Microsoft 365 | Security & Compliance Update ⏱ 4 Min.

Microsoft 365 | Security & Compliance Update

MS365 Aktualisiert:

– Audit-Logs, Defender SIEM & DLP-Benachrichtigungen im Juni 2025

Microsoft schraubt wieder kräftig an den Stellschrauben rund um Security & Compliance. Im aktuellen Monat treffen gleich drei Änderungen Administratoren in Exchange Online, Microsoft Defender und den Purview-DLP-Workloads von SharePoint und OneDrive. Alle betreffen entweder klassische Cmdlets oder Integrationen, die viele Umgebungen noch produktiv nutzen. In diesem Artikel erfährst Du, was genau sich ändert, warum Microsoft das tut und wie Du Dein Tenant rechtzeitig anpasst.

Illustration einer gesicherten Cloud mit Vorhängeschloss, Schild-Symbol und Microsoft 365-Icon, die Audit-Logs, SIEM-Integration und DLP-Analysen repräsentiert

Mailbox-Audit wird statisch: Die Cmdlets Search-MailboxAuditLog und New-MailboxAuditLogSearch lassen sich ab Ende Juni nur noch lesend nutzen.

Defender-SIEM-Agent vor dem Aus: Neue SIEM-Agenten lassen sich ab dem 19. Juni nicht mehr anlegen; künftig liefern Streaming- und Graph-APIs die Daten.

DLP-Signalisierung wird flexibler: E-Mail-Benachrichtigungen und Richtlinientipps lassen sich in SharePoint/OneDrive-DLP endlich getrennt steuern.

Handlungsdruck: Skripte, Playbooks und Dashboards, die noch auf die alten Mechanismen setzen, sollten jetzt umgeschrieben werden.

Mehr Purview, weniger Legacy: Hinter allen Änderungen steckt Microsofts Ziel, Audit- und Sicherheitsdaten konsolidiert in Purview-bzw. Defender-APIs vorzuhalten.

Exchange Online | Mailbox-Audit‐Logs

Historische Audit-Daten verbleiben zwar in den Postfächern, aber ab Ende Juni 2025 werden sie schreibgeschützt. Die beiden Cmdlets Search-MailboxAuditLog und New-MailboxAuditLogSearch akzeptieren dann keine Änderungen oder Exporte mehr. Bereits am 1. März 2025 hatte Microsoft das Schreiben neuer Audit-Einträge in Postfächern gestoppt. Spätestens Ende 2025 verschwinden die Cmdlets komplett aus Exchange Online.

Microsoft konsolidiert Audit-Informationen im Purview Unified Audit Log. Dort landen bereits heute Ereignisse sämtlicher M365-Workloads, bieten längere Aufbewahrungszeiträume (mit E5 bzw. Audit-Premium sogar über ein Jahr) und breit gefächerte Filtermöglichkeiten. Die getrennte Speicherung in einzelnen Postfächern kostet Performance, Pflege-Aufwand und erzeugt Inkonsistenzen.

Auswirkungen auf Deinen Betrieb

  • PowerShell-Skripte prüfen: Alle Reports oder Automationen, die noch auf Search-MailboxAuditLog basieren, müssen auf Search-UnifiedAuditLog wechseln.
  • Berechtigungen anpassen: Für den Unified Audit Log braucht es mindestens die Rolle View-Only Audit Logs oder Audit Logs in Purview.
  • Retention-Strategie evaluieren: Wer heute extended retention im Postfach nutzt, muss auf Audit Premium mit Extended Retention (Purview) migrieren.
  • Migrations-Tool einplanen: Microsoft stellt im Lauf des Jahres ein Skript bereit, das historische Audit-Einträge in den Unified Log umzieht.

Setze für Exchange-Audits ab sofort ausschließlich auf das Unified-Audit-Log-Cmdlet. Teste Filter wie -RecordType ExchangeMailbox und nutze Parameter wie -HighCompleteness oder -ResultSize zur Feinsteuerung. So gewöhnst Du Dich und Dein Team frühzeitig an den künftigen Standard.

Microsoft Defender for Cloud Apps | Abschied vom SIEM-Agenten

Ab dem 19. Juni 2025 lassen sich keine neuen Defender-SIEM-Agenten mehr registrieren. Vorhandene Agenten senden bis November 2025 weiter Logs, erhalten aber keinen Funktions- oder Sicherheits-Support. Ersatz bieten die XDR Streaming API, die Graph Security Alerts API oder die native Integration in Microsoft Sentinel.

Der lokale Java-Agent war als Übergangslösung gedacht. Heute liefert der Defender-Backend sämtliche Telemetrie zentral aus der Cloud – ein zusätzlicher Pull-Mechanismus per Agent ist überflüssig. APIs sind leichter skalierbar, bieten mehr Datentypen (z. B. Entra ID Protection Events) und sparen den Administrations-Overhead einer On-Prem-Komponente.

Auswirkungen auf Deinen Betrieb

  • On-Prem-Server entlasten: Wegfall des Agent-Dienstes reduziert Wartung, Patch-Management und Java-Abhängigkeiten.
  • SIEM-Playbooks anpassen: Syslog-Parser, CEF-Mapper und Normalisierungsregeln müssen künftig API-Payloads statt Agent-CSV verarbeiten.
  • Lizenz-Check: Die XDR-Streaming-API erfordert mindestens Microsoft 365 E5 oder Defender XDR Lizenz.

Migrations-Pfad

  1. Use-Case analyse | Welche Alerts und Aktivitäten landen heute wirklich im SIEM?
  2. API Mapping | Correlate Agent-Felder auf das Schema der Streaming-API (incidents, alerts, rawEvents).
  3. Event-Hub / Sentinel Connector | Für Sentinel genügt es meist, den integrierten Connector zu aktivieren.
  4. Cut-over planen | Parallelbetrieb zwei bis vier Wochen, dann Agent abschalten.

SharePoint / OneDrive DLP – Benachrichtigungen entkoppeln

Bisher koppelte eine SharePoint- bzw. OneDrive-DLP-Regel E-Mail-Benachrichtigung und Richtlinientipp zwangsläufig: Wer das eine aktivierte, bekam das andere dazu. Ab Ende Juni 2025 kannst Du beide Signale unabhängig konfigurieren. Möglich sind nun vier Varianten pro Regel:

VarianteE-MailRichtlinientipp
Still
Diskret
Visuell
Kombiniert

Mehrwert für Admins

  • Granularität: Unterschiedliche Zielgruppen – z. B. Rechtsabteilung per Mail, End-User nur per Tipp.
  • User-Akzeptanz: Weniger Pop-ups in Word & Co., wenn lediglich eine stille Mail genügt.
  • Harmonisierung: Angleichen an Exchange-DLP, wo diese Trennung schon länger gilt.

Schritte zur Umsetzung

  1. Purview-Portal > Data Loss Prevention > Policies öffnen.
  2. Bestehende SharePoint/OneDrive-Regel editieren.
  3. Im Abschnitt User notifications wahlweise Send email oder Show policy tip (oder beides) anhaken.
  4. Bei Bedarf eigene HTML-Templates für Mails hinterlegen, Tokens wie %%ContentURL%% oder %%PolicyName%% nutzen.
  5. Testen mit Test-DlpPolicies-Cmdlet oder einer Pilot-Site.

Zeit für Frühjahrsputz in Skripten und Integrationen

Die Juni-Änderungen zielen klar in Richtung Konsolidierung: Alte Cmdlets, Agenten oder Kopplungen weichen zentralen APIs und flexibleren Konfigurationen. Für Dich als Admin bedeutet das zwar einmalig Arbeit, langfristig aber weniger Wartung und bessere Datenqualität. Starte jetzt mit Tests und Updates – dann ist Ende Juni nur noch ein Kalendereintrag und kein Feuerwehreinsatz.

Exchange Online: Roadmap für die Außerdienststellungtechcommunity.microsoft.com
Defender for Cloud Apps: Deprecation Notice für SIEM-Agentenlearn.microsoft.com
Purview-DLP: E-Mail-Benachrichtigungen und Richtlinientippslearn.microsoft.com
#Cloud Security #Compliance Management #Defender SIEM #Exchange Online Audit Logs #Juni 2025 Update #Microsoft 365 #microsoft 365 security #Purview DLP #Unified Audit Log
Teilen:
Autor

MasterPhin

IT-Administrator, Blogger und PowerShell-Enthusiast. Schreibt über Microsoft 365, Linux und IT-Sicherheit.

0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.