Vor geraumer Zeit hat sich Microsoft im Admin Center vom bislang bekannten "Security und Compliance Center" verabschiedet. Das dürfte strategische Gründe haben, da es nicht mehr in die Defender-Strategie von Microsoft passt. Administratoren, die es bislang gewohnt waren, damit zu arbeiten, können das Center zwar unter der URL "protection.micro-soft.com" nach wie vor aufrufen, den Link für den direkten Aufruf aus dem Admin Center hat Microsoft aber verbannt.

Alle Funktionen, die zuvor gebündelt an dieser Stelle bereitstanden, finden Sie nun im Navigationsmenü auf der linken Seite des Admin Centers, und zwar hinter den Optionen "Security" beziehungsweise "Compliance". Dahinter verbergen sich die neuen Dashboards "Microsoft 365 Defender", wie Microsoft das verbesserte Security Center nun nennt, und "Microsoft 365 Compliance". Hier heißt es zwar für Sie als Administrator, dass Sie sich wieder einmal neu orientieren müssen. Die Lösungen aber zu separieren, ergibt durchaus Sinn, da sowohl aus dem Komplex Compliance als auch zum Thema Sicherheit die Funktionen immer mehr zunehmen. Diese Entzerrung sorgt dann für eine klare Trennung der spezifischen Werkzeuge.

Die "Toolbox" wurde an dieser Stelle jedoch nur neu sortiert. Richtlinien und Definitionen sind unverändert geblieben. Haben Sie beispielsweise im alten "Security and Compliance Center" Bezeichnungen für den Schutz von Informationen erstellt und möchten daran Änderungen vornehmen, finden Sie diese nun direkt im Bereich "Microsoft 365 Compliance". Neben den bislang bekannten Funktionen gibt es in den beiden Dashboards auch einiges Neues. Ein kurzer Rundgang vermittelt insgesamt das Gefühl solider und selbsterklärender Sicherheitsmechanismen. In diesem Beitrag möchten wir uns einige elementare Funktionen daraus anschauen, unabhängig davon, von welchem Ort aus der Aufruf erfolgt.

Admin Center als Dreh- und Angelpunkt
Ganz allgemein bieten sich dem Administrator primär zwei Schnittstellen, mit denen er die Compliance- und Security-Aspekte seines Cloudsetups verwaltet: das Microsoft 365 Admin Center und die Kommandozeile, hier primär die Power-Shell. Für welches Werkzeug er sich entscheidet, dürfte von der eigentlichen Aufgabe abhängen. Im Admin Center hat Microsoft sich viel Mühe gegeben, um Zahlen, Daten und Fakten übersichtlich und teilweise grafisch darzustellen. Auch einfache Verwaltungsarbeiten gehen hier mit der Maus locker von der Hand.

Wie bei vielen anderen Serverprodukten im Microsoft-Portfolio ist es aber auch hier der Fall, dass einige Funktionen nur umfassend über die jeweiligen PowerShell-Module zur Verfügung stehen. Dies betrifft zum Beispiel die Funktionalität der "SuperUser", denen es jederzeit gestattet ist, auf geschützte Information zuzugreifen, selbst wenn zum Beispiel Mitarbeiter das Unternehmen verlassen haben, ohne den Schutz aufzuheben. Und auch wenn es um den Bereich der Fehlersuche geht, ist die PowerShell meist die bessere Wahl.

Defender hier, Defender dort
Wir starten mit einem Blick ins Security Center, oder besser: "Microsoft 365 Defender", wie es mittlerweile heißt. Hier besteht Potenzial für Missverständnisse. Im Grunde genommen besteht die Microsoft-Cloud grob betrachtet aus zwei Bereichen. Da wäre die Azure-Infrastruktur mit grundlegenden Infrastrukturdiensten (IaaS, PaaS) und dann ist da noch Microsoft 365 mit den mit den SaaS-Diensten, wie zum Beispiel Exchange Online. So weit, so gut. Verwirrend wird es, wenn sich Services über beide Bereiche erstrecken, was sehr häufig der Fall ist. Berühmter Kandidat hierfür ist das Microsoft Entra ID, früher Azure Active Directory (AAD) genannt. Benutzer lassen sich im Entra-Dashboard von Azure administrieren, aber auch im Admin Center von Microsoft 365.

Und das Gleiche gilt für das eben erwähnte Sicherheitscenter. Dieses existiert in beiden Landschaften, mit einem speziellen Schwerpunkt auf die jeweiligen angegliederten Dienste: Plattform und Infrastruktur in Azure oder eine Ebene höher bei den Collaboration-Diensten, wie eben Exchange oder auch SharePoint Online. Das ist auf dem ersten Blick verwirrend, besonders wenn sich jemand neu mit den M365-Security- und -Compliance-Lösungen auseinandersetzt. Die gute Nachricht ist aber, dass es keine strikte Trennung in den Dashboards der verschiedenen Werkzeuge gibt und sich das Navigieren nahtlos und transparent für den Administrator präsentiert.

Befinden Sie sich beispielsweise in Office 365 Defender und das Dashboard meldet in der entsprechenden Kachel "Bedrohte Benutzer", gelangen Sie mit einem Klick darauf in den Bericht "Riskante Benutzer" von Azure Identity Protection im Azure-Portal, um hier der Ursache nachzugehen. Sie als Administrator braucht das nicht weiter zu kümmern. Sie haben im Bereich von Security und Compliance nicht mehr ausschließlich diese oder jene Funktionalität, das Werkzeug wird zunehmend zweitrangig und das Thema rückt mehr in den Vordergrund, eigentlich sehr zeitgemäß und sinnvoll.

Schaltzentrale: Microsoft 365 Defender
Bleiben wir im Security Center. Es begrüßt den Administrator auf der Startseite mit einigen Kacheln im Dashboard, die nicht in Stein gemeißelt sind und deren Position und Erscheinen sich anpassen lassen, je nachdem, was Sie für den ersten Blick als wichtig erachten.

Im Zentrum steht hier die Sicherheitsbewertung, die Verbesserungspotenzial in der Infrastruktur aufzeigt. Bezogen auf "Security und Compliance" ist es mehr als sinnvoll, proaktiv zu arbeiten und Tendenzen zu eliminieren, die später zu einem Risiko führen. Wie eingangs erwähnt, ist Sicherheit nichts Statisches, sondern dynamischen Gegebenheiten unterworfen. Bedrohungen ändern sich, das Microsoft-Portfolio ändert sich, daher ergibt es Sinn, hier regelmäßig tätig zu sein, am besten dokumentiert im Betriebshandbuch. Zum Beispiel ist es ratsam, sich einen festen Zeitslot in der Woche zu reservieren, um den Status der allgemeinen "Sicherheitslage" zu kontrollieren und zu verbessern.

ln/dr/Klaus Bierschenk

Im zweiten Teil der Workshopserie beschäftigen wir uns mit dem Anlegen von regelmäßigen Sicherheitschecks und wie Ihnen dabei Vorlagen helfen.