365 Tenant Manager Veröffentlichung am 20. März 2025

Erweiterungen

• Die folgenden neuen voreingestellten Einstellungen für Exchange und Microsoft 365 (Allgemein) wurden in der Bibliothek für voreingestellte Einstellungen eingeführt:
  • Exchange
    • HS-S0054 – Sicherstellen, dass die Richtlinie „Sichere Anhänge“ aktiviert ist
      Diese Einstellung stellt sicher, dass Exchange „Sichere Anhänge“ aktiviert sind. Schadanhänge werden blockiert und unter Quarantäne gestellte Elemente sind nur für Administratoren zugänglich, um die Sicherheit zu verbessern.
    • HS-S0056 – Sicherstellen, dass Administratoren über ausgehende Spamfilter-Richtlinien benachrichtigt werden
      Diese Einstellung sorgt dafür, dass Administratoren durch die ausgehenden Spamfilter-Richtlinien benachrichtigt werden, um potenzielle E-Mail-Bedrohungen schneller zu erkennen und darauf reagieren zu können.
    • HS-S0057 – Sicherstellen, dass eine Anti-Phishing-Richtlinie erstellt wurde
      Diese Einstellung stellt sicher, dass eine Anti-Phishing-Richtlinie mit den notwendigen Sicherheitseinstellungen erstellt wird, um Phishing-Versuche abzuwehren.
    • HS-S0061 – Sicherstellen, dass umfassende Anhangfilterung für die Standardrichtlinie aktiviert ist
      Diese Einstellung stellt sicher, dass der Filter für gängige Anhangtypen („Common Attachment Types Filter“) für die Standardrichtlinie konfiguriert ist, um bekannte und benutzerdefinierte schädliche Anhänge in E-Mails zu blockieren.
    • HS-S0062 – Sicherstellen, dass der Schutz von Prioritätskonten aktiviert und konfiguriert ist
      Diese Einstellung identifiziert wichtige Konten (z. B. von Führungskräften oder Managern) und wendet zusätzliche Sicherheitsmaßnahmen an, da diese Konten häufig Zugang zu sensiblen Informationen haben und bevorzugte Ziele von Cyberangriffen sind.
    • HS-S0063 – MailTips für Endbenutzer aktivieren
      Diese Einstellung stellt sicher, dass MailTips aktiviert sind, um Benutzer beim Verfassen von E-Mails in Echtzeit über Besonderheiten zu informieren, etwa beim Versand an große Gruppen oder externe Empfänger.
    • HS-S0068 – Verbindungfilter-Richtlinie (IP-Zulassungsliste)
      Diese Einstellung stellt sicher, dass die zulässigen IP-Adressen in der gehosteten Verbindungfilter-Richtlinie korrekt eingerichtet sind, sodass nur vertrauenswürdige E-Mail-Quellen zugelassen werden.
    • HS-S0069 – Verbindungfilter-Richtlinie („Sichere Liste“)
      Diese Einstellung stellt sicher, dass die Option „Sichere Liste“ („SafeList“) in den Verbindungfilter-Einstellungen deaktiviert ist, um zu verhindern, dass Absender Sicherheitsprüfungen umgehen können.
    • HS-S0074 – Sicherstellen, dass E-Mail-Weiterleitungen deaktiviert sind
      Diese Einstellung deaktiviert die E-Mail-Weiterleitung bei bestimmten Benutzerpostfächern, um unbefugtes Weiterleiten von E-Mails zu verhindern.
    • HS-S0075 – Sicherstellen, dass die eingehenden Antispam-Richtlinien keine zugelassenen Domänen enthalten
      Diese Einstellung stellt sicher, dass die standardmäßige eingehende Antispam-Richtlinie keine zugelassenen Domänen enthält, wodurch das Risiko unerwünschter oder schädlicher E-Mails minimiert wird.
  • Microsoft 365 (Allgemein)
    • HS-S0055 – Sicherstellen, dass „Sichere Anhänge“ für SharePoint, OneDrive und Microsoft Teams aktiviert sind
      Diese Einstellung aktiviert „Advanced Threat Protection“ (Sichere Anhänge und SafeDocs) für SharePoint, OneDrive und Teams, um Dateien vor Bedrohungen zu schützen.
    • HS-S0072 – Sicherstellen, dass eine dynamische Gruppe für Gastbenutzer erstellt wird
      Diese Einstellung sorgt dafür, dass alle Gastbenutzer in Entra ID automatisch in einer dynamischen Gruppe organisiert werden, was zu besserer Sicherheit und vereinfachtem Management beiträgt.
• Die folgenden neuen voreingestellten Richtlinien für Entra – Bedingter Zugriff, Intune – Bedingter Zugriff, Intune – Gerätekonfigurationen und Intune – Richtlinien für die Gerätekonformität wurden in der Bibliothek für voreingestellte Richtlinien eingeführt:
  • Entra – Bedingter Zugriff
    • HS-P0023 – Zugriff für unbekannte oder nicht unterstützte Geräteplattformen blockieren
      Diese Richtlinie blockiert Anmeldungen von nicht unterstützten Geräteplattformen. Nur Geräte mit Windows, Linux, macOS, Android, iOS und Windows Phone erhalten Zugriff.
    • HS-P0024 – Keine dauerhaften Browsersitzungen für nicht verwaltete Geräte
      Diese Richtlinie sorgt dafür, dass Benutzer auf nicht verwalteten Geräten beim Schließen des Browsers automatisch abgemeldet werden und sich stündlich neu authentifizieren müssen.
  • Intune – Bedingter Zugriff
    • HS-P0025 – Zugriff auf Cloud-Apps nur für MDM-registrierte und konforme Geräte erlauben
      Diese Richtlinie stellt sicher, dass nur vom Unternehmen genehmigte und sichere Geräte Zugriff auf Cloud-Apps erhalten, um Unternehmensdaten zu schützen.
    • HS-P0026 – Datei-Downloads aus Office-365-Apps auf nicht konformen oder privaten Geräten blockieren
      Diese Richtlinie blockiert Datei-Downloads aus Office-365-Apps auf nicht genehmigten oder privaten Geräten, um Datenlecks vorzubeugen.
  • Intune – Gerätekonfigurationen
    • HS-P0027 – Windows 10 Endpoint Protection Richtlinie
      Diese Richtlinie gewährleistet die Sicherheit von Windows-Geräten durch Aktivierung der BitLocker-Verschlüsselung, Blockierung nicht genehmigter Anwendungen, Verstärkung des Defender-Schutzes und Durchsetzung von Firewall-Regeln, um unbefugten Zugriff zu verhindern.
  • Intune – Richtlinien für die Gerätekonformität
    • HS-P0028 – Erweiterte Sicherheitsrichtlinie zur Geräte-Compliance für Windows 10 oder höher
      Diese Richtlinie stellt sicher, dass Geräte mit Windows 10 oder höher durch Aktivierung von BitLocker, Secure Boot, Firewall, TPM, Antivirus und weiteren wichtigen Sicherheitsfunktionen geschützt und konform bleiben.