Die Kennwortrichtlinie in Office 365 ist wesentlich strenger und sicherer als die einer lokalen Anwendung. Somit müssen Sie sich nicht mehr um das Festlegen und Durchsetzen verschiedener Authentifizierungsrichtlinien für Ihre Benutzer kümmern. Dennoch sollten Sie die Office 65-Sicherheitseinstellungen auf das allgemeine Sicherheitsprofil und -konzept Ihres Unternehmens abstimmen.
In diesem Artikel stelle ich zwei Regeln vor, die IT-Administratoren helfen, eine sichere Office 365-Kennwortrichtlinie zu konfigurieren.
Regel 1: Überwachen Sie den Ablauf von Kennwörtern
Standardmäßig laufen Kennwörter nach 90 Tagen ab. Der Zeitraum, nach dem sie ablaufen, kann auf maximal 730 Tage erhöht werden. Dies wird jedoch nicht empfohlen, da eine so lange Gültigkeitsdauer erhebliche Sicherheitsrisiken für geschäftskritische Daten mit sich bringen kann.
So können Sie den Wert für den Ablauf von Kennwörtern ändern:
- Melden Sie sich im Office 365 Admin Center an und wechseln Sie zu „Einstellungen“ > „Sicherheit und Datenschutz“.
- Klicken Sie auf „Bearbeiten“.
- Geben Sie die Anzahl der Tage ein, die Kennwörter gültig sein sollen. Für die meisten Unternehmen wird eine Gültigkeitsdauer von maximal 90 Tagen empfohlen. Wenn Sie jedoch die zweistufige Authentifizierung aktiviert haben, können Sie auch einen längeren Zeitraum definieren, ohne dass Ihr allgemeines Sicherheitsprofil dadurch allzu sehr beeinträchtigt wird.
- Legen Sie optional fest, wann Benutzer über den bevorstehenden Ablauf ihrer Kennwörter benachrichtigt werden sollen.
- Klicken Sie auf „Speichern“, um die Einstellungen zu übernehmen.
Bei manchen Konten wie Dienstkonten oder Anmeldedaten, die von Multifunktionsgeräten für das Speichern von gescannten Dokumenten oder Faxdokumenten und Versenden dieser Dokumente per E-Mail genutzt werden, kann es sinnvoll sein, Kennwörter niemals ablaufen zu lassen. In der Regeln handelt es sich dabei um sehr eingeschränkte Konten, mit denen sich lediglich ein oder zwei Aufgaben ausführen lassen.
Um diese Konfiguration vorzunehmen, müssen Sie PowerShell starten und eine Verbindung zu Office 365 herstellen. Stellen Sie sicher, dass Sie sowohl das Softwarepaket Microsoft Online Services-Anmeldeassistent für IT-Experten RTW als auch das Azure Active Directory-Modul für Windows PowerShell installiert haben. Beide Pakete stehen über das Microsoft Download Center zur Verfügung. Stellen Sie anschließend mit dem Cmdlet Connect-Msolservice eine Verbindung zu Ihrem Mandanten her und authentifizieren Sie sich mit Ihren Anmeldeinformationen.
Führen Sie abschließend folgenden Befehl aus:
Set-Msoluser –UserPrincipalName copier@yourdomain.org -PasswordNeverExpires $true
Sie können außerdem eine Liste der Benutzer abrufen, deren Kennwörter niemals ablaufen:
Get-Msoluser | Select-Object UserPrincipalName, PasswordNeverExpires
Hinweis: Denken Sie daran, dass bei Konten, die Sie mit der Cloud synchronisieren, die lokal definierten und durchgesetzten Richtlinien abhängig von Ihrer lokalen Active Directory-Installation und -Bereitstellung auch auf die Cloud übertragen werden und nicht von Änderungen betroffen sind, die Sie in der Cloud vornehmen. Die Einstellungen werden nur für Benutzer geändert, die in der Cloud erstellt wurden.
Regel 2: Implementieren Sie die zweistufige Authentifizierung (2FA)
Ein Vorteil der zweistufigen Authentifizierung ist die Möglichkeit, das Konto eines Benutzers zu schützen, selbst wenn sein Kennwort kompromittiert wurde. Wenn ein Benutzer sein Gerät verliert, hat der Hacker dennoch keinen Zugriff auf das Kennwort für das Benutzerkonto, sodass der Verlust des Geräts nicht ganz so schwerwiegende Auswirkungen hat. Vor diesem Hintergrund sollten Unternehmen bei der Definition ihrer Office 365-Kennwortrichtlinie die zweistufige Authentifizierung aktivieren. So gehen Sie dabei vor:
- Gehen Sie im Office 365 Admin Center zu „Benutzer“ > „Aktive Benutzer“ und klicken Sie auf das Menü „Weitere“.
- Wählen Sie die Option zur Einrichtung der mehrstufigen Authentifizierung für Azure.
- Klicken Sie neben den Anforderungen für die mehrstufige Authentifizierung auf den Link zur Einrichtung und aktivieren Sie dann die Kontrollkästchen für die Benutzer, für die Sie die zweistufige Authentifizierung aktivieren möchten.
- Wählen Sie auf der rechten Seite „Aktivieren“.
Für Benutzer, die Outlook 2013 oder frühere Versionen bzw. andere Anwendungen verwenden, müssen Sie ein Anwendungskennwort festlegen, dass die zweistufige Authentifizierung umgeht, da diese Anwendungen Eingabeaufforderungen für die zweistufige Authentifizierung nicht unterstützen oder den Einmalcode an Microsoft Azure weiterleiten.
- Klicken Sie auf der Seite zur Einrichtung der zweistufigen Authentifizierung auf den Link „Diensteinstellungen“.
- Wählen Sie die Option „Benutzern das Erstellen von App-Kennwörtern zum Anmelden bei nicht browserbasierten Apps gestatten“.
- Benutzer müssen dann eigene Kennwörter für Outlook 2013 und frühere Versionen sowie andere Anwendungen erstellen, die das Office 365-Konto nutzen.
Office 2016 unterstützt die zweistufige Authentifizierung und erfordert daher keine Anwendungskennwörter.
Denken Sie daran, dass die Komplexität und regelmäßige Änderung von Kennwörtern zum Schutz Ihrer Daten vor Sicherheitsrisiken beitragen.