswählen>Auswählen> Suchen Sie die Option Office 365 Exchange Online, und wählen Sie sie aus.
- Abschnitt Zugangskontrollen: Sitzung>, wählen Sie Von der App erzwungene Einschränkungen verwenden aus.
- Abschnitt Richtlinie aktivieren: Wählen Sie die Option Ein aus.
- Abschnitt "Zuordnungen ":
Einrichten der Nachrichtenverschlüsselung
Mit der Microsoft Purview-Nachrichtenverschlüsselung, die Schutzfunktionen in Azure Information Protection verwendet, kann Ihre Organisation geschützte E-Mails problemlos für alle Benutzer auf jedem Gerät freigeben. Benutzer können geschützte Nachrichten mit anderen Organisationen senden und empfangen, die Microsoft 365, Outlook.com, Gmail und andere E-Mail-Dienste verwenden.
Weitere Informationen finden Sie unter Einrichten der Nachrichtenverschlüsselung.
SharePoint-Empfehlungen für Zero Trust
In diesem Abschnitt werden die empfohlenen Einstellungen für Zero Trust in SharePoint beschrieben.
Konfigurieren der SharePoint-Zugriffssteuerung zum Einschränken des Zugriffs durch nicht verwaltete Geräte
Tipp
Für die Einstellungen in diesem Abschnitt ist die Microsoft Entra ID P1 oder P2 erforderlich. Weitere Informationen finden Sie unter Microsoft Entra-Pläne und -Preise.
Wenn Sie die Zugriffssteuerung für nicht verwaltete Geräte in SharePoint konfigurieren, wird automatisch eine entsprechende Richtlinie für bedingten Zugriff zum Erzwingen der Zugriffsstufe in der Microsoft Entra-ID erstellt. Diese organisationsweite Einstellung gilt für alle Benutzer, wirkt sich jedoch nur auf den Zugriff auf Websites aus, die speziell in der SharePoint-Zugriffssteuerung enthalten sind.
Insbesondere müssen Sie Websites in die SharePoint-Zugriffssteuerung einschließen, die Unternehmens - oder spezielle Sicherheit für Zero Trust verwenden, wie in den folgenden Schritten beschrieben:
Konfigurieren des eingeschränkten, reinen Webzugriffs oder Blockieren des Zugriffs für nicht verwaltete Geräte in der SharePoint-Zugriffssteuerung. Diese Einstellung gilt für alle Benutzer, wirkt sich jedoch nicht auf ihren Zugriff auf Websites aus, auf denen sie bereits über Websiteberechtigungen verfügen, es sei denn, die Website ist in der SharePoint-Zugriffssteuerung enthalten (der nächste Schritt).
Tipp
Der Zugriff auf Websiteebene kann nicht mehr zulässig sein als die Zugriffssteuerungseinstellung der Organisation. Wählen Sie z. B. "Eingeschränkten, nur webbasierten Zugriff für nicht verwaltete Geräte in der organisationsweiten Zugriffssteuerung zulassen" aus, damit Sie
AllowLimitedAccessoderBlockAccessauf bestimmten Websites verwenden können. Wenn Sie " Zugriff blockieren" für nicht verwaltete Geräte in der organisationsweiten Zugriffssteuerung auswählen, können Sie nicht auf bestimmten Websites verwendenAllowLimitedAccess(nurBlockAccessverfügbar).Stellen Sie eine Verbindung mit SharePoint Online PowerShell her, und verwenden Sie den Parameter ConditionalAccessPolicy im Set-SPOSite-Cmdlet , um die Website in die SharePoint-Zugriffssteuerung für nicht verwaltete Geräte einzuschließen:
- Unternehmenswebsites: Verwenden Sie den Wert
AllowLimitedAccess, um zu verhindern, dass Benutzer auf nicht verwalteten Geräten Dateien herunterladen, drucken oder synchronisieren. - Spezielle Sicherheitswebsites: Verwenden Sie den Wert
BlockAccess, um den Zugriff von nicht verwalteten Geräten zu blockieren.
Anweisungen finden Sie unter Blockieren oder Einschränken des Zugriffs auf eine bestimmte SharePoint-Website oder OneDrive
- Unternehmenswebsites: Verwenden Sie den Wert
Standardmäßig verwalten Websitebesitzer SharePoint-Websiteberechtigungen basierend auf dem Geschäftsbedarf, um auf die Website zuzugreifen. Das Konfigurieren der SharePoint-Zugriffssteuerung für nicht verwaltete Geräte auf Organisationsebene und Websiteebene stellt einen konsistenten Schutz für diese Websites basierend auf der Zero Trust-Schutzstufe sicher.
Betrachten Sie die folgenden Beispielwebsites in der Contoso-Organisation. Die SharePoint-Zugriffssteuerung für nicht verwaltete Geräte ist auf der Zugriffsebene "Eingeschränkten, nur-Web-Zugriff zulassen" für die Organisation konfiguriert.
- Die Analytics-Teamwebsite, die mit Unternehmensschutz konfiguriert ist: Die Website ist für nicht verwaltete Geräte in der SharePoint-Zugriffssteuerung konfiguriert
AllowLimitedAccess. Benutzer mit Websiteberechtigungen erhalten nur browsergeschützten Zugriff auf die Website auf nicht verwalteten Geräten. Sie können auf die Website zugreifen, indem sie andere Apps auf verwalteten Geräten verwenden. - Die Website "Geschäftsgeheimnisse" wird mit speziellem Sicherheitsschutz konfiguriert: Die Website ist für nicht verwaltete Geräte in der SharePoint-Zugriffssteuerung konfiguriert
Block. Benutzer mit Berechtigungen für die Website werden daran gehindert, von nicht verwalteten Geräten auf die Website zuzugreifen. Sie können nur auf verwalteten Geräten auf die Website zugreifen.
Microsoft Teams-Empfehlungen für Zero Trust
In diesem Abschnitt werden die empfohlenen Einstellungen für Zero Trust in Microsoft Teams beschrieben.
Architektur der Dienstleistungen, die von Teams abhängen
Das Diagramm bei Microsoft Teams und verwandten Produktivitätsdiensten in Microsoft 365 für IT-Architekten veranschaulicht die von Microsoft Teams verwendeten Dienste.
Gast- und externer Zugriff für Teams
Microsoft Teams definiert die folgenden Zugriffstypen für Benutzer außerhalb der Organisation:
Gastzugriff: Verwendet ein Microsoft Entra B2B-Konto für jeden Benutzer, der als Mitglied eines Teams hinzugefügt werden kann. Der Gastzugriff ermöglicht den Zugriff auf Teams-Ressourcen und die Interaktion mit internen Benutzern in Gruppenunterhaltungen, Chats und Besprechungen.
Weitere Informationen zum Gastzugriff und zur Implementierung finden Sie unter Gastzugriff in Microsoft Teams.
Externer Zugriff: Benutzer außerhalb der Organisation, die nicht über Microsoft Entra B2B-Konten verfügen. Der externe Zugriff kann Einladungen und Teilnahme an Anrufen, Chats und Besprechungen umfassen, umfasst jedoch keine Teammitgliedschaft oder keinen Zugriff auf die Ressourcen des Teams. Externer Zugriff ist eine Möglichkeit für Teams-Benutzer in einer externen Domäne, um Besprechungen in Teams mit Benutzern in Ihrer Organisation zu suchen, anzurufen, zu chatten und einzurichten.
Teams-Administratoren können benutzerdefinierte Richtlinien verwenden, um den externen Zugriff für die Organisation, Gruppen von Benutzern oder einzelne Benutzer zu konfigurieren. Weitere Informationen finden Sie unter IT-Administratoren – Verwalten externer Besprechungen und Chats mit Personen und Organisationen, die Microsoft-Identitäten verwenden.
Externe Zugriffsbenutzer haben weniger Zugriff und Funktionalität als Gastzugriffsbenutzer. Benutzer mit externem Zugriff können beispielsweise mit internen Benutzern chatten, die Teams verwenden, aber nicht auf Teamkanäle, Dateien oder andere Ressourcen zugreifen.
Richtlinien für bedingten Zugriff gelten nur für Gastzugriffsbenutzer in Teams, da es entsprechende Microsoft Entra B2B-Konten gibt. Der externe Zugriff verwendet keine Microsoft Entra B2B-Konten und kann daher keine Richtlinien für bedingten Zugriff verwenden.
Empfohlene Richtlinien zum Zulassen des Zugriffs mit einem Microsoft Entra B2B-Konto finden Sie unter Richtlinien zum Zulassen des Gast- und externen B2B-Kontozugriffs.
SaaS-App-Empfehlungen für Zero Trust
Microsoft Defender für Cloud Apps baut auf Microsoft Entra-Richtlinien für bedingten Zugriff auf, um die Echtzeitüberwachung und Kontrolle präziser Aktionen mit SaaS-Apps (Software as a Service) zu ermöglichen, z. B. Das Blockieren von Downloads, Uploads, Kopieren/Einfügen und Drucken. Diese Funktion fügt Sitzungen Sicherheit hinzu, die ein inhärentes Risiko aufweisen, z. B. wenn Unternehmensressourcen von nicht verwalteten Geräten oder von Gästen aufgerufen werden.
Weitere Informationen finden Sie unter Integrieren von SaaS-Apps für Zero Trust in Microsoft 365.