Das Thema Security, insbesondere die Sicherheit bei der mobilen, dezentralen Arbeit, ist ein zentraler Faktor bei der Etablierung eines Modern Workplace. In der Microsoft Umgebung lassen sich vielfältige Sicherheitseinstellungen vornehmen. In diesem Beitrag geben wir euch einen Überblick, über Möglichkeiten der Microsoft Security im Bereich Azure und Microsoft Intune.

Intelligentes Sicherheitsmanagement – ein Überblick

Im Bereich der Sicherheit gibt es vier große Themenkomplexe:

  • Identität/Identity – wer ist der Nutzer? Wer hat Zugang/Berechtigungen?
  • Geräte/Devices – mit welchen Geräten dürfen unternehmensbezogene Informationen aufgerufen werden?
  • Apps/Data – welche Apps oder Daten können genutzt werden? Welche Authentifizierung ist nötig?
  • Infrastruktur – wie sieht eure Umgebung aus?

Microsoft bietet hier eine integrierte Sicherheitskomponente. Dabei fokussieren sich die Microsoft Security Lösungen ebenfalls auf vier Bereiche:

Identitäts- und Zugangsmanagement mit Microsoft Security

Identität - ZugangsmanagementIn diesem Bereich lässt sich der kontrollierte Zugriff auf unternehmenseigene Informationen managen sowie das Identitätsmanagement verwalten.

Mögliche Anwendungen/Produkte:

  • Azure Active Directory
  • Windows Hello
  • Windows Credential Guard

Schutz vor Bedrohungen mit Microsoft Security

Geräte - Microsoft Sicherheit

Hier liegt der Fokus auf Schutz vor Eingriffen und Angriffen und der schnellen Wiederherstellung bei Angriffen.

Mögliche Anwendungen/Produkte:

  • Advanced Threat Analytics
  • Windows Defender Advanced Threat Protection
  • Office 365 Advanced
    Threat Protection

Informationssicherheit mit Microsoft Security

Information - Intune

Im Bereich Informationssicherheit geht es z.B. darum sicherzustellen, dass nur autorisierte Personen bestimmte Dokumente oder E-Mails aufrufen und lesen dürfen.

Beispielsweise

  • Azure Information Protection
  • Office 365 Data Loss Prevention
  • Microsoft Intune
  • Microsoft Cloud App Security

Allgemeines Sicherheitsmanagement mit Microsoft Security

Infrastruktur - SecurityHier geht es, um die Möglichkeit Transparenz und Kontrolle über einzelne Sicherheitsmaßnahmen und -anwendungen zu gewinnen.

Beispielsweise

  • Azure Security Center
  • Office 365 Security Center
  • Windows Defender Security Center

Secure Remote Work mit Microsoft Intune

Die Zahl der Personen, die im Home Office arbeiten, hat spätestens seit März/April 2020 stark zugenommen. Aber auch sonst arbeiten immer mehr Mitarbeiter*innen remote, also auch an anderen Orten außerhalb des Home Office. Auch Prognosen sagen weiterhin einen steigenden Trend voraus.  Des Weiteren verteilt sich die Arbeit mittlerweile auch auf unterschiedliche Geräte, angefangen vom Laptop über das Smartphone bis hin zu Tablets, was eine erhöhte Anforderung für Systemsicherheit mit sich bringt. Neben der Nutzung von unternehmenseigenen Geräten ist es außerdem nicht mehr unüblich, auch private Endgeräte für die Arbeit zu nutzen. Gerade im Bereich der First Line Worker, z.B. in Shops- oder Filialen, aber auch in der Produktion, binden Unternehmen Mitarbeiter*innen verstärkt in die Kommunikation über private Endgeräte mit ein. Die Nutzung von privaten Endgeräten stellt jedoch ein zusätzliches Sicherheits-Risiko dar.

Über das Management von Geräten, ob geschäftlich oder auch privat bei einem BYOD-Ansatz (Bring your own Device), bietet Microsoft eine Security Lösung mit Microsoft Intune.

Was ist Microsoft Intune

Microsoft Intune Logo

Microsoft Intune konzentriert sich auf die Verwaltung von mobilen Geräten und ist eine Software mit einem cloudbasierten Ansatz. Dabei kann die Nutzung von Laptops, Mobiltelefonen und Tablets bestimmt und geschützt werden. Microsoft Intune konzentriert sich auf die Verwaltung von mobilen Geräten und ist eine Software mit einem cloudbasierten Ansatz. Dabei

Mögliche Anwendungen:

  • Konfigurieren von Regeln für unternehmenseigene und private Geräte für den Zugriff auf Unternehmensdaten
  • Bereitstellen von Apps auf lokalen und mobilen Geräten
  • Steuern von Zugriffsrechten

Anwendungsbeispiele Microsoft Intune

Beispiel 1: Zugriff auf lokale E-Mails und Daten über mobile Geräte

Mit dem Microsoft Security Ansatz kann ein bedingter Zugriff auf den Exchange Server gewährleistet werden. D.h., dass der Zugriff auf mobile Apps oder E-Mails nur über Geräte, die bei Microsoft Intune registriert sind, möglich ist.

Beispiel 2: Zugriff auf O365 E-Mails und Daten über mobile Geräte

Über Microsoft Intune lässt sich hier ebenfalls ein bedingter Zugriff definieren. Es kann sichergestellt werden, dass keine Benutzer, Apps, Geräte auf O365-Dienste zugreifen können, die nicht den Anforderungen entsprechen (ausgeführte mehrstufige Authentifizierung, Registrierung bei Intune, Verwenden der verwalteten App, der unterstützten Betriebssystemversion, der Geräte-PIN, des Benutzerprofils mit geringem Risiko usw.).

Apps können konfiguriert werden, sodass z.B. in bestimmten Apps (native E-Mail-App des Geräts) oder Speicherorte (z.B. Dropbox) keine Daten geteilt werden können.

Beispiel 3: BYOD-Ansatz (Bring your own Device)

Der einfachste Weg ist es, das private Gerät bei Microsoft Intune zu registrieren. Wenn das jedoch nicht möglich ist, z.B. wenn die Mitarbeiter*innen diesem Ansatz nicht zustimmen oder der Betriebsrat keine Freigabe erteilt, kann ein alternativer BYOD-Ansatz gewählt werden.

Dabei können in Microsoft Intune nur die Apps (und nicht die Geräte) geschützt werden. D.h. alle Apps mit Bezug oder Zugriff auf Unternehmensdaten.

Dazu können in Intune unterschiedliche Schutzrichtlinien eingestellt werden.

Mobiles Arbeiten und Sicherheit

Moderne Sicherheitseinstellungen und -anwendungen erfordern einen vorherigen durchdachten Ansatz. Wir empfehlen euch, erst ein Security Konzept für Microsoft zu entwickeln, bevor ihr an das Einstellen von bedingten Zugriffen geht. Die Sicherheit der Unternehmensdaten sollte zwar für jede IT höchste Priorität haben, aber das sollte das mobile Arbeiten nicht einschränken.