· Henning Scholand · Blog  · 2 Min. Lesezeit

Zero Trust in Microsoft 365 - Ein Praxisleitfaden

Wie Sie eine Zero-Trust-Architektur in Ihrer Microsoft 365-Umgebung implementieren und warum das Prinzip 'Never Trust, Always Verify' heute unverzichtbar ist.

Wie Sie eine Zero-Trust-Architektur in Ihrer Microsoft 365-Umgebung implementieren und warum das Prinzip 'Never Trust, Always Verify' heute unverzichtbar ist.

Die klassische Perimeter-Sicherheit reicht längst nicht mehr aus. In einer Welt, in der Mitarbeiter von überall arbeiten und Daten in der Cloud liegen, brauchen wir einen grundlegend anderen Ansatz: Zero Trust.

Was bedeutet Zero Trust?

Zero Trust basiert auf einem einfachen Prinzip: Vertraue niemandem, verifiziere alles. Jeder Zugriff wird überprüft, unabhängig davon, ob er von innerhalb oder außerhalb des Netzwerks kommt.

Die drei Grundpfeiler:

  1. Explizite Verifizierung - Authentifiziere und autorisiere immer basierend auf allen verfügbaren Datenpunkten
  2. Least Privilege Access - Beschränke den Zugriff mit Just-in-Time und Just-Enough-Access
  3. Assume Breach - Gehe davon aus, dass ein Breach bereits stattgefunden hat

Conditional Access als Herzstück

Conditional Access Policies in Azure AD sind das zentrale Steuerungselement einer Zero-Trust-Architektur in Microsoft 365:

# Beispiel: Conditional Access Policy erstellen
New-AzureADMSConditionalAccessPolicy -DisplayName "Require MFA for All Users" `
  -State "Enabled" `
  -Conditions @{
    Users = @{ IncludeUsers = "All" }
    Applications = @{ IncludeApplications = "All" }
  } `
  -GrantControls @{
    Operator = "OR"
    BuiltInControls = @("mfa")
  }

Schritte zur Implementierung

1. Identität absichern

  • Multi-Factor Authentication (MFA) für alle Benutzer aktivieren
  • Passwortlose Authentifizierung einführen (FIDO2, Windows Hello)
  • Privileged Identity Management (PIM) konfigurieren

2. Geräte verwalten

  • Microsoft Intune für Device Compliance nutzen
  • Conditional Access Policies an Gerätestatus knüpfen
  • App Protection Policies für BYOD-Szenarien

3. Daten klassifizieren

  • Microsoft Information Protection Labels einrichten
  • Data Loss Prevention (DLP) Policies konfigurieren
  • Sensitivity Labels automatisch zuweisen

Fazit

Zero Trust ist kein Produkt, das man kauft, sondern eine Reise. Beginnen Sie mit den Grundlagen - MFA und Conditional Access - und erweitern Sie schrittweise. Microsoft 365 bietet alle Werkzeuge, die Sie brauchen.

Teilen:
Zum Blog

Ähnliche Artikel

Alle Artikel »
Stalwart — selbstgehosteter Mail-Server in Rust

Stalwart — selbstgehosteter Mail-Server in Rust

Mailcow war mir zu schwer, Mailu zu eingeschränkt. Stalwart ist eine einzelne Binary in Rust, die SMTP, IMAP, JMAP, CalDAV und CardDAV gleichzeitig beherrscht — und dabei weniger RAM braucht als Mailcow allein für Redis.