Vor geraumer Zeit hat sich Microsoft im Admin Center vom bislang bekannten "Security und Compliance Center" verabschiedet. Das dürfte strategische Gründe haben, da es nicht mehr in die Defender-Strategie von Microsoft passt. Administratoren, die es bislang gewohnt waren, damit zu arbeiten, können das Center zwar unter der URL "protection.microsoft.com" nach wie vor aufrufen, den Link für den direkten Aufruf aus dem Admin Center hat Microsoft aber verbannt.

Alle Funktionen, die zuvor gebündelt an dieser Stelle bereitstanden, finden Sie nun im Navigationsmenü auf der linken Seite des Admin Centers, und zwar hinter den Optionen "Security" beziehungsweise "Compliance". Dahinter verbergen sich die neuen Dashboards "Microsoft 365 Defender", wie Microsoft das verbesserte Security Center nun nennt, und "Microsoft 365 Compliance". Hier heißt es zwar für Sie als Administrator, dass Sie sich wieder einmal neu orientieren müssen. Die Lösungen aber zu separieren, ergibt durchaus Sinn, da sowohl aus dem Komplex Compliance als auch zum Thema Sicherheit die Funktionen immer mehr zunehmen. Diese Entzerrung sorgt dann für eine klare Trennung der spezifischen Werkzeuge.

Die "Toolbox" wurde an dieser Stelle jedoch nur neu sortiert. Richtlinien und Definitionen sind unverändert geblieben. Haben Sie beispielsweise im alten "Security and Compliance Center" Bezeichnungen für den Schutz von Informationen erstellt und möchten daran Änderungen vornehmen, finden Sie diese nun direkt im Bereich "Microsoft 365 Compliance". Neben den bislang bekannten Funktionen gibt es in den beiden Dashboards auch einiges Neues. Ein kurzer Rundgang vermittelt insgesamt das Gefühl solider und selbsterklärender Sicherheitsmechanismen. In diesem Beitrag möchten wir uns einige elementare Funktionen daraus anschauen, unabhängig davon, von welchem Ort aus der Aufruf erfolgt.

Admin Center als Dreh- und Angelpunkt

Ganz allgemein bieten sich dem Administrator primär zwei Schnittstellen, mit denen er die Compliance- und Security-Aspekte seines Cloudsetups verwaltet: das Microsoft 365 Admin Center und die Kommandozeile, hier primär die Power-Shell. Für welches Werkzeug er sich entscheidet, dürfte von der eigentlichen Aufgabe abhängen. Im Admin Center hat Microsoft sich viel Mühe gegeben, um Zahlen, Daten und Fakten übersichtlich und teilweise grafisch darzustellen. Auch einfache Verwaltungsarbeiten gehen hier mit der Maus locker von der Hand.

Wie bei vielen anderen Serverprodukten im Microsoft-Portfolio ist es aber auch hier der Fall, dass einige Funktionen nur umfassend über die jeweiligen PowerShell-Module zur Verfügung stehen. Dies betrifft zum Beispiel die Funktionalität der "SuperUser", denen es jederzeit gestattet ist, auf geschützte Information zuzugreifen, selbst wenn zum Beispiel Mitarbeiter das Unternehmen verlassen haben, ohne den Schutz aufzuheben. Und auch wenn es um den Bereich der Fehlersuche geht, ist die PowerShell meist die bessere Wahl.

Defender hier, Defender dort

Wir starten mit einem Blick ins Security Center, oder besser: "Microsoft 365 Defender", wie es mittlerweile heißt. Hier besteht Potenzial für Missverständnisse. Im Grunde genommen besteht die Microsoft-Cloud grob betrachtet aus zwei Bereichen. Da wäre die Azure-Infrastruktur mit grundlegenden Infrastrukturdiensten (IaaS, PaaS) und dann ist da noch Microsoft 365 mit den mit den SaaS-Diensten, wie zum Beispiel Exchange Online. So weit, so gut. Verwirrend wird es, wenn sich Services über beide Bereiche erstrecken, was sehr häufig der Fall ist. Berühmter Kandidat hierfür ist das Microsoft Entra ID, früher Azure Active Directory (AAD) genannt. Benutzer lassen sich im Entra-Dashboard von Azure administrieren, aber auch im Admin Center von Microsoft 365.

Und das Gleiche gilt für das eben erwähnte Sicherheitscenter. Dieses existiert in beiden Landschaften, mit einem speziellen Schwerpunkt auf die jeweiligen angegliederten Dienste: Plattform und Infrastruktur in Azure oder eine Ebene höher bei den Collaboration-Diensten, wie eben Exchange oder auch SharePoint Online. Das ist auf dem ersten Blick verwirrend, besonders wenn sich jemand neu mit den M365-Security- und -Compliance-Lösungen auseinandersetzt. Die gute Nachricht ist aber, dass es keine strikte Trennung in den Dashboards der verschiedenen Werkzeuge gibt und sich das Navigieren nahtlos und transparent für den Administrator präsentiert.

Befinden Sie sich beispielsweise in Office 365 Defender und das Dashboard meldet in der entsprechenden Kachel "Bedrohte Benutzer", gelangen Sie mit einem Klick darauf in den Bericht "Riskante Benutzer" von Azure Identity Protection im Azure-Portal, um hier der Ursache nachzugehen. Sie als Administrator braucht das nicht weiter zu kümmern. Sie haben im Bereich von Security und Compliance nicht mehr ausschließlich diese oder jene Funktionalität, das Werkzeug wird zunehmend zweitrangig und das Thema rückt mehr in den Vordergrund, eigentlich sehr zeitgemäß und sinnvoll.

Schaltzentrale: Microsoft 365 Defender

Bleiben wir im Security Center. Es begrüßt den Administrator auf der Startseite mit einigen Kacheln im Dashboard, die nicht in Stein gemeißelt sind und deren Position und Erscheinen sich anpassen lassen, je nachdem, was Sie für den ersten Blick als wichtig erachten.

Im Zentrum steht hier die Sicherheitsbewertung, die Verbesserungspotenzial in der Infrastruktur aufzeigt. Bezogen auf "Security und Compliance" ist es mehr als sinnvoll, proaktiv zu arbeiten und Tendenzen zu eliminieren, die später zu einem Risiko führen. Wie eingangs erwähnt, ist Sicherheit nichts Statisches, sondern dynamischen Gegebenheiten unterworfen. Bedrohungen ändern sich, das Microsoft-Portfolio ändert sich, daher ergibt es Sinn, hier regelmäßig tätig zu sein, am besten dokumentiert im Betriebshandbuch. Zum Beispiel ist es ratsam, sich einen festen Zeitslot in der Woche zu reservieren, um den Status der allgemeinen "Sicherheitslage" zu kontrollieren und zu verbessern.

Regelmäßiger Securitycheck

Wählen Sie in der Kachel für die Sicherheitsbewertung den Punkt "Ihre Bewertung verbessern", gelangen Sie zu einer Liste mit Aktionen, die Hinweise darauf liefert, wo es Lücken im Setup gibt. Insgesamt folgt die Bewertung einem Punktesystem und in einer eigenen Spalte sehen Sie zu dem gelisteten Element, wie hoch der erzielte "Score" für den Fall ist, dass Sie die Lücke schließen. Dies ist aber nur am Rande eine Hilfe und wohl eher von untergeordnetem Mehrwert. Zu verschieden sind die Interessen der Unternehmen und ein pauschaler Faktor hilft bestimmt in einigen, aber nicht in allen Fällen. Dem erfahrenen Admin geht es da wohl eher um die gefundene Verbesserungsmöglichkeit. Wählen Sie ein Element aus, erhalten Sie in einem weiteren Dialog ergänzende Details.

Hier lohnt es sich, genau hinzuschauen. Am Beispiel unserer Testumgebung wurden diverse, bislang nicht konfigurierte Richtlinieneinstellungen von "MS Teams" erkannt, die ungewünschte Nebeneffekte bergen. Dazu gehören beispielsweise der Umgang mit Gastteilnehmern oder auch die Einstellung, dass sich jeder zum "Presenter" in einem Meeting machen kann. Hinter der Option "Implementiert" erfahren Sie, wie und wo dies zu beheben ist. Eine Schritt-für-Schritt-Anleitung hilft Ihnen dann dabei, die Lücken endgültig zu schließen.

Sie haben hier aber noch mehr Möglichkeiten, beispielsweise mit dem Befehl "Status und Aktionsplan bearbeiten". Hier können Sie das Risiko akzeptieren oder anderweitig kennzeichnen, auch mit einer Kommentarfunktion. Andere Mitarbeiter aus dem Admin-Team sehen dann, dass sich ein Kollege bereits mit dem Aspekt beschäftigt hat und was das Ergebnis ist. Nicht jede vermeintliche Verbesserungsaktion ist hier auch relevant. Beispielsweise gibt es Gründe, dass "Cloud-Only"-Benutzerkonten administrative Berechtigungen besitzen, aber kein MFA verwenden, wie es bei Notfallkonten nun einmal der Fall ist. Dies stößt in der Bewertung auf, hat aber in diesem Fall einen guten Grund und wäre hier als "Risiko akzeptiert" zu kennzeichnen.

Vorlagen als Basis für die Bewertung

Der Umgang mit Daten ist ein weiterer und wichtiger Bestandteil, der neben der Betrachtung von "Security" zu den aktuellen Aufgaben eines Administrators gehört. Die Funktionen aus dem Bereich "Compliance" bieten jede Menge Möglichkeiten, diesen Anforderungen zu begegnen.

Haben Sie im Admin Center den Bereich "Compliance" gewählt, sehen Sie die relevanten Werkzeuge auf der linken Seite. Ganz oben thront der Compliance Manager. Ähnlich wie das Security Center, mit dem wir uns eben auseinandergesetzt haben, ist der Compliance Manager die Schaltzentrale in Bezug auf die Einhaltung von Datenschutz und regulatorischen Standards. Auch hier begegnen Ihnen ein Punktesystem und Verbesserungsaktionen, die etwaige Lücken zeigen. Hier besitzt auch jedes gefundene Element einen Status, der sich zuweisen und dessen Fortschritt sich dokumentieren lässt.

"Bewertungen" ist eine Funktion, die einer Organisation dabei hilft, sich gegenüber einem Branchen- oder Regionalstandard einzuordnen. Als Grundlage dazu dienen Bewertungsvorlagen. Wenn Sie eine Bewertung erstellen, können Sie aus einem Katalog aus knapp 700 Vorlagen auswählen, was Basis der Bewertung sein soll, also gegen welche Vorlage Sie ihre Organisation bewertet haben möchten. Knapp 20 dieser Vorlagen sind standardmäßig enthalten. Hierbei handelt es sich um die wichtigsten Definitionen, wie beispielsweise ISO 27001 oder auch "EU GDPR". Die weiteren Vorlagen sind vom Typ "Premium" und separat zu erwerben. Sie decken spezifische Bereiche weltweiter Zertifizierungen ab.

Bei der Anzahl der Vorlagen dürfte hier kein Wunsch offenbleiben. Wenn doch, können Sie eigene Bewertungsvorlagen erstellen. Hierzu dient eine speziell formatierte Excel-Datei. Dies mutet auf dem ersten Blick etwas umständlich an, Microsoft hält aber eine gute Beschreibung parat, die zeigt, worauf es dabei ankommt.

Wenn Sie sicher sind, welche Vorlage Sie verwenden möchten, können Sie eine oder mehrere Bewertungen erstellen. Dies geht einfach und selbsterklärend. Im Compliance Manager wählen Sie hierzu "Bewertungen" und dann "Bewertung hinzufügen". Im nächsten Schritt gilt es, aus den eben erwähnten Vorlagen die passende auszuwählen und damit ist in dem Assistenten die Bewertung auch schon erzeugt. Sie können mehrere Bewertungen parallel und unabhängig "aktiv" administrieren. Sogar eine Gruppierung wird dem Administrator hier angeboten.

Wählen Sie eine Bewertung aus, gelangen Sie zur Liste mit Aktionen aus den Ergebnissen und dem Status der "Bewertung". Hier lassen sich Aktionen an Personen zuweisen und Betreffende erhalten eine E-Mail mit einem Hinweis auf die Aufgabe und einen Link, der zum Compliance Manager führt, um den Workflow zu starten. Ferner bestehen Möglichkeiten, um den Status zum Stand der Implementierung oder auch resultierender Tests zu dokumentieren, oder auch, um das Element als erledigt zu schließen.

Umgang mit Datenschätzen

Eine Herausforderung, die sich Unternehmen in der heutigen Zeit stellen müssen, ist der Schutz ihrer Informationen. Es ist nämlich gar nicht so einfach herauszufinden, auf welche Art und Weise ein Unternehmen mit Informationen oder besser mit Dokumenten umgeht. Stellen Sie sich die Fülle an Daten vor, die bereits ein kleines Unternehmen besitzt. Bevor Sie sich Gedanken um den Schutz von Informationen machen, sollten Sie sich zuerst einige einfache Fragen beantworten.

Diese Antworten sind bestimmt nicht pauschal für jedes Unternehmen gleich, aber ein paar grundlegende Aspekte sind immer von Bedeutung, unabhängig von der Branche: Was sind genau meine Daten? Wo liegen diese überall? Wie ist der Umgang damit? Drei einfache Fragen. Versuchen Sie, diese für ihr Unternehmen zu beantworten. Wenn Sie sich inhaltlich damit auseinandersetzen und Anregungen benötigen, sei Ihnen dieses sechsteilige Microsoft-Lernmodul empfohlen.

"Bezeichnungen" sind ein wesentliches Element im Umgang mit Dokumenten. Microsoft vergleicht Bezeichnungen oder auch "Label", bei englischer Portalsprache, mit einem Stempel, den eine Organisation ihren Dokumenten aufdrückt. Er bestimmt genau, was mit einem Dokument geschehen soll, und zwar in Bezug auf Vertraulichkeit und Aufbewahrung. Bezeichnungen werden über Richtlinien bereitgestellt. Sie definieren, auf welche Inhalte die sogenannten Stempel anzuwenden sind. Auch geben Sie je nach Situation einem User die Entscheidung, ob eine "Bezeichnung" benutzt wird oder ob dies automatisch geschehen soll – zum Beispiel, weil erkannt wurde, dass ein Dokument einem bestimmten Typ entspricht oder darin Textpassagen enthalten sind, die eine Verschlüsselung aus Sicht des Unternehmens erfordern.

E-Mails und Dokumente schützen

Bezeichnungen und Richtlinien bieten einer Organisation also immensen Spielraum im Umgang mit Daten. Ein Beispiel soll dies verdeutlichen. Wir erstellen hierfür eine Vertraulichkeitsbezeichnung. Alles Notwendige finden Sie im Compliance Center bei den Lösungen und hier beim "Informationsschutz". Auf der einleitenden Konfigurationsseite sehen Sie oben bereits die beiden wesentlichen Elemente: "Bezeichnungen" und "Bezeichnungsrichtlinien". Wählen Sie Ersteres, führt Sie ein selbsterklärender Assistent durch die Konfiguration. Auf der ersten Seite vergeben Sie den Namen und einen erklärenden Text für die Bezeichnung. Dies wird dem Benutzer in Word oder auch Outlook später angezeigt und zur Auswahl angeboten. Das gilt sowohl für die Desktopversionen als auch für die Webvarianten der Office-Produkte.

Als Geltungsbereich entscheiden wir uns in unserem Beispiel für Dateien und E-Mails. Auf der nächsten Seite wird es spannend, hier entscheiden Sie bei Anwendung des "Labels", ob Sie die Daten verschlüsseln, markieren, also beispielsweise mit einem Wasserzeichen versehen, oder ob Sie beides möchten, was häufig Sinn ergibt. So wird direkt mit dem Dokument ersichtlich, dass dieses geschützt ist. Auf der Seite "Verschlüsselung" geben Sie an, für welche Zielgruppe das Dokument (oder die E-Mail) verschlüsselt werden soll und ob Berechtigungen zugewiesen werden sollen. Schließen Sie die Bezeichnung mit Texten für die Inhaltsmarkierung ab, also Texte für ein Wasserzeichen und wahlweise eine Kopf- oder Fußzeile.

Bezeichnungen anwenden

Sie können beliebige "Label" erstellen, um sie je nach Bedarf für einen Kreis von Anwendern zu aktivieren. Hierfür wechseln wir in unserem Beispiel zum Tab "Bezeichnungsrichtlinien" und erstellen über "Bezeichnung veröffentlichen" eine neue Richtlinie. Es lassen sich auch mehrere "Vertraulichkeitsbezeichnungen" in einer Richtlinie kombinieren, auch nachträglich.

Zuerst geben wir nun die Zielgruppe in Form von Benutzern und Gruppen an. Bei den "Einstellungen" wird es dann spannender, die Optionen hier definieren, ob eine "Vertraulichkeitsbezeichnung" zu erzwingen ist oder ob der Anwender nur einen Hinweis erhält und dann die Wahl selbst trifft, sie auf ein Dokument anzuwenden. Das war es eigentlich schon. Benutzer, die mit der Richtlinie adressiert worden sind, erhalten in ihren Office-Produkten die jeweiligen Vertraulichkeitsbezeichnungen zur Auswahl. Alternativ werden sie beim Speichern aufgefordert, Berechtigungen oder die Verschlüsselung festzulegen. Dies hängt davon ab, was Sie in der "Bezeichnung" definiert haben.

Wenn Sie neu im Thema sind und sich mit den Funktionen vertraut machen möchten, benötigen Sie übrigens keine separierte Testumgebung als Spielwiese. Bei der Veröffentlichung von Bezeichnungen können Sie als Ziel eine Gruppe angeben. Alles, was Sie benötigen, sind die Lizenzen für die Office-Produkte, die Webvarianten sind hier schon ausreichend. Als Ziel für die Bezeichnung können Sie dann Testuser angeben und weiter im Detail schauen und ausprobieren, wie sich die Fülle an Optionen und Einstellungen auswirkt, wenn Sie an den einzelnen Stellschrauben drehen.

Kein globaler Administrator für Compliance-Aktionen

Der globale Administrator, der ja in Entra ID die umfassendsten Berechtigungen hat, sollte bei den Security- und Compliance-Funktionen weitestgehend eine Funktion am Rande haben. Betriebsrat oder andere interne Gremien dürften sich bedanken, wenn jeder Global Admin auf Schutzfunktionen und stellenweise auch auf damit verbundene Dateninhalte zugreifen kann. Demzufolge finden Sie eine eigene Rollenverwaltung im Admin Center, die es gestattet, ausgewählten Mitarbeitern Funktionen zuzuweisen, die klar zum Datenschutz gehören. Der Global Admin verfügt zwar über die Rechte, die Rollen und die Mitgliedschaften zu verwalten, er selbst ist hier aber erst einmal ausgenommen. Dies gilt zum Beispiel für den Inhalts-Explorer, auf den ein Globaler Administrator keinen Zugriff hat.

Übrigens müssen Sie die Mitgliedschaften in administrativen Rollen im Admin Center an mehreren Stellen pflegen. Neben den Rollen im Compliance Center hat zum Beispiel Exchange Online dienstspezifische Rollen, deren Administration entsprechend bei Exchange Online erfolgt.

PowerShell und Fehlersuche

Die Anwendung von Vertraulichkeitsbezeichnungen unter Windows mit Office-Produkten ist stabil. Sollte jedoch in einer Anwendung, Word zum Beispiel, die Schaltfläche "Vertraulichkeit" grau hinterlegt und ohne Funktion sein, ist das ein Zeichen dafür, dass für den Anwender keine "Bezeichnungen" vorhanden sind oder diese in der Konfiguration von Bezeichnung und Richtlinie nicht im Scope des jeweiligen Benutzers sind.

Für den Fall, dass auf dem Computer eines Anwenders doch einmal eine Analyse notwendig ist, bietet sich zum Beispiel das PowerShell-Modul "aipservice" an. Es umfasst ein großes Repertoire an Cmdlets, um zum Beispiel die Verbindung zum Microsoft-Cloud-Backend zu prüfen oder Protokolle zu generieren. Es lohnt sich deshalb, mit den verschiedenen Cmdlets zu experimentieren – insbesondere mit denjenigen, die das Verhalten von "SuperUsern" steuern. Dieses Feature muss "Enabled" werden, hierzu dient das Cmdlet "Enable-Aip-ServiceSuperUserFeature". Danach lassen sich die "SuperUser" von der Power-Shell aus administrieren und zum Beispiel Benutzer definieren, die auf geschützte Inhalte zugreifen dürfen. Dies kann hilfreich sein, in falschen Händen stellen sie aber auch ein Risiko dar, das gut abgewogen sein muss.

Fazit

Unser kleiner Streifzug durch einige wichtige Compliance-Werkzeuge hat Sie hoffentlich neugierig gemacht. Die Redmonder bieten zudem in den Microsoft Docs eine Fülle an Dokumentationen und auch Lernmodule, die das ganze Spektrum der Compliance-Lösungen vertiefen. Es ist nur zu empfehlen, mit diesen Quellen tiefer in die Materie einzutauchen, um proaktiv gewappnet zu sein und um sicherzustellen, dass der Umgang mit Daten korrekt und sicher erfolgt. (ln/dr/Klaus Bierschenk)

FAQs