Partner Login

365 Tenant Manager Veröffentlichung am 23. April 2025

Author: Hornetsecurity / 23.04.2025 / 365 Multi-Tenant Manager für MSPs,Release Notes

Erweiterungen

  • Eine neue vordefinierte Vorlage wurde im 365 Tenant Manager veröffentlicht. Sie bietet eine umfassende Sammlung von Einstellungen und Richtlinien, die mit dem CIS Microsoft 365 Foundations Benchmark v4.0 übereinstimmen. Diese Vorlage automatisiert Berichte und Korrekturmaßnahmen für zahlreiche Sicherheitsrichtlinien und unterstützt Unternehmen dabei, ihre Compliance zu vereinfachen, Risiken zu minimieren und bewährte Verfahren in ihrer Microsoft 365-Umgebung durchzusetzen.
  • Die folgenden neuen vordefinierten Einstellungen wurden in die Bibliothek aufgenommen und betreffen Exchange, Microsoft 365 (Allgemein), Microsoft Teams und SharePoint:
    • Exchange
      • HS-S0058 – Sicherstellen, dass SPF-Einträge für alle Exchange-Domänen veröffentlicht sind
        Prüft, ob SPF-Einträge veröffentlicht wurden, um unbefugtes E-Mail-Spoofing zu verhindern.
      • HS-S0059 – Sicherstellen, dass DKIM für alle Exchange Online-Domänen aktiviert ist
        Überprüft, ob DKIM aktiviert ist und die CNAME-DNS-Einträge korrekt konfiguriert sind. Wenn „Erzwingen“ aktiviert ist, wird DKIM durchgesetzt.
      • HS-S0060 – Sicherstellen, dass DMARC-Einträge für Exchange-Domänen vorhanden sind
        Stellt sicher, dass DMARC-Einträge mit erforderlichen Flags für alle Domänen veröffentlicht sind.
      • HS-S0084 – Sicherstellen, dass Audit-Umgehung deaktiviert ist
        Verifiziert, dass die Audit-Umgehung für bestimmte Benutzerpostfächer deaktiviert ist.
      • HS-S0099 – Unerlaubte Rollen in der Standard-Zuweisungsrichtlinie einschränken
        Stellt sicher, dass die Standardrichtlinie keine Rollen wie „MyCustomApps“, „MyMarketplaceApps“ oder „MyReadWriteMailboxApps“ enthält.
    • Microsoft 365 (Allgemein)
      • HS-S0080 – Sicherstellen, dass Microsoft Authenticator vor MFA-Ermüdung schützt
        Überprüft, ob Microsoft Authenticator aktiviert ist und Standort/App während der MFA angezeigt werden.
      • HS-S0088 – Sicherstellen, dass der Gastzugriff eingeschränkt ist
        Begrenzter Gastzugriff verhindert Enumeration von Gruppen und Benutzern durch böswillige Akteure.
      • HS-S0092 – Sicherstellen, dass das Erstellen von Tenants durch Nicht-Admins deaktiviert ist
        Verhindert unautorisierte oder unkontrollierte Tenant-Erstellungen.
      • HS-S0093 – Sicherstellen, dass alle Mitglieder „MFA-fähig“ sind
        Alle Mitglieder müssen MFA-fähig, registriert und aktiviert sein – gemäß Richtlinie mit starker Authentifizierungsmethode.
      • HS-S0096 – Sicherstellen, dass schwache Authentifizierungsmethoden deaktiviert sind
        Deaktiviert unsichere Methoden wie SMS, Sprachanruf und E-Mail-OTP, um die Authentifizierung zu stärken.
      • HS-S0097 – Sicherstellen, dass nur die Rolle „Gast-Einladender“ Einladungen versenden darf
        Begrenzung der Einladung auf definierte Rollen verhindert unkontrollierte Zusammenarbeit mit externen Nutzern.
      • HS-S0100 – Lizenzen von blockierten Benutzern entfernen
        Erkennt Benutzer mit blockiertem Anmeldezugang und entfernt ihre Lizenzen zur Optimierung der Lizenznutzung.
    • Microsoft Teams
      • HS-S0064 – Anonyme Benutzer an Teilnahme in globaler Richtlinie hindern
        Anonyme Teilnahme an Besprechungen in der GLOBAL-Richtlinie muss unterbunden sein.
      • HS-S0065 – Einwahlbenutzer dürfen Lobby nicht umgehen (GLOBAL)
        Verhindert, dass PSTN-Benutzer direkt Meetings betreten – laut GLOBAL-Richtlinie.
      • HS-S0066 – Nur eingeladene Benutzer werden automatisch zugelassen (GLOBAL)
        Nur eingeladene Benutzer werden automatisch zugelassen – global durchgesetzt.
      • HS-S0067 – Sicherstellen, dass Chat für anonyme Benutzer deaktiviert ist
        Deaktivierter Meeting-Chat verhindert unkontrollierte Kommunikation und Datenlecks.
      • HS-S0070 – Sicherstellen, dass Benutzer keine E-Mails an Kanaladressen senden können
        Beschränkt das Recht, E-Mails an Team-Kanäle zu senden.
      • HS-S0071 – Präsentieren nur für Organisatoren zulassen
        Nur Organisatoren dürfen Inhalte teilen oder steuern.
      • HS-S0073 – Sicherstellen, dass DLP-Richtlinien in Teams aktiviert sind
        Aktivierte DLP-Richtlinien schützen sensible Informationen in Nachrichten und Dateien.
      • HS-S0077 – Freigabe in Teams nur über genehmigte Cloud-Dienste erlauben
        Externe Cloud-Dienste wie Google Drive oder Dropbox nur bei ausdrücklicher Freigabe zugelassen.
      • HS-S0079 – Sicherstellen, dass Skype-Kommunikation deaktiviert ist
        Entspricht dem CIS-Benchmark: Kommunikation mit Skype deaktivieren.
      • HS-S0081 – Sicherstellen, dass Aufzeichnungen standardmäßig deaktiviert sind
        Nur berechtigte Nutzer dürfen Besprechungen aufzeichnen – standardmäßig deaktiviert.
      • HS-S0082 – Sicherstellen, dass externer Chat deaktiviert ist
        Deaktivierung des externen Chats laut GLOBAL-Besprechungsrichtlinie.
      • HS-S0083 – Sicherstellen, dass ZAP für Teams aktiviert ist
        Aktiviertes Zero-hour Auto Purge (ZAP) schützt vor Bedrohungen und stärkt Compliance.
      • HS-S0085 – Sicherstellen, dass Sicherheitsbedrohungen in Teams gemeldet werden können
        Benutzer müssen Sicherheitsrisiken (z. B. Phishing) direkt in Teams melden können.
      • HS-S0086 – Kommunikation mit nicht verwalteten Teams-Benutzern deaktivieren (GLOBAL)
        Reduziert Risiken durch blockierte Kommunikation mit potenziell schädlichen externen Benutzern.
      • HS-S0087 – Steuerungsanforderung durch externe Benutzer während Freigabe unterbinden
        Externe dürfen während Bildschirmfreigabe keine Steuerung anfordern – gemäß GLOBAL-Richtlinie.
      • HS-S0091 – Externe Domänen in Teams einschränken
        Zugriff nur für erlaubte Domänen – verhindert Datenlecks durch unbefugte Dritte.
    • SharePoint
      • HS-S0076 – Ausführung benutzerdefinierter Skripte einschränken
        Deaktiviert benutzerdefinierte Skripte, die Zugriff auf M365-Daten über Benutzerrechte ermöglichen.
      • HS-S0078 – SharePoint-/OneDrive-Integration mit Entra B2B aktivieren
        Einheitliche Benutzerverwaltung und -authentifizierung für Gäste über Entra B2B.
      • HS-S0089 – Externe Freigabe nur für definierte Domänen zulassen
        Externe Freigabe in SharePoint über Domänen-Whitelist oder -Blacklist kontrollieren.
      • HS-S0090 – Gäste dürfen keine Inhalte teilen, die ihnen nicht gehören
        Verhindert unerlaubte externe Freigaben durch SharePoint-Gäste.
      • HS-S0094 – Linkfreigabe in SharePoint/OneDrive einschränken
        Standardmäßiger Freigabelinktyp und Berechtigungen sicher voreinstellen.
      • HS-S0095 – Wiederauthentifizierung für Gäste mit Codezugang beschränken
        Konfiguriert Reauthentifizierung nach definiertem Zeitraum für Gäste mit Codezugang.
      • HS-S0098 – Automatisches Ablaufdatum für Gastzugang einführen
        Zugriff für Gäste endet automatisch nach Ablaufzeitraum – schützt vor Datenverlust.
  • Die folgenden neuen voreingestellten Richtlinien für Entra – Bedingter Zugriff wurden in der Bibliothek für voreingestellte Richtlinien eingeführt:
    • Entra – Bedingter Zugriff
      • HS-P0029 – Anmeldungshäufigkeit erzwingen, keine persistente Sitzung für Admins
        Erzwingt regelmäßige Anmeldung, deaktiviert persistente Sitzungen – erhöht Sicherheit für Admins.
      • HS-P0031 – Anmeldung bei mittlerem oder hohem Risiko blockieren
        Blockiert gefährdete Anmeldungen zur Verhinderung unbefugter Zugriffe.
      • HS-P0032 – Zugriff auf Admincenter auf Adminrollen beschränken
        Verhindert Zugriff auf Portale durch unprivilegierte Nutzer – Schutz vor Fehlkonfigurationen.
      • HS-P0033 – MFA-Registrierung nur auf verwalteten Geräten erlauben
        Reduziert Missbrauch durch Angreifer mit gestohlenen Anmeldedaten.
      • HS-P0034 – OneDrive-Synchronisierung für nicht verwaltete Geräte blockieren
        Zugriff auf OneDrive und SharePoint nur über Entra-registrierte Geräte zulassen.

Check other releases