What can we help you with?
< Alle Themen
Drucken

Ersteinrichtung eines Microsoft 365 Tenant – Checkliste aus Sicht des Datenschutzes und der Compliance, sowie IT Security

Veröffentlicht
Aktualisiert
VonRaphael Köllner

Es gibt leider den Irrglauben, dass ein Microsoft 365 Tenant von sich aus datenschutzkonform konfiguriert ist. Dies sollte eigentlich im Rahmen von Privacy by Design und Security by Default auch so sein, doch aus den verschiedensten Gründen ist dies nicht der Fall.

Ein Microsoft 365 Tenant ist eine Standardinstallation weltweit mit vielen Konfigurationen und Voreinstellungen, die auch den geforderten Prinzipien entspricht, aber eben nicht zu 100% den strengen Anforderungen in Europa. Es gibt keinen speziell europäischen Tenant. Ebenso verändert sich der Tenant so schnell und die Nutzung ist oft so unterschiedlich, dass man sich die Konfiguration genau anschauen muss und so konfigurieren, wie man es benötigt.

Checkliste oder einfach eine Liste zum Abhaken

Die Checkliste dient in erster Linie kleineren Unternehmen und Vereinen dazu, aber kann auch vom Mittelstand zur Ersten Einrichtung genutzt werden.

Hier meine Top 20 der Erstkonfiguration:

  1. Vertragliche Checkliste

a) Im Rahmen der Verträge muss es ein der Bezug über CSP sein.
((Für Enterprise Unternehmen reden wir hier vom EA, MBSA, MPSA in verschiedensten Kombinationen mit Zusatzverträgen))

b) Es müssen immer die aktuellsten AGB gelten:
aa) Data Protection Agreement (3-6-9 monatigen Abständen)
Abruf: https://aka.ms/DPA

bb) SLA (jeweils in 2-3 monatlichen Abständen)

cc) PT (aus dem jeweiligen Monat)

Hinweise zu den Verträgen

Nur über den CSP oder MCA Vertrag (https://aka.ms/customeragreement) erhält man die Möglichkeit, dass nur aktuelle AGB gelten und somit aus Sicht des Datenschutzes aus immer die aktuelle DPA.

Mit dem CSP kann dazu noch eine Geheimhaltung für Berufsgeheimnisträger vereinbart werden. Diese sind für Microsoft Partner hier abrufbar.

Microsoft Cloud Agreement Professional Secrecy Amendment for Germany (in englischer Sprache)

Microsoft Cloud Agreement Berufsgeheimnisträger Zusatzvereinbarung für Deutschland (DE)

Sowohl die Vereinbarung, dass immer die aktuellsten AGB gelten und auch die zusätzliche NDA ist nur über den CSP, MCA oder EA (MPSA, MBSA) abrufbar. Im direkten Bezug über Kreditkarte oder Rechnung ist dies nicht zu erhalten. Daher lohnt es sich über einen CSP die Lizenzen zu beziehen, aber hier ist die Auswahl nicht einfach, da Microsoft Partner nicht viele Schulungen zu Lizenzen erhalten, daher fragen Sie aktiv nach bevor Sie einen CSP auswählen.

Achtung auch beim Lizenzbezug für EDU, es ist ratsam keine kostenlosen Lizenzen zu nutzen, sondern erstmal mit einem bezahlten Tenant Enterprise zu agieren. Kostenlose Tenants können von Microsoft auch in die USA verschoben werden aus der EU, wenn es sich es eine hohe Last auf die Rechenzentren gibt. Dies ist für Enterprise/Business Tenants verboten.

Achtung Developer Tenant: Dieser ist nicht für den produktiven Betrieb zugelassen. Es ist daher nicht ratsam einen Tenant zu erstellen, der alle 90 Tage verlängert werden muss und auch ohne weitreichende Gründe von Microsoft deaktiviert werden kann. Zwar kann man diesen in einen produktiven Tenant umwandeln, aber mehr als ein Developer und Testtenant ist dieser bitte nicht.

2. Organisatorische Checkliste

Dies sollte/muss bei der Ersteinrichtung erfolgen

  • Datenschutzerklärung erstellen und hinterlegen
  • Rollen bestimmen
    • Produktowner (wer leitet die Einführung und Betrieb)
    • ggf. Produktowner für Exchange, SharePoint und Teams inkl. Telefonie
    • IT Security Specialist
  • Prozesse einrichten
    • Betroffenenanfragen beantworten
    • eDiscovery und Content Search (Wer macht was?)
    • Umgang mit Evergreenansatz
    • Kontakt und Prozess mit dem Betriebsrat

Dies kann etwas später erfolgen

  • Nutzungsbedingungen verfassen und ggf. per AAD Terms of Use hinterlegen
  • Governance für SharePoint Sites / Teams und Chats

3. Technische Checkliste

a) Standort des Tenants

Beim Anlegen ist es wichtig den Tenant aus Deutschland anzulegen, um einen Tenant aus Frankfurt zu erhalten.

    b) Domain hinzufügen

    Es ist wichtig zunächst eine eigene Domain hinzuzufügen. Dies ermöglicht es dann Benutzer, geteilte Mailboxen usw. korrekt mit der Domain anzulegen.

    https://learn.microsoft.com/de-de/microsoft-365/admin/setup/add-domain?view=o365-worldwide

    c) Achtung Global Admin & Breaking Glass Account

    Der Global Admin, oft der erste Account, muss die original Domain mit xx.onmicrosoft.com behalten, sollte es mal Probleme mit euer Domain geben.

    Dazu gilt es einen Breaking-Glass Account einzurichten. Dieser dienst dazu als Notanker zu fungieren, wenn ihr mit keinen Account mehr in eueren Tenant kommt. Dieser sollte immer eine andere Loginmethode besitzen und im Tresor landen.

    https://learn.microsoft.com/de-de/azure/active-directory/roles/security-emergency-access

    d) Benutzer und MFA einrichten

    In einem weiteren Schritt legt ihr Benutzer an und aktiviert MFA. Alle NutzerInnen inklusive der Admins sollten über MFA verfügen. Es lohnt sich MFA nach den ersten 7 Tagen der Einrichtung zu aktivieren. Microsoft nimmt dies einige Tage später automatisch vor.

    Benutzer erhalten in der Regel die folgende Kennung:

    vorname.nachname@domain.de oder auch VNachname@domain.de

    e) geteilte Mailboxen und Ressourcen Postfächer

    In einem nächsten Schritt legt ihr geteilte Mailboxen z.B. als Gruppenpostfächer an für Kontaktadressen, wie :

    info@ oder auch contact@ oder datenschutz@

    f) Datenhaltung – Überlegungen und Einrichtung

    Bevor es nun weiter geht heißt es sich Gedanken über die Datenhalten zu machen. Wo wollt ihr Daten speichern und wo diese ablegen. Die Hauptfrage ist wo speichert ihr die Daten und wo sollen diese aufbewahrt werden. In der Regel soll Microsoft 365 das neue Hauptwerkzeug sein und lokale Speicherplätze nicht mehr genutzt. Also ist die Regel, dort archivieren und speichern, wo die Datei entsteht ODER alles in eine gesonderte SharePoint Online Site Collection zu schieben und diese als Archiv zu nutzen. In der Regel für KMUs speichert man dort, wo die Dateien entstehen und setzt dann eine Retention Policy von 10 Jahre auf Teams, Exchange Postfächer und SharePoint Sites.

    Achtung Ausnahme: Bewerberpostfach -> 6 Monate und dann automatisch Löschen per Retention Policy

    Backup

    Die Frage des Backups ist eine essenzielle Frage und eine der Regulatorik. In diesem Fall gehen wir davon aus, dass weder eine Bafin noch eine andere Behörde eure Aufsicht ist. Microsoft hat eine SLA von 99,8% und ein RTO in der Regel von 0-4h, sowie feste und zertfizierte Wiedererstellungsprozesse. Jedoch lern man nie aus: Backup einrichten für Exchange und SharePoint! (z.B. per Qnap oder Synology oder VEEAM)

    g) Microsoft Teams

    folgende Parameter gehören zur Ersteinrichtung:

    • Teams für Externe freigeben
    • Teams Besprechungen: Datenschutz, Logo und Informationen hinterlegen
    • Teams Policies für Benutzer, Externe und Besprechungen und Live Events einrichten. Es ist ratsam erstmal eingeschränkt zu beginnen.

    f) Grundkonfiguration Azure Active Directory

    • MFA aktivieren für alle Nutzer
    • Nutzer dürfen keine Apps oder Geräte einbinden
    • LinkedIn Verknüfpung nicht zulassen
    • Verwaltungsportal anzeigen: nein
    • Externe User
      • Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung).
      • Mitgliedsbenutzer (Gastbenutzer mit Mitgliedsberechtigungen eingeschlossen) und Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen
      • Self-Service-Registrierung von Gästen über Benutzerflows aktivieren (nein)
      • Externen Benutzern erlauben, sich selbst aus Ihrer Organisation zu entfernen (empfohlen) (ja)
      • Einladungen nur für die angegebenen Domänen zulassen (restriktivste Einstellung)
    • Azure Dev Ops: deaktivieren, dass User Azure Dev Ops Umgebungen bauen können. HIer zuänchst sich selber den Admin geben, dann ins Portal wechseln und dann die Funktion nur für eine SIcherheitsgruppe (ohen User) aktivieren.

    h) Config.office.com Konfiguration

    • Feedback deaktivieren
    • Telemetrie und Diagnosedaten auf Minimum reduzieren
    • Office Scripte deaktivieren
    • Anonymse User alles deaktivieren
    • Benuzter können keine Sicherheitsgruppen erstellen
    • Gäste haben keine weiteren Rechte, können nichts erstellen

    i) Zusatzkonfiguration Parameter

    • Umsetzung Lösch- und Sperrkonzept mit Purview Data Lifecycle und Record Manager
    • Umsetzung Datenklassifikation mit Purview Information Protection (z.B. TISAX oder ISO 27001 (Public, Internal, Secure, High Secure oder auch Schutzstufenkonzept des Datenschutzes oder auch nur zumindest: secure intern + Secure intern & extern. Das Ganze greift zunächst manuell für alle BenutzerInnen für Dateinen und Emails, dann auch für Teams & Groups und dann mit Teams Premium auch für Besprechungen und Termine.
    • PIM nutzen
      Bei PIM benötigt ihr AAD P2 und es ermöglicht es euch den Administratoren oder auch Nutzern nur die Rechte zu der Zeit mit Begründung und Log zu geben, wenn man es benötigt.

    Teilen im SharePoint Admincenter

    • Teilen nur zu bekannten Domains
    • keine anonymes Teilen erlaubt
    • OneDrive und SharePoint teilen nur für bekannte Gäste und intern
    • Benachrichtigungen alle aktivieren
    • Gäste könne nicht für andere Dateien Eigentümer werden.

    j) Grundkonfiguraton Security

    • MFA für alle BenutzerInnen aktivieren (hin zu Zero Trust)
    • Defender for Office 365 -> safe Attachments und safe Links aktivieren
    • Quarantäne in Exchange Online aktivieren und Nutzer sollen zunächst entschreiden können
    • Warnungen und Benachrichtigungen aktivieren (default zunächst nutzen)
    • Identity Protection -> wenn AAD P2 Plan zunächst aktvieren und 2 Admins zur Kontrolle und Warnungen einrichten
    • Anmeldung per Conditional Access auf Deutschland begrenzen und alle anderen blocken, oder ggf. hier Lokationen einrichten

    k) Grundkonfiguration Datenschutz

    • Purview: Überwachungsprotokolle aktivieren
    • Deaktivieren alle Produkte, die man nicht benötigt, sowie im M365 Admincenter unter Einstellungen der Organisation
      • Azure Speach
      • Cortana
      • Berichte von Viva deaktvieren
      • Whiteboard (Telemetrie und verbundene Dienste deaktivieren)
      • Kalender nur intern teilen und nicht nach Außen
      • Sway deaktivieren
      • Viva Insights deaktivieren
      • Suche und Interligente Suche deaktvieren
      • Zustimmung von Benutzern zu Apps deaktivieren
    • Berichte pseudonomisieren
    • Produktivity Score deaktiviert lassen
    • M365 Admin Center: 1. Datenschutzerkärung hinterlegen, 2. Supportmail eingeben 3. Datenschutzpostfach eingeben, Organisationsprofil ausfüllen und prüfen.

    Veröffentlicht
    Aktualisiert
    Schlagwörter:
    Inhaltsverzeichnis