Dies ist Teil 5 und der letzte Teil einer längeren Serie zur Sicherung von SharePoint Online als Teil der Sicherung von Office 365. Der Zweck dieses Artikels ist es, einen umfassenderen Einblick in die Sicherheitsaspekte von SharePoint Online zu geben, insbesondere für diejenigen, die noch keine umfassende Erfahrung in der Arbeit mit SharePoint Online haben.
Die gesamte Serie umfasst die folgenden Artikel:
Entra ID ist das Herzstück von Office 365 und Microsoft Azure. Entra ID ist nicht nur für die Sicherung und Bereitstellung von Benutzeridentitäten zuständig, sondern verwaltet auch viele andere Einstellungen und Dienste - darunter mehrere sicherheitsbezogene Dienste, die wir für die Sicherung von SharePoint Online benötigen.
Da es für Entra ID sowohl kostenlose als auch kostenpflichtige Lizenzen (pro Benutzer) gibt, ist es oft erforderlich, die Premium-Lizenzen für bestimmte Funktionen zu erwerben. Diese können separat erworben werden, aber es ist finanziell sinnvoller, sie im Rahmen eines Lizenzpakets zu kaufen, wie z. B. das Enterprise Mobility + Security (EMS) E3 oder E5 Angebot. Natürlich gibt es auch andere Pakete, wie z. B. Microsoft 365 E3/E5.
Was die Entra ID Premium P1/P2-Lizenz in Bezug auf Sicherheit bietet, sind
Privilegierte Identitätsverwaltung (nur P2)
Alle Funktionen, auch die nicht sicherheitsrelevanten, können Sie hier einsehen. Sie werden feststellen, dass auch eine Basislizenz verfügbar ist. Diese wird nicht häufig angeboten, da viele Unternehmen von der kostenlosen Lizenz direkt zu P1 oder P2 wechseln.
Es ist nicht erforderlich, all diese Funktionen zu aktivieren und zu konfigurieren, um sicher zu sein. Wie Sie vielleicht wissen, dienen viele Dienste der Sicherung von Identitäten und Zugriffen und bieten daher zusätzliche Sicherheit für SharePoint Online.
Wie ich bereits in Teil 2 dieser Serie erwähnt habe, ist die Multi-Faktor-Authentifizierung entscheidend. Beginnen Sie damit, um Ihre Benutzer und Administratoren zu schützen. Mit Entra ID Premium P1 (und P2, da es alle P1-Funktionen enthält und einige weitere, die oben aufgeführt sind, hinzufügt) können Sie auch bedingten Zugriff durchführen.
Mit der Zugangskontrolle können wir dynamisch zusätzliche Regeln und Anforderungen für Benutzer bei ihren Anmeldeversuchen durchsetzen. Als Beispiel werde ich zunächst einen vertrauenswürdigen Ort für den bedingten Zugriff über das Entra ID-Blade im Azure Portal erstellen. Wenn Sie es leid sind, den richtigen Ort zu finden, gibt es eine schöne Untergruppe für Entra ID-Einstellungen unter https://aad.portal.azure.com.
Mit dem vertrauenswürdigen Standort kann ich IP-Bereiche, einschließlich einer einzelnen IP-Adresse, oder Länder und Regionen angeben. Der Zweck der Ländereinstellung wäre eine Art "alle außerhalb meines Landes blockieren"-Ansatz. Das ist zwar nicht hundertprozentig sicher, aber es bietet eine einfache Möglichkeit, die meisten verdächtigen Anmeldeversuche zu blockieren. Mit diesem vertrauenswürdigen Standort kann ich nun eine oder mehrere Richtlinien erstellen, die zusätzliche Sicherheitseinstellungen erzwingen. Dazu könnten eine erzwungene MFA, eine erzwungene Kennwortrücksetzung oder die Anforderung gehören, dass das vom Benutzer verwendete Gerät konform sein muss.
Wir können diese Richtlinie auch so abstimmen, dass sie nur für bestimmte Benutzer, Standorte und bestimmte Anwendungen gilt. Nehmen wir ein Szenario, in dem der Benutzer auf hochsensible Inhalte zugreifen muss, die in SharePoint Online in einer bestimmten Websitesammlung gespeichert sind. Wir könnten den gesamten Zugriff für Benutzer blockieren, es sei denn, sie greifen über einen vertrauenswürdigen Standort (ein bestimmtes Land oder eine IP-Adresse) oder über ein bestimmtes Gerät oder eine bestimmte App auf die vertraulichen Inhalte zu.
Beginnen Sie bei der Konfiguration der Zugriffskontrolle mit den einfachen Richtlinien, denn es besteht die Gefahr, dass Sie sich versehentlich selbst aussperren. Deshalb gibt es ein "Was-wäre-wenn"-Tool, mit dem Sie testen können, wann und wie die Richtlinien interpretiert werden.
Meiner Erfahrung nach wird der bedingte Zugriff oft nicht konfiguriert, selbst wenn die Lizenz die damit verbundene zusätzliche Sicherheit zulassen würde. Zumindest sollten Unternehmen MFA erzwingen, wenn sich Benutzer außerhalb vertrauenswürdiger (benannter) Standorte anmelden.
Oftmals fragen sich Unternehmen und insbesondere ihre IT-Administratoren, warum so viele Sicherheitsdienste, Einstellungen und Funktionen in Azure, Entra ID und Office 365 erforderlich sind. Ist SharePoint Online nicht standardmäßig sicher?
Für viele Kunden, die ich im Laufe der Jahre kennengelernt habe, ist SharePoint Online sicher. Erst seit etwa einem Jahr sehe ich eine wachsende Nachfrage nach verschlüsselten E-Mails, zusätzlichen Zugriffsrechten und tieferen Anforderungen an die Berichterstattung. Microsoft kommt dieser Nachfrage vor allem mit den E5-Funktionen (EMS, O365, M365) entgegen. Man könnte zwar argumentieren, dass es schön wäre, diese Funktionen als Teil der bestehenden E1- und E3-Lizenzen zu haben, aber ich verstehe, dass viele Funktionen spezifisch genug sind, um nur Kunden anzuziehen, die bereit sind, etwas mehr in ihre Sicherheitspraktiken zu investieren.
Beginnen Sie immer mit den integrierten Funktionen, die Ihre Lizenz enthält, und erwägen Sie, die Leiter nach oben zu steigen, wenn ein echter Bedarf oder eine Anforderung entsteht. Manchmal ist es auch möglich, eine benutzerdefinierte Lösung zu erstellen, was sich als lohnender erweisen kann, wenn nur eine einzige Funktion benötigt wird, die möglicherweise nicht separat erhältlich ist.
Bestimmte Funktionen, wie der Compliance Manager, sind jedoch in den meisten Office 365-Lizenzplänen enthalten. Mit der jüngsten Ankündigung ist der Compliance Manager auch allgemein verfügbar und erreicht nun auch Azure, Office 365 und Dynamics Services.
Darüber hinaus gibt es bestimmte Elemente zur Sicherung von SharePoint Online, die nicht von Microsoft stammen. Ich möchte einen großen Bereich hervorheben, den Unternehmen oft übersehen: Anpassungen, die Administratoren und Benutzer auf ihren SharePoint Online-Websites bereitstellen können. Während der Zugriff auf SharePoint Online effizient gesichert werden kann, ist das, was Benutzer innerhalb des Dienstes tun, eine andere Sache. Hierfür bietet die Rencore AnalysisCloud Governance und Transparenz.
Wie wir in den vergangenen Wochen in dieser Serie bereits mehrfach gesehen haben, besteht die beste Praxis für die Sicherung von SharePoint Online darin, Ihre Bedürfnisse zu verstehen. Fügen Sie dem die Fähigkeiten hinzu, die Ihre aktuellen Lizenzierungsmodelle erlauben, finden Sie heraus, was Ihnen fehlen könnte, und fangen Sie klein an. Wenn Sie alle Dienste, Einstellungen und Anforderungen auf einmal aufstocken, sind Sie vielleicht super sicher - oder auch nicht -, aber Ihre Benutzer werden sich möglicherweise sehr über die Änderungen beschweren.
Denken Sie daran, Ihren Sicherheitsstatus regelmäßig zu überprüfen und im Laufe der Zeit die entsprechenden Planungen und Änderungen vorzunehmen.
Es war mir eine Freude und ein Vergnügen, in dieser Serie die Möglichkeiten zur Sicherung von SharePoint Online aufzuzeigen. Viel Erfolg auf Ihrer Reise zur Sicherung von SharePoint Online. Folgen Sie Rencore und mir auf Twitter für regelmäßige Neuigkeiten, Updates und Gedanken zu diesen Themen!
Schauen Sie sich doch das eBook Sicherheit in und mit Office 365 mit Secure Code von Jethro Seghers an. Dieses eBook ist ausschließlich der Erläuterung und Verbesserung der Sicherheit in und mit Office 365 gewidmet. Laden Sie dieses eBook noch heute kostenlos herunter!
