Unkontrollierte Berechtigungen können sensible Unternehmensdaten preisgeben. Erfahren Sie, wie Sie die Kontrolle über Microsoft 365-Berechtigungen mit einem klaren Framework, praktischen Tools und Best Practices für Governance übernehmen.

Microsoft 365-Berechtigungen können oft schneller außer Kontrolle geraten, als Sie sie verwalten können. Hybride Arbeit, externe Zusammenarbeit und KI-Integrationen bringen sensible Daten überall in Apps, Geräten und Umgebungen zum Vorschein.  

Und schon bald schleicht sich Schatten-IT ein, nicht genehmigte Freigabe-Links bleiben bestehen, und IT-Teams stecken im Aufräum-Modus fest. Bei all dem ist es leicht, den Überblick darüber zu verlieren, wer Zugriff auf was hat.

In unserem Webinar erläuterte Liam, wie Sie die Kontrolle über Microsoft 365-Berechtigungen zurückgewinnen. Er erklärte praktische Strategien, Tools und Fallstricke, um Ihnen zu helfen, Microsoft 365 sicher und effizient zu halten.  

Schauen Sie sich das On-Demand-Webinar von Wie Sie Microsoft 365-Berechtigungen kontrollieren—bevor sie Sie kontrollieren an und sehen Sie Liams Demos und Ratschläge.

Oder lesen Sie weiter für die wichtigsten Erkenntnisse.

Microsoft 365-Berechtigungen wachsen schneller, als jeder manuell verwalten kann

Da hybride Arbeit inzwischen die Norm ist, verbinden sich mehr Menschen als je zuvor von mehr Geräten, Netzwerken und Standorten aus mit ihrer Microsoft 365-Umgebung. Da sind Mitarbeiter, die von zu Hause arbeiten, Auftragnehmer, die für kurzfristige Projekte hinzukommen, und externe Mitarbeiter, die in Teams einsteigen. Alle erstellen, teilen und greifen täglich auf Daten zu.

Und es sind nicht nur Benutzer. KI-Tools, Integrationen und nicht verwaltete Konnektoren bringen sensible Daten in Ihrer gesamten Umgebung zum Vorschein, oft unter Umgehung etablierter Kontrollen. Kombinieren Sie das mit manueller Aufsicht, die einfach nicht mithalten kann, und die Dinge geraten schnell außer Kontrolle.

"Der Zugriff in Microsoft 365 entwickelt sich minütlich."

‍
— Liam Cleary, Microsoft Certified Trainer, MVP Alumni, & CEO bei SharePlicity

‍

Das Problem? Mangelnde Sichtbarkeit

Denken Sie an eine geteilte Datei, die monatelang zu lange öffentlich bleibt, oder ein Gastkonto, das niemand daran denkt zu entfernen. Das ist alltägliche Arbeit und es ist normal, dass Dinge durchrutschen.  

Liam sieht es oft aus erster Hand bei Microsoft 365-Sicherheitsbewertungen. Er findet Gastbenutzer, die noch immer da sind, öffentlich geteilte Links und interne Inhalte, die ohne Schutz über die Grenzen der Organisation hinausdriften.

Das passiert selten absichtlich. Das eigentliche Problem ist, dass niemand eine klare Sicht darauf hat, wer Zugriff auf was hat.

‍

Vermeiden Sie die chaotischen Fallstricke, die von vornherein Chaos verursachen

Der Zugriff ändert sich ständig: neue Teams, geteilte Dateien, App-Verbindungen, Gast-Einladungen usw. Ohne automatisierte Überprüfungen oder ein Governance-Framework ist es schwierig, alles im Blick zu behalten.

Und wenn es keine klare Eigenverantwortung oder Sichtbarkeit gibt, beginnen sich die Risiken zu häufen. Die Produktivität verlangsamt sich, das Insider-Risiko steigt und Compliance-Bedenken wachsen.

Viele Organisationen warten, bis die Dinge chaotisch werden, bevor sie eingreifen. Aber Aufräumen allein reicht nicht. Um sicher und produktiv zu bleiben, müssen Sie proaktiv sein. Das bedeutet, bewusste Zugriffsrichtlinien zu entwickeln, Überprüfungen zu automatisieren und mit Blick auf Skalierbarkeit zu planen.

‍

Microsoft 365-Governance geht darum sicherzustellen, dass die richtigen Personen den richtigen Zugriff aus den richtigen Gründen haben

Bei Governance geht es nicht darum, Dinge zu sperren, sondern Klarheit und Kontrolle darüber zu bringen, wie Zugriff gewährt, genutzt und überprüft wird. Liams "Vier-Fragen"-Modell definiert, wie jede Organisation den Zugriff bewerten sollte:

1. Wer hat Zugriff?

2. Warum wurde er gewährt?

3. Wie lange sollte er dauern?

4. Wie wird er überprüft?

Bauen Sie ein belastbares Governance-Modell auf

Sobald Sie Ihr Denken um diese vier Fragen verankert haben, wenden Sie diese grundlegenden Säulen an, um Ihrem Berechtigungsmodell Struktur und Belastbarkeit zu verleihen:

• Least Privilege: Gewähren Sie nur das Notwendige und vermeiden Sie umfassende oder Standard-Admin-Rechte.
• Just‑in‑Time-Zugriff: Erlauben Sie erhöhte Berechtigungen bei Bedarf und stellen Sie sicher, dass sie entfernt werden, sobald der Bedarf endet.
• Aufgabentrennung: Keine einzelne Person sollte den gesamten Prozess von Anfrage über Genehmigung bis zur Überprüfung kontrollieren.
• Rollenbasierte Zugriffskontrolle (RBAC): Richten Sie Berechtigungen an Rollen/Funktionen statt an Einzelpersonen aus, damit Skalierung und Änderungen einfacher zu verwalten sind.
• Klare Eigenverantwortung und Rechenschaftspflicht: Jede Ressource (Team, Site, Gruppe) sollte einen benannten Eigentümer haben, der den Zugriff über die Zeit überprüft und pflegt.

Zusammen bilden diese Säulen das, was Liam das "ausgewogene Governance-Modell" nennt, ein Framework, das nicht nur für Kontrolle, sondern auch für Klarheit und Rechenschaftspflicht gebaut ist.

Der Zugriff sollte einem einfachen Lebenszyklus folgen

Der Zugriff muss von Anfang bis Ende verwaltet werden, nicht nur wenn jemand einem Team beitritt. Hier ist der 3-Schritte-Lebenszyklus, den Liam empfiehlt:

1. Anfordern und genehmigen
Jemand bittet um Zugriff, und er wird basierend auf Ihren Richtlinien genehmigt.

2. Bereitstellen und überwachen
Der Zugriff wird gewährt (idealerweise durch Automatisierung) und verfolgt, falls sich etwas ändert.

3. Überprüfen und widerrufen
Der Zugriff wird regelmäßig überprüft. Alles Veraltete wird entfernt.

Auch wenn Teile dieses Prozesses manuell sind, sollten sie klar dokumentiert und jemandem zugewiesen werden.

Menschen sind ein wichtiger Teil der Governance

Vergessen Sie nicht die menschliche Seite der Governance! Die richtigen Tools zu haben ist großartig, aber sie laufen nicht von selbst. Sie brauchen immer noch den menschlichen Teil, um Governance, Sicherheit und Berechtigungsmanagement reibungslos am Laufen zu halten:

• Geschäftsinhaber genehmigen Zugriff und wissen, wer was braucht.
• IT-Administratoren richten die Regeln ein und setzen sie durch.
• Sicherheitsteams überprüfen, dass Richtlinien Ihren Standards entsprechen.
• Prüfer stellen sicher, dass das, was passiert, den Regeln entspricht.
• Führungskräfte geben dem Programm Sichtbarkeit und Unterstützung.
• Endbenutzer müssen verstehen, wie verantwortlicher Zugriff aussieht.

‍

Um Berechtigungen zu kontrollieren und Rechenschaftspflicht durchzusetzen, kombinieren Sie integrierte Microsoft 365-Governance-Tools mit organisatorischem Engagement

Wenn manuelles Zugriffsmanagement nicht skaliert, was bedeutet das? Wie gewinne ich Kontrolle?

Microsoft 365 bietet integrierte Governance-Tools, um Ihnen bei der Kontrolle von Berechtigungen zu helfen.

• Microsoft Entra ID Governance
• Conditional Access
• Privileged Identity Management (PIM)
• Access Reviews

Microsoft Entra ID Governance

Hilft Ihnen zu kontrollieren, wer Zugriff auf Ressourcen hat, warum sie ihn haben und wie lange. Es automatisiert Genehmigungen, Überprüfungen und Entfernungen, um den Zugriff aktuell zu halten.

Conditional Access

Ermöglicht es Ihnen zu entscheiden, wann und wie sich Benutzer anmelden können. Sie können Regeln basierend auf Dingen wie Standort, Gerätetyp oder Risikostufe festlegen.

Wie Sie eine Conditional Access-Richtlinie erstellen

‍

1. Gehen Sie zu Entra ID > Sicherheit > Conditional Access > Neue Richtlinie.

2. Benennen Sie Ihre Richtlinie klar (z.B. CA001_MFA_für_Admins_erforderlich).

3. Unter Zuweisungen → Benutzer wählen Sie spezifische Rollen (z.B. Globale Administratoren).

4. Unter Cloud-Apps wählen Sie "Microsoft Admin Portals."

5. Unter Bedingungen fügen Sie hinzu:

• Benutzerrisikostufe: Mittel oder hoch.
• Geräteplattform: Windows, macOS, iOS usw.
• Standorte: Blockieren oder erlauben Sie bestimmte Länder oder IPs.

6. Unter Zugriffskontrollen wählen Sie:

• "Zugriff gewähren" → "MFA erforderlich."

7. Unter Sitzungskontrollen konfigurieren Sie die Anmeldehäufigkeit (z.B. alle 12 Stunden neu authentifizieren).

8. Aktivieren Sie die Richtlinie und überprüfen Sie sie im Nur-Berichte-Modus, bevor Sie sie durchsetzen.

‍

Profi-Tipp: Benennen und taggen Sie Richtlinien konsistent, damit Prüfer sie zu schriftlichen Governance-Regeln zurückverfolgen können.

‍

Privileged Identity Management (PIM)

Gewährt Admin-Berechtigungen nur bei Bedarf. Es fügt Zeitlimits und Genehmigungsschritte hinzu, um das Risiko von dauerhaft aktiven Admin-Zugriffen zu reduzieren.

Wie Sie eine Rolle in Privileged Identity Management aktivieren