Fünf typische Herausforderungen für M365-Administratoren

In diesem Beitrag stellen wir fünf Challenges von M365-Admins vor, welchen wir im Projektgeschäft häufig begegnen. Und wir geben konkrete Tipps an die Hand, um diesen Herausforderungen gewachsen zu sein.

1. Sicherheit der M365-Plattform gewähren

81% der data breaches sind auf kompromittierte Nutzeraccounts zurückzuführen. Es gibt in Microsoft 365 sehr nützliche Werkzeuge für M365-Systemadministratoren, um dem Identitätsklau wirkungsvoll vorzubeugen: MFA und Conditional Access.

• Multifaktor Authentifizierung (MFA): MFA ist ein Authentifizierungsvorgang, bei dem mindestens zwei Faktoren geprüft werden, die einen User oder eine Userin eindeutig identifizieren können. Mit der Aktivierung von MFA sinkt die Wahrscheinlichkeit um 99.9%, dass ein Account kompromittiert wird.
• Zugriff an Bedingungen knüpfen mit Conditional Access: Mit «Conditional Access» lassen sich durch Bedingungen (Conditions) eigene Richtlinien für MFA definieren. Dabei kann festgelegt werden, ob diese Bedingungen erfüllt sein müssen, um Zugriff zu gewähren oder zu verweigern. Beispielsweise kann bei Login Versuchen aus unüblichen Ländern eine MFA erzwungen werden oder der Zugriff ganz blockiert werden.

«Hacker greifen überall und immer öfter an», titelt SRF.ch in diesem Artikel. Die Grösse der potenziellen Opferorganisationen spielt nur noch eine untergeordnete Rolle. Das haben wir bei IOZ selber schon festgestellt: Es kam vor, dass mit einer kopierten M365-Loginseite nach Userdaten gefischt wurde. Sogar wir als kleines Unternehmen sind «angriffswürdig».

Im Blogbeitrag Security und Compliance in Microsoft 365 stellen wir die beiden Werkzeuge im Detail vor und halten ein echtes Beispiel bereit, wie kriminelle Login Versuche mit Conditional Access sofort unterbunden werden konnten.

Im halbtägigen Security Basic Workshop ermitteln wir gemeinsam mit unseren Kundinnen und Kunden, wie es um die IT-Security im eigenen Microsoft 365-Tenant steht und zeigen auf, welche Massnahmen im Microsoft Security- und Compliance-Center sofort umgesetzt werden können.

2. Changes im Überblick behalten und Auswirkungen abschätzen können

Zugegeben, sogar für uns ist es manchmal schwierig, im Dschungel der Microsoft-Releases den Pfad nicht aus den Augen zu verlieren. Auf dem Laufenden zu sein ist jedoch nur ein Teil der Herausforderung.

In den Gesprächen mit den Plattform-Verantwortlichen kommt fast immer die Frage, welche dieser Änderungen wichtige Auswirkungen haben und welche nicht.

Neu gestaltete Emoji-Reactions in Microsoft Teams sind schön und gut, doch für Microsoft 365 Plattformadmins ist dies ein wenig relevantes Thema. Die Änderung an Konnektoren, an Default-Einstellungen im Admin-Center und das baldige Abstellen alter Services hingegen schon.

IOZ-MVP David Mehr stellt im Blogbeitrag Übersicht bewahren im Dschungel der Microsoft Cloud News verschiedene Mittel, Wege und Quellen vor, wie man im M365-Umfeld up to date bleiben kann.

Welche Updates wichtig sind und welche nicht, zeigen wir in unseren Cloud Change Guide-Meetings direkt auf den Umgebungen unserer Kundinnen und Kunden auf. Die Sessions finden als persönliche 1-to-1-Meetings statt und sind keine breit zugänglichen Gruppen Webinare.

3. Berechtigungsstrukturen im Griff behalten

Für M365 Systemadmins kann das Thema Berechtigungen schnell zur Challenge werden. Der Grund dafür ist, dass Berechtigungen In M365 und in SharePoint Online granular gesteuert werden können: Von der obersten Ebene der Site bis hinunter zur Bibliothek oder im Extremfall sogar auf das einzelne Element.

Das sind die typischen Probleme, denen wir auf den Kundenplattformen begegnen:

• Rechte werden über zu viele Berechtigungsstufen vergeben, die Übersicht geht verloren und die Verwaltung ist mühsam
• Unabsichtliche Berechtigungsvererbungen
• Über- und Unterberechtigungen von Usern
• Berechtigungen von externen Nutzern

Weil es in SharePoint Online komischerweise kein Standardwerkzeug dafür gibt, haben wir eine schlanke SaaS-Lösung dafür gebaut. Der Service erstellt eine Übersicht aller vorhandenen Nutzer und deren Berechtigungen.

Dadurch wird sofort erkennbar, wo allfällige Über- oder Unterberechtigungen vorhanden sind und wo beispielsweise alte Gastuser im System umhergeistern.

4. Benutzerattribute und Gruppenzugehörigkeiten synchronisieren

Im Projektgeschäft begegnet uns immer wieder das Problem, dass die standardmässige Synchronisierung der Benutzerattribute von Microsoft Entra ID (vorher Azure AD) in die Userprofile auf SharePoint Online nicht ausreicht:

• Microsoft synchronisiert nur eine Handvoll Attribute aus Microsoft Entra ID in das SharePoint Userprofil. Dieser Prozess kann nicht verändert werden, es sind keine Ergänzungen möglich.
• Die Synchronisation durch Microsoft dauert zwischen 24h und 2 Wochen und ist nach unserer Erfahrung leider unzuverlässig. Dieser Prozess kann nicht manuell angestossen werden.
• Damit die Synchronisation für einen User überhaupt erstmalig ausgeführt wird, muss dieser sich in SharePoint anmelden. Das ist für viele Prozesse umständlich oder unmöglich.

Um hier Abhilfe zu schaffen, haben wir einen Service für die Synchronisierung von Azure AD Profilen (neuer Name Entra ID) nach SharePoint kreiert. Mit diesem Dienst lässt sich definieren, welche Attribute synchronisiert werden sollen und in welcher Kadenz der Dienst laufen soll.

5. Nachhaltigkeit und Skalierbarkeit gewährleisten

Im Hinblick auf den nachhaltigen Betrieb und die Skalierbarkeit von Microsoft 365-Plattformen treffen wir die folgenden Situationen immer wieder an:

• Microsoft Teams Governance: Microsoft Teams wurde als Collaboration-Tool im Unternehmen zur Verfügung gestellt, ohne Spielregeln dazu festzulegen. Es ist ein Wildwuchs entstanden aus Teams und Kanälen, unterschiedlichsten Namensgebungen, es geistern verwaiste Teams umher, etc. Für das Erarbeiten und Umsetzen einer Teams-Governance im Unternehmen haben wir ein klares Vorgehen entwickelt.
• Power Platform Governance: Die Power Platform wird im Unternehmen bereits eingesetzt, doch man hat sich noch keine Gedanken zu Strukturen, Verantwortlichkeiten und Abläufen gemacht. Der Power Platform-Wildwuchs grassiert bei Weitem noch nicht so stark wie der Teams-Wildwuchs. Genau darum empfehlen wir diesen Unternehmen, jetzt einen Power Platform Governance Workshop durchzuführen und dem Chaos zuvorzukommen.
• Monitoring von Power Automate Flows: Die Unternehmen setzen Power Automate bereits gezielt ein oder haben die Vermutung, dass proaktive User Power Automate nutzen. Hier kommt der Power Automate Monitor ins Spiel, welcher sofort eine Übersicht über sämtliche Power Automate Assets im eigenen Tenant verschafft.
• Erarbeiten einer M365-Roadmap: Unternehmen mit unterschiedlichstem «M365-Reifegrad» haben erkannt, dass eine Standortbestimmung nötig ist. Hier führen wir oft M365-Assessments durch, aus welchen ein klarer Vorgehensplan für den weiteren Einsatz von Microsoft 365 und der Power Platform resultiert.
• M365 Tenant-Review: Es lohnt sich, bestehende Tenants einem Fitness-Check zu unterziehen – vor allem dann, wenn die Umgebung bereits seit längerer Zeit genutzt wird. Mit den Jahren können sich Altlasten ansammeln und versteckte Potentiale werden nicht genutzt.