News

StartseiteNews + BlogNews-Detail M365 Sicherheit: 5 konkrete Tipps inkl. Screenshots zur sofortigen Umsetzung

M365 Sicherheit: 5 konkrete Tipps inkl. Screenshots zur sofortigen Umsetzung

Autor: Philippe Hirzel, Spezialist für IT-Sicherheit und Projektleiter Security Services

In diesem Beitrag stelle ich fünf M365 Sicherheitsmassnahmen vor, die jedes IT-Team im eigenen Microsoft 365 Tenant zwingend umsetzen sollte. Neben der konkreten Konfiguration des Unified Audit Logs, der App-Registrierung oder von SMTP Basic Auth zeige ich auch, wie wir die Tenants unserer Kundenunternehmen überwachen. Denn Microsoft nimmt laufend Änderungen vor und wir alle stehen in der Pflicht, die Security-Einstellungen anzupassen.

Diese 5 Tipps inklusive der konkreten Klickpfade im Microsoft Admin Center, Sentinel und Microsoft Defender, sowie Kopie eines ausführbaren Powershell-Skriptes findest du in unserer neuen «Checkliste für M365 Sicherheit». Jetzt hier herunterladen.

Diese Einstellungen sind längst nicht alle. Und ja, es kann kompliziert werden in den Tiefen der M365-Administration. Darum: Wer seinen Tenant professionell managen und absichern will, werfe unbedingt einen Blick auf den Managed Microsoft Tenant-Service.

M365 Sicherheit Tipp 1: Unified Audit Log aktivieren 

Der erste Tipp ist aus meiner Sicht auch gleich der wichtigste! Das Unified Audit Log ist das wichtigste Protokoll im ganzen Tenant. Nach Sicherheitsvorfällen ist das Unified Audit Log das erste, was wir uns anschauen.
Darum prüfe unbedingt, ob das Log-in eurem Tenant aktiviert ist. In neueren Tenants ist es standardmässig aktiv, in Tenants, die vor Oktober 2021 deployed wurden, oft nicht. 

PowerShell-Skript zur Prüfung des Unified Audit Logs

In der Checkliste zur M365 Sicherheit findest du ein PowerShell-Skript, mit welchem du die Aktivierung des Unified Audit Logs sofort überprüfen kannst. Zudem sind die konkreten Klickpfade für jeden der 5 Tipps enthalten.

Aus historisch gewachsenen Gründen liegt es in Exchange Online, und Einträge können bis zu 24 Stunden brauchen, bis sie auftauchen.

Zwei Beobachtungen aus der Praxis:

  • In vielen Tenants wurde die Aktivierung nie geprüft
  • In den Microsoft-GUIs wechselt der Ort der Einstellung

→ Siehe Bild 1

M365 Sicherheit Tipp 2: App-Registrierungen steuern und Hintertüren verhindern

Standardmässig darf jeder Benutzer Apps im Microsoft 365 Tenant registrieren. Diese Apps bekommen die gleiche Berechtigungsstufe wie der User, welcher sie registriert. Ich empfehle, diese Konfiguration anzupassen, sodass Apps nur via IT-Services registriert werden können.
Denn die App-Registration wird von Cyberkriminellen gerne genutzt, um sich Hintertüren einzurichten:

  • Fremde Akteure verschaffen sich über Phishing Zugang in eine Umgebung
  • Schnellstmöglich wird eine App registriert
  • Die Cyberabwehr setzt die Logindaten des kompromittierten Useraccounts zurück und die Kriminellen verlieren die Kontrolle über diesen Account
  • Zugang zur IT-Umgebung haben sie aber immer noch, da die App als Hintertüre funktioniert

Die App-Registrierung via IT-Abteilung bietet zudem die Vorteile, dass die Apps sauber und korrekt konfiguriert werden.

→ Siehe Bild 2

M365 Sicherheit Tipp 3: SMTP Basic Auth identifizieren und rechtzeitig korrigieren

SMTP Basic Auth ist eines der grössten verbliebenen Sicherheitsrisiken in M365. Und zwar aus dem Grund, dass viele Unternehmen nicht wissen, welche Systeme bei ihnen noch darüber senden. 
Dabei wird SMTP Basic Auth am 01.03.2026 endgültig deaktiviert. Microsoft hat das Datum bereits einmal verschoben, hat jedoch deutlich gemacht, dass die Deadline im März fix bleiben wird.

Typische betroffene Systeme sind:

  • Scanner und Multifunktionsgeräte
  • Ältere Newsletter-Tools
  • Individuelle Schnittstellen und Legacy-Anwendungen
  • ERP-Lösungen, die Rechnungen via SMTP versenden

Über den SMTP Auth Client Report bekommst du eine Übersicht über eure Lage.

Auf Bild 3 siehst du, dass unser Report leer ist.

Wichtig: Ein leerer Report bedeutet nicht, dass SMTP ausgeschaltet ist, sondern dass niemand SMTP Basic Auth verwendet. Wenn Geräte oder Anwendungen auftauchen, musst du Alternativen definieren (bspw. High Volume Email oder modern authentifizierte Dienste).

Das Auslaufen alter Services und Dienste kommt in der Microsoft-Welt laufend vor. Für alle Tenants, die sich bei uns aktiv im Managed Microsoft Tenant Service befinden, überwachen wir das kontinuierlich und informieren proaktiv.

M365 Sicherheit Tipp 4: MFA aktivieren und Conditional Access Regeln sauber konfigurieren

Die Multifaktor Authentifizierung MFA verlangt, dass User bei der Anmeldung am System noch einen zusätzlichen Kontrollfaktor bestätigen. Typischerweise ist das eine Zahl, die am Handy erscheint und dann am Laptop eingegeben werden muss.

Bei uns bei den first frame networkers haben wir MFA so konfiguriert, dass alle User bei der ersten Anmeldung am Morgen die MFA-Bestätigung einmalig eingeben. Das dauert ca. 10 Sekunden.

MFA ist eine unglaublich wirksames Schutzinstrument, das 99% der unerlaubten Zugriffe verhindert. MFA ist ein «no brainer».

→ Siehe Bild 4

Diese Grundrichtlinien empfehlen wir für jeden Tenant

  • MFA für alle Benutzer aktivieren
  • Legacy Authentication blockieren
  • Gezielte Ausnahmen für technische Konten wie bspw. Scanner definieren mittels Conditional Access Policies

→ Siehe Bild 5

M365 Sicherheit Tipp 5: Zwei Emergency-Admins einrichten

Es klingt total komisch, aber ist möglich, sich mit eigenen Conditional-Access-Policies aus dem Tenant auszusperren.

Genau deshalb richten wir immer zwei Emergency-Admin-Konten ein. Aus Sicherheits- und Redundanzgründen sind es zwei, nicht einfach nur eines.

Diese Konten müssen bestimmte Kriterien erfüllen:

  • Haben ein ultra langes Passwort
  • MFA ist aktiv
  • Keine tägliche Nutzung, sondern nur für Notfälle
  • Jeder Login wird überwacht und erzeugt ein Security Incident in Microsoft Defender

Ein weiterer Punkt aus der Praxis: Die Ablage der Zugangsdaten. Wir lösen das je nach Kunde unterschiedlich: entweder bei uns hinterlegt oder beim Kunden mit FIDO-Token.

Wichtig ist nur, dass der Zugang nicht im operativen Alltag auftaucht.

→ Siehe Bild 6

Übrigens, unsere Zugriffe auf die Kundenumgebungen gehören zum wertvollsten, was wir haben. Darum haben wir besondere Sicherheitsmassnahmen hochgefahren und ein «Fort Knox» für diese Logins eingerichtet.

M365 Sicherheit Tipp 6 (Bonus): Laufende Kontrolle im Message Center und tägliche Tests von 200 wichtigen Konfigurationen

Dieser Tipp ist nicht technischer Natur, sondern der Grund, warum ein Tenant langfristig sicher bleibt. Microsoft verändert Einstellungen laufend: neue Defaults, neue Richtlinien, Abkündigungen.

Es liegt in unserer Verantwortung, über diese Änderungen und ihre Auswirkungen Bescheid zu wissen.

Um der Lage Herr zu bleiben, kombinieren wir zwei Werkzeuge:

1. Message Center als Pflichtlektüre

Hier schaltet Microsoft Nachrichten über wichtige Änderungen auf:

  • neue Policies
  • Feature-Updates
  • Abkündigungen (bspw. SMTP Basic Auth)
  • sicherheitsrelevante Änderungen

→ Siehe Bild 7

Ich empfehle, regelmässig das Message Center zu besuchen und sich mit den neusten Meldungen zu beschäftigen.

2. Tägliche Benchmark-Checks von rund 200 Einstellungen

Wir nutzen ein Tool namens Maester, um für unsere Managed Tenants jeden Tag systematisch rund 200 Einstellungen abfragen zu können. Dabei orientieren wir uns an den gängigen Best Practices gemäss CIS M365 Benachmarks.

Maester gibt mir eine grafische Übersicht:

  • welche Einstellungen bestehen
  • welche fehlkonfiguriert sind
  • welche Tests nicht ausgeführt werden konnten

Dadurch sehe ich sofort, wie es um die Gesundheit des Tenants bestellt ist und ob seitens Microsoft Änderungen an Policies vorgenommen wurden.

→ Siehe Bild 8

Sämtliche in diesem Blog vorgestellten Massnahmen übernehmen und verwalten wir im Rahmen des Managed Microsoft Tenant Services. Ein preislich sehr attraktiver Dienst, der eine breite Palette wichtiger Sicherheitsmassnahmen beinhaltet.

 

 

Screenshot aus Microsoft Defender: Such- und Filtermaske für das Erstellen eines Unified Audit Logs.

Screenshot aus Microsoft Entra Admin Center: Liste mit den im M365 Tenant registrierten Apps

Screenshot aus Microsoft Entra Admin Center: Liste mit den im M365 Tenant registrierten Apps

Eigene Infografik, welche die hohe Sicherheit von MFA gemäss Studiendaten von Microsoft ausweist. 99% der MFA-abgesicherten Accounts in der Microsoft-Studie blieben sicher.

Screenshot aus Microsoft Entra ID: Forcieren der organisationsweiten Multifaktor Authentifizierung und Erstellen von Conditional Access Policies.

Daten und Eigenschafen eines Notfall-Admins für den M365 Zugriff

Screenshot aus dem Microsoft Admin Center: Message Center mit Auflistung offizieller Benachrichtigungen von Microsoft und welche Services davon betroffen sind.

Screenshot eines Testberichtes, der über den Gesundheitszustand des getesteten Microsoft 365 Tenants informiert.

« zurück
Support

Telefon +41 41 768 08 88 
servicedesk@STOP-SPAM.firstframe.net

Bereitschaftszeiten:

Montag bis Freitag
7-12 Uhr und 13-18 Uhr (13-16 Uhr am 31.7. und 24./31.12.)

Feiertage siehe: www.firstframe.net/kontakt

Kontaktformular

Knowledge-Base

Statusseite first 365 Services

 

ISL Online
Support
ISL Online
Akzeptieren

Wir verwenden Cookies auf unserer Webseite.
Über die Browsereinstellungen können Sie Ihre Cookie-Präferenzen einstellen.
Weitere Details erfahren Sie in unserer Datenschutzerklärung.

nach oben