Microsoft 365 Admin Center: So können Sie sicher eine neue App bereitstellen und die Berechtigungsanforderungen akzeptieren

In der heutigen schnelllebigen digitalen Arbeitswelt sind Apps die treibende Kraft hinter Produktivität und Innovation. Von Aufgabenmanagement-Tools über Kollaborationslösungen bis hin zu spezialisierten Branchenanwendungen – sie alle erweitern die Funktionalität von Plattformen wie Microsoft 365 enorm. Doch mit der Vielzahl an verfügbaren Anwendungen geht auch eine wachsende Herausforderung einher: die sichere App-Bereitstellung und das umsichtige Management von Berechtigungsanforderungen. Als Administrator stehen Sie vor der Aufgabe, eine Balance zwischen Benutzerfreundlichkeit und dem Schutz sensibler Unternehmensdaten zu finden.

Das Microsoft 365 Admin Center, insbesondere in Verbindung mit dem Azure AD Admin Center, ist Ihr zentrales Steuerungselement, um diese Herausforderung zu meistern. Dieser Artikel führt Sie detailliert durch den Prozess, wie Sie neue Anwendungen sicher in Ihrer Microsoft 365-Umgebung bereitstellen, die erforderlichen Berechtigungen verstehen und verantwortungsvoll genehmigen. Ziel ist es, Ihnen das Wissen an die Hand zu geben, um Ihre Organisation vor potenziellen Sicherheitsrisiken zu schützen, ohne die Vorteile moderner Cloud-Anwendungen einzuschränken.

Grundlagen: Apps und Berechtigungen in Microsoft 365 verstehen

Bevor wir uns dem Bereitstellungsprozess widmen, ist es wichtig, ein klares Verständnis der Grundlagen zu entwickeln. Eine „App” in Microsoft 365 kann vieles sein: eine Web-App, die sich bei Azure AD anmeldet, eine App, die in Microsoft Teams integriert ist, ein SharePoint-Add-in oder eine mobile Anwendung. Unabhängig von ihrer Form ist der gemeinsame Nenner, dass diese Apps typischerweise auf Ressourcen in Ihrer Microsoft 365-Umgebung zugreifen müssen – seien es Benutzerprofile, Dateien in OneDrive oder SharePoint, Kalenderinformationen oder E-Mails.

Dieser Zugriff erfolgt über Berechtigungen. Wenn eine App auf Daten zugreifen oder Aktionen ausführen möchte, fordert sie spezifische Berechtigungen an. Diese können in zwei Hauptkategorien unterteilt werden:

• Delegierte Berechtigungen: Die App agiert im Namen des angemeldeten Benutzers. Sie kann nur das tun, wozu der Benutzer selbst berechtigt ist. Beispiele: „Lesen Sie die Benutzerprofile” oder „Senden Sie E-Mails als der Benutzer”.
• Anwendungsberechtigungen (App-Berechtigungen): Die App agiert als sie selbst, ohne dass ein Benutzer angemeldet sein muss. Diese Berechtigungen werden typischerweise von Hintergrunddiensten oder Daemons verwendet. Beispiele: „Lesen Sie alle Dateien in allen SharePoint-Sites” oder „Senden Sie E-Mails als jede Person in der Organisation”. Diese sind weitreichender und erfordern immer eine Admin-Zustimmung.

Das sorgfältige Prüfen und Genehmigen dieser Berechtigungen ist entscheidend. Eine App mit übermäßig weitreichenden Berechtigungen stellt ein erhebliches Sicherheitsrisiko dar, da sie im Falle einer Kompromittierung potenziell unbefugten Zugriff auf sensible Unternehmensdaten ermöglichen könnte.

Die Rolle des Microsoft 365 Admin Centers (und Azure AD)

Das Microsoft 365 Admin Center ist der zentrale Knotenpunkt für die Verwaltung Ihrer gesamten Microsoft 365-Umgebung. Obwohl viele App-Einstellungen und -Berechtigungen direkt im integrierten Azure Active Directory (Azure AD) Admin Center (das über das M365 Admin Center erreichbar ist) verwaltet werden, ist das Konzept dasselbe: Administratoren haben die volle Kontrolle und Sichtbarkeit über Anwendungen und deren Zugriffsrechte.

Im Azure AD Admin Center finden Sie unter „Enterprise Applications” (Unternehmensanwendungen) und „App registrations” (App-Registrierungen) die Schaltzentralen für das Berechtigungsmanagement. Hier können Sie sehen, welche Apps in Ihrer Umgebung registriert sind, welche Berechtigungen sie anfordern und wer ihnen zugestimmt hat.

Sicherheitsprinzipien vor der Bereitstellung

Bevor Sie überhaupt eine neue App in Betracht ziehen, sollten Sie sich diese fundamentalen Sicherheitsprinzipien zu Herzen nehmen:

1. Prinzip der geringsten Rechte (Least Privilege): Geben Sie einer App oder einem Benutzer niemals mehr Berechtigungen, als unbedingt notwendig sind, um ihre Funktion zu erfüllen. Weniger Rechte bedeuten weniger Angriffsfläche.
2. Need-to-Know-Prinzip: Beschränken Sie den Zugriff auf sensible Daten nur auf diejenigen Apps oder Personen, die diesen Zugriff für ihre Aufgaben benötigen.
3. Vertrauen in den Entwickler: Überprüfen Sie die Reputation des App-Entwicklers. Ist er bekannt und vertrauenswürdig? Bietet er transparente Informationen zu seinen Sicherheitspraktiken und Datenschutzrichtlinien?
4. Regelmäßige Überprüfung: Berechtigungen sind nicht statisch. Überprüfen Sie regelmäßig, ob Apps noch die zugewiesenen Berechtigungen benötigen. Bei Änderungen an der App-Funktionalität oder den Unternehmensrichtlinien sollten die Berechtigungen neu bewertet werden.
5. Informierte Benutzer: Klären Sie Ihre Benutzer über die Risiken der App-Zustimmung auf und wie sie verdächtige Anfragen erkennen können.

Schritt-für-Schritt: Eine neue App sicher bereitstellen (Administrator-gesteuert)

Die sicherste Methode zur Bereitstellung einer App ist die Administrator-gesteuerte Zustimmung. Dies stellt sicher, dass alle Berechtigungen von einer autorisierten Person sorgfältig geprüft werden, bevor die App in der Organisation verwendet werden kann.

Phase 1: Vorbereitung und Bewertung

1. Anforderungsanalyse: Verstehen Sie genau, was die App tut, welche Geschäftsanforderungen sie erfüllt, welche Benutzergruppen sie nutzen werden und, ganz wichtig, welche Daten sie verarbeiten wird.
2. App-Reputation und -Überprüfung:
   • Handelt es sich um eine App aus dem Microsoft AppSource? Diese Apps durchlaufen eine gewisse Prüfung durch Microsoft, was ein erstes Vertrauenssignal ist. Doch auch hier ist Vorsicht geboten.
   • Recherchieren Sie den Entwickler. Gibt es negative Schlagzeilen? Wie ist die Bewertung und das Feedback anderer Nutzer?
   • Prüfen Sie die Website des Entwicklers auf Datenschutzrichtlinien (DSGVO-Konformität!), Nutzungsbedingungen und Sicherheitszertifizierungen (z.B. ISO 27001).
3. Sicherheits- und Compliance-Prüfung: Stellen Sie sicher, dass die App den internen Sicherheitsrichtlinien und externen Compliance-Anforderungen (z.B. branchenspezifische Regulierungen) entspricht. Gegebenenfalls eine Risikobewertung durchführen.
4. Testumgebung erwägen: Falls möglich, testen Sie die App zuerst in einer isolierten Umgebung mit Testdaten, bevor Sie sie für die breite Masse freigeben.

Phase 2: App-Registrierung im Azure AD Admin Center (falls nicht über AppSource)

Wenn es sich um eine selbst entwickelte App oder eine App handelt, die nicht direkt über AppSource installiert wird, müssen Sie sie möglicherweise manuell in Azure AD registrieren.

1. Navigieren Sie zum Azure AD Admin Center (portal.azure.com).
2. Suchen Sie nach „App registrations” und wählen Sie „New registration”.
3. Geben Sie einen Namen für die App an, wählen Sie die unterstützten Kontotypen und fügen Sie ggf. einen Umleitungs-URI hinzu.
4. Nach der Registrierung navigieren Sie zu „API permissions”. Hier fügen Sie die Berechtigungen hinzu, die die App benötigt.
   • Klicken Sie auf „Add a permission”.
   • Wählen Sie die gewünschte API (z.B. Microsoft Graph).
   • Wählen Sie die erforderlichen delegierten oder Anwendungsberechtigungen aus. Seien Sie hier extrem spezifisch und wählen Sie nur das absolute Minimum.
   • Nachdem Sie die Berechtigungen ausgewählt haben, sehen Sie in der Liste, welche davon eine „Admin consent required” (Admin-Zustimmung erforderlich) haben.

Phase 3: Bereitstellung und Admin-Zustimmung

Dies ist der kritische Schritt. Wenn eine App Berechtigungen anfordert, die eine Admin-Zustimmung erfordern, müssen Sie diese aktiv erteilen. Dies kann entweder während der manuellen App-Registrierung oder beim erstmaligen Versuch, die App in Ihrer Organisation zu verwenden, geschehen.

1. Berechtigungen sorgfältig prüfen: Bevor Sie auf „Grant admin consent” klicken, lesen Sie die Liste der angeforderten Berechtigungen noch einmal. Fragen Sie sich:
   • Sind alle diese Berechtigungen absolut notwendig für die Kernfunktionalität der App?
   • Gibt es weniger weitreichende Alternativen?
   • Welche Art von Daten könnte die App mit diesen Berechtigungen lesen, ändern oder löschen?
   • Was wäre das Worst-Case-Szenario, wenn die App kompromittiert würde?
2. Admin-Zustimmung erteilen: Im Azure AD Admin Center unter „App registrations” (für selbst registrierte Apps) oder „Enterprise applications” (für alle Apps, die in Ihrem Tenant genutzt werden) finden Sie die Option „Grant admin consent for [Ihr Tenantname]”. Durch das Klicken auf diese Schaltfläche bestätigen Sie, dass Sie mit allen angeforderten Berechtigungen einverstanden sind und diese für alle Benutzer in Ihrer Organisation gelten sollen (sofern die App diese Art von Berechtigung anfordert).
3. Verwaltung der App im Azure AD (Enterprise Applications):
   • Nach der Genehmigung können Sie die App unter „Enterprise applications” weiter verwalten.
   • Hier können Sie festlegen, ob die App für alle Benutzer verfügbar ist oder nur für bestimmte Benutzer/Gruppen (unter „Users and groups”). Dies ist ein wichtiges Element, um das Need-to-Know-Prinzip umzusetzen.
   • Nutzen Sie die Optionen für den Bedingten Zugriff (Conditional Access), um den Zugriff auf die App zusätzlich abzusichern (z.B. nur von konformen Geräten, mit Multi-Faktor-Authentifizierung (MFA)).

Phase 4: Überwachung und Wartung

Die Bereitstellung einer App ist kein einmaliger Vorgang. Kontinuierliche Überwachung ist entscheidend.

1. Überwachung der App-Nutzung und -Aktivität: Nutzen Sie die Audit Logs in Azure AD, um nachzuvollziehen, wer wann auf die App zugegriffen hat oder welche Aktionen die App durchgeführt hat. Achten Sie auf ungewöhnliche Aktivitäten.
2. Regelmäßige Überprüfung der Berechtigungen: Führen Sie mindestens einmal jährlich eine Überprüfung aller Apps und ihrer Berechtigungen durch. Sind die Berechtigungen noch relevant? Gibt es Apps, die nicht mehr genutzt werden und deinstalliert werden sollten?
3. Anpassung des Zugriffs: Entziehen Sie den Zugriff, wenn eine App nicht mehr benötigt wird oder wenn Sicherheitsbedenken auftreten.

Umgang mit Benutzer-gesteuerten Berechtigungsanforderungen (User Consent)

Neben der Admin-gesteuerten Bereitstellung gibt es die Möglichkeit der Benutzerzustimmung (User Consent). Standardmäßig können Benutzer Apps, die nur delegierte Berechtigungen mit geringem Risiko anfordern, selbst zustimmen (z.B. eine App, die nur das eigene Profil lesen möchte). Dies klingt bequem, birgt aber erhebliche Risiken, da Benutzer möglicherweise nicht die Auswirkungen einer Berechtigungsanfrage vollständig verstehen und versehentlich schädlichen Apps weitreichende Zugriffe gewähren können.

Konfiguration der Benutzerzustimmung im Azure AD Admin Center:

Sie finden diese Einstellungen unter Azure AD Admin Center > Enterprise applications > Consent and permissions > User consent settings. Hier haben Sie mehrere Optionen:

1. Benutzer können Apps zustimmen: (Standardmäßig aktiviert) Benutzer können Apps selbst zustimmen, wenn die App nur auf Daten zugreift, auf die der Benutzer bereits Zugriff hat (delegierte Berechtigungen mit geringem Risiko). Empfehlung: Diese Option deaktivieren, um die Kontrolle zu behalten.
2. Benutzer dürfen Apps von verifizierten Herausgebern zustimmen, nur für ausgewählte Berechtigungen: Eine sicherere Option, die das Risiko minimiert, aber dennoch Flexibilität bietet.
3. Benutzer dürfen nicht zustimmen: Dies ist die sicherste Einstellung. Alle Berechtigungsanforderungen müssen von einem Administrator genehmigt werden. Das erhöht den administrativen Aufwand, reduziert aber das Risiko drastisch.
4. Admin-Zustimmungs-Workflow aktivieren: Dies ist die empfohlene Einstellung! Wenn ein Benutzer versucht, eine App zu verwenden, die eine Admin-Zustimmung erfordert (oder die Benutzerzustimmung deaktiviert ist), kann er über einen Workflow eine Genehmigung anfordern. Administratoren erhalten eine Benachrichtigung, können die Anfrage prüfen und entweder genehmigen oder ablehnen. Dieser Workflow bietet Kontrolle und Benutzerfreundlichkeit gleichermaßen.

Best Practices für Benutzerzustimmung:

• Deaktivieren Sie die allgemeine Benutzerzustimmung und aktivieren Sie den Admin-Zustimmungs-Workflow. Dies gibt Ihnen die volle Kontrolle über alle App-Zustimmungen.
• Schulen Sie Ihre Benutzer darin, keine ungeprüften Apps zu installieren und stattdessen den Admin-Zustimmungs-Workflow zu nutzen.
• Definieren Sie klare Richtlinien, welche Arten von Apps genehmigt werden und welche nicht.

Spezielle Szenarien und Best Practices

Hier sind weitere Tipps und Funktionen, die Ihre Anwendungssicherheit in Microsoft 365 weiter verbessern:

• Apps aus dem Microsoft AppSource: Auch wenn diese Apps von Microsoft geprüft wurden, ist es unerlässlich, die angeforderten Berechtigungen selbst zu überprüfen. Eine App, die „zu viel” verlangt, sollte skeptisch betrachtet werden.
• Entwicklung eigener Apps: Wenn Ihre Organisation eigene Anwendungen entwickelt, stellen Sie sicher, dass Sicherheit von Anfang an (Security by Design) in den Entwicklungsprozess integriert wird. Minimale Berechtigungen und regelmäßige Sicherheitsaudits sind hier Pflicht.
• Bedingter Zugriff (Conditional Access): Nutzen Sie Bedingten Zugriff in Azure AD, um den Zugriff auf Apps nur unter bestimmten Bedingungen zu erlauben – z.B. nur von vertrauenswürdigen Standorten, von verwalteten und konformen Geräten oder nur mit Multi-Faktor-Authentifizierung (MFA). Dies fügt eine weitere Sicherheitsebene hinzu.
• Privileged Identity Management (PIM): Für Administratoren, die Berechtigungen erteilen, ist PIM eine wertvolle Funktion. Sie ermöglicht Just-In-Time-Zugriff auf privilegierte Rollen, was bedeutet, dass Administratoren ihre hohen Berechtigungen nur bei Bedarf und für eine begrenzte Zeit aktivieren. Dies reduziert das Risiko, dass privilegierte Konten dauerhaft exponiert sind.
• Audit-Logs nutzen: Das Microsoft 365 Admin Center und das Azure AD Admin Center bieten umfassende Audit-Logs. Diese Logs protokollieren, wann welche App registriert wurde, welche Berechtigungen angefordert und wer diese genehmigt hat. Diese Informationen sind unerlässlich für forensische Analysen und zur Einhaltung der Compliance.

Häufige Fehler und wie man sie vermeidet

1. Blindes Akzeptieren von Berechtigungen: Der größte Fehler. Immer prüfen, was die App wirklich tun will.
2. Fehlende interne Richtlinien: Ohne klare Richtlinien, welche Apps und Berechtigungen genehmigt werden, entsteht ein Flickenteppich an Risiken.
3. Unzureichende Überprüfung von Drittanbieter-Apps: Verlassen Sie sich nicht blind auf AppSource oder das Marketing des Entwicklers. Recherchieren Sie selbst.
4. Deaktivierung des Admin-Zustimmungs-Workflows: Das Öffnen der Benutzerzustimmung für alle Berechtigungen ist eine Einladung zu Problemen.
5. Keine regelmäßige Überprüfung: Veraltete Berechtigungen von nicht mehr genutzten Apps sind ein potenzielles Einfallstor.

Fazit

Die sichere App-Bereitstellung und das umsichtige Management von Berechtigungsanforderungen sind Eckpfeiler einer robusten IT-Sicherheit in jeder Organisation, die Microsoft 365 nutzt. Das Microsoft 365 Admin Center, insbesondere in Kombination mit dem Azure AD Admin Center, bietet Ihnen die notwendigen Werkzeuge, um diese Aufgabe proaktiv zu steuern.

Indem Sie die Sicherheitsprinzipien des geringsten Rechts und des Need-to-Know anwenden, den Admin-Zustimmungs-Workflow nutzen und die Berechtigungen Ihrer Apps kontinuierlich überprüfen, schützen Sie nicht nur Ihre Daten, sondern stellen auch sicher, dass Ihre Benutzer die Vorteile der Cloud-basierten Anwendungen ohne unnötige Risiken genießen können. Sicherheit ist kein Ziel, sondern ein fortlaufender Prozess – und mit den richtigen Strategien im M365 Admin Center sind Sie bestens dafür gerüstet.