IT Service Wagner LogoIT Service Wagner
    Notdienst erreichbar·02635 788886-0
    ZurückSoftware 30.4.2026 9 Min. Lesezeit IT Service Wagner

    Microsoft 365 sicher einrichten: Die wichtigsten Einstellungen für Unternehmen

    Microsoft 365 Sicherheit Unternehmen: sicher einrichten statt nur Lizenzen verwalten

    Microsoft 365 ist in vielen Unternehmen längst die zentrale Arbeitsplattform. E-Mails laufen über Exchange Online, Dateien liegen in SharePoint und OneDrive, Teams ersetzt interne Telefonate und Besprechungen, Geräte melden sich über Microsoft Entra ID an. Genau deshalb ist Microsoft 365 ein attraktives Ziel für Angriffe. Wer Zugriff auf ein Benutzerkonto erhält, kann oft E-Mails lesen, Rechnungen manipulieren, Daten herunterladen oder interne Freigaben missbrauchen. Die gute Nachricht: Microsoft 365 bringt viele wirksame Sicherheitsfunktionen bereits mit. Die schlechte Nachricht: Viele davon müssen sauber geplant, aktiviert und regelmäßig kontrolliert werden. Eine sichere Umgebung entsteht nicht dadurch, dass ein Mandant angelegt und Postfächer migriert werden. Sie entsteht durch konsequente Administration. Dieser Beitrag zeigt, welche Einstellungen für Unternehmen besonders wichtig sind, welche Fehler in der Praxis häufig auftreten und wann externe Unterstützung bei der Microsoft 365 Administration sinnvoll ist.

    Warum die Standardkonfiguration oft nicht ausreicht

    Microsoft stellt mit Microsoft 365, insbesondere mit Business Premium und den Enterprise-Plänen, eine breite Sicherheitsbasis bereit. Dazu gehören mehrstufige Anmeldung, Bedrohungsschutz, Geräteverwaltung, Richtlinien für Datenverlustprävention und Funktionen aus Microsoft Defender sowie Microsoft Purview. Auch das BSI weist regelmäßig darauf hin, dass Office- und Cloud-Umgebungen sicher konfiguriert werden müssen, um typische Angriffsflächen zu reduzieren. In der Praxis bleiben aber viele Mandanten über Jahre historisch gewachsen. Alte Benutzerkonten sind aktiv, globale Administratoren arbeiten im Tagesgeschäft mit vollen Rechten, MFA ist nur teilweise aktiviert, Freigaben in SharePoint sind zu offen und Sicherheitswarnungen werden nicht ausgewertet. Solche Lücken entstehen selten aus Nachlässigkeit. Häufig fehlen Zeit, Zuständigkeit oder ein klares Sicherheitskonzept. Für Unternehmen bedeutet das: Microsoft 365 Sicherheit ist kein einmaliges Projekt, sondern ein administrativer Prozess. Es geht um Identitäten, Geräte, E-Mail-Schutz, Daten, Berechtigungen, Protokollierung und Notfallfähigkeit.

    1. Identitäten absichern: MFA ist Pflicht, aber nicht allein genug

    Der wichtigste Schutz in Microsoft 365 ist die Absicherung der Benutzerkonten. Gestohlene Passwörter sind weiterhin einer der häufigsten Einstiege in Unternehmensumgebungen. Deshalb sollte Multi-Faktor-Authentifizierung für alle Benutzer aktiv sein, nicht nur für Führungskräfte oder Administratoren. Für Unternehmen ist dabei wichtig, MFA nicht einfach irgendwie einzuschalten, sondern sauber umzusetzen:

    • MFA für alle Benutzer verpflichtend aktivieren
    • moderne Authentifizierung erzwingen
    • veraltete Protokolle wie POP, IMAP und SMTP AUTH kritisch prüfen oder deaktivieren
    • unsichere MFA-Methoden vermeiden, wenn stärkere Alternativen möglich sind
    • Registrierung der Sicherheitsinformationen kontrollieren
    • Notfallzugänge separat planen Besonders empfehlenswert ist der Einsatz von Conditional Access, sofern die Lizenzierung dies erlaubt. Damit lassen sich Regeln definieren, zum Beispiel MFA bei externem Zugriff, Blockierung aus bestimmten Ländern, Zugriff nur von verwalteten Geräten oder zusätzliche Prüfung bei riskanten Anmeldungen. Wichtig: Conditional Access sollte immer getestet werden. Eine falsch gesetzte Richtlinie kann Benutzer aussperren oder Geschäftsprozesse stören. Für Administratoren sollte es mindestens ein streng geschütztes Notfallkonto geben, das nicht für den Alltag verwendet wird und dessen Nutzung überwacht wird.

    2. Administratorrechte begrenzen und sauber trennen

    Ein häufiger Fehler in Microsoft 365 Mandanten ist die zu großzügige Vergabe von Administratorrechten. Globale Administratorrechte werden oft vergeben, weil es schnell geht. Aus Sicherheitssicht ist das problematisch. Wird ein solches Konto kompromittiert, hat ein Angreifer nahezu vollständige Kontrolle über die Umgebung. Unternehmen sollten das Prinzip der minimalen Rechte konsequent anwenden. Nicht jeder IT-Mitarbeiter benötigt globale Administratorrechte. Für viele Aufgaben reichen Rollen wie Exchange-Administrator, Benutzeradministrator, Teams-Administrator oder Sicherheitsleseberechtigter. Sinnvolle Maßnahmen sind:

    • Anzahl globaler Administratoren auf wenige Konten reduzieren
    • separate Admin-Konten für administrative Aufgaben verwenden
    • keine täglichen Office-Arbeiten mit Admin-Konten durchführen
    • Admin-Konten mit starker MFA absichern
    • privilegierte Rollen regelmäßig überprüfen
    • Rollenänderungen dokumentieren In größeren Umgebungen kann Privileged Identity Management sinnvoll sein. Damit werden privilegierte Rechte nicht dauerhaft vergeben, sondern nur zeitlich begrenzt aktiviert. Das reduziert das Risiko erheblich.

    3. E-Mail-Sicherheit richtig konfigurieren

    E-Mail ist weiterhin ein Hauptangriffsweg. Phishing, Schadanhänge, gefälschte Rechnungen und manipulierte Links treffen Unternehmen täglich. Exchange Online Protection bietet eine Grundabsicherung. Je nach Lizenz kommen Funktionen aus Microsoft Defender for Office 365 hinzu, etwa Safe Links, Safe Attachments, Anti-Phishing-Richtlinien und Schutz vor Identitätsmissbrauch. Eine sichere E-Mail-Konfiguration umfasst mehrere Ebenen:

    • SPF, DKIM und DMARC für die eigene Domain einrichten
    • Anti-Phishing-Richtlinien für besonders gefährdete Benutzer aktivieren
    • Schutz vor gefälschten Absendern konfigurieren
    • Safe Links und Safe Attachments aktivieren
    • Quarantäneprozesse verständlich regeln
    • automatische Weiterleitungen nach extern prüfen oder blockieren
    • Postfachregeln auf verdächtige Weiterleitungen kontrollieren Gerade automatische Weiterleitungen sind kritisch. Angreifer richten nach einer Kontoübernahme oft Regeln ein, die eingehende Nachrichten unbemerkt an externe Postfächer senden oder bestimmte E-Mails löschen. Solche Regeln sollten regelmäßig geprüft werden. Auch die Benutzerperspektive ist wichtig. Zu aggressive Filter sorgen dafür, dass Mitarbeitende Schutzmechanismen umgehen wollen. Zu schwache Filter lassen gefährliche Nachrichten durch. Eine gute Administration findet eine Balance und kontrolliert die Wirksamkeit über Berichte und Sicherheitsmeldungen.

    4. Geräteverwaltung mit Intune: Zugriff nur von vertrauenswürdigen Geräten

    Microsoft 365 Sicherheit endet nicht beim Benutzerkonto. Wenn Mitarbeitende von privaten, ungepatchten oder verlorenen Geräten auf Unternehmensdaten zugreifen, entsteht ein erhebliches Risiko. Microsoft Intune ermöglicht die Verwaltung von Windows-Geräten, mobilen Geräten und Apps. Für Unternehmen sind insbesondere diese Punkte relevant:

    • Geräte registrieren und Compliance-Richtlinien definieren
    • Festplattenverschlüsselung mit BitLocker erzwingen
    • Bildschirmsperre und PIN-Vorgaben konfigurieren
    • Betriebssystem-Updates und Sicherheitsupdates steuern
    • Microsoft Defender Antivirus überwachen
    • Zugriff auf Microsoft 365 nur von konformen Geräten erlauben
    • Unternehmensdaten auf mobilen Geräten per App-Schutzrichtlinien absichern Nicht jedes Unternehmen muss sofort ein vollständig automatisiertes Modern Workplace Konzept einführen. Aber ein Mindeststandard sollte definiert sein. Dazu gehört, dass Geräte inventarisiert, aktualisiert, verschlüsselt und bei Verlust aus der Ferne gesperrt oder gelöscht werden können. Bei Bring Your Own Device ist besondere Vorsicht nötig. Hier sollten private Geräte nicht unkontrolliert vollen Zugriff auf Unternehmensdaten erhalten. App-Schutzrichtlinien können verhindern, dass geschäftliche Daten in private Apps kopiert oder unverschlüsselt gespeichert werden.

    5. SharePoint, OneDrive und Teams: Freigaben begrenzen

    In Microsoft 365 werden Dateien schnell geteilt. Das ist produktiv, kann aber gefährlich werden. Viele Sicherheitsprobleme entstehen nicht durch einen technischen Angriff, sondern durch zu offene Freigaben. Anonyme Links, externe Gäste, alte Teams und unkontrollierte SharePoint-Berechtigungen führen dazu, dass Daten weiter zugänglich bleiben, als beabsichtigt. Unternehmen sollten klare Regeln für Zusammenarbeit festlegen:

    • anonyme Freigabelinks einschränken oder deaktivieren
    • externe Freigaben nur für definierte Gruppen erlauben
    • Ablaufdaten für Freigabelinks verwenden
    • Gastzugriffe regelmäßig überprüfen
    • Teams und SharePoint-Websites mit Verantwortlichen versehen
    • Berechtigungen nicht dauerhaft über Einzelpersonen pflegen
    • sensible Bereiche besonders schützen Eine bewährte Praxis ist die Unterscheidung zwischen interner Zusammenarbeit, externer Projektarbeit und besonders schützenswerten Daten. Nicht jeder Bereich braucht dieselben Freigaberegeln. Ein allgemeines Team für interne Informationen darf anders konfiguriert sein als ein Bereich für Personalunterlagen, Verträge oder Geschäftsführung.

    6. Daten schützen mit Microsoft Purview und Aufbewahrungsregeln

    Sicherheit bedeutet nicht nur Angriffe abzuwehren. Unternehmen müssen auch wissen, wo sensible Daten liegen, wer darauf zugreifen kann und wie lange Informationen aufbewahrt werden. Microsoft Purview unterstützt dabei mit Funktionen für Vertraulichkeitsbezeichnungen, Datenklassifizierung, Aufbewahrung und Data Loss Prevention. Für den Einstieg sind folgende Maßnahmen sinnvoll:

    • sensible Datentypen identifizieren, etwa personenbezogene Daten oder Finanzdaten
    • Vertraulichkeitsbezeichnungen für Dokumente und E-Mails einführen
    • einfache DLP-Regeln für besonders kritische Daten prüfen
    • Aufbewahrungsrichtlinien für E-Mails und Dateien definieren
    • Löschkonzepte mit Datenschutz und Fachbereichen abstimmen Wichtig ist, Purview nicht zu technisch einzuführen. Wenn Mitarbeitende nicht verstehen, welche Kennzeichnung wann zu verwenden ist, bleibt die Wirkung gering. Besser sind wenige, klare Labels als ein komplexes Regelwerk, das niemand anwendet.

    7. Protokollierung, Secure Score und Sicherheitswarnungen nutzen

    Viele Unternehmen aktivieren Sicherheitsfunktionen, werten die Ergebnisse aber nicht aus. Dabei liefern Microsoft 365 Defender, Entra ID, Exchange Admin Center und der Microsoft Secure Score wichtige Hinweise. Sie zeigen riskante Anmeldungen, Malware-Funde, verdächtige Postfachregeln, unsichere Konfigurationen und Empfehlungen zur Verbesserung. Für die Administration sollten feste Routinen definiert werden:

    • Sicherheitswarnungen regelmäßig prüfen
    • riskante Benutzer und Anmeldungen auswerten
    • Audit-Logs aktivieren und Aufbewahrung klären
    • Secure Score als Orientierung nutzen, nicht blind als Zielwert
    • Änderungen an Richtlinien dokumentieren
    • monatliche Sicherheitsreviews durchführen Der Secure Score ist hilfreich, ersetzt aber keine fachliche Bewertung. Nicht jede Empfehlung passt zu jedem Unternehmen. Manche Einstellungen können Abläufe beeinträchtigen oder zusätzliche Lizenzen erfordern. Entscheidend ist, Risiken bewusst zu bewerten und nachvollziehbar zu entscheiden.

    8. Backup, Wiederherstellung und Notfallzugriff realistisch planen

    Ein verbreiteter Irrtum lautet: Microsoft 365 ist in der Cloud, also ist automatisch alles gesichert. Microsoft sorgt für die Verfügbarkeit der Plattform, aber Unternehmen bleiben für Daten, Berechtigungen, Fehlbedienungen und viele Wiederherstellungsszenarien selbst verantwortlich. Papierkorb, Versionsverlauf und Aufbewahrungsrichtlinien helfen, ersetzen aber nicht in jedem Fall eine separate Backup-Strategie. Besonders bei versehentlichem Löschen, kompromittierten Konten, Ransomware-Folgen oder langfristigen Aufbewahrungspflichten sollte geprüft werden, ob ein ergänzendes Microsoft 365 Backup erforderlich ist. Ein Notfallkonzept sollte enthalten:

    • Wiederherstellung gelöschter Benutzer, Postfächer und Dateien
    • Umgang mit kompromittierten Konten
    • Sperrung aktiver Sitzungen
    • Prüfung von Postfachregeln und OAuth-App-Berechtigungen
    • Wiederherstellung kritischer Daten
    • klare Zuständigkeiten und Eskalationswege Im Ernstfall zählt nicht nur Technik, sondern Geschwindigkeit. Wer erst während eines Sicherheitsvorfalls klärt, wer Zugriff auf welche Admin-Konsole hat, verliert wertvolle Zeit.

    Typische Fehler bei der Microsoft 365 Administration

    Aus der Praxis lassen sich mehrere wiederkehrende Fehler beobachten. Viele sind leicht vermeidbar, wenn Microsoft 365 nicht nur als Office-Paket betrachtet wird, sondern als zentrale Unternehmensplattform. Häufige Schwachstellen sind:

    • MFA ist nicht für alle Benutzer aktiv
    • globale Administratoren werden im Alltag genutzt
    • alte Konten ehemaliger Mitarbeitender bleiben aktiv
    • externe Freigaben werden nicht kontrolliert
    • automatische E-Mail-Weiterleitungen sind erlaubt
    • Geräte sind nicht verwaltet oder nicht verschlüsselt
    • Sicherheitswarnungen laufen ins Leere
    • Lizenzen enthalten Sicherheitsfunktionen, die nicht aktiviert sind
    • Berechtigungen in Teams und SharePoint sind unübersichtlich
    • es gibt kein dokumentiertes Notfallverfahren Gerade kleine und mittlere Unternehmen nutzen oft Microsoft 365 Business Premium, schöpfen aber die enthaltenen Sicherheitsfunktionen nicht aus. Das ist schade, denn viele wirksame Maßnahmen sind bereits lizenziert und müssen nur fachgerecht konfiguriert werden.

    Wann externe IT-Hilfe sinnvoll ist

    Microsoft 365 kann intern administriert werden, wenn ausreichend Know-how, Zeit und klare Verantwortlichkeiten vorhanden sind. Externe Unterstützung ist sinnvoll, wenn die Umgebung gewachsen ist, Sicherheitsfunktionen unklar sind oder ein konkreter Anlass besteht, etwa ein Sicherheitsvorfall, eine Migration, ein Audit oder neue Datenschutzanforderungen. Ein IT-Dienstleister kann insbesondere bei folgenden Aufgaben helfen:

    • Sicherheitscheck des bestehenden Microsoft 365 Mandanten
    • Bewertung von Lizenzen und aktivierbaren Schutzfunktionen
    • Einführung von MFA und Conditional Access
    • Absicherung von Administratorrollen
    • Konfiguration von Defender for Office 365
    • Einrichtung von Intune und Geräte-Compliance
    • Prüfung von SharePoint- und Teams-Freigaben
    • Aufbau von Backup- und Notfallprozessen
    • laufende Administration und Monitoring Wichtig ist dabei ein pragmatischer Ansatz. Nicht jedes Unternehmen braucht sofort die maximal komplexe Sicherheitsarchitektur. Entscheidend ist ein tragfähiger Grundschutz, der zum Arbeitsalltag passt und später ausgebaut werden kann. IT Service Wagner unterstützt Unternehmen genau an dieser Stelle, mit administrativer Erfahrung, strukturierter Umsetzung und Blick auf die tatsächlichen Geschäftsprozesse.

    Fazit: Microsoft 365 Sicherheit ist Administrationsarbeit

    Microsoft 365 bietet Unternehmen eine starke Plattform, aber Sicherheit entsteht erst durch richtige Konfiguration und kontinuierliche Pflege. MFA, Conditional Access, begrenzte Adminrechte, E-Mail-Schutz, Geräteverwaltung, kontrollierte Freigaben, Datensicherheit und Protokollierung gehören zusammen. Wer diese Bereiche sauber administriert, reduziert das Risiko von Kontoübernahmen, Datenabfluss und Betriebsunterbrechungen deutlich. Der wichtigste Schritt ist eine ehrliche Bestandsaufnahme: Welche Funktionen sind bereits aktiv, welche Lücken bestehen und welche Maßnahmen bringen den größten Sicherheitsgewinn? Für Unternehmen ist Microsoft 365 Sicherheit kein theoretisches IT-Thema. Es schützt Kommunikation, Kundendaten, Verträge, Rechnungsprozesse und die tägliche Zusammenarbeit. Genau deshalb lohnt es sich, den Mandanten nicht nur zu betreiben, sondern professionell abzusichern.

    Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Website zu bieten und unseren Datenverkehr zu analysieren. Datenschutzerklärung