Im Rahmen der Microsoft Secure Future Initiative (SFI) und in Übereinstimmung mit dem Prinzip „Secure by Default“ aktualisieren wir die Standardeinstellungen in Microsoft 365, um Ihnen zu helfen, den minimalen Sicherheitsstandard zu erfüllen und die Sicherheitslage Ihres Mandanten zu stärken. Diese Änderungen richten sich gegen Legacy-Authentifizierungsprotokolle und App-Zugriffsberechtigungen, die Organisationen einem unnötigen Risiko aussetzen können.
Dies ist der erste Schritt in einem umfassenderen Vorhaben, die Microsoft 365-Standardeinstellungen durch die Brille der besten Sicherheitspraktiken zu evaluieren und weiterzuentwickeln.
Wann dies geschieht:
Die Änderungen werden ab Mitte Juli 2025 ausgerollt und sollen bis August 2025 abgeschlossen sein.
Wie dies Ihre Organisation betrifft
Folgende Einstellungen werden aktualisiert:
Blockieren der Legacy-Browser-Authentifizierung für SharePoint und OneDrive mit RPS (Relying Party Suite)
Legacy-Authentifizierungsprotokolle wie RPS (Relying Party Suite) sind aufgrund der fehlenden modernen Authentifizierung anfällig für Brute-Force- und Phishing-Angriffe. Durch das Blockieren wird verhindert, dass Anwendungen, die veraltete Methoden verwenden, über den Browser auf SharePoint und OneDrive zugreifen. Um die Legacy-Browser-Authentifizierung per PowerShell zu blockieren, siehe Set-SPOTenant.
Blockieren des FPRPC (FrontPage Remote Procedure Call)-Protokolls für das Öffnen von Office-Dateien
FrontPage Remote Procedure Call (FPRPC) ist ein Legacy-Protokoll, das für das entfernte Bearbeiten von Webseiten verwendet wurde. Obwohl es nicht mehr weit verbreitet ist, sind Legacy-Protokolle wie FPRPC anfälliger für Kompromittierungen. Das Blockieren von FPRPC reduziert die Angriffsfläche. Durch diese Änderung wird das Öffnen von Dateien über das FPRPC-Protokoll in Microsoft 365-Clients verhindert und somit die Nutzung dieses veralteten Protokolls unterbunden. Anleitungen zum Blockieren des FPRPC-Protokolls finden Sie unter Aktivieren der Webinhaltsfilterung.
Erfordern von Administratorzustimmung für den Zugriff von Drittanbieter-Apps auf Dateien und Sites
Das Zulassen von Drittanbieter-Apps für den Zugriff auf Dateien und Sites kann zu einer Überexposition von Organisationsinhalten führen. Eine Administratorzustimmung für diesen Zugriff kann dabei helfen, Überexposition zu reduzieren. Mit dieser Änderung werden von Microsoft verwaltete App-Zustimmungsrichtlinien aktiviert, sodass Benutzer standardmäßig keine Zustimmung mehr geben können, damit Drittanbieter-Apps auf ihre Dateien und Sites zugreifen. Stattdessen können sie Administratoren um Zustimmung bitten. Zur Konfiguration der Administratorzustimmung folgen Sie bitte dieser Anleitung: Einrichten des Administratorzustimmungs-Workflows. Kunden, die bereits die Benutzerzustimmung blockiert, zuvor empfohlene Zustimmungs-Einstellungen aktiviert oder eigene benutzerdefinierte Zustimmungs-Einstellungen angewendet haben, sind von dieser Änderung nicht betroffen.
Administratoren können auch granulare Zugriffsrichtlinien konfigurieren, z. B. die Beschränkung des Benutzerzugriffs auf die Anwendung für bestimmte Benutzer oder Gruppen. Weitere Informationen finden Sie hier.
Diese Änderungen sind standardmäßig aktiviert und gelten für alle Microsoft 365-Mandanten. Es sind keine zusätzlichen Lizenzen erforderlich.
Was Sie zur Vorbereitung tun können:
Wir empfehlen folgende Maßnahmen:
- Aktuelle Konfigurationen bewerten: Identifizieren Sie gegebenenfalls bestehende Konfigurationen für RPS oder FPRPC-Protokolle.
- Betroffene informieren: Informieren Sie IT-Administratoren, App-Verantwortliche und Sicherheitsteams über die bevorstehenden Änderungen.
- Dokumentation aktualisieren: Stellen Sie sicher, dass interne Richtlinien die neuen Standardwerte und den Administratorzustimmungsprozess widerspiegeln.
- Administratorzustimmungs-Workflow konfigurieren: Wenn für Ihre Organisation der Zugriff von Drittanbieter-Apps relevant ist, erfahren Sie, wie der Workflow eingerichtet wird: Konfiguration des Administratorzustimmungs-Workflows.
Weitere Überlegungen
- Ändert die Änderung die Art und Weise, wie vorhandene Kundendaten verarbeitet, gespeichert oder abgerufen werden? Ja – der Zugriff auf Inhalte über Legacy-Authentifizierungsprotokolle wird blockiert.