Microsoft 365 Security Check für TISAX-orientierte Sicherheit
M365 Tenant Review, Zero Trust und Microsoft Defender Hardening für mehr Sicherheit, Transparenz und Audit-Fähigkeit
Wie ein mittelständisches Beratungsunternehmen seine Microsoft-365-Umgebung mit Intune, Conditional Access und Endpoint Protection nachhaltig absicherte
Branche
Unternehmensberatung
Location
München
ca. 50 Mitarbeiter:innen
Autor / Source
Joachim von Seydewitz
Solution Architect
Last Update
21 Mai 2026
Lesezeit
5 Minuten
Ausgangssituation: Gewachsene Microsoft 365 Umgebung mit Sicherheitsbedarf
Microsoft 365 bereits produktiv im Einsatz
Der Kunde, ein mittelständisches Beratungsunternehmen aus München mit 50 Mitarbeitenden, nutzte Microsoft 365 bereits intensiv als zentrale Plattform für Kommunikation, Zusammenarbeit und Datenmanagement. Exchange Online, Teams, SharePoint Online und OneDrive waren fest in die täglichen Geschäftsprozesse integriert.
Die Microsoft 365 Umgebung war jedoch über mehrere Jahre historisch gewachsen. Sicherheitsrichtlinien, Gerätestandards und Zugriffsmodelle wurden nicht vollständig standardisiert und nur teilweise zentral verwaltet.
Sicherheits- und Governance-Herausforderungen
Im Rahmen der ersten Analyse zeigte sich, dass insbesondere Themen wie MFA, Conditional Access, Rollen- und Berechtigungskonzepte sowie Endpoint-Sicherheit unterschiedlich umgesetzt waren. Gleichzeitig fehlte eine durchgängige Bewertung des Sicherheitsstatus, beispielsweise über den Microsoft Secure Score oder strukturierte Tenant Reviews.
Typische Herausforderungen waren:
- uneinheitliche Sicherheitsrichtlinien,
- unterschiedliche Geräte- und Update-Stände,
- begrenzte Transparenz über privilegierte Zugriffe,
- sowie fehlende Konzepte für Notfallzugänge und Wiederherstellung.
Anforderungen im Kontext von TISAX und Informationssicherheit
Mit Blick auf TISAX-orientierte Informationssicherheit sollte die Microsoft 365 Umgebung strukturiert überprüft und nachhaltig abgesichert werden. Ziel war eine bessere Balance zwischen Sicherheit, Benutzerfreundlichkeit und Audit-Fähigkeit, ohne die Produktivität der Mitarbeitenden einzuschränken.
Im Fokus standen:
- Zero-Trust-orientierte Zugriffskonzepte,
- Schutz von Identitäten und Endgeräten,
- Verbesserung des Microsoft Secure Score,
- standardisierte Sicherheitsrichtlinien,
- sowie Anforderungen an Backup-, Restore- und Notfallkonzepte.
Projektziel: Microsoft 365 Security Check mit Zero-Trust-Fokus
Zielbild: Mehr Sicherheit ohne Produktivitätsverlust
Ziel des Projekts war ein ganzheitlicher Microsoft 365 Security Check zur strukturierten Bewertung und Absicherung der bestehenden M365 Umgebung. Die Sicherheitsmaßnahmen sollten dabei die tägliche Zusammenarbeit nicht einschränken, sondern sich sinnvoll in bestehende Prozesse integrieren.
Im Fokus standen:
- Verbesserung des Microsoft Secure Score
- Einführung eines Zero-Trust-orientierten Sicherheitsmodells
- Absicherung von Identitäten, Geräten und Zugriffen
- Standardisierung von Richtlinien und Sicherheitsprozessen
- nachhaltige Verbesserung der Audit- und Governance-Fähigkeit
Strukturierter Tenant Review mit priorisierten Maßnahmen
Im Rahmen des M365 Tenant Reviews wurden bestehende Konfigurationen analysiert, Sicherheitslücken bewertet und Maßnahmen nach Risiko, Business Impact und Umsetzungsaufwand priorisiert.
Der Kunde erhielt:
- eine strukturierte Gap-Analyse,
- konkrete Quick Wins,
- technische Hardening-Empfehlungen
- sowie einen pragmatischen Maßnahmenplan für die weitere Umsetzung.
Besonderes Augenmerk lag auf:
- MFA und Conditional Access,
- Microsoft Defender,
- Endpoint Protection,
- Intune Richtlinien
- sowie privilegierten Zugriffsmodellen.
Nachhaltige Sicherheits- und Betriebsprozesse
Neben technischen Maßnahmen wurden auch organisatorische Anforderungen berücksichtigt. Dazu gehörten standardisierte Sicherheitsrichtlinien, dokumentierte Zugriffsmodelle sowie Anforderungen für Notfallzugänge und Microsoft 365 Backup.
Durch die Kombination aus Microsoft Defender, Intune, Conditional Access und Zero Trust entstand eine deutlich transparentere und besser kontrollierbare Sicherheitsarchitektur für den laufenden Betrieb.
Analyse des bestehenden Microsoft 365 Tenants
Review von Microsoft Entra ID, Rollen und Berechtigungen
Zu Beginn des Projekts wurde die bestehende Microsoft 365 Umgebung strukturiert analysiert. Im Fokus standen insbesondere Identitäten, Rollenmodelle und administrative Berechtigungen innerhalb von Microsoft Entra ID.
Dabei wurde geprüft:
- welche administrativen Rollen vorhanden sind,
- wie privilegierte Zugriffe abgesichert wurden,
- ob Berechtigungen nachvollziehbar dokumentiert sind,
- sowie welche Konten besondere Sicherheitsanforderungen benötigen.
Besonderes Augenmerk lag auf der Reduzierung unnötiger Administrationsrechte sowie der besseren Absicherung privilegierter Konten im Sinne eines Zero-Trust-orientierten Sicherheitsmodells.
Analyse von MFA und Conditional Access
Ein zentraler Bestandteil des Microsoft 365 Security Checks war die Bewertung bestehender Multi-Faktor-Authentifizierungs- und Conditional-Access-Richtlinien.
Die Analyse zeigte, dass Sicherheitsmechanismen zwar teilweise vorhanden waren, jedoch nicht durchgängig standardisiert umgesetzt wurden. Insbesondere bei mobilen Geräten, externen Zugriffen und privilegierten Konten bestand Optimierungspotenzial.
Im Rahmen des Reviews wurden unter anderem bewertet:
- bestehende MFA-Konfigurationen,
- Zugriffsszenarien für unterschiedliche Benutzergruppen,
- Richtlinien für nicht verwaltete Geräte,
- sowie mögliche Risiken bei Legacy-Authentifizierung und unsicheren Zugriffspfaden.
Ziel war ein Sicherheitsmodell, das Benutzerfreundlichkeit und Schutzmechanismen sinnvoll miteinander kombiniert.
Bewertung von Microsoft Secure Score und Sicherheitsstatus
Zur besseren Transparenz des aktuellen Sicherheitsniveaus wurde die bestehende Microsoft-365-Konfiguration anhand des Microsoft Secure Score analysiert.
Dabei konnten verschiedene Optimierungspotenziale identifiziert werden, unter anderem in den Bereichen:
- Identitätsschutz,
- Endpoint Protection,
- E-Mail-Sicherheit,
- Gerätekonformität,
- sowie Sicherheitsrichtlinien und Monitoring.
Die Bewertung diente nicht nur als technischer Sicherheitsindikator, sondern auch als Grundlage für die spätere Priorisierung konkreter Maßnahmen und Quick Wins.
Analyse von Microsoft Intune und Endgeräten
Ein weiterer Schwerpunkt lag auf der Bewertung der bestehenden Endgeräteverwaltung mit Microsoft Intune. Dabei wurden sowohl verwaltete Geräte als auch bestehende Richtlinien und Compliance Einstellungen überprüft.
Im Fokus standen:
- Gerätekonformität,
- Sicherheitsrichtlinien,
- Update- und Patchstände,
- App-Schutzrichtlinien,
- sowie die Verwaltung mobiler Endgeräte im Kontext von MDM und MAM.
Gerade bei heterogenen Geräteumgebungen und flexiblen Arbeitsmodellen ist eine konsistente Endpoint Strategie entscheidend für ein nachhaltiges Sicherheitskonzept.
Prüfung von Microsoft Defender for Office 365
Im Bereich der E-Mail- und Collaboration-Sicherheit wurden die bestehenden Schutzmechanismen innerhalb von Microsoft Defender for Office 365 bewertet.
Dabei wurden insbesondere folgende Bereiche analysiert:
- Anti-Phishing-Schutz,
- Safe Links,
- Safe Attachments,
- Spam- und Malware-Schutz,
- sowie Sicherheitsmechanismen für Microsoft Teams und Exchange Online wie DMARC, SPF und DKIM.
Ziel war die Verbesserung des Schutzes vor modernen Bedrohungen wie Phishing, Schadsoftware und kompromittierten Benutzerkonten.
Bewertung von Microsoft Defender for Endpoint
Zusätzlich erfolgte eine Analyse der bestehenden Endpoint Sicherheitsmaßnahmen mit Microsoft Defender for Endpoint.
Geprüft wurden unter anderem:
- Antivirus- und Firewall-Konfigurationen,
- BitLocker-Richtlinien,
- Endpoint Detection & Response (EDR),
- Attack Surface Reduction (ASR),
- sowie allgemeine Geräteschutzmechanismen.
Dabei wurde bewertet, wie effektiv Endgeräte gegen aktuelle Bedrohungsszenarien abgesichert sind und an welchen Stellen zusätzliche Hardening-Maßnahmen sinnvoll umgesetzt werden können.
Zu guter Letzt:
Gap-Analyse mit Priorisierung nach Risiko und Aufwand
Die Ergebnisse aller Teilanalysen wurden in einer strukturierten Gap-Analyse zusammengeführt und hinsichtlich Risiko, Business Impact und Umsetzungsaufwand bewertet.
Dadurch entstand ein priorisierter Maßnahmenplan mit:
- kurzfristigen Quick Wins,
- mittelfristigen Optimierungen,
- sowie strategischen Hardening- und Governance-Maßnahmen.
Der Kunde erhielt damit eine nachvollziehbare Entscheidungsgrundlage, abgestimmt auf die Anforderungen eines mittelständischen Beratungsunternehmens mit hoher Abhängigkeit von Microsoft 365, um Sicherheitsmaßnahmen gezielt und wirtschaftlich sinnvoll umzusetzen.
Umsetzung der Sicherheits- und Hardening-Maßnahmen
Auf Basis der Analyseergebnisse wurde die bestehende Microsoft 365 Umgebung schrittweise nach einem Zero-Trust-orientierten Sicherheitsmodell weiterentwickelt. Ziel war eine bessere Absicherung von Identitäten, Geräten und Zugriffen – ohne die tägliche Zusammenarbeit unnötig einzuschränken.
Dabei lag der Fokus auf pragmatischen und priorisierten Maßnahmen, die sich sinnvoll in die bestehende IT- und Arbeitsumgebung integrieren lassen.
Optimierung von MFA und Conditional Access
Im ersten Schritt wurden bestehende Authentifizierungs- und Zugriffsrichtlinien überprüft und vereinheitlicht. Multi-Faktor-Authentifizierung (MFA) sowie Conditional-Access-Richtlinien wurden gezielt erweitert, um privilegierte Zugriffe besser abzusichern und Risiken durch unsichere Anmeldungen zu reduzieren.
Besonderes Augenmerk lag auf:
- administrativen Konten,
- externen Zugriffen,
- mobilen Geräten
- sowie Zugriffen außerhalb definierter Sicherheitsstandards.
Hardening mit Microsoft Defender
Zur Verbesserung des Sicherheitsniveaus wurden zentrale Schutzmechanismen innerhalb von Microsoft Defender for Office 365 und Microsoft Defender for Endpoint optimiert.
Dazu gehörten unter anderem:
- Schutzmechanismen gegen Phishing- und Schadsoftware,
- Verbesserungen im Bereich Endpoint Protection,
- standardisierte Antivirus- und Firewall-Richtlinien,
- sowie zusätzliche Sicherheitsmaßnahmen zur Reduzierung potenzieller Angriffsflächen.
Dadurch konnte die Transparenz über Sicherheitsrisiken erhöht und der Schutz moderner Arbeitsplatzumgebungen deutlich verbessert werden.
Einführung standardisierter Intune-Richtlinien
Zusätzlich wurde die bestehende Endgeräteverwaltung mit Microsoft Intune weiter standardisiert. Ziel war eine konsistentere Verwaltung von Geräten, Anwendungen und Sicherheitsrichtlinien.
Im Fokus standen:
- Compliance Policies,
- Konfigurationsprofile,
- MDM- und MAM-Konzepte,
- sowie App-Schutzrichtlinien für mobile Endgeräte.
Dadurch konnten Sicherheitsanforderungen besser zentral verwaltet und unterschiedliche Geräte- und Nutzungsszenarien kontrollierter abgebildet werden.
Break-Glass- und Backup-Konzept
Ein weiterer Schwerpunkt war die Verbesserung der Betriebs- und Ausfallsicherheit. Hierfür wurde ein abgesichertes Break-Glass-Account-Konzept definiert, um auch im Notfall kontrollierten administrativen Zugriff auf die Microsoft 365 Umgebung sicherzustellen.
Zusätzlich wurden Anforderungen und Empfehlungen, insbesondere für Exchange Online, SharePoint, OneDrive und Microsoft Teams, für ein zukünftiges Microsoft 365 Backup und Restore Konzept aufgenommen.
Softwareverteilung über das Company Portal
Ergänzend wurde die bestehende Intune Umgebung erweitert, um eine zentrale Softwarebereitstellung über das Microsoft Company Portal zu ermöglichen.
Wichtige Anwendungen wurden standardisiert als Softwarepakete bereitgestellt. Dadurch konnten Installationen vereinfacht, Geräte besser vereinheitlicht und administrative Aufwände reduziert werden.
”Durch den strukturierten Microsoft 365 Sicherheitscheck haben wir sehr schnell Transparenz über unseren Status gewonnen und konnten die wichtigsten Maßnahmen ohne spürbare Einschränkungen im Alltag umsetzen. Besonders hilfreich war die direkte Betreuung mit klarer Priorisierung und praxisnaher Umsetzung der Sicherheitsmaßnahmen.
IT-ProjektleitungUnternehmensberatung München
Herausforderungen im Projekt
Trotz moderner Sicherheitsfunktionen innerhalb von Microsoft 365 bestand die Herausforderung darin, bestehende Arbeitsweisen, flexible Zugriffsmodelle und steigende Sicherheitsanforderungen sinnvoll miteinander zu verbinden. Besonders bei historisch gewachsenen Umgebungen erfordert die Einführung standardisierter Sicherheits- und Governance-Konzepte eine sorgfältige Abstimmung zwischen IT-Sicherheit, Benutzerfreundlichkeit und laufendem Betrieb.
Balance zwischen Sicherheit und Benutzerfreundlichkeit
Eine der größten Herausforderungen im Projekt war die Balance zwischen erhöhten Sicherheitsanforderungen und einem möglichst reibungslosen Arbeitsalltag. Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Conditional Access oder strengere Gerätevorgaben sollten die Benutzerfreundlichkeit nicht unnötig einschränken.
Gerade in Beratungsunternehmen mit hoher Mobilität und flexiblen Arbeitsweisen ist es entscheidend, Sicherheitskonzepte praxisnah umzusetzen und Mitarbeitende frühzeitig einzubinden.
Umgang mit BYOD und nicht verwalteten Geräten
Zusätzlich stellte der Zugriff über private oder nicht vollständig verwaltete Geräte eine besondere Herausforderung dar. Unterschiedliche Nutzungsszenarien mussten berücksichtigt werden, ohne den Zugriff auf geschäftskritische Daten unnötig zu öffnen.
Hier galt es, Sicherheitsanforderungen, Gerätekonformität und flexible Arbeitsmodelle sinnvoll miteinander zu kombinieren.
Unterschiedliche Geräte und Update Standards
Im Rahmen der Analyse zeigte sich außerdem, dass Endgeräte unterschiedliche Sicherheits- und Update-Stände aufwiesen. Historisch gewachsene Gerätestrukturen und individuelle Konfigurationen erschwerten eine konsistente Verwaltung und Standardisierung.
Durch die Einführung zentraler Richtlinien mit Microsoft Intune sowie standardisierter Sicherheitsvorgaben konnten diese Unterschiede schrittweise reduziert und die Transparenz im laufenden Betrieb verbessert werden.
Ergebnisse des Microsoft 365 Security Reviews
Durch den strukturierten Microsoft 365 Security Check konnten bestehende Sicherheits- und Governance-Strukturen gezielt verbessert und die Transparenz innerhalb der Microsoft 365 Umgebung deutlich erhöht werden. Das Projekt schuf die Grundlage für eine nachhaltigere, auditfähige und besser kontrollierbare Sicherheitsarchitektur im laufenden Betrieb.
Verbesserter Secure Score und höhere Transparenz
Durch den strukturierten Microsoft 365 Security Check konnten bestehende Sicherheitslücken identifiziert und priorisierte Verbesserungsmaßnahmen umgesetzt werden. Gleichzeitig entstand u. a. durch die strukturierte Bewertung über den Microsoft Secure Score und definierte Kontrollmechanismen deutlich mehr Transparenz über den aktuellen Sicherheitsstatus der Microsoft 365 Umgebung. Der Kunde erhielt eine nachvollziehbare Grundlage zur kontinuierlichen Weiterentwicklung seiner Sicherheits- und Governance-Prozesse.
Einheitliche Zugriffs- und Sicherheitsrichtlinien
Im Rahmen des Projekts wurden bestehende Sicherheits- und Zugriffsrichtlinien vereinheitlicht und stärker standardisiert. Insbesondere MFA-, Conditional-Access- und Endpoint-Richtlinien konnten konsistenter umgesetzt werden. Dadurch entstand eine besser kontrollierbare Sicherheitsarchitektur mit klareren Vorgaben für:
- Benutzerzugriffe,
- Gerätekonformität,
- administrative Berechtigungen
- sowie mobile Arbeitsmodelle.
Verbesserte E-Mail und Endpoint Sicherheit
Durch die Optimierung von Microsoft Defender for Office 365 und Microsoft Defender for Endpoint wurde das Sicherheitsniveau der bestehenden Arbeitsplatzumgebung deutlich erhöht. Verbesserte Schutzmechanismen gegen:
- Phishing,
- Schadsoftware,
- kompromittierte Benutzerkonten
- sowie unsichere Endgeräte
trugen dazu bei, potenzielle Risiken frühzeitiger zu erkennen und Sicherheitsvorfälle besser kontrollieren zu können.
Mehr Verfügbarkeit durch Backup- und Notfallkonzepte
Zusätzlich wurden organisatorische und technische Grundlagen für mehr Ausfallsicherheit geschaffen. Das eingeführte Break-Glass-Account-Konzept verbessert die Handlungsfähigkeit bei kritischen Zugriffsproblemen oder Notfallszenarien.
Ergänzend wurden Anforderungen für ein zukünftiges Microsoft 365 Backup und Restore Konzept definiert, um geschäftskritische Daten und Dienste langfristig besser absichern zu können.
Audit-Fähigkeit für TISAX-orientierte Anforderungen
Durch die strukturierte Analyse, Dokumentation und Umsetzung der Sicherheitsmaßnahmen konnte die Microsoft 365 Umgebung deutlich besser auf audit- und compliance-orientierte Anforderungen ausgerichtet werden.
Insbesondere die stärkere Orientierung an:
- Zero Trust,
- standardisierten Sicherheitsrichtlinien,
- nachvollziehbaren Zugriffsmodellen
- sowie dokumentierten Betriebsprozessen
verbesserte die Transparenz und Nachvollziehbarkeit der Sicherheitsarchitektur nachhaltig.
Übertragbarkeit für KMU und Beratungsunternehmen
Das Projekt zeigt, dass sich ein strukturierter Microsoft 365 Security Check besonders für kleine und mittelständische Unternehmen eignet, die Microsoft 365 bereits produktiv nutzen und ihre Sicherheits- und Governance-Strukturen pragmatisch weiterentwickeln möchten.
Durch die Kombination aus Quick Wins, priorisierten Maßnahmen und praxisnaher Umsetzung konnte eine Lösung geschaffen werden, die sowohl technisch als auch organisatorisch alltagstauglich bleibt – ohne unnötige Komplexität oder Overengineering.
Wie netunite Sie unterstützt
netunite unterstützt Unternehmen bei der Analyse, Absicherung und Weiterentwicklung moderner Microsoft 365 Umgebungen. Im Fokus stehen praxisnahe Sicherheitskonzepte, nachvollziehbare Governance Strukturen und alltagstaugliche Lösungen für moderne Arbeitsplatzumgebungen.
Microsoft 365 Security Checks & Tenant Reviews
Mit strukturierten Microsoft 365 Security Checks und Tenant Reviews identifiziert netunite Sicherheitslücken, Optimierungspotenziale und Governance Themen innerhalb bestehender M365 Umgebungen. Daraus entstehen priorisierte Maßnahmenpläne mit klaren Handlungsempfehlungen für mehr Sicherheit und Transparenz.
Intune, Defender und Zero-Trust Konzepte
netunite unterstützt bei der Einführung und Optimierung moderner Sicherheitslösungen von Conditional Access und Endpoint Protection bis hin zu standardisierten Sicherheits- und Gerätekonzepten rund um Microsoft Intune, Microsoft Defender und Zero Trust.
Praxisnahe Microsoft 365 Sicherheitskonzepte für KMU
netunite entwickelt Sicherheits- und Governance-Konzepte für Microsoft 365, die sich praxisnah in bestehende Arbeitsumgebungen integrieren lassen. Im Fokus stehen wirtschaftlich sinnvolle Maßnahmen, nachvollziehbare Sicherheitsstandards und moderne Arbeitsplatzkonzepte ohne unnötige Komplexität.
Microsoft 365 Security Check für Ihr Unternehmen
Sie möchten Transparenz über den Sicherheitsstatus Ihrer Microsoft 365 Umgebung gewinnen, Risiken gezielt reduzieren und moderne Sicherheitskonzepte praxisnah umsetzen? netunite unterstützt Unternehmen bei Microsoft 365 Security Checks, Tenant Reviews sowie der Einführung von Zero-Trust-, Intune- und Defender-Konzepten, abgestimmt auf Ihre bestehende IT- und Arbeitsumgebung.
Links & Ressourcen
Weiterführende Informationen rund um Microsoft 365 Security, Intune, Zero Trust und moderne Arbeitsplatzsicherheit helfen dabei, Sicherheits- und Governance-Konzepte nachhaltig weiterzuentwickeln. Die folgenden Themen bieten zusätzliche Einblicke in bewährte Ansätze, Technologien und Lösungsbereiche aus dem Microsoft 365 Umfeld.
Referenzprojekte & netunite News
Kontakt zur Projektberatung
Von Conditional Access und Microsoft Defender bis hin zu Intune, Endpoint Protection und Zero Trust: Gemeinsam entwickeln wir eine Sicherheitsstrategie, die zu Ihrer Arbeitsweise, Ihren Anforderungen und Ihrer bestehenden Microsoft 365 Umgebung passt.
Schreiben Sie uns gerne direkt an: info@netunite.eu
