Ersteinrichtung eines Microsoft 365 Tenant – Checkliste aus Sicht des Datenschutzes und der Compliance, sowie IT Security
Veröffentlicht
Juli 3, 2023
Aktualisiert
Juli 3, 2023
Von
Quelle: rakoellner, https://compliance-center.net/knowledge-base/ersteinrichtung-eines-microsoft-365-tenant-checkliste-aus-sicht-des-datenschutzes-und-der-compliance-sowie-it-security
Es gibt leider den Irrglauben, dass ein Microsoft 365 Tenant von sich aus datenschutzkonform konfiguriert ist. Dies sollte eigentlich im Rahmen von Privacy by Design und Security by Default auch so sein, doch aus den verschiedensten Gründen ist dies nicht der Fall.
Ein Microsoft 365 Tenant ist eine Standardinstallation weltweit mit vielen Konfigurationen und Voreinstellungen, die auch den geforderten Prinzipien entspricht, aber eben nicht zu 100% den strengen Anforderungen in Europa. Es gibt keinen speziell europäischen Tenant. Ebenso verändert sich der Tenant so schnell und die Nutzung ist oft so unterschiedlich, dass man sich die Konfiguration genau anschauen muss und so konfigurieren, wie man es benötigt.
Checkliste oder einfach eine Liste zum Abhaken
Die Checkliste dient in erster Linie kleineren Unternehmen und Vereinen dazu, aber kann auch vom Mittelstand zur Ersten Einrichtung genutzt werden.
Hier meine Top 20 der Erstkonfiguration:
Vertragliche Checkliste
a) Im Rahmen der Verträge muss es ein der Bezug über CSP sein.
((Für Enterprise Unternehmen reden wir hier vom EA, MBSA, MPSA in verschiedensten Kombinationen mit Zusatzverträgen))
b) Es müssen immer die aktuellsten AGB gelten:
aa) Data Protection Agreement (3-6-9 monatigen Abständen)
Abruf: https://aka.ms/DPA
bb) SLA (jeweils in 2-3 monatlichen Abständen)
cc) PT (aus dem jeweiligen Monat)
Hinweise zu den Verträgen
Nur über den CSP oder MCA Vertrag (https://aka.ms/customeragreement) erhält man die Möglichkeit, dass nur aktuelle AGB gelten und somit aus Sicht des Datenschutzes aus immer die aktuelle DPA.
Mit dem CSP kann dazu noch eine Geheimhaltung für Berufsgeheimnisträger vereinbart werden. Diese sind für Microsoft Partner hier abrufbar.
Microsoft Cloud Agreement Professional Secrecy Amendment for Germany (in englischer Sprache)
Microsoft Cloud Agreement Berufsgeheimnisträger Zusatzvereinbarung für Deutschland (DE)
Sowohl die Vereinbarung, dass immer die aktuellsten AGB gelten und auch die zusätzliche NDA ist nur über den CSP, MCA oder EA (MPSA, MBSA) abrufbar. Im direkten Bezug über Kreditkarte oder Rechnung ist dies nicht zu erhalten. Daher lohnt es sich über einen CSP die Lizenzen zu beziehen, aber hier ist die Auswahl nicht einfach, da Microsoft Partner nicht viele Schulungen zu Lizenzen erhalten, daher fragen Sie aktiv nach bevor Sie einen CSP auswählen.
Achtung auch beim Lizenzbezug für EDU, es ist ratsam keine kostenlosen Lizenzen zu nutzen, sondern erstmal mit einem bezahlten Tenant Enterprise zu agieren. Kostenlose Tenants können von Microsoft auch in die USA verschoben werden aus der EU, wenn es sich es eine hohe Last auf die Rechenzentren gibt. Dies ist für Enterprise/Business Tenants verboten.
Achtung Developer Tenant: Dieser ist nicht für den produktiven Betrieb zugelassen. Es ist daher nicht ratsam einen Tenant zu erstellen, der alle 90 Tage verlängert werden muss und auch ohne weitreichende Gründe von Microsoft deaktiviert werden kann. Zwar kann man diesen in einen produktiven Tenant umwandeln, aber mehr als ein Developer und Testtenant ist dieser bitte nicht.
2. Organisatorische Checkliste
Dies sollte/muss bei der Ersteinrichtung erfolgen
Datenschutzerklärung erstellen und hinterlegen
Rollen bestimmen
Produktowner (wer leitet die Einführung und Betrieb)
ggf. Produktowner für Exchange, SharePoint und Teams inkl. Telefonie
IT Security Specialist
Prozesse einrichten
Betroffenenanfragen beantworten
eDiscovery und Content Search (Wer macht was?)
Umgang mit Evergreenansatz
Kontakt und Prozess mit dem Betriebsrat
Dies kann etwas später erfolgen
Nutzungsbedingungen verfassen und ggf. per AAD Terms of Use hinterlegen
Governance für SharePoint Sites / Teams und Chats
3. Technische Checkliste
a) Standort des Tenants
Beim Anlegen ist es wichtig den Tenant aus Deutschland anzulegen, um einen Tenant aus Frankfurt zu erhalten.
b) Domain hinzufügen
Es ist wichtig zunächst eine eigene Domain hinzuzufügen. Dies ermöglicht es dann Benutzer, geteilte Mailboxen usw. korrekt mit der Domain anzulegen.
https://learn.microsoft.com/de-de/microsoft-365/admin/setup/add-domain?view=o365-worldwide
c) Achtung Global Admin & Breaking Glass Account
Der Global Admin, oft der erste Account, muss die original Domain mit xx.onmicrosoft.com behalten, sollte es mal Probleme mit euer Domain geben.
Dazu gilt es einen Breaking-Glass Account einzurichten. Dieser dienst dazu als Notanker zu fungieren, wenn ihr mit keinen Account mehr in eueren Tenant kommt. Dieser sollte immer eine andere Loginmethode besitzen und im Tresor landen.
https://learn.microsoft.com/de-de/azure/active-directory/roles/security-emergency-access
d) Benutzer und MFA einrichten
In einem weiteren Schritt legt ihr Benutzer an und aktiviert MFA. Alle NutzerInnen inklusive der Admins sollten über MFA verfügen. Es lohnt sich MFA nach den ersten 7 Tagen der Einrichtung zu aktivieren. Microsoft nimmt dies einige Tage später automatisch vor.
Benutzer erhalten in der Regel die folgende Kennung:
vorname.nachname@domain.de oder auch VNachname@domain.de
e) geteilte Mailboxen und Ressourcen Postfächer
In einem nächsten Schritt legt ihr geteilte Mailboxen z.B. als Gruppenpostfächer an für Kontaktadressen, wie :
info@ oder auch contact@ oder datenschutz@
f) Datenhaltung – Überlegungen und Einrichtung
Bevor es nun weiter geht heißt es sich Gedanken über die Datenhalten zu machen. Wo wollt ihr Daten speichern und wo diese ablegen. Die Hauptfrage ist wo speichert ihr die Daten und wo sollen diese aufbewahrt werden. In der Regel soll Microsoft 365 das neue Hauptwerkzeug sein und lokale Speicherplätze nicht mehr genutzt. Also ist die Regel, dort archivieren und speichern, wo die Datei entsteht ODER alles in eine gesonderte SharePoint Online Site Collection zu schieben und diese als Archiv zu nutzen. In der Regel für KMUs speichert man dort, wo die Dateien entstehen und setzt dann eine Retention Policy von 10 Jahre auf Teams, Exchange Postfächer und SharePoint Sites.
Achtung Ausnahme: Bewerberpostfach -> 6 Monate und dann automatisch Löschen per Retention Policy
Backup
Die Frage des Backups ist eine essenzielle Frage und eine der Regulatorik. In diesem Fall gehen wir davon aus, dass weder eine Bafin noch eine andere Behörde eure Aufsicht ist. Microsoft hat eine SLA von 99,8% und ein RTO in der Regel von 0-4h, sowie feste und zertfizierte Wiedererstellungsprozesse. Jedoch lern man nie aus: Backup einrichten für Exchange und SharePoint! (z.B. per Qnap oder Synology oder VEEAM)
g) Microsoft Teams
folgende Parameter gehören zur Ersteinrichtung:
Teams für Externe freigeben
Teams Besprechungen: Datenschutz, Logo und Informationen hinterlegen
Teams Policies für Benutzer, Externe und Besprechungen und Live Events einrichten. Es ist ratsam erstmal eingeschränkt zu beginnen.
f) Grundkonfiguration Azure Active Directory
MFA aktivieren für alle Nutzer
Nutzer dürfen keine Apps oder Geräte einbinden
LinkedIn Verknüfpung nicht zulassen
Verwaltungsportal anzeigen: nein
Externe User
Der Gastbenutzerzugriff ist auf Eigenschaften und Mitgliedschaften eigener Verzeichnisobjekte beschränkt (restriktivste Einstellung).
Mitgliedsbenutzer (Gastbenutzer mit Mitgliedsberechtigungen eingeschlossen) und Benutzer mit bestimmten Administratorrollen können Gastbenutzer einladen
Self-Service-Registrierung von Gästen über Benutzerflows aktivieren (nein)
Externen Benutzern erlauben, sich selbst aus Ihrer Organisation zu entfernen (empfohlen) (ja)
Einladungen nur für die angegebenen Domänen zulassen (restriktivste Einstellung)
Azure Dev Ops: deaktivieren, dass User Azure Dev Ops Umgebungen bauen können. HIer zuänchst sich selber den Admin geben, dann ins Portal wechseln und dann die Funktion nur für eine SIcherheitsgruppe (ohen User) aktivieren.
h) Config.office.com Konfiguration
Feedback deaktivieren
Telemetrie und Diagnosedaten auf Minimum reduzieren
Office Scripte deaktivieren
Anonymse User alles deaktivieren
Benuzter können keine Sicherheitsgruppen erstellen
Gäste haben keine weiteren Rechte, können nichts erstellen
i) Zusatzkonfiguration Parameter
Umsetzung Lösch- und Sperrkonzept mit Purview Data Lifecycle und Record Manager
Umsetzung Datenklassifikation mit Purview Information Protection (z.B. TISAX oder ISO 27001 (Public, Internal, Secure, High Secure oder auch Schutzstufenkonzept des Datenschutzes oder auch nur zumindest: secure intern + Secure intern & extern. Das Ganze greift zunächst manuell für alle BenutzerInnen für Dateinen und Emails, dann auch für Teams & Groups und dann mit Teams Premium auch für Besprechungen und Termine.
PIM nutzen
Bei PIM benötigt ihr AAD P2 und es ermöglicht es euch den Administratoren oder auch Nutzern nur die Rechte zu der Zeit mit Begründung und Log zu geben, wenn man es benötigt.
Teilen im SharePoint Admincenter
Teilen nur zu bekannten Domains
keine anonymes Teilen erlaubt
OneDrive und SharePoint teilen nur für bekannte Gäste und intern
Benachrichtigungen alle aktivieren
Gäste könne nicht für andere Dateien Eigentümer werden.
j) Grundkonfiguraton Security
MFA für alle BenutzerInnen aktivieren (hin zu Zero Trust)
Defender for Office 365 -> safe Attachments und safe Links aktivieren
Quarantäne in Exchange Online aktivieren und Nutzer sollen zunächst entschreiden können
Warnungen und Benachrichtigungen aktivieren (default zunächst nutzen)
Identity Protection -> wenn AAD P2 Plan zunächst aktvieren und 2 Admins zur Kontrolle und Warnungen einrichten
Anmeldung per Conditional Access auf Deutschland begrenzen und alle anderen blocken, oder ggf. hier Lokationen einrichten
k) Grundkonfiguration Datenschutz
Purview: Überwachungsprotokolle aktivieren
Deaktivieren alle Produkte, die man nicht benötigt, sowie im M365 Admincenter unter Einstellungen der Organisation
Azure Speach
Cortana
Berichte von Viva deaktvieren
Whiteboard (Telemetrie und verbundene Dienste deaktivieren)
Kalender nur intern teilen und nicht nach Außen
Sway deaktivieren
Viva Insights deaktivieren
Suche und Interligente Suche deaktvieren
Zustimmung von Benutzern zu Apps deaktivieren
Berichte pseudonomisieren
Produktivity Score deaktiviert lassen
M365 Admin Center: 1. Datenschutzerkärung hinterlegen, 2. Supportmail eingeben 3. Datenschutzpostfach eingeben, Organisationsprofil ausfüllen und prüfen.