Die Umstellung auf Office 365 ist nur der Anfang
Damit alles so funktioniert, wie Sie es sich wünschen, müssen Sie zu Beginn der Implementierung überlegen, was Sie von dem Dienst erwarten.
Mindestgrundlagen – Office 365
Microsoft 365 basiert auf Office-Anwendungen, die fast jeder kennt – Outlook, Word, Excel, Powerpoint, OneNote, Sharepoint, OneDrive oder Teams. Die meisten Unternehmen beginnen mit diesen.
Der erste und schwierigste Schritt bei der Implementierung von Microsoft 365 ist daher der Wechsel von einer bestehenden E-Mail-Lösung (in der Regel ein Exchange-Server) zu Microsoft 365 Mail in der Cloud. Die häufigste Methode ist die so genannte hybride Migration, bei der der Exchange-Server im internen Netzwerk mit Microsoft 365 verbunden wird und die E-Mail-Postfächer dann schrittweise in die Cloud verlagert werden.
Integration zwischen Cloud und Unternehmen vor Ort
Der nächste Schritt bei der Implementierung von Microsoft 365 besteht darin, Daten aus dem lokalen Active Directory-Verzeichnisdienst in die Cloud zu verschieben Azure Active Directory . Danach können Sie alle Benutzerinformationen aus dem Cloud-Verzeichnisdienst abrufen, z. B. Name, Kennwort, Berechtigungen oder die Geräte, die Benutzer für den Zugriff auf Unternehmensdaten verwenden. Für die eigentliche Datenmigration verwenden Sie den Azure AD-Connector – ein Tool, das Sie in Ihrem internen Netzwerk installieren und das Benutzer mit Microsoft 365 synchronisiert.
Für diese Integration gibt es zwei mögliche Lösungen:
- Synchronisieren Sie alle Benutzerinformationen, einschließlich der Hashes von Domänenkennwörtern, und authentifizieren Sie die Benutzer bei der Anmeldung auf der Microsoft-Website (sogenannte Benutzervalidierung).
- Föderierte Authentifizierung(federated authentication), bei der der Benutzer nicht auf Microsoft-Servern authentifiziert wird, sondern nach Eingabe einer E-Mail an einen Identitätsanbieter (Active Directory Federation Services oder eine andere Lösung eines Drittanbieters wie Okta) weitergeleitet wird und die Identitätsprüfung dort erfolgt.
Nach der Integration werden ausgewählte Unternehmensdaten (Benutzerpostfächer, freigegebene Dateien) in der Microsoft 365-Cloud-Umgebung gespeichert und der Endbenutzer kann sich von jedem Gerät aus bei seinem Konto anmelden.
Bedingungen für den Datenzugriff festlegen
Diese Freiheit, bei der ein Benutzer von praktisch überall auf der Welt auf Unternehmensdaten zugreifen kann, bringt eine weitere Herausforderung mit sich – die Sicherung der Daten und der Geräte selbst. Aus diesem Grund ist Microsoft aktiv in den Bereich Enterprise Mobility&Security eingestiegen, der sicherstellen soll, dass ein Benutzer nur unter vordefinierten Sicherheitsbedingungen auf Microsoft 365-Dienste und damit auf Unternehmensdaten zugreifen kann.
Dies geschieht durch die Verwendung von Azure Active Directory Conditional Access, das z. B. prüft, wer, wann, von welchem Gerät oder von wo aus auf Dienste zugreift. Sie können sich das Tool wie eine intelligente Firewall vorstellen, bei der Sie die Benutzer definieren, denen Sie den Zugriff auf bestimmte Anwendungen gestatten möchten, und die Zugriffsbedingungen festlegen, z. B. von welchem Gerät, zu welcher Zeit oder von welchem Ort aus sich ein Benutzer anmelden kann.
Azure Active Directory Conditional Access ermöglicht Ihnen dann eine Risikobewertung. Sie können sehen, von welchem Standort oder Netzwerk aus sich der Benutzer anmeldet. Wenn ein Benutzer versucht, sich von einem anderen Kontinent oder zu einer ungewöhnlichen Zeit anzumelden, kann dies auf einen drohenden Angriff hindeuten. In solchen Fällen können Sie einen zusätzlichen Authentifizierungsfaktor erzwingen (z. B. SMS), und wenn der Zugang als riskant eingestuft wird, können Sie z. B. das Passwort zurücksetzen und den Zugang sperren, bis die Situation geklärt ist.
Verwaltung und Sicherheit mobiler Geräte
Sie verwenden Microsoft Endpoint Manager (früher Microsoft Intune), um das Gerät zu identifizieren, von dem aus der Benutzer auf die Microsoft-Umgebung zugreift. Dieses Tool wird zur Verwaltung und Sicherung von mobilen Geräten(Mobile Device Management (MDM)) oder eigenständigen Anwendungen auf Geräten(Mobile Application Management (MAM)) verwendet. Es ist mit allen gängigen Betriebssystemen (iOS, Android, Windows10, macOS) kompatibel.
Die Informationen, die Microsoft Endpoint Manager von mobilen Geräten sammelt, bilden einen entscheidenden Sicherheitsparameter, den sogenannten Compliance Flag. Jedes Gerät hat eine erforderliche Sicherheitsstufe, und wenn es diese Stufe beim Zugriff auf die Cloud erfüllt, schreibt Microsoft Endpoint Manager ein Kennzeichen in Azure Active Directory. Sie können diese Flaggen dann in Azure AD Conditional Access überprüfen, um sicherzustellen, dass sich die Benutzer nur von authentifizierten und sicheren Geräten anmelden.
MDM-Systeme von Drittanbietern (MobileIron, VMware Workspace ONE und andere) können das Compliance-Flag jedoch auch in Azure Active Directory schreiben. Daher müssen Sie nicht unbedingt zu Microsoft Endpoint Manager wechseln, wenn Sie mit anderen MDM-Lösungen vertraut sind. Die einzige Voraussetzung in diesem Fall ist eine Azure Active Directory P1-Lizenz.
Wenn Sie auf Microsoft MDM-Lösungen migrieren möchten, kann diese Migration mit der IDOT-Anwendung von System4u elegant gelöst werden. Diese App macht die Migration von Ihrer bestehenden MDM-Lösung zu Microsoft Endpoint Manager so einfach, dass Sie sie selbst von Ihrem eigenen mobilen Gerät aus durchführen können. Die App führt Sie Schritt für Schritt durch den gesamten Prozess und alles geschieht automatisch, Sie müssen nur noch klicken. Gleichzeitig hat der Administrator in seiner Konsole einen Überblick über die laufende Migration – er sieht, wer bereits migriert hat, wer kurz vor der Migration steht oder wer Hilfe benötigt.
Sicherung der Anträge und Dokumente selbst
Im Rahmen seiner Tools und Dienste kümmert sich Microsoft auch um die Sicherheit auf der Ebene der Anwendungen selbst (Word, Excel und andere). Sie können zum Beispiel festlegen, dass der Benutzer keine Daten aus einer App kopieren und per privater E-Mail versenden kann, oder Sie können eine PIN für den Zugriff auf jede App erzwingen. Auch auf Geräten ohne Microsoft Endpoint Manager-Registrierung.
Wenn Sie bereits alle Unternehmensdaten in der Microsoft 365-Cloud haben, alle Unternehmensgeräte mit Microsoft Endpoint Manager (oder einer anderen MDM-Technologie) gesichert sind und alles mit Azure Active Directory verbunden ist, können Sie auch bestimmte Unternehmensdokumente mit sensiblen Daten sichern.
Microsoft Azure Information Protection hat zwei grundlegende Funktionen.
- Es ermöglicht Ihnen, Dokumente mit sensiblen Daten (z. B. Bankkartennummern, Geburtsnummern) automatisch zu markieren, und wenn der Benutzer ein solches Dokument per E-Mail versenden möchte, blockiert es den Versand oder zeigt eine Benachrichtigung an: „Möchten Sie wirklich ein Dokument mit sensiblen Daten versenden?“
- Wenn ein solches Dokument das Unternehmen bereits verlassen muss, kann es verschlüsselt werden , so dass nur der Empfänger es lesen kann, ansonsten bleibt das Dokument während der Übertragung und danach geschützt. Wenn der Empfänger des Dokuments die Dienste von Microsoft 365 nicht nutzt, kann er auf das Dokument zugreifen, indem er seine E-Mail-Adresse in der Microsoft 365-Umgebung registriert (kostenloses Konto). Auch die auf diese Weise übermittelten Dokumente können geprüft und nach einer bestimmten Zeit für ungültig erklärt werden.
In diesem Artikel haben wir die sichere Migration und Anmeldung bei Microsoft 365, den Geräteschutz und den Schutz von Dokumenten behandelt. So sehr sich Microsoft auch bemüht, alles so intuitiv wie möglich zu gestalten, ist es für Unternehmen (auch für solche mit eigener IT-Abteilung) oft schwierig, die Dienste richtig einzusetzen und einzurichten.
Deshalb sollten Sie sich für die Umsetzung an einen zuverlässigen Partner wenden, wir von System4u helfen Ihnen gerne bei allem.
