Ihr habt einen neuen Microsoft 365 / Office 365 Tenant erstellt und wisst nicht, auf was man achten sollte? Hier mal die wichtigsten Punkte aufgelistet. Auch mit Blick auf die DSGVO!
Microsoft 365 – Admin Center
Zu aller erst geht Ihr auf die Microsoft Office Seite, www.office.com, und meldet euch dort mit dem Tenant Administrator (z.B.: admin@TENANTname.onmicrosoft.com) an.
Im Office-Portal angekommen auf das Menü rechts oben klicken und auf den „Admin“ Menüpunkt gehen. Das „Microsoft 365 Admin Center“ öffnet sich in einem neuem Tab.
Je nach Microsoft 365 Plan, hat das Menü mehr oder weniger Punkte. Die Grundeinstellungen sind jedoch bei jedem Plan gleich!
Im Microsoft 365 Admin Center, damit wir alle Bereiche angezeigt bekommen, links im Menü auf den untersten Punkt „Alle anzeigen“ klicken. Jetzt werden alle, passend zur Lizenz, Admin Center angezeigt.
Microsoft 365 – Einstellungen der Organisation
Unter „Einstellungen„, „Einstellungen der Organisation“ folgende Punkte genau prüfen und gegebenenfalls anpassen.
Beispiel von Kundenanfragen: „können Sie diese Microsoft Spionage Mails abschalten?“ -> Gemeint ist damit „Microsoft Viva Insights“, welches den Benutzer täglich oder wöchentlich über seine Office 365 Tätigkeiten informiert.
- – 1 – DIENSTE
- Briefing eMail von MS Vita -> deaktivieren
- Cortana -> deaktivieren
- Microsoft Viva Insights (ehemals MyAnalytics) -> deaktivieren
- Microsoft Kommunikation mit Benutzern -> deaktivieren
- Whiteboard
- Diagnosedaten -> auf keine „KEINE“ stellen
- Optionale verbundene Erfahrungen -> deaktivieren
- – 2 – Sicherheit und Datenschutz
- Datensammlung Bing -> deaktivieren
- Kennwortablaufrichtlinie definieren – empfohlene Werte:
- Tage bis zum Ablaufen der Kennwörter: 90
- Tage, bis ein Benutzer über den Ablauf informiert wird: 21
- – 3 – Organisationsprofil
- Datenspeicherort -> hier sieht man, in welchem Rechenzentrum Microsoft die Tenant Daten ablegt
Microsoft 365 – Azure Active Directory Admin Center
Als nächsten geht es in das „Azure Active Directory Admin Center„, zu finden im „Admin Center„, oder direkt aufzurufen unter -> portal.azure.com.
Falls das „Azure Admin Center“ im „Microsoft Admin Center“ nicht angezeigt wird, im Menü unten auf „Alle anzeigen“ klicken.
Die folgenden Einstellungen sind in Absprache mit den Firmen / Kunden anzupassen und sollten NICHT eigenmächtig angepasst werden.
SICHERHEIT – BENUTZER
Normale Benutzer haben in den Standard Einstellungen die Möglichkeit auf das Azure-Verwaltungsportal zuzugreifen, Benutzer einzusehen und sogar Gastbenutzer hinzuzufügen!
Gastbenutzer können wiederum in den Standard Einstellungen weitere Gäste hinzufügen!!!
Daher geht es im ersten Schritt im „Azure Active Directory Admin Center“ auf den Reiter „Benutzer“. Im darauf folgenden Fenster links auf die „Benutzereinstellungen“ klicken.
Folgende Einstellungen sind hier zu prüfen und anzupassen:
- App-Registrierungen
- „Benutzer können Anwendungen registrieren“ -> NEIN
- Verwaltungsportal:
- „Zugriff auf Azure AD-Verwaltungsportal einschränken“ -> JA
- LinkedIn-Kontoverbindungen
- „Gestatten Sie Benutzern Geschäfts, Schul- oder Unikonto mit LinkedIn zu verknüpfen“ -> NEIN
- Externe Benutzer:
- „Externe Einstellungen zur Zusammenarbeit verwalten“ -> kann man wie folgt anpassen:
Gastbenutzerzugriff | Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt |
Einstellungen für Gasteinladungen | Nur Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen |
Einschränkungen für die Zusammenarbeit | nach den Vorgaben des Kunden |
SICHERHEIT – Gruppen
Benutzer haben in den Standard Einstellungen die Möglichkeit Sicherheitsgruppen und MS365 Gruppen zu erstellen!
Um das zu unterbinden, geht es im „Azure Active Directory Admin Center“ auf den Reiter „Gruppen“. Im darauf folgenden Fenster links, unter Einstellungen, auf Allgemein klicken.
Folgende Einstellungen sind hier zu prüfen und anzupassen:
- Beschränken Sie die Möglichkeit des Benutzers, auf Gruppenfunktionen im Zugriffsbereich zuzugreifen
- – JA –
- Sicherheitsgruppen
- – NEIN –
- Microsoft-365-Gruppen
- – NEIN –
Microsoft 365 – SharePoint / OneDrive
In den Standard Einstellungen ist es möglich Dateien und Ordner mit jedem auf der Welt zu teilen. Der dritte, welcher den Link hat, muss sich noch nicht einmal Autorisieren und kann die Dateien bzw. Inhalte aus den Ordnern direkt herunterladen.
Die OneDrive Einstellungen sind im „SharePoint Admin Center„, wieder im „Admin Center“ zu finden.
Unter dem Punkt „Richtlinien„, „Teilen“ solltet Ihr folgende Punkte anpassen, damit sich der gegenüber zumindest Autorisieren muss. Wenn aufgrund der Kunden die Einstellung nicht ohne weiteres angepasst werden kann, so sollte man zumindest beim Teilen den Passwortschutz und Global ein Ablaufdatum (z.B.: +14Tage) definieren!
Hier ein Beispiel, wenn die Einstellung „JEDER“ hinterlegt sein muss:
Folgende Einstellungen sollten als Standard definiert werden. Somit ist unter anderem sichergestellt, das Benutzer sich vor dem Herunterladen einer Datei, sich autorisieren müssen.
- Externes Teilen
- von „jeder“ auf die nächste Stufe „Neue und vorhandene Gäste“
- Datei- und Ordnerlinks
- „Wählen Sie den Typ des Links aus, der standardmäßig ausgewählt wird, …“
- diese Einstellungen, wenn nicht schon vorausgewählt, auf „Nur Personen in meiner Organisation“
- „Wählen Sie die Berechtigung aus, die standardmäßig für Freigabelinks ausgewählt ist“:
- hier sollte man auf „Anzeigen“ beschränken.
- „Wählen Sie den Typ des Links aus, der standardmäßig ausgewählt wird, …“
Achtung – Globale Einstellungen überschreiben die Benutzerrechte
Microsoft 365 – Teams
…… FOLGT