Auf der SeiteMicrosoft 365 habe ich die verschiedenen Paketangebote von Microsoft zu Office 365, Windows 365 und EMS 365 vorgestellt. Auf dieser Seite möchte ich das Teilpaket "Microsoft 365 E5 Security" genauer betrachten, welches ein günstigeres E5-Teilpaket mit dem Schwerpunkt "Security" ist. Ein anderes Teilpaket ist M365 E5 Compliance. Beide Pakete gibt es ab ca. Herbst 2019.
Der Schwerpunkt des "Microsoft 365 E5 Security" liegt, wie der Name schon deutlich macht", bei den gestiegenen Sicherheitsanforderungen. Insofern hat Microsoft hier alle Produkte zusammengefasst, die für Firmen interessant sind, um die Sicherheit zu erhöhen. Microsoft 365 E5 Security ist ein AddOn zu Microsoft 365 E3.
Sie müssen also schon Microsoft 365 E3 für die entsprechenden Anwender lizenziert haben. Durch den Schwerpunkt auf Security und Wegfall einiger Komponenten von Microsoft 365 E5 ist das Paket "Microsoft 365 E5 Security" natürlich etwas günstiger.
Das Angebot zum Thema Security bei Microsoft ist sehr umfangreich. Betrachten wir uns die Module in "Microsoft 365 E3" und "Microsoft 365 E5 Security" hinsichtlich der Sicherheit. Für eine Kaufentscheidung können Sie sich ja selbst pro Produkt überlegen, was ihnen die enthaltene Funktion "wert" ist. Nicht für alle Module ist Microsoft 365 E5 Security erforderlich. Einige Sicherheitsfunktionen sind in Microsoft 365 E3 schon enthalten aber werden mit E5 ausgebaut oder aufgewertet.
Sie lernen alle Produkte am besten bei einem eintägigen Workshop mit Erläuterung und Demos kennen, so dass Sie selbst abschätzen können, in welcher Reihenfolge sie die Bausteine umsetzen wollen.
| Produkt | Win | M365 | O365 | AzureAD | EMS | Beschreibung | |
|---|---|---|---|---|---|---|---|
Applocker | E3 | E3 | Aus meiner Sicht eine einfach umzusetzende Schutzfunktion in Windows, um als Administrator eine Allowlist von erlaubten Apps nach Dateiname, Pfaden, Signaturen etc. zu steuern und damit das Ausführung von nicht bekanntem Code komplett zu unterbinden.
| ||||
Devicelock | E3 | E3 | Über DeviceLock lässt sich steuern, welche Geräte z.B. per USB angeschlossen wird. Damit können Sie z.B. die Nutzung von USB-Sticks auf bestimmten Geräten unterbinden.
| ||||
Deviceguard | E3 | E3 |
| ||||
Bitlocker | E3 | E3 | Aus meiner Sicht unverzichtbar für Notebooks und Server ist die Funktion Bitlocker. Notebooks, die das Firmengelände verlassen, werden so gegen Veränderungen von extern geschützt. Der Notebook kann also nicht z.B. von einem USB-Stick oder CD gebootet werden, um dann "offline" die Windows Installation zu verändern. Für Server ist Bitlocker übrigens auch wichtig, da verschlüsselte Festplatten bei einem Defekt nicht besonders nachbehandelt werden müssen, was Kosten spart, Risiken reduziert und das Recycling vereinfacht.
| ||||
Multi Faktor Authentifizierung | E1/3/5 | P1 | E3 | Der Einsatz von MFA sollte für alle Mitarbeiter aktiviert werden, wenn Sie nicht in einem vertrauenswürdigen Standort sind. So können Sie ganz schnell den Missbrauch von Kennworten durch externe Angreifer verhindern, zumindest so lange sie keinen Zugriff auf interne Systeme haben.
| |||
Conditional Access | E3 | P1 | E3 | Über entsprechende Regeln in Office 365 und AzureAD können Sie sehr granular steuern, wann ein Benutzer mit welcher Software auf welchem Client auf welchen Dienst zugreifen kann. So können Sie verhindern, dass ein Anwender auf seinem privaten PC zuhause auf Firmendaten zugreifen oder diese sogar per OST-Datei oder OneDrive auf den unsicheren Client ablegen.
| |||
Windows Hello for Business | E3 | Anmeldung am Computer mit biometrischen Daten statt Kennwort.s | |||||
Password Less | Was man nicht eingibt, kann niemand abgreifen. Eine Anmeldung ohne Kennwort kann hier eine Lösung sein. Sie geben dann ihren Benutzernamen ein aber die Bestätigung erfolgt dann z.B. auf dem Smartphone. | ||||||
Credential Guard | E3 | Anmeldedaten können in Windows Enterprise in einer geschützten Umgebung abgelegt werden, so dass "böse Prozesse" nicht dran kommen.
| |||||
Azure ATP | E5 | Mit AzureATP überwachen Sie ihre Domain Controller auf sicherheitsrelevante Events.
| |||||
Exchange Online Protection | E1/3/5 | Der einfache Spam- und Malware-Filter ist schon in jeder Office 365 Lizenz mit Postfach vorhanden. | |||||
Office 365 ATP | E5 | E5 | Primär als erweiterte EOP-Version für Exchange Online gestartet, wird die Lösung
| ||||
Defender | E3 | E3 | Die klassische Antivirenlösung ist in jeder Windows Version enthalten und mit Windows E3 ist "Defender for Business" | ||||
Defender ATP | E5 | Durch die ATP Erweiterung wird aus dem normalen Defender ein "NextGen Endpoint Protection, Detect & Automated Response"-System.
| |||||
PIM | E5 | P2 | Vier-Augen-Prinzip für die Ausübung von administrativen Berechtigung. Ein "möglicher Administrator" muss erst die Rechte anfordern und erhält sie dann für begrenzte Zeit. Dies ist insbesondere für "Global Admins" interessant. | ||||
Cloud App Security | E5 | Windows Defender ATP, Office 365 Anmeldevorgänge, AzureATP und Daten aus viele andere Quellen können hier konsolidiert analysiert werden. Selbst eigene Connectoren zum Einbinden eigener Datenquellen sind möglich.
| |||||
Security Center / Security Score | Microsoft ermitteln über alle Office 365 und Azure-Dienste einen Score basierend auf eigenen "Best Practices". So können Sie schnell Potential zur Verbesserung der Sicherheit finden.
| ||||||
Azure Sentinel | Das letzte Produkt in der Reihe ist ein vollständiges SIEM (Security Information and Event Management) System zur Konsolidierung von verschiedenden Events mit einer leistungsfähigen Abfragesprache, automatischen Auswertungen und getriggerten Aktionen. | ||||||
Endpoint Management | E3 | E3 | Das Endpoint Management mit Intune aus der Cloud erlaubt eine Inventarisierung aber auch Verteilung von Einstellungen
|
Die Liste wurde im November 2019 erstellt und könnte sehr schnell wieder veraltet sein. Das ist bei Sicherheitslösungen aber nicht ungewöhnlich, da hier die Entwicklung sehr schnell voranschreitet.
Neben dem "Microsoft 365 E5 Security"-Paket gibt es auch noch ein kleines E5-Paket mit dem Schwerpunkt Compliance. Hier sind aber wohl nur zwei Komponenten enthalten
Das Paket ist also bei weitem nicht so umfangreich wie die M365 E5 Security.
