Michael Heim
Über mich M365 Training Blog Kontakt
Zurück

Kostenloser Mehrwert

M365 Praxis-Tipps

Kein Marketing, keine Theorie — nur Dinge, die ich in echten Tenants jeden Tag sehe und löse.

Diese Seite wächst regelmäßig. Schau immer mal wieder rein — oder vernetze dich mit mir auf LinkedIn, damit du nichts verpasst.

01
Security

Break Glass Account einrichten — bevor es zu spät ist

Stell dir vor: Eine Conditional Access Policy sperrt alle Admins aus dem Tenant. Kein Login, kein Portal, kein Zugriff. Klingt extrem? Passiert häufiger als du denkst. Ohne einen Break Glass Account stehst du dann vor einer geschlossenen Tür — und Microsoft Support braucht Tage.

So richtest du es ein:

1
Erstelle eine Security Group BreakGlassAccounts in Entra ID — mit aktivierter Option "Microsoft Entra-Rollen können der Gruppe zugewiesen werden"
2
Erstelle zwei Cloud-Only Accounts: breakglass01@tenant.onmicrosoft.com — immer die .onmicrosoft.com-Domain, nie die Custom-Domain
3
Registriere mindestens 2 FIDO2-Security-Keys (z.B. YubiKey) pro Account — lagere sie an zwei verschiedenen physischen Orten in feuerfesten Safes
4
Schließe die Security Group aus allen Conditional Access Block- und MFA-Policies aus — eine vergessene Policy reicht, um den Notfallzugang zu zerstören
5
Richte ein Monitoring ein: Sign-In Logs → Log Analytics → Alert Rule mit KQL. Jeder Login dieser Accounts muss sofort eine Benachrichtigung auslösen

Wichtig: Teste den Notfallzugang vierteljährlich. Sind die Accounts noch aktiv? Funktioniert der Login? Feuert der Alert? Wissen die Verantwortlichen, wo die Keys liegen?

📍 Entra ID Portal → Security → Conditional Access → Deep Dive im Blog
02
Security

Permanente Admin-Rechte abschaffen — mit Privileged Identity Management

In den meisten Tenants, die ich sehe, haben Admins ihre Rollen permanent zugewiesen. Das bedeutet: 24/7 volle Rechte, auch wenn sie nur 10 Minuten am Tag Admin-Aufgaben erledigen. Ein kompromittiertes Konto mit permanenten Global Admin Rechten ist der Jackpot für jeden Angreifer.

Was du tun solltest:

1
Audit: Wer hat aktuell permanente Admin-Rollen? Die Antwort wird dich überraschen — oft sind es mehr als gedacht
2
Global Admin aufbrechen: Fast niemand braucht wirklich Global Admin. Nutze stattdessen spezifische Rollen — Exchange Administrator, Intune Administrator, Conditional Access Administrator
3
PIM aktivieren: Rollen werden nur auf Anfrage aktiviert — zeitlich begrenzt (max. 4 Stunden), mit MFA-Bestätigung und dokumentierter Begründung
4
Vier-Augen-Prinzip: Für kritische Rollen wie Global Admin eine Genehmigung durch eine zweite Person einrichten

Denkanstoß: Wenn ein Admin-Account kompromittiert wird, bestimmt die zugewiesene Rolle den Schaden. Ein Exchange Admin kann Mails lesen — ein Global Admin kann den ganzen Tenant übernehmen. Das nennt man Blast Radius.

📍 Entra ID Portal → Identity Governance → Privileged Identity Management
03
Security

Legacy Authentication blocken — die offene Hintertür

IMAP, POP3, SMTP Auth — das sind Protokolle aus einer anderen Zeit. Das Problem: Sie unterstützen kein MFA. Egal wie stark deine Conditional Access Policies sind — wenn Legacy Auth offen ist, kann sich ein Angreifer mit gestohlenen Zugangsdaten einfach per IMAP einloggen. Ohne jede zusätzliche Prüfung.

In 3 Schritten absichern:

1
Prüfen: Erstelle eine CA Policy im Report-Only Modus — Bedingung: Client Apps → "Legacy Authentication Clients" → Block. Beobachte 3-5 Werktage in den Sign-In Logs, ob noch jemand Legacy Auth nutzt
2
Migrieren: Falls ja — identifiziere die Nutzer/Apps und stelle sie auf Modern Authentication um (z.B. Outlook statt Thunderbird mit IMAP)
3
Blocken: Policy auf "On" stellen. Diese Policy sollte die erste sein, die in jedem Tenant aktiv ist — CA001: Block Legacy Authentication

Aus der Praxis: In fast jedem Tenant, den ich auditiere, finde ich aktive Legacy Auth Verbindungen. Meistens alte Multifunktionsdrucker, die per SMTP Auth Mails versenden, oder vergessene Shared Mailboxes mit POP3-Zugriff.

📍 Entra ID Portal → Security → Conditional Access → New Policy → CA Deep Dive im Blog
04
Security

Geräte-Compliance erzwingen — Identität allein reicht nicht

Dein Admin hat MFA aktiviert, starke Passwörter, Conditional Access läuft. Und dann loggt er sich vom privaten Laptop seiner Tochter ein — ohne Virenscanner, ohne Updates, ohne Verschlüsselung. Die stärkste Identität ist wertlos, wenn das Endgerät kompromittiert ist.

Das solltest du einrichten:

1
Intune Compliance Policies erstellen — pro Plattform (Windows, macOS, iOS, Android): BitLocker/FileVault aktiv, OS aktuell, Secure Boot an, Defender läuft
2
Defender for Endpoint anbinden — das Machine Risk Level fließt als dynamisches Signal in die Compliance-Bewertung ein
3
CA Policy erstellen: CA004: Require compliant device für Exchange Online, SharePoint und Teams

So funktioniert die Kette: User loggt sich ein → Identität geprüft → MFA bestanden → Gerät NICHT compliant → Zugriff BLOCKIERT. Erst wenn alle Signale grün sind, wird der Zugang gewährt.

📍 Intune Admin Center → Devices → Compliance Policies
05
Governance

Gastbenutzer regelmäßig aufräumen — die vergessene Altlast

Vor zwei Jahren wurde ein externer Berater als Gast eingeladen. Das Projekt ist längst beendet — aber der Account existiert noch, mit Zugriff auf SharePoint-Sites und Teams-Kanäle. In den meisten Tenants finde ich dutzende solcher Gast-Accounts. Ohne MFA-Pflicht, ohne Überprüfung, ohne Ablaufdatum.

Sofort umsetzbar:

1
Audit: Entra ID → Users → Filter auf "Guest" — wie viele Gäste sind in deinem Tenant? Wann haben sie sich zuletzt eingeloggt?
2
MFA für Gäste: Erstelle eine CA Policy, die auch Guest-User einschließt — nicht nur "All Users" (das schließt Gäste in manchen Konfigurationen nicht ein)
3
Access Reviews: Richte in Entra ID Governance quartalsweise Access Reviews ein — die Besitzer von Teams/Gruppen bestätigen aktiv, ob der Gast noch Zugriff braucht
4
Automatisches Ablaufdatum: Setze in den External Collaboration Settings eine maximale Gast-Einladungsdauer

Quick Win: Ein einfaches PowerShell-Script zeigt dir alle Gäste, die sich seit 90+ Tagen nicht eingeloggt haben. Das ist dein Startpunkt zum Aufräumen.

📍 Entra ID Portal → Users → Guest Users / Identity Governance → Access Reviews

Wie steht es um deinen Tenant?

Diese Tipps sind ein Anfang — aber jeder Tenant ist anders. Wenn du wissen willst, wo du wirklich stehst, lass uns sprechen.

Zum Tenant Self-Check Kostenlos Termin buchen

Letzte Aktualisierung: April 2026 · Neue Tipps folgen regelmäßig