Microsoft 365 Tenant Hardening: Diese Einstellungen solltet ihr sofort prüfen

Das Wichtigste in Kürze:

• Tenant Hardening ist essenziell, um Standardkonfigurationen abzusichern und Risiken zu minimieren.
• MFA, Gastzugriff, App Consents, Adminrollen und Datenfreigaben sollten gezielt überprüft und gesteuert werden.
• Regelmäßige Überwachung und Governance sind Schlüssel für eine sichere Microsoft-365-Umgebung.

Die meisten Sicherheitsvorfälle in Microsoft-365-Umgebungen sind nicht auf technische Lücken zurückzuführen, sondern auf fehlerhafte oder unvollständige Konfigurationen. Gerade kleine und mittelständische Unternehmen verlassen sich oft auf die Standardwerte – und sind dadurch anfällig für Angriffe, Datenverlust oder unautorisierte Zugriffe.

Tenant Hardening beschreibt das gezielte Absichern eures Microsoft-365-Tenants durch systematische Überprüfung und Härtung sicherheitsrelevanter Einstellungen. In diesem Beitrag zeigen wir euch, welche Konfigurationen ihr unbedingt prüfen und anpassen solltet, um eure Umgebung vor unnötigen Risiken zu schützen.

Warum Hardening in Microsoft 365 entscheidend ist

Microsoft stellt mit Microsoft 365 eine hochsichere Cloud-Infrastruktur bereit. Doch die Verantwortung für die Konfiguration liegt bei euch. Gerade durch Funktionen wie Self-Service, Gastzugang oder automatische App-Zugriffe entstehen Angriffsflächen, die ohne gezielte Steuerung schnell zum Risiko werden.

Ein gehärteter Tenant bedeutet nicht "abgeschaltet", sondern bewusst konfiguriert. Ziel ist es, Benutzerfreundlichkeit und Sicherheit in Einklang zu bringen.

1. Mehrstufige Authentifizierung (MFA) erzwingen

Warum es wichtig ist: Die MFA ist der wichtigste Schutz gegen kompromittierte Anmeldedaten. Laut Microsoft blockt MFA über 99 % aller Angriffsversuche auf Konten ab.

Beispiel für ein Angriffsszenario: Ein Benutzer fällt auf eine Phishing-Mail herein und gibt seine Anmeldedaten preis. Ohne MFA kann ein Angreifer das Konto sofort nutzen, um E-Mails weiterzuleiten, Dateien zu kopieren oder sich über Teams als dieser Benutzer auszugeben.

Was ihr prüfen solltet:

• Sind Security Defaults aktiv? (geeignet für kleine Organisationen)
• Nutzt ihr Conditional Access Policies für differenzierte MFA-Vorgaben?
• Gibt es Benutzer oder Admins ohne MFA-Anforderung?

Empfehlung: Verzichtet auf Ausnahmen. Nutzt Conditional Access, um MFA für Adminrollen, externe Benutzer und bestimmte Aktionen (z. B. Anmeldung ohne konformes Gerät) verpflichtend zu machen. Die MFA ist der wichtigste Schutz gegen kompromittierte Anmeldedaten. Laut Microsoft blockt MFA über 99 % aller Angriffsversuche auf Konten ab. In diesem Video erfahrt ihr die Grundlagen von Conditional Access:

2. Gastzugriff und B2B-Zugriffe kontrollieren

Warum es wichtig ist: Gastkonten ermöglichen flexible Zusammenarbeit – aber ohne Kontrolle auch Datenabfluss oder Schatten-IT.

Beispiel für ein Angriffsszenario: Ein ehemaliger Dienstleister bleibt mit seinem Gastkonto aktiv und lädt sensible Dokumente aus einem Teams-Kanal herunter, zu dem er nie entfernt wurde. Das wird weder erkannt noch protokolliert.

Was ihr prüfen solltet:

• Dürfen Gäste Teams/Sites erstellen oder Dateien teilen?
• Ist der Gastzugriff für Exchange, SharePoint, Teams wirklich notwendig?
• Gibt es Prozesse zur regelmäßigen Überprüfung inaktiver Gäste?

Empfehlung: Verwendet Access Reviews in Entra ID, aktiviert Guest Expiration Policies und limitiert den Zugriff über Conditional Access auf bestimmte Standorte oder Clients. Gastkonten ermöglichen flexible Zusammenarbeit – aber ohne Kontrolle auch Datenabfluss oder Schatten-IT. Und hier erfahrt ihr, wie ihr Gasteinladungen einschränken könnt:

3. Consent-Richtlinien für Drittanbieter-Apps einschränken

Warum es wichtig ist: Benutzer dürfen standardmäßig Drittanbieter-Apps OAuth-Zugriff auf M365-Daten gewähren – ohne Zustimmung der IT.

Beispiel für ein Angriffsszenario: Ein Benutzer installiert eine scheinbar harmlose Produktivitäts-App, die im Hintergrund dauerhaften Zugriff auf E-Mails, OneDrive und Kalenderdaten erhält – und die Daten an einen fremden Server überträgt.

Was ihr prüfen solltet:

• Ist User Consent deaktiviert oder auf genehmigte Apps beschränkt?
• Wird riskanter App-Zugriff per Microsoft Defender for Cloud Apps erkannt und blockiert?

Empfehlung: Verhindert allgemeine User Consents und führt einen Freigabeprozess für Anwendungen ein. Nutzt App-Governance und setzt auf blockierende Richtlinien für riskante Apps. Benutzer dürfen standardmäßig Drittanbieter-Apps OAuth-Zugriff auf M365-Daten gewähren – ohne Zustimmung der IT. Auch zu diesem Thema haben wir ein praktisches YouTube-Video parat:

4. Adminrollen und privilegierte Identitäten absichern

Warum es wichtig ist: Adminkonten sind das Hauptziel bei gezielten Angriffen. Dauerhaft zugewiesene Rollen, fehlende MFA oder keine Nachvollziehbarkeit sind ein hohes Risiko.

Beispiel für ein Angriffsszenario: Ein kompromittiertes Adminkonto mit globaler Rolle wird genutzt, um neue Benutzer mit vollständigen Zugriffsrechten anzulegen und Daten in Massen zu exportieren – ohne dass jemand sofort etwas merkt.

Was ihr prüfen solltet:

• Welche Benutzer haben globale oder sicherheitsrelevante Rollen?
• Werden Rollen dauerhaft oder temporär (PIM) vergeben?
• Gibt es ein Rollenkonzept und ein Genehmigungsverfahren?

Empfehlung: Nutzt Privileged Identity Management (PIM) in Entra ID P2 für zeitlich begrenzte Rollenzuweisungen mit Genehmigung und Nachvollziehbarkeit. Adminkonten sind das Hauptziel bei gezielten Angriffen. Dauerhaft zugewiesene Rollen, fehlende MFA oder keine Nachvollziehbarkeit sind ein hohes Risiko. Wer mit PIM durchstarten will, schaut sich am besten dieses Video an:

5. Externe Weiterleitungen blockieren

Warum es wichtig ist: Eine klassische Methode zur Datenausschleusung sind automatische Weiterleitungen von E-Mails an private Postfächer.

Beispiel für ein Angriffsszenario: Ein kompromittiertes Benutzerkonto erstellt eine Regel, die alle eingehenden Mails – inkl. vertraulicher Anhänge – automatisch an ein externes Gmail-Konto weiterleitet. Die IT merkt davon zunächst nichts.

Was ihr prüfen solltet:

• Sind Exchange Transportregeln aktiv, die externe Auto-Forwarding-Regeln blockieren?
• Gibt es Benutzer mit aktiven Weiterleitungen?

Empfehlung: Erstellt eine Transportregel, die alle automatischen externen Weiterleitungen blockiert oder protokolliert. Eine klassische Methode zur Datenexfiltration sind automatische Weiterleitungen von E-Mails an private Postfächer.

6. Verbindungs- und Anmeldedaten überwachen

Warum es wichtig ist: Ein ungewöhnlicher Anmeldeort oder eine fehlgeschlagene Anmeldung kann ein früher Indikator für kompromittierte Konten sein.

Beispiel für ein Angriffsszenario: Ein Angreifer meldet sich mitten in der Nacht von einem anonymen Proxy in Osteuropa erfolgreich bei einem Administrator-Konto an. Ohne Login-Überwachung oder Risikoeinstufung bleibt das unentdeckt.

Was ihr prüfen solltet:

• Ist die Sign-In-Protokollierung in Entra ID aktiviert?
• Nutzt ihr Entra ID Identity Protection zur Risikobewertung von Logins?
• Werden Admin-Anmeldungen zentral überwacht oder gemeldet?

Empfehlung: Richtet Warnmeldungen für riskante Anmeldungen ein und überwacht systematisch das Verhalten privilegierter Konten. Nutzt Defender-Alerts und Audit Logs. Ein ungewöhnlicher Anmeldeort oder eine fehlgeschlagene Anmeldung kann ein früher Indikator für kompromittierte Konten sein.

7. Standardfreigabeeinstellungen für SharePoint und OneDrive überdenken

Warum es wichtig ist: Über "Jeder mit dem Link" geteilte Inhalte verlassen ohne Kontrolle eure Organisation.

Beispiel für ein Angriffsszenario: Ein Mitarbeiter erstellt versehentlich einen öffentlichen Link zu einem vertraulichen Finanzreport und verschickt ihn per Teams. Der Link landet über Umwege bei externen Empfängern und ist ohne Authentifizierung abrufbar.

Was ihr prüfen solltet:

• Ist die anonyme Linkfreigabe erlaubt?
• Können Benutzer Dateien ohne Zeitlimit oder Passwort teilen?
• Gibt es eine zentrale Übersicht über aktive Freigaben?

Empfehlung: Beschränkt Linkfreigaben auf "bestimmte Personen" oder "intern", setzt Ablaufdaten und aktiviert Download-Schutz für vertrauliche Inhalte. Über "Jeder mit dem Link" geteilte Inhalte verlassen ohne Kontrolle eure Organisation. Wie ihr die Freigabeeinstellungen ändern könnt, erfahrt ihr in diesem YouTube-Video von uns:

Fazit: Tenant Hardening ist keine einmalige Aufgabe

Microsoft 365 ist ein offenes, flexibles System – und genau darin liegt seine Stärke und sein Risiko. Ein sicher konfigurierter Tenant muss bewusst gestaltet und regelmäßig überprüft werden.

Nutzt die vorhandenen Funktionen wie Conditional Access, PIM, Defender und Entra ID Protection gezielt aus. Dokumentiert eure Einstellungen, führt änderungskontrollierte Prozesse ein und bezieht Fachabteilungen in Sicherheitsfragen mit ein.

Ihr wollt eure Microsoft 365 Umgebung sichten oder professionell absichern lassen? Dann meldet euch doch über unser Kontaktformular!