Microsoft 365: neuer Tenant – Datenschutz?

Ihr habt einen neuen Microsoft 365 / Office 365 Tenant erstellt und wisst nicht, auf was man achten sollte? Hier mal die wichtigsten Punkte aufgelistet. Auch mit Blick auf die DSGVO!


Microsoft 365 – Admin Center

Zu aller erst geht Ihr auf die Microsoft Office Seite, www.office.com, und meldet euch dort mit dem Tenant Administrator (z.B.: admin@TENANTname.onmicrosoft.com) an.

Im Office-Portal angekommen auf das Menü rechts oben klicken und auf den „Admin“ Menüpunkt gehen. Das „Microsoft 365 Admin Center“ öffnet sich in einem neuem Tab.

Je nach Microsoft 365 Plan, hat das Menü mehr oder weniger Punkte. Die Grundeinstellungen sind jedoch bei jedem Plan gleich!

Im Microsoft 365 Admin Center, damit wir alle Bereiche angezeigt bekommen, links im Menü auf den untersten Punkt „Alle anzeigen“ klicken. Jetzt werden alle, passend zur Lizenz, Admin Center angezeigt.


Microsoft 365Einstellungen der Organisation

Unter „Einstellungen„, „Einstellungen der Organisation“ folgende Punkte genau prüfen und gegebenenfalls anpassen.

Beispiel von Kundenanfragen: „können Sie diese Microsoft Spionage Mails abschalten?“ -> Gemeint ist damit „Microsoft Viva Insights“, welches den Benutzer täglich oder wöchentlich über seine Office 365 Tätigkeiten informiert.


  • – 1 – DIENSTE
    • Briefing eMail von MS Vita -> deaktivieren
    • Cortana -> deaktivieren
    • Microsoft Viva Insights (ehemals MyAnalytics) -> deaktivieren
    • Microsoft Kommunikation mit Benutzern -> deaktivieren
    • Whiteboard
      • Diagnosedaten  ->  auf keine „KEINE“ stellen
      • Optionale verbundene Erfahrungen -> deaktivieren

  • – 2 – Sicherheit und Datenschutz
    • Datensammlung ‎Bing -> deaktivieren‎
    • Kennwortablaufrichtlinie definieren – empfohlene Werte:
      • Tage bis zum Ablaufen der Kennwörter: 90
      • Tage, bis ein Benutzer über den Ablauf informiert wird: 21

  • – 3 – Organisationsprofil
    • Datenspeicherort  ->  hier sieht man, in welchem Rechenzentrum Microsoft die Tenant Daten ablegt

Microsoft 365Azure Active Directory Admin Center

Als nächsten geht es in das „Azure Active Directory Admin Center„, zu finden im „Admin Center„, oder direkt aufzurufen unter -> portal.azure.com.

Falls das „Azure Admin Center“ im „Microsoft Admin Center“ nicht angezeigt wird, im Menü unten auf „Alle anzeigen“ klicken.

Die folgenden Einstellungen sind in Absprache mit den Firmen / Kunden anzupassen und sollten NICHT eigenmächtig angepasst werden.


SICHERHEIT  –  BENUTZER

Normale Benutzer haben in den Standard Einstellungen die Möglichkeit auf das Azure-Verwaltungsportal zuzugreifen, Benutzer einzusehen und sogar Gastbenutzer hinzuzufügen!

Gastbenutzer können wiederum in den Standard Einstellungen weitere Gäste hinzufügen!!!

Daher geht es im ersten Schritt im „Azure Active Directory Admin Center“ auf den Reiter „Benutzer“. Im darauf folgenden Fenster links auf die „Benutzereinstellungen“ klicken.

Folgende Einstellungen sind hier zu prüfen und anzupassen:

  • App-Registrierungen
    • „Benutzer können Anwendungen registrieren“ -> NEIN
  • Verwaltungsportal:
    • „Zugriff auf Azure AD-Verwaltungsportal einschränken“ -> JA
  • LinkedIn-Kontoverbindungen
    • „Gestatten Sie Benutzern Geschäfts, Schul- oder Unikonto mit LinkedIn zu verknüpfen“ -> NEIN
  • Externe Benutzer:
    • „Externe Einstellungen zur Zusammenarbeit verwalten“ -> kann man wie folgt anpassen:
GastbenutzerzugriffDer Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt
Einstellungen für GasteinladungenNur Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen
Einschränkungen für die Zusammenarbeitnach den Vorgaben des Kunden

SICHERHEIT  –  Gruppen

Benutzer haben in den Standard Einstellungen die Möglichkeit Sicherheitsgruppen und MS365 Gruppen zu erstellen!

Um das zu unterbinden, geht es im „Azure Active Directory Admin Center“ auf den Reiter „Gruppen“. Im darauf folgenden Fenster links, unter Einstellungen, auf Allgemein klicken.

Folgende Einstellungen sind hier zu prüfen und anzupassen:

  • Beschränken Sie die Möglichkeit des Benutzers, auf Gruppenfunktionen im Zugriffsbereich zuzugreifen
    • – JA –
  • Sicherheitsgruppen
    • – NEIN –
  • Microsoft-365-Gruppen
    • – NEIN –

Microsoft 365SharePoint / OneDrive

In den Standard Einstellungen ist es möglich Dateien und Ordner mit jedem auf der Welt zu teilen. Der dritte, welcher den Link hat, muss sich noch nicht einmal Autorisieren und kann die Dateien bzw. Inhalte aus den Ordnern direkt herunterladen.

Die OneDrive Einstellungen sind im „SharePoint Admin Center„, wieder im „Admin Center“ zu finden.


Unter dem Punkt „Richtlinien„, „Teilen“ solltet Ihr folgende Punkte anpassen, damit sich der gegenüber zumindest Autorisieren muss. Wenn aufgrund der Kunden die Einstellung nicht ohne weiteres angepasst werden kann, so sollte man zumindest beim Teilen den Passwortschutz und Global ein Ablaufdatum (z.B.: +14Tage) definieren!

Hier ein Beispiel, wenn die Einstellung „JEDER“ hinterlegt sein muss:

Folgende Einstellungen sollten als Standard definiert werden. Somit ist unter anderem sichergestellt, das Benutzer sich vor dem Herunterladen einer Datei, sich autorisieren müssen.

  • Externes Teilen
    • von „jeder“ auf die nächste Stufe „Neue und vorhandene Gäste“

  • Datei- und Ordnerlinks
    • „Wählen Sie den Typ des Links aus, der standardmäßig ausgewählt wird, …“
      • diese Einstellungen, wenn nicht schon vorausgewählt, auf „Nur Personen in meiner Organisation“
    • „Wählen Sie die Berechtigung aus, die standardmäßig für Freigabelinks ausgewählt ist“:
      • hier sollte man auf „Anzeigen“ beschränken.

Achtung – Globale Einstellungen überschreiben die Benutzerrechte


Microsoft 365Teams

…… FOLGT


Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.