Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft 365 für Unternehmen befolgt alle bewährten Sicherheitsmethoden und -verfahren, z. B. Sicherheit auf Dienstebene durch tiefgehende Verteidigung, Kundenkontrollen innerhalb der Dienste, Sicherheitshärtung und bewährte Betriebliche Methoden. Ausführliche Informationen finden Sie unter Microsoft Trust Center und Microsoft Compliance.
Vertrauenswürdiges Design
Microsoft 365 wurde in Übereinstimmung mit dem Microsoft Trustworthy Computing Security Development Lifecycle (SDL) entworfen und entwickelt, der unter Microsoft Security Development Lifecycle (SDL) beschrieben wird. Der erste Schritt bei der Erstellung eines sichereren Unified Communications-, Zusammenarbeits- und Produktivitätssystems bestand darin, Bedrohungsmodelle zu entwerfen und jedes Feature so zu testen, wie es entworfen wurde. Mehrere sicherheitsbezogene Verbesserungen wurden in Codierungsprozess und -methoden integriert. Mit Buildzeittools werden Pufferüberläufe und andere potenzielle Sicherheitsbedrohungen erkannt, bevor der Code in das Endprodukt aufgenommen wird. Es ist unmöglich, gegen alle unbekannten Sicherheitsbedrohungen zu entwerfen. Kein System kann 100-prozentige Sicherheit garantieren. Da bei der Produktentwicklung jedoch von Anfang an sichere Designprinzipien berücksichtigt wurden, enthält Microsoft 365 Sicherheitstechnologien nach Industriestandard als grundlegenden Bestandteil seiner Architektur.
Sicherheitsframework für Microsoft 365
Microsoft 365 unterstützt Sicherheitsideen wie Zero Trust und Prinzipien des Zugriffs mit den geringsten Rechten. Dieser Abschnitt bietet eine Übersicht über grundlegende Elemente, die ein Sicherheitsframework für Microsoft 365 bilden.
Zu den Kernelementen gehören:
- Microsoft Entra ID, das ein einzelnes vertrauenswürdiges Back-End-Repository für Benutzerkonten bereitstellt. Benutzerprofilinformationen werden über die Aktionen von Microsoft Graph in Microsoft Entra ID gespeichert.
- Möglicherweise werden mehrere Token ausgegeben, die Sie möglicherweise sehen, wenn Sie Ihren Netzwerkdatenverkehr nachverfolgen.
- Transport Layer Security (TLS) verschlüsselt den Kanal in Bewegung. Die Authentifizierung erfolgt entweder mit gegenseitigem TLS (MTLS), basierend auf Zertifikaten, oder mithilfe der Dienst-zu-Dienst-Authentifizierung basierend auf Microsoft Entra ID.
- Point-to-Point-Audio-, Video- und Anwendungsfreigabedatenströme werden verschlüsselt und die Integrität mithilfe des Secure Real-Time Transport Protocol (SRTP) überprüft.
- Sie sehen OAuth-Datenverkehr in Ihrer Ablaufverfolgung, insbesondere beim Tokenaustausch und beim Aushandeln von Berechtigungen beim Wechseln zwischen Registerkarten in Teams, z. B. um von Beiträgen zu Dateien zu wechseln. Ein Beispiel für den OAuth-Fluss für Registerkarten finden Sie in diesem Dokument.
- Microsoft 365 verwendet nach Möglichkeit Branchenstandardprotokolle für die Benutzerauthentifizierung.
Microsoft Entra-ID
Microsoft Entra ID fungiert als Verzeichnisdienst für Microsoft 365 und Office 365. Es werden alle Benutzer- und Anwendungsverzeichnisinformationen und Richtlinienzuweisungen gespeichert.
Verschlüsselung in Microsoft 365
Es gibt mehrere Verschlüsselungsebenen in Microsoft 365, um die Inhalte Ihrer organization zu schützen. Eine Übersicht über die Verschlüsselung in Microsoft 365 finden Sie unter Verschlüsselung in Microsoft 365.
Benutzer- und Clientauthentifizierung
Ein vertrauenswürdiger Benutzer ist ein Benutzer, dessen Anmeldeinformationen von Microsoft Entra ID in Microsoft 365 oder Office 365 authentifiziert wurden.
Die Authentifizierung ist die Bereitstellung von Benutzeranmeldeinformationen für einen vertrauenswürdigen Server oder Dienst. Microsoft 365 verwendet je nach status und Standort des Benutzers die folgenden Authentifizierungsprotokolle.
- Modern Authentication (MA) ist die Microsoft-Implementierung von OAUTH 2.0 für die Client-zu-Server-Kommunikation. Sie ermöglicht Sicherheitsfeatures wie mehrstufige Authentifizierung und bedingten Zugriff. Um MA verwenden zu können, müssen sowohl der Onlinemandant als auch die Clients für MA aktiviert werden. Die Microsoft 365-Clients auf PCs und Mobilgeräten sowie die Webclients unterstützen MA.
Hinweis
Wenn Sie weitere Informationen zu Microsoft Entra Authentifizierungs- und Autorisierungsmethoden benötigen, helfen Ihnen die Abschnitte Einführung und Authentifizierungsgrundlagen in Microsoft Entra ID.
Die Microsoft 365-Authentifizierung erfolgt über Microsoft Entra ID und OAuth. Der Authentifizierungsprozess kann wie folgt vereinfacht werden:
- Die Ausstellung des Benutzeranmeldungstokens > für > die nächste Anforderung verwendet ausgestelltes Token.
Anforderungen von Clients an Clouddienste werden von Microsoft Entra ID mit OAuth authentifiziert und autorisiert. Benutzer mit gültigen Anmeldeinformationen, die von einem Verbundpartner ausgestellt wurden, sind vertrauenswürdig und durchlaufen denselben Prozess wie native Benutzer. Administratoren können jedoch weitere Einschränkungen festlegen.
Für die Medienauthentifizierung verwenden die Protokolle ICE und TURN auch die Digest-Challenge, wie im IETF TURN RFC beschrieben.
Endpunktsicherheit
Microsoft vereinheitlicht benutzerorientierte Microsoft 365-Apps und -Dienste in einer einzigen und konsistenten Domäne: **cloud.microsoft**.
Das Wachstum der Microsoft-Clouddienste führte zur Erweiterung des von ihnen belegten Domänenbereichs, was zu Hunderten von Domänen führte. Diese Fragmentierung stellt eine Herausforderung für die Endbenutzernavigation, die Administrative Einfachheit und die Entwicklung app-übergreifender Umgebungen bereit.
Die *.microsoft* Domäne der obersten Ebene ist exklusiv für Microsoft. Die neue Domäne verfügt am Ende nicht über herkömmliche Suffixe wie .com oder .net. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
cloud.microsoft befindet sich unter der Domäne der .microsoft obersten Ebene, für die Microsoft ein Registrierungsoperator und der einzige Registrant ist. Diese Domäne bietet zusätzliche Sicherheit, Datenschutz und Schutz vor Spoofing, wenn Sie mit Apps innerhalb dieser Domäne interagieren. Sie können darauf vertrauen, dass jede Website oder App, die mit cloud.microsoft endet, ein offizielles Microsoft-Produkt oder -Dienst ist.
Weitere Informationen finden Sie unter Unified cloud.microsoft domain for Microsoft 365 apps( Unified cloud.microsoft domain for Microsoft 365 apps).
Verwandte Artikel
Die 12 wichtigsten Aufgaben für Sicherheitsteams zur Unterstützung der Arbeit von zu Hause aus
Grundlegendes zur Funktionsweise der Sicherheit in Microsoft Viva
Sicherheitsleitfaden für Microsoft Teams – Übersicht