Microsoft 365 Secure by Default-Einstellungen

Bei Microsoft passiert gerade viel. Im Rahmen der Microsoft Secure Future Initiative (SFI) und in Übereinstimmung mit dem Prinzip „Secure by Default“ gibt’s eine Aktualisierung der Microsoft 365-Standardeinstellungen.

In den Standard-Einstellungen von Microsoft 365 sollen veraltete Authentifizierungsprotokolle wie das RPS-Protokoll (Relying Party Suite) künftig für Zugriffe auf SharePoint und OneDrive blockiert werden. Das FPRPC-Protokoll (FrontPage Remote Procedure Call), mit dem man Office-Dateien öffnen kann, wird ebenfalls für Zugriffe auf SharePoint und OneDrive blockiert. Außerdem werden Zugriffe durch Drittanbieter-Anwendungen nur noch nach expliziter Freigabe durch einen Administrator möglich sein.

Die Änderungen starten Mitte Juli 2025 und sollen bis August 2025 abgeschlossen sein.

Bevorstehende Änderungen der „Secure by  Default“-Einstellungen – Auswirkungen

Das Blockieren der Protokolle wie RPS und FPRPC in Microsoft 365 wird dazu führen, dass ältere Apps oder Tools, die auf diesen Protokollen basieren, einfach nicht mehr funktionieren, sofern kein Update auf aktuelle Protokolle erfolgt.

Die notwendige Freigabe durch Admins für den Zugriff von Drittanbieter-Apps wird ebenfalls dazu führen, dass bis zur entsprechenden Freigabe Dinge nicht funktionieren werden. Sie brauchen also einen Workflow, um diese Anwendungen rechtzeitig manuell zu genehmigen. Mehr dazu finden Sie in der Mitteilung MC1097272 – Microsoft 365 Upcoming Secure by Default Settings Changes vom 18. Juni 2025.

Die Änderungen werden standardmäßig aktiviert und gelten für alle Microsoft 365 Tenants.

Wir empfehlen – wie Microsoft auch – dass jedes Unternehmen jetzt schnell aktiv wird.

Wenn Sie also nicht ausschließlich die aktuellsten Microsoft-Produkte nutzen, sondern auch Eigenentwicklungen oder Drittanwendungen einsetzen, die an SharePoint, OneDrive oder Office gekoppelt sind, haben Sie jetzt Handlungsbedarf.

Task #1 Überprüfen Sie Ihre Konfigurationen

Überprüfen Sie Ihre Konfigurationen – Wo werden diese Protokolle im Unternehmen noch eingesetzt?

Task #2 Informieren Sie die Betroffenen

Damit die Arbeitsprozesse nicht unterbrochen werden und die Nutzer nicht verwirrt sind, sollten Änderungen rechtzeitig angegangen und aktiv gestaltet werden. Wichtig ist dabei auch, die Betroffenen von den Umstellungen zu informieren, denn

• die Anwendungsverantwortlichen müssen sich rechtzeitig um die Aktualisierung der Software bzw. einen Ersatz kümmern können.
• die Prozessverantwortlichen müssen ggf. ihre Prozesse ändern, Dokumentationen anpassen und die Mitarbeiter darüber informieren.
• die Anwender müssen vorab über ggf. auftretende Probleme informiert oder auf neue Prozesse, Anwendungen oder Workflows hingewiesen werden.

Task #3 Klärung der Handhabung betroffener Anwendungen und Bereitstellung sicherer, aktueller Zugriffswege.

Klären Sie, wie mit den betroffenen Anwendungen umgegangen werden kann und, ob man sichere und aktuellere Zugriffswege bereitstellen kann. Hier ein paar nützliche Fragen:

Muss dazu die Software angepasst werden? Kann man das Update selber erstellen oder muss der Anbieter rechtzeitig ein Update bereitstellen? Kommt das Update rechtzeitig? Muss ggf. sogar ein Ersatz für die Software beschafft werden und wenn ja, wie schnell geht das?

Task #4 Vorbereitung auf die neuen Prozesse und Abläufe

Bereiten Sie die neuen Prozesse und Abläufe vor. Sollten Dinge nicht rechtzeitig in der gewünschten Weise umgesetzt werden können, ist auch die Einrichtung von Interimsprozessen eine mögliche Lösung. Hierzu gehört insbesondere auch ein neuer Prozess zur Freigabe von Drittanbieter-Anwendungen, die Zugriffe auf SharePoint und OneDrive erhalten sollen.

Lassen Sie hier bitte nicht alles genehmigen, sondern sehen Sie sich an, was gebraucht wird. Schaffen Sie sich in diesem Zuge einen Überblick über die benötigten Dinge und hinterfragen Sie diese – ein guter Zeitpunkt, um mehr Transparenz zu schaffen und ggf. Schatten-IT zu identifizieren.

Task #5 Aktualisierung der Dokumentationen

Aktualisieren Sie die Dokumentationen zu den Konfigurationen und Prozessen bzw. erstellen Sie diese neu für den Workflow der Admin-Zustimmung.

Noch ein Hinweis

Die Verarbeitung, Speicherung und den Zugriff auf bestehende Kundendaten kann sich hierdurch ebenfalls ändern, wenn der Zugriff auf Inhalte über veraltete Authentifizierungsprotokolle blockiert wird.

Weitere Infos zum Thema Microsoft-365-Security finden Sie auch im verlinkten Artikel auf Heise online.