Zurück zum Blog
IT-INFRASTRUKTUR

Microsoft 365 sicher konfigurieren: Die 15 wichtigsten Einstellungen

Über 400 Millionen Nutzer weltweit setzen auf Microsoft 365 — und die meisten nutzen es unsicherer als nötig. Viele Standardeinstellungen schützen nicht ausreichend vor modernen Bedrohungen. Diese 15 Einstellungen sollten Sie 2026 sofort prüfen.

24. März 2026
10 min Lesezeit
Von Keep IT Fair

Warum die Standardkonfiguration gefährlich ist

Microsoft 365 ist mächtig — aber standardmäßig auf Benutzerfreundlichkeit, nicht auf maximale Sicherheit optimiert. Externe Freigaben sind offen, Legacy-Protokolle aktiv, MFA nicht erzwungen. Das ist eine gefährliche Ausgangslage in einer Zeit, in der M365-Tenants täglich angegriffen werden.

2026-Kontext: Microsoft 365 ist das meistangegriffene Cloud-Produkt weltweit. Business Email Compromise (BEC), Phishing über Teams und kompromittierte OAuth-Apps nehmen massiv zu. Viele dieser Angriffe wären mit korrekter Konfiguration verhinderbar.

Hinweis zur Lizenz: Einige der folgenden Einstellungen erfordern Microsoft 365 Business Premium oder höher (z.B. Conditional Access, PIM, Defender for Business). Wir empfehlen Business Premium als Mindestlizenz für Unternehmen mit Sicherheitsanforderungen.

Identität & Zugang

01

Multi-Faktor-Authentifizierung (MFA) für alle Nutzer

KRITISCH

Die wichtigste Einzelmaßnahme in M365: MFA verhindert über 99 % aller passwortbasierten Angriffe. Standardmäßig ist MFA in vielen M365-Tenants noch nicht für alle Nutzer erzwungen.

Umsetzung: Security Defaults aktivieren oder Conditional Access Policies mit MFA-Pflicht für alle Nutzer konfigurieren. Microsoft Authenticator App bevorzugen.
02

Conditional Access Policies konfigurieren

KRITISCH

Conditional Access ist das Herzstück von Zero Trust in M365: Zugriff wird nur gewährt, wenn Nutzer, Gerät und Standort bestimmten Bedingungen entsprechen. Verfügbar ab M365 Business Premium.

Umsetzung: Policies für risikoreiche Anmeldungen, nicht konforme Geräte und blockierte Länder einrichten. Legacy-Authentifizierungsprotokolle blockieren.
03

Legacy-Authentifizierung deaktivieren

KRITISCH

Alte Protokolle wie Basic Auth (POP3, IMAP, SMTP) unterstützen kein MFA. Angreifer nutzen diese gezielt, um MFA zu umgehen. Microsoft hat Basic Auth für Exchange Online 2023 deaktiviert — aber Ausnahmen sind oft noch aktiv.

Umsetzung: Im Exchange Admin Center alle Basic-Auth-Protokolle deaktivieren. In Entra ID (Azure AD) Authentication Policies überprüfen.
04

Privileged Identity Management (PIM)

Admin-Konten sind das attraktivste Ziel in M365. PIM stellt sicher, dass Administratorrechte nur auf Anfrage und zeitlich begrenzt (Just-in-Time) vergeben werden — nicht dauerhaft.

Umsetzung: PIM für alle globalen Admins und privilegierten Rollen aktivieren. Permanente Admin-Zuweisung auf ein Minimum reduzieren.
05

Passwortschutz & Smart Lockout

Microsoft Entra Password Protection blockiert häufige und unternehmensspezifische schwache Passwörter. Smart Lockout schützt vor Brute-Force-Angriffen automatisch.

Umsetzung: Custom Banned Password List mit unternehmensrelevanten Begriffen (Firmenname, Produkte) befüllen. Smart Lockout-Schwellenwert anpassen.

Datenschutz & Compliance

06

Microsoft Purview Data Loss Prevention (DLP)

DLP verhindert, dass sensible Daten (Kreditkartennummern, Personalausweisnummern, Gesundheitsdaten) unbeabsichtigt per E-Mail, Teams oder SharePoint nach außen gelangen.

Umsetzung: DLP-Policies für DSGVO-relevante Datentypen aktivieren. Zunächst im Audit-Modus testen, dann schrittweise auf Block umstellen.
07

Microsoft Purview Sensitivity Labels

Sensitivity Labels klassifizieren und schützen Dokumente und E-Mails automatisch — mit Verschlüsselung, Wasserzeichen und Zugriffseinschränkungen, die auch außerhalb von M365 greifen.

Umsetzung: Klassifizierungsschema definieren (Intern, Vertraulich, Streng Vertraulich), Labels in Office-Apps und Teams ausrollen.
08

Externe Freigaben in SharePoint & OneDrive einschränken

KRITISCH

Standardmäßig können Nutzer Dateien mit beliebigen externen Personen teilen — auch ohne M365-Konto. Das ist ein massives Datenleck-Risiko und DSGVO-kritisch.

Umsetzung: Externe Freigabe auf 'Nur bestehende Gastnutzer' oder 'Nur Personen in Ihrer Organisation' beschränken. Ablaufdaten für externe Links erzwingen.
09

Audit-Logging aktivieren und aufbewahren

KRITISCH

Das einheitliche Überwachungsprotokoll in M365 ist für Compliance und Incident Response unverzichtbar — aber es muss aktiv aktiviert und ausreichend lang aufbewahrt werden.

Umsetzung: Unified Audit Log im Microsoft Purview Compliance Portal aktivieren. Aufbewahrungsdauer auf mindestens 90 Tage (besser: 1 Jahr) verlängern.

Bedrohungsschutz

10

Microsoft Defender for Office 365 – Safe Links & Safe Attachments

KRITISCH

Safe Links überprüft URLs in E-Mails und Teams-Nachrichten zum Zeitpunkt des Klickens (nicht nur beim Eingang). Safe Attachments öffnet Anhänge in einer Sandbox, bevor sie zugestellt werden.

Umsetzung: Safe Links- und Safe Attachments-Policies für alle Nutzer aktivieren. 'Real-time URL detonation' einschalten.
11

Anti-Phishing-Policies mit Impersonation Protection

KRITISCH

M365 kann gezielt vor Angriffen schützen, bei denen Angreifer die Identität von Geschäftsführern oder Partnern imitieren (CEO-Fraud, BEC). Diese Policies müssen manuell konfiguriert werden.

Umsetzung: Wichtige interne Nutzer (Geschäftsführung, Buchhaltung) und externe Domains (Kunden, Lieferanten) als geschützte Absender definieren.
12

DKIM & DMARC für eigene Domains konfigurieren

KRITISCH

Ohne DKIM und DMARC können Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen. Das ist die Grundlage für CEO-Fraud und Phishing-Angriffe auf Ihre Kunden und Partner.

Umsetzung: DKIM in Exchange Online aktivieren. DMARC-Record mit Policy 'quarantine' oder 'reject' in DNS eintragen. DMARC-Reports auswerten.
13

Microsoft Defender for Endpoint (EDR) Integration

M365 Business Premium enthält Microsoft Defender for Business — einen vollwertigen EDR-Client für alle Geräte. Die Integration mit M365 ermöglicht Conditional Access basierend auf dem Gerätestatus.

Umsetzung: Defender for Business auf allen Windows-, macOS- und mobilen Geräten ausrollen. Intune für automatisches Deployment nutzen.

Administration & Monitoring

14

Break-Glass-Konten einrichten

Wenn Conditional Access oder PIM-Konfigurationen schiefgehen, können Admins ausgesperrt werden. Break-Glass-Konten sind Notfallkonten ohne MFA-Pflicht, die ausschließlich für solche Notfälle existieren.

Umsetzung: Zwei Break-Glass-Konten mit starken Passwörtern (physisch gesichert) anlegen. Aus allen Conditional-Access-Policies ausschließen. Regelmäßig testen.
15

Microsoft Secure Score regelmäßig auswerten

Der Microsoft Secure Score in Defender XDR zeigt Ihren aktuellen Sicherheitsstand und priorisierte Verbesserungsmaßnahmen — angepasst an Ihre konkrete M365-Konfiguration.

Umsetzung: Secure Score monatlich auswerten. Empfehlungen nach Aufwand und Wirkung priorisieren. Zielwert: mindestens 70 % des erreichbaren Scores.

Fazit & nächste Schritte

Microsoft 365 bietet hervorragende Sicherheitsfunktionen — aber sie müssen aktiv konfiguriert werden. Die gute Nachricht: Viele dieser Einstellungen sind kostenlos im enthaltenen Lizenzumfang verfügbar und mit wenigen Klicks aktivierbar.

Empfohlene Prioritäten für den Start:

1

Sofort: MFA für alle Nutzer erzwingen (#01)

2

Diese Woche: Legacy-Authentifizierung deaktivieren (#03) + Safe Links/Attachments aktivieren (#10)

3

Diesen Monat: Conditional Access Policies + externe Freigaben einschränken (#02, #08)

4

Laufend: Secure Score monatlich auswerten und verbessern (#15)

M365-Sicherheitscheck anfragen
Keep IT Fair
Keep IT Fair
IT-Sicherheit & IT-Support für den Mittelstand · Norderstedt / Hamburg

Ihr Microsoft 365 so sicher wie möglich?

Wir prüfen Ihre Konfiguration und setzen die wichtigsten Schutzmaßnahmen für Sie um.