Microsoft 365 Business Premium Sicherheitsstack: Leitfaden für Berliner KMU
Microsoft 365 Business Premium gilt als eine der sicherheitsdichtesten Lizenzen für kleine Unternehmen. Für rund 20 Euro pro Nutzer und Monat enthält sie Fähigkeiten, die Enterprise-Organisationen ein Vielfaches mehr kosten. Das Problem: Die meisten KMU aktivieren nur einen Bruchteil der enthaltenen Sicherheitsfunktionen — häufig weil der vollständige Umfang des Sicherheitsstacks im Admin-Center nicht sofort ersichtlich ist.
Der vollständige Sicherheitsstack
| Komponente | Was sie schützt | Admin-Portal |
|---|---|---|
| Microsoft Defender for Business | Endpunkte (Windows, macOS, iOS, Android) | security.microsoft.com |
| Microsoft Defender for Office 365 Plan 1 | E-Mail, SharePoint, Teams, OneDrive | security.microsoft.com |
| Microsoft Entra ID P1 | Identität, Conditional Access, SSPR | entra.microsoft.com |
| Microsoft Entra ID P2 (über BP) | PIM, Identity Protection, Access Reviews | entra.microsoft.com |
| Microsoft Intune | Geräteverwaltung, Compliance-Richtlinien, MAM | intune.microsoft.com |
| Azure Information Protection P1 | Dokument- und E-Mail-Klassifizierung | compliance.microsoft.com |
| Microsoft Purview (Compliance-Funktionen) | DLP, Prüfprotokolle, eDiscovery | compliance.microsoft.com |
| Microsoft Defender for Cloud Apps | Shadow IT, SaaS-App-Kontrolle, Sitzungsrichtlinien | security.microsoft.com |
| Microsoft Defender for Identity | Lokales Active Directory | security.microsoft.com |
Empfohlene Bereitstellungsreihenfolge
- MFA für alle Nutzer (Entra ID) — höchste Einzelwirkung, blockiert 99 % der Credential-Angriffe
- Conditional Access (Entra ID P1) — MFA kontextabhängig durchsetzen, Legacy-Authentifizierung blockieren
- Defender for Business — Sensor auf allen Endpunkten bereitstellen, Tamper Protection aktivieren
- Intune Compliance-Richtlinien — BitLocker, Defender aktiv, Mindest-OS-Version
- Defender for Office 365 — Safe Links und Safe Attachments für E-Mail und SharePoint aktivieren
- Intune App-Schutzrichtlinien — MAM für BYOD-Geräte ohne MDM-Enrollment
- Azure AD Kennwortschutz — häufige und unternehmensspezifische Passwörter sperren
- Microsoft Secure Score prüfen — als laufendes Verbesserungs-Dashboard nutzen
- Entra PIM — alle Admin-Konten auf berechtigte Zuweisungen umstellen
- Sensitivity Labels — vertrauliche Dokumente und E-Mails klassifizieren und schützen
- Purview DLP — Datenverlustprävention auf Basis der Label-Klassifizierung
- Defender for Identity — MDI-Sensor auf Domain Controllern einrichten (bei Hybridumgebungen)
- Defender for Cloud Apps — Shadow IT erkennen, Sitzungsrichtlinien durchsetzen
- Entra ID Governance Lifecycle Workflows — Joiner/Leaver automatisieren (erfordert Governance-Add-on)
Was zusätzliche Lizenzierung erfordert
- Microsoft Sentinel: Nicht enthalten. Erfordert ein Azure-Abonnement und nutzungsbasierte Kosten.
- Entra ID Governance (Lifecycle Workflows): Nicht in Business Premium enthalten, trotz enthaltener P2. Erfordert das Governance-Add-on.
- Microsoft 365 Backup: Nicht enthalten. Separates nutzerbasiertes Add-on.
Benötigen Sie einen Audit, welche Komponenten Ihrer Business-Premium-Lizenz aktiv und korrekt konfiguriert sind? Kontaktieren Sie uns für eine kostenlose Erstbewertung.