Microsoft Secure Score Microsoft Secure Score
Referenz zu Berechnung, Punktesystem, Verbesserungsmaßnahmen, Peer-Vergleichen, Trendanalyse, API-Nutzung und PowerShell-Reporting für Microsoft Secure Score. Reference for calculation, point system, improvement actions, peer comparisons, trend analysis, API usage, and PowerShell reporting for Microsoft Secure Score.
97
97
Referenzmaßnahmen
Reference actions
5
5
Kategorien
Categories
Trend
Trend
Historie und Regression
History and regression
Graph
Graph
API und Reporting
API and reporting
Secure Score ist ein Priorisierungsinstrument
Secure Score is a prioritization instrument
Ein hoher Score ist kein Ersatz für Architekturentscheidungen, Risikoakzeptanz oder Incident-Daten. Er hilft aber, Sicherheitsarbeit messbar, vergleichbar und planbar zu machen. A high score is not a substitute for architecture decisions, risk acceptance, or incident data. It does help make security work measurable, comparable, and plannable.
Punkte ohne Betriebsfähigkeit erzeugen Drift
Points without operational readiness create drift
Viele Kontrollen verlieren später wieder Punkte, wenn Pilotkonfigurationen auslaufen, Ownership unklar ist oder Helpdesk-Auswirkungen unterschätzt wurden. Plane deshalb immer Betrieb, Kommunikation und Regression-Reviews mit ein. Many controls lose points later when pilot configurations expire, ownership is unclear, or help desk impact is underestimated. Always plan operations, communications, and regression reviews as part of the work.
🧮 Methodik
🧮 Methodology
Berechnung, Punkte und Normalisierung. Calculation, points, and normalization.
🆔 Identity
🆔 Identity
30+ Maßnahmen für Authentifizierung und Berechtigungen. 30+ actions for authentication and privileges.
🗃️ Data
🗃️ Data
20+ Maßnahmen für Labels, DLP und Aufbewahrung. 20+ actions for labels, DLP, and retention.
💻 Device
💻 Device
20+ Maßnahmen für Compliance und Endpoint-Härtung. 20+ actions for compliance and endpoint hardening.
📱 Apps
📱 Apps
15+ Maßnahmen für SaaS, OAuth und Enterprise Apps. 15+ actions for SaaS, OAuth, and enterprise apps.
☁️ Infrastructure
☁️ Infrastructure
10+ Maßnahmen für Azure und hybride Ressourcen. 10+ actions for Azure and hybrid resources.
Berechnung, Methodik und Punktesystem Calculation, methodology, and point system
Microsoft Secure Score sammelt empfohlene Sicherheitsverbesserungen aus Microsoft 365, Entra, Intune, Defender und Azure. Jede Maßnahme hat einen maximalen Punktwert; umgesetzte oder teilweise umgesetzte Kontrollen erhöhen den aktuellen Score. Microsoft Secure Score aggregates recommended security improvements from Microsoft 365, Entra, Intune, Defender, and Azure. Each action has a maximum point value; implemented or partially implemented controls raise the current score.
| Aspekt Aspect | Erklärung Explanation | Wirkung Effect |
|---|---|---|
| Aktueller Score Current score | Microsoft bewertet umgesetzte Verbesserungsmaßnahmen mit den jeweils erreichten Punkten. Microsoft scores implemented improvement actions with the points earned for each control. | Punkte werden nur für nachweisbar umgesetzte Kontrollen vergeben. Points are awarded only for verifiably implemented controls. |
| Maximaler Score Maximum score | Der Maximalwert ist die Summe aller für den Tenant relevanten Maßnahmen und kann sich mit Lizenzen oder Workloads ändern. The maximum score is the sum of all actions relevant to the tenant and can change with licenses or workloads. | Darum ist die Prozentbetrachtung oft aussagekräftiger als die absolute Zahl. That is why the percentage view is often more meaningful than the raw number. |
| Teilpunkte Partial points | Viele Kontrollen vergeben Teilpunkte für schrittweise Einführung, etwa zuerst Admins und später alle Benutzer. Many controls award partial points for phased rollouts, such as admins first and then all users. | Teilpunkte helfen bei Pilot- und Wellenplanung. Partial points help with pilot and wave planning. |
| Methodik Methodology | Gewertet werden Identität, Daten, Geräte, Apps und Infrastruktur mit jeweils eigenen Kontrollprofilen. Identity, data, devices, apps, and infrastructure are scored with their own control profiles. | Die Gewichtung orientiert sich an Risiko- und Umsetzungswert. Weighting reflects risk reduction and implementation value. |
| Nicht anwendbar Not applicable | Einzelne Maßnahmen können wegen fehlender Workloads oder alternativer Kontrollen aus der Relevanz fallen. Some actions may be irrelevant because workloads are absent or alternative controls exist. | Dokumentiere Ausnahmen sauber, damit Reviews nachvollziehbar bleiben. Document exceptions carefully so reviews remain traceable. |
| Regressionslogik Regression logic | Der Score sinkt, wenn Kontrollen deaktiviert, Lizenzen entzogen oder Konfigurationen inkonsistent werden. The score drops when controls are disabled, licenses are removed, or configurations become inconsistent. | Regressionsanalyse gehört in jedes Monatsreview. Regression analysis belongs in every monthly review. |
- Aktueller Score = Summe aller erreichten Punkte aus relevanten Maßnahmen. Current score = sum of all earned points from relevant actions.
- Prozentwert = aktueller Score geteilt durch maximal erreichbaren Score. Percentage = current score divided by maximum achievable score.
- Teilweise Umsetzungen zählen, wenn Microsoft eine abgestufte Bewertung unterstützt. Partial implementations count when Microsoft supports graduated scoring.
Peer-Vergleich und Kontext Peer comparison and context
Secure Score zeigt Vergleichswerte gegen Branchenmittel, ähnliche Organisationsgröße und Durchschnittswerte anderer Mandanten. Diese Ansichten sind hilfreich, um Management-Erwartungen zu kalibrieren und eigene Roadmaps realistisch zu machen. Secure Score provides comparison values against industry averages, similar organization sizes, and other tenant averages. These views help calibrate management expectations and keep roadmaps realistic.
| Vergleich Comparison | Nutzen Use | Interpretation Interpretation |
|---|---|---|
| Branchenvergleich Industry average | Secure Score vergleicht den Tenant mit Organisationen ähnlicher Branche. Secure Score compares the tenant with organizations from a similar industry. | Nutze den Wert als Kontext, nicht als Freifahrtschein. Use the value as context, not as a free pass. |
| Ähnliche Organisationsgröße Similar organization size | Peer Groups nach Nutzerzahl zeigen, ob große oder kleine Unternehmen typischerweise weiter sind. Peer groups by user count show whether larger or smaller organizations are typically more advanced. | Hilft bei realistischen Roadmaps und Management-Erwartungen. Helps with realistic roadmaps and management expectations. |
| Kontrollvergleich Control comparison | Einzelne Verbesserungsmaßnahmen lassen sich gegen die Peer Group priorisieren. Individual improvement actions can be prioritized against the peer group. | Besonders nützlich für Business Cases. Especially useful for business cases. |
| Trendvergleich Trend comparison | Nicht nur der aktuelle Abstand zählt, sondern die Richtung im Zeitverlauf. Not only the current gap matters, but also the direction over time. | Ein stabil steigender Trend ist oft wichtiger als ein einmaliger Sprung. A stable upward trend is often more important than a one-time jump. |
Historie, Trend und Regression History, trend, and regression
Der echte Mehrwert entsteht über die Zeit: stabile Verbesserungen, nachvollziehbare Regressionen und ein geplanter Backlog pro Quartal. Trendlinien helfen dabei, technische Drifts und organisatorische Schwächen früh zu erkennen. The real value appears over time: stable improvements, understandable regressions, and a planned backlog per quarter. Trend lines help identify technical drift and organizational weakness early.
| Disziplin Discipline | Vorgehen Approach | Ergebnis Outcome |
|---|---|---|
| Trendanalyse Trend analysis | Beobachte Score, Prozentwert und Kategorien mindestens monatlich. Observe score, percentage, and categories at least monthly. | Monatliche Boards erkennen Drift früh. Monthly boards spot drift early. |
| Regression finden Finding regressions | Suche nach deaktivierten Kontrollen, Lizenzänderungen, auslaufenden Pilotpolicys und Device-Compliance-Rückgängen. Look for disabled controls, license changes, expiring pilot policies, and device compliance drops. | Regressionen sind häufig prozessbedingt, nicht technisch. Regressions are often process-driven rather than purely technical. |
| Geplante Maßnahmen Planned actions | Lege pro Quartal Zielkontrollen, Owner, Abhängigkeiten, Pilotgruppen und Kommunikationsmaßnahmen fest. Define target controls, owners, dependencies, pilot groups, and communications each quarter. | Secure Score wird besser, wenn Governance planbar wird. Secure Score improves when governance becomes predictable. |
| Erfolgsmessung Success measurement | Kombiniere Secure Score mit Incident-Rate, Audit-Funden und Helpdesk-Impact. Combine Secure Score with incident rate, audit findings, and help desk impact. | Punkte allein sind keine Sicherheitsstrategie. Points alone are not a security strategy. |
Identity-Verbesserungsmaßnahmen Identity improvement actions
Identität deckt Authentifizierung, privilegierte Zugriffe, Gäste und Workload Identities ab. Identity covers authentication, privileged access, guests, and workload identities.
| Maßnahme Action | Punkte Points | Typischer Implementierungsstatus Typical implementation status | Benutzer-Auswirkung User impact |
|---|---|---|---|
| MFA für Administratoren verlangen Require MFA for administrators | 10 10 | Umgesetzt Implemented | Mehr Anmeldeaufforderungen für Admins, aber deutlich geringeres Übernahmerisiko. More prompts for admins, but much lower takeover risk. |
| MFA für alle Benutzer verlangen Require MFA for all users | 10 10 | Teilweise umgesetzt Partially implemented | Erhöht Login-Reibung leicht, schützt aber breit gegen Password-Angriffe. Slightly increases login friction, but broadly protects against password attacks. |
| Legacy Authentication blockieren Block legacy authentication | 10 10 | Umgesetzt Implemented | Kann alte Clients treffen, reduziert aber Spray- und Replay-Angriffe stark. Can affect old clients, but strongly reduces spray and replay attacks. |
| Phishing-resistente MFA für privilegierte Rollen aktivieren Enable phishing-resistant MFA for privileged roles | 8 8 | Pilot Pilot | Admins benötigen FIDO2 oder Zertifikatsmethoden, wodurch Supportaufwand anfangs steigt. Admins need FIDO2 or certificate methods, so support effort rises initially. |
| Passwortlose Anmeldung registrieren Register users for passwordless sign-in | 6 6 | Geplant Planned | Reduziert Passwortabhängigkeit, verlangt aber Nutzer-Onboarding. Reduces password dependence, but requires user onboarding. |
| Self-Service Password Reset aktivieren Enable self-service password reset | 5 5 | Umgesetzt Implemented | Senkt Helpdesk-Aufwand, erfordert aber verlässliche Registrierungsdaten. Reduces help desk effort, but requires reliable registration data. |
| Kombinierte Sicherheitsinformationsregistrierung einschalten Enable combined security info registration | 4 4 | Umgesetzt Implemented | Einmaliger Registrierungsaufwand, danach bessere Benutzerführung. One-time registration effort, then better user guidance. |
| Sign-in-Risikopolicy für Hochrisiko-Anmeldungen aktivieren Enable sign-in risk policy for high-risk sign-ins | 8 8 | Teilweise umgesetzt Partially implemented | Hochrisiko-Anmeldungen werden häufiger unterbrochen oder angefochten. High-risk sign-ins are interrupted or challenged more often. |
| Benutzerrisikopolicy für kompromittierte Identitäten aktivieren Enable user risk policy for compromised identities | 8 8 | Pilot Pilot | Betroffene Benutzer müssen Kennwörter zurücksetzen, wodurch Konten schneller gesichert werden. Affected users must reset passwords, securing accounts more quickly. |
| Konforme Geräte für Administrationszugriff erzwingen Require compliant devices for admin access | 6 6 | Geplant Planned | Admins benötigen verwaltete Endpunkte; spontane Zugriffe werden eingeschränkt. Admins need managed endpoints; ad hoc access is reduced. |
| PIM für privilegierte Rollen einführen Adopt PIM for privileged roles | 8 8 | Teilweise umgesetzt Partially implemented | Mehr Freigabe- und Aktivierungsschritte, dafür weniger permanente Rechte. More approval and activation steps, but fewer permanent privileges. |
| Genehmigung für Rollenaktivierung verlangen Require approval for role activation | 6 6 | Geplant Planned | Kritische Tätigkeiten dauern länger, sind aber kontrollierbarer. Critical tasks take longer, but become more controlled. |
| Begründung bei Rollenaktivierung verlangen Require justification for role activation | 3 3 | Umgesetzt Implemented | Geringer Impact, dafür bessere Nachvollziehbarkeit. Low impact with better traceability. |
| Aktivierungsdauer für Adminrollen begrenzen Limit activation duration for admin roles | 4 4 | Umgesetzt Implemented | Admins müssen Rollen bei langen Einsätzen erneut aktivieren. Admins must reactivate roles during long sessions. |
| Monatliche Access Reviews für privilegierte Konten durchführen Run monthly access reviews for privileged accounts | 4 4 | Teilweise umgesetzt Partially implemented | Reviewer-Zeitbedarf steigt, Fehlberechtigungen sinken. Reviewer time increases, but erroneous access decreases. |
| Access Reviews für Gastbenutzer aktivieren Enable access reviews for guest users | 5 5 | Geplant Planned | Gäste verlieren veralteten Zugriff; Fachbereiche müssen Reviews bearbeiten. Guests lose stale access; business teams must complete reviews. |
| Gasteinladungen einschränken Restrict guest invitations | 4 4 | Umgesetzt Implemented | Weniger spontane externe Zusammenarbeit, dafür besseres Governance-Niveau. Less spontaneous external collaboration, but stronger governance. |
| Externe Kollaborationsdomänen einschränken Limit external collaboration domains | 4 4 | Teilweise umgesetzt Partially implemented | Partner-Onboarding wird formaler, Risiko sinkt. Partner onboarding becomes more formal and risk decreases. |
| Nutzungsbedingungen für Gäste verlangen Require terms of use for guests | 3 3 | Geplant Planned | Gäste sehen einen zusätzlichen Schritt vor der Nutzung. Guests see an extra step before use. |
| Benannte Standorte und Ländereinschränkungen pflegen Maintain named locations and country restrictions | 5 5 | Umgesetzt Implemented | Reisende und globale Teams brauchen Ausnahmepfade. Travelers and global teams need exception paths. |
| Benachrichtigung bei riskanten Anmeldungen aktivieren Enable notifications for risky sign-ins | 3 3 | Umgesetzt Implemented | Geringer Benutzerimpact, aber schnellere Reaktion im SOC. Low user impact with faster SOC response. |
| Workload Identities mit Conditional Access schützen Protect workload identities with Conditional Access | 5 5 | Pilot Pilot | Automationen können zusätzliche Prüfungen auslösen. Automations can trigger additional checks. |
| Geheimnisse für App-Registrierungen regelmäßig rotieren Rotate secrets for app registrations regularly | 4 4 | Teilweise umgesetzt Partially implemented | Mehr Betriebsaufwand für App Owner, geringeres Missbrauchsfenster. More operational effort for app owners, but a smaller abuse window. |
| App-Anmeldeinformationen auf Zertifikate oder Managed Identities umstellen Move app credentials to certificates or managed identities | 6 6 | Geplant Planned | Ändert Deployments und Automation, reduziert aber Secret-Risiken. Changes deployments and automation, but reduces secret risk. |
| Servicekonten mit starker Authentifizierung absichern Protect service accounts with strong authentication | 5 5 | Teilweise umgesetzt Partially implemented | Einige Legacy-Prozesse müssen angepasst werden. Some legacy processes must be adapted. |
| MFA für VPN- und Remote-Admin-Apps erzwingen Require MFA for VPN and remote admin apps | 6 6 | Umgesetzt Implemented | Remote-Zugriffe werden sicherer, gelegentlich aufwendiger. Remote access becomes safer, though sometimes less convenient. |
| Tenant Restrictions v2 einführen Adopt Tenant Restrictions v2 | 5 5 | Geplant Planned | Benutzer können weniger unkontrollierte Tenants nutzen. Users can use fewer uncontrolled tenants. |
| Authentication Strengths für Hochrisiko-Apps verwenden Use authentication strengths for high-risk apps | 5 5 | Pilot Pilot | Bestimmte Apps verlangen stärkere Methoden und führen zu gezielten Reibungen. Certain apps require stronger methods and create targeted friction. |
| Token Protection für privilegierte Sitzungen nutzen Use token protection for privileged sessions | 5 5 | Geplant Planned | Beschränkt Sitzungsübernahme, verlangt moderne Clientpfade. Restricts session hijacking, but requires modern client paths. |
| Getrennte Admin-Konten nutzen Use separate admin accounts | 4 4 | Umgesetzt Implemented | Admins wechseln häufiger Konten, reduzieren aber Alltagsrisiko. Admins switch accounts more often, but reduce day-to-day risk. |
| Sign-in Frequency für privilegierte Zugriffe definieren Define sign-in frequency for privileged access | 3 3 | Teilweise umgesetzt Partially implemented | Mehr Reauthentifizierung, bessere Sitzungsfrische. More reauthentication and better session freshness. |
| Privileged Access Groups aktivieren Enable privileged access groups | 4 4 | Geplant Planned | Gruppenmitgliedschaften werden kontrollierter, Prozesse formalisieren sich. Group memberships become more controlled and processes more formal. |
| Inaktive Konten automatisch deaktivieren Automatically disable inactive accounts | 4 4 | Umgesetzt Implemented | Räumt Altlasten auf, kann aber vergessene Sonderkonten treffen. Cleans up stale accounts, but may affect forgotten special accounts. |
Data-Verbesserungsmaßnahmen Data improvement actions
Data fokussiert auf Klassifizierung, DLP, Aufbewahrung und Auditierbarkeit. Data focuses on classification, DLP, retention, and auditability.
| Maßnahme Action | Punkte Points | Typischer Implementierungsstatus Typical implementation status | Benutzer-Auswirkung User impact |
|---|---|---|---|
| Sensitivity Labels für Dateien und E-Mails veröffentlichen Publish sensitivity labels for files and emails | 8 8 | Teilweise umgesetzt Partially implemented | Benutzer müssen Inhalte klassifizieren, erhalten dafür klarere Schutzpfade. Users must classify content, but gain clearer protection paths. |
| Container-Labels für Teams, Gruppen und Sites einführen Adopt container labels for Teams, groups, and sites | 5 5 | Geplant Planned | Erstellt klarere Governance, kann Site-Erstellung komplexer machen. Creates clearer governance, but can make site creation more complex. |
| Automatische Klassifizierung sensibler Inhalte aktivieren Enable automatic classification for sensitive content | 6 6 | Pilot Pilot | Reduziert Benutzeraufwand, kann anfangs False Positives erzeugen. Reduces user effort, but can create false positives at first. |
| E-Mail-Verschlüsselung für vertrauliche Inhalte aktivieren Enable email encryption for confidential content | 6 6 | Teilweise umgesetzt Partially implemented | Empfänger sehen zusätzliche Entschlüsselungsschritte. Recipients see additional decryption steps. |
| Externe Freigabe für gelabelte Inhalte einschränken Restrict external sharing for labeled content | 6 6 | Geplant Planned | Partnerfreigaben werden gezielter und kontrollierter. Partner sharing becomes more targeted and controlled. |
| Endpoint DLP aktivieren Enable endpoint DLP | 8 8 | Pilot Pilot | Benutzer können bei USB, Browser oder Drucken häufiger blockiert werden. Users can be blocked more often for USB, browser, or printing actions. |
| Exchange DLP aktivieren Enable Exchange DLP | 5 5 | Umgesetzt Implemented | Einzelne E-Mails werden angehalten oder begründet freigegeben. Some emails are held or require justification. |
| SharePoint- und OneDrive-DLP aktivieren Enable SharePoint and OneDrive DLP | 6 6 | Teilweise umgesetzt Partially implemented | Dateifreigaben werden stärker reguliert. File sharing becomes more regulated. |
| Teams DLP aktivieren Enable Teams DLP | 5 5 | Geplant Planned | Chat- und Kanalnachrichten können Blockhinweise zeigen. Chat and channel messages can show block notices. |
| Retention Labels definieren Define retention labels | 4 4 | Teilweise umgesetzt Partially implemented | Inhalte werden strukturierter aufbewahrt oder gelöscht. Content is retained or deleted more consistently. |
| Retention Policies tenantweit aufbauen Build tenant-wide retention policies | 5 5 | Teilweise umgesetzt Partially implemented | Ändert Datenlebenszyklen, bringt aber Compliance-Stabilität. Changes data lifecycles, but brings compliance stability. |
| Records Management für regulierte Inhalte nutzen Use records management for regulated content | 4 4 | Geplant Planned | Weniger Flexibilität beim Löschen, höhere Rechtssicherheit. Less flexibility for deletion and greater legal certainty. |
| Unified Audit Log aktivieren und prüfen Enable and validate the unified audit log | 4 4 | Umgesetzt Implemented | Kein direkter Benutzerimpact, dafür bessere Forensik. No direct user impact and better forensics. |
| Audit-Retention für Schlüsselnutzer erhöhen Increase audit retention for key users | 3 3 | Geplant Planned | Kein Benutzerimpact, aber höherer Analysewert. No user impact, but higher analytical value. |
| Insider-Risk-Indikatoren aktivieren Enable insider risk indicators | 4 4 | Pilot Pilot | Mehr Sensitivität bei Nutzeraktivitäten, erfordert Datenschutzabstimmung. More sensitivity around user activities, requiring privacy alignment. |
| Communication Compliance für regulierte Kanäle nutzen Use communication compliance for regulated channels | 4 4 | Geplant Planned | Kommunikation wird stärker überwacht; Governance muss klar sein. Communication is monitored more closely, so governance must be clear. |
| Benutzerdefinierte Sensitive Info Types pflegen Maintain custom sensitive info types | 3 3 | Teilweise umgesetzt Partially implemented | Erhöht Erkennungsgenauigkeit, benötigt Pflegeaufwand. Improves detection accuracy, but requires upkeep. |
| Anonyme Links für sensible Sites einschränken Restrict anonymous links for sensitive sites | 5 5 | Umgesetzt Implemented | Self-Service-Sharing sinkt, Schutz steigt. Self-service sharing declines while protection rises. |
| Hochvertrauliche Inhalte mit starker Verschlüsselung schützen Protect highly confidential content with strong encryption | 5 5 | Geplant Planned | Zugriffe werden enger gesteuert und manchmal komplizierter. Access becomes more tightly controlled and sometimes more complex. |
| Activity Explorer für Datennutzung regelmäßig auswerten Review activity explorer regularly for data use | 3 3 | Umgesetzt Implemented | Kein direkter Benutzerimpact, aber bessere Steuerung von DLP und Labels. No direct user impact, but better steering of DLP and labels. |
Device-Verbesserungsmaßnahmen Device improvement actions
Device verbindet Intune, Defender for Endpoint und lokale Härtung. Device connects Intune, Defender for Endpoint, and local hardening.
| Maßnahme Action | Punkte Points | Typischer Implementierungsstatus Typical implementation status | Benutzer-Auswirkung User impact |
|---|---|---|---|
| Geräte in Intune onboarden Onboard devices into Intune | 8 8 | Teilweise umgesetzt Partially implemented | Bringt Verwaltungsagenten und Compliance-Prüfungen auf Endgeräte. Introduces management agents and compliance checks on endpoints. |
| Geräte in Defender for Endpoint onboarden Onboard devices into Defender for Endpoint | 8 8 | Teilweise umgesetzt Partially implemented | Mehr Telemetrie und EDR-Schutz, zusätzlicher Betriebsaufwand bei alten Systemen. More telemetry and EDR protection with extra effort on old systems. |
| BitLocker oder FileVault erzwingen Enforce BitLocker or FileVault | 6 6 | Umgesetzt Implemented | Kaum Alltagsimpact, aber Schutz bei Geräteverlust. Little day-to-day impact with strong protection for lost devices. |
| Defender Antivirus und EDR erzwingen Require Defender Antivirus and EDR | 6 6 | Umgesetzt Implemented | Kann inkompatible Altsoftware sichtbar machen. Can expose incompatible legacy software. |
| Attack Surface Reduction Rules aktivieren Enable attack surface reduction rules | 7 7 | Pilot Pilot | Makros und riskante Prozesse werden stärker eingeschränkt. Macros and risky processes are restricted more strongly. |
| Tamper Protection aktivieren Enable tamper protection | 4 4 | Umgesetzt Implemented | Erschwert lokale Manipulation von Sicherheitsfunktionen. Makes local tampering with security features harder. |
| Windows Firewall auf allen Profilen erzwingen Enforce Windows Firewall on all profiles | 5 5 | Umgesetzt Implemented | Einige Spezialanwendungen brauchen Port-Ausnahmen. Some special applications need port exceptions. |
| Betriebssystem-Updates zeitnah erzwingen Enforce timely operating system updates | 6 6 | Teilweise umgesetzt Partially implemented | Mehr Neustarts und Wartungsfenster, weniger Schwachstellenfenster. More restarts and maintenance windows, but less exposure time. |
| Compliance Policies für alle Gerätetypen definieren Define compliance policies for all device types | 5 5 | Teilweise umgesetzt Partially implemented | Nicht konforme Geräte verlieren Zugriff. Non-compliant devices lose access. |
| Conditional Access mit Gerät-Compliance koppeln Tie Conditional Access to device compliance | 6 6 | Geplant Planned | Stärkerer Zugriffsschutz, aber mehr Supportfälle bei Drift. Stronger access control, but more support cases during drift. |
| LAPS für lokale Administratoren aktivieren Enable LAPS for local administrators | 5 5 | Umgesetzt Implemented | Admins müssen Kennwörter bedarfsorientiert abrufen. Admins must retrieve passwords when needed. |
| Rooted oder jailbroken Geräte blockieren Block rooted or jailbroken devices | 4 4 | Umgesetzt Implemented | Einige nicht konforme Privatgeräte verlieren Zugriff. Some non-compliant personal devices lose access. |
| SmartScreen und Webschutz aktivieren Enable SmartScreen and web protection | 5 5 | Teilweise umgesetzt Partially implemented | Riskante Seiten werden blockiert; False Positives müssen gemanagt werden. Risky sites are blocked; false positives need management. |
| Mobile Device Encryption erzwingen Require mobile device encryption | 4 4 | Umgesetzt Implemented | Kaum Benutzerimpact, aber höherer Schutz bei Verlust. Little user impact with better protection on loss. |
| Automatische Untersuchung und Reaktion aktivieren Enable automated investigation and remediation | 5 5 | Pilot Pilot | Geräte können schneller isoliert oder bereinigt werden. Devices can be isolated or remediated more quickly. |
| USB- und Wechseldatenträger einschränken Restrict USB and removable storage | 6 6 | Geplant Planned | Direkter Einfluss auf Arbeitsweisen mit Offline-Medien. Directly affects workflows using offline media. |
| Application Control oder WDAC einführen Adopt application control or WDAC | 7 7 | Geplant Planned | Unbekannte Software startet nicht mehr ohne Freigabe. Unknown software no longer starts without approval. |
| Makro-Ausführung härten Harden macro execution | 5 5 | Teilweise umgesetzt Partially implemented | Makrobasierte Prozesse müssen überprüft oder neu gebaut werden. Macro-based processes must be reviewed or rebuilt. |
| TPM- und Gerätezustand prüfen Validate TPM and device health | 4 4 | Teilweise umgesetzt Partially implemented | Ältere Geräte können aus Compliance fallen. Older devices may fall out of compliance. |
| Schwachstellige Software systematisch remediieren Remediate vulnerable software systematically | 5 5 | Teilweise umgesetzt Partially implemented | Mehr Patchzyklen, weniger Angriffsfläche. More patch cycles and less attack surface. |
Apps-Verbesserungsmaßnahmen Apps improvement actions
Apps umfasst SaaS, OAuth, Enterprise Apps und Zugriffssteuerung. Apps covers SaaS, OAuth, enterprise apps, and access control.
| Maßnahme Action | Punkte Points | Typischer Implementierungsstatus Typical implementation status | Benutzer-Auswirkung User impact |
|---|---|---|---|
| OAuth-Consent regelmäßig überprüfen Review OAuth consent regularly | 5 5 | Teilweise umgesetzt Partially implemented | App-Freigaben werden transparenter und enger gesteuert. App grants become more transparent and tightly controlled. |
| Benutzerzustimmung für riskante Apps einschränken Restrict user consent for risky apps | 6 6 | Geplant Planned | Nutzer können weniger Apps selbst verbinden. Users can connect fewer apps on their own. |
| Admin-Consent-Workflow aktivieren Enable admin consent workflow | 4 4 | Teilweise umgesetzt Partially implemented | Freigaben dauern länger, sind aber nachvollziehbarer. Approvals take longer, but are more traceable. |
| Least Privilege für App-Berechtigungen durchsetzen Enforce least privilege for app permissions | 5 5 | Geplant Planned | Einige Integrationen benötigen Re-Design oder granularere Scopes. Some integrations need redesign or more granular scopes. |
| App Governance in Defender for Cloud Apps aktivieren Enable app governance in Defender for Cloud Apps | 5 5 | Pilot Pilot | Mehr Alerts zu App-Verhalten, aber bessere Missbrauchserkennung. More alerts about app behavior, but better abuse detection. |
| Conditional Access App Control für SaaS-Sitzungen einsetzen Use Conditional Access App Control for SaaS sessions | 6 6 | Pilot Pilot | Unmanaged Browser-Sitzungen werden sichtbarer und restriktiver. Unmanaged browser sessions become more visible and restrictive. |
| Defender for Cloud Apps mit Microsoft 365 Apps verbinden Connect Defender for Cloud Apps to Microsoft 365 apps | 5 5 | Umgesetzt Implemented | Kaum Benutzerimpact, aber mehr Governance-Funktionen. Little user impact with more governance capability. |
| Verified Publisher Enforcement aktivieren Enable verified publisher enforcement | 4 4 | Geplant Planned | Nicht verifizierte Apps werden schwieriger freizugeben. Unverified apps become harder to approve. |
| Multi-Tenant-App-Zustimmung begrenzen Limit multi-tenant app consent | 4 4 | Teilweise umgesetzt Partially implemented | Globale SaaS-Integrationen erfordern mehr Prüfung. Global SaaS integrations require more review. |
| Inaktive Enterprise Apps regelmäßig prüfen Review inactive enterprise apps regularly | 3 3 | Umgesetzt Implemented | Altlasten werden entfernt, seltene Sonderfälle brauchen Owner-Check. Stale apps are removed, but rare exceptions need owner checks. |
| User Assignment für Enterprise Apps verlangen Require user assignment for enterprise apps | 5 5 | Geplant Planned | Self-Service-Zugriffe sinken, Governance steigt. Self-service access declines while governance rises. |
| Application Proxy mit Vorab-Authentifizierung nutzen Use application proxy with pre-authentication | 4 4 | Teilweise umgesetzt Partially implemented | Legacy-Webapps bekommen modernere Zugriffssteuerung. Legacy web apps gain more modern access control. |
| Riskante OAuth-Apps überwachen Monitor risky OAuth apps | 4 4 | Umgesetzt Implemented | Mehr Sichtbarkeit, kaum Enduser-Impact bis zur Remediation. More visibility with little end-user impact until remediation. |
| Workload Identity Federation statt Secrets für CI/CD nutzen Use workload identity federation instead of secrets for CI/CD | 5 5 | Geplant Planned | Pipelines ändern sich, Secret-Risiko sinkt deutlich. Pipelines change, but secret risk drops significantly. |
| Line-of-Business-Apps mit Conditional Access schützen Protect line-of-business apps with Conditional Access | 5 5 | Teilweise umgesetzt Partially implemented | Einige Spezialworkflows benötigen Ausnahmen oder moderne Authentifizierung. Some special workflows need exceptions or modern authentication. |
Infrastructure-Verbesserungsmaßnahmen Infrastructure improvement actions
Infrastructure bringt Azure- und Hybrid-Kontrollen in die Score-Diskussion. Infrastructure brings Azure and hybrid controls into the score discussion.
| Maßnahme Action | Punkte Points | Typischer Implementierungsstatus Typical implementation status | Benutzer-Auswirkung User impact |
|---|---|---|---|
| Azure Secure Score Empfehlungen aktiv verfolgen Track Azure Secure Score recommendations actively | 5 5 | Teilweise umgesetzt Partially implemented | Mehr Governance-Aufwand, aber bessere Priorisierung von Cloud-Risiken. More governance effort with better prioritization of cloud risk. |
| MFA für Subscription Owner erzwingen Require MFA for subscription owners | 6 6 | Umgesetzt Implemented | Owner sehen mehr Prüfungen, Azure-Übernahme wird deutlich schwerer. Owners see more checks and Azure takeover becomes much harder. |
| Least-Privilege-RBAC für Subscriptions umsetzen Implement least-privilege RBAC for subscriptions | 5 5 | Teilweise umgesetzt Partially implemented | Anträge auf Rechte dauern länger, aber Rechteberge sinken. Access requests take longer, but privilege sprawl declines. |
| Defender for Cloud Pläne aktivieren Enable Defender for Cloud plans | 6 6 | Teilweise umgesetzt Partially implemented | Mehr Empfehlungen und Kosten, dafür bessere Abdeckung. More recommendations and cost, but better coverage. |
| Just-in-Time-VM-Zugriff aktivieren Enable just-in-time VM access | 5 5 | Geplant Planned | Adminzugriffe werden expliziter angefordert und protokolliert. Admin access is explicitly requested and logged. |
| Vulnerability Assessment für Server und SQL aktivieren Enable vulnerability assessment for servers and SQL | 5 5 | Teilweise umgesetzt Partially implemented | Mehr Findings und Remediation-Backlog, aber höhere Transparenz. More findings and remediation backlog with higher visibility. |
| Öffentlichen Netzwerkzugriff für Storage und SQL einschränken Restrict public network access for storage and SQL | 6 6 | Geplant Planned | Anwendungen brauchen Private Access oder Firewall-Regeln. Applications need private access or firewall rules. |
| Private Endpoints für sensible PaaS-Dienste einsetzen Use private endpoints for sensitive PaaS services | 5 5 | Geplant Planned | Netzwerkdesign wird komplexer, Exfiltrationspfade sinken. Network design becomes more complex, but exfiltration paths shrink. |
| Backup und unveränderliche Wiederherstellung für kritische Workloads sichern Secure backup and immutable recovery for critical workloads | 5 5 | Teilweise umgesetzt Partially implemented | Mehr Speicherkosten, dafür höhere Resilienz gegen Ransomware. More storage cost with stronger ransomware resilience. |
| Azure Policy und Defender-Alerts zentral überwachen Monitor Azure Policy and Defender alerts centrally | 4 4 | Umgesetzt Implemented | Kein direkter Benutzerimpact, aber bessere Governance-Kontrolle. No direct user impact with better governance control. |
API und Reporting API and reporting
Secure Score kann über Microsoft Graph Security API und PowerShell in Dashboards, Governance-Boards und Trendberichte eingebunden werden. Besonders nützlich sind historische Secure Scores und Control Profiles für Detailanalysen. Secure Score can be integrated into dashboards, governance boards, and trend reports through the Microsoft Graph Security API and PowerShell. Historical secure scores and control profiles are especially useful for detailed analysis.
| Quelle Source | Einsatz Use | Hinweis Note |
|---|---|---|
| GET /security/secureScores GET /security/secureScores | Historische und aktuelle Secure-Score-Werte abrufen. Retrieve historical and current secure score values. | Gut für Trendberichte und Management-Dashboards. Good for trend reporting and management dashboards. |
| GET /security/secureScoreControlProfiles GET /security/secureScoreControlProfiles | Kontrollprofile und Detailinformationen zu Verbesserungsmaßnahmen abrufen. Retrieve control profiles and detailed improvement-action information. | Nützlich für Backlog, Priorisierung und Owner-Zuordnung. Useful for backlog, prioritization, and owner assignment. |
| Graph SDK / Invoke-MgGraphRequest Graph SDK / Invoke-MgGraphRequest | PowerShell-Skripte für Reporting, CSV-Export und Abgleich mit Tickets. PowerShell scripts for reporting, CSV export, and ticket reconciliation. | App-Registrierung und Least-Privilege-Rechte sauber absichern. Secure app registration and least-privilege permissions carefully. |
PowerShell
PowerShell
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$score = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/secureScores?$top=1"
$score.value | Select-Object createdDateTime,currentScore,maxScore,vendorInformation
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$score = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/secureScores?$top=1"
$score.value | Select-Object createdDateTime,currentScore,maxScore,vendorInformation
PowerShell
PowerShell
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$profiles = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles"
$profiles.value | Select-Object title,controlCategory,maxScore,implementationCost,userImpact | Export-Csv -Path ".\secure-score-controls.csv" -NoTypeInformation
Connect-MgGraph -Scopes "SecurityEvents.Read.All"
$profiles = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles"
$profiles.value | Select-Object title,controlCategory,maxScore,implementationCost,userImpact | Export-Csv -Path ".\secure-score-controls.csv" -NoTypeInformation
Berechtigungen und Rollen Permissions and roles
Für die Portalnutzung reichen je nach Aufgabe häufig Security Reader oder Security Administrator. Für Automatisierung gelten zusätzlich Graph-Berechtigungen und App-Governance-Vorgaben. For portal usage, Security Reader or Security Administrator is often sufficient depending on the task. Automation also requires Graph permissions and app-governance controls.
| Rolle oder Recht Role or right | Was möglich ist What it allows | Praxisempfehlung Practical recommendation |
|---|---|---|
| Security Reader Security Reader | Lesender Zugriff auf Secure Score, Empfehlungen und Vergleichsansichten. Read-only access to Secure Score, recommendations, and comparison views. | Geeignet für Auditoren, Reporting und Management. Suitable for auditors, reporting, and management. |
| Security Administrator Security Administrator | Kann Empfehlungen bewerten, Zuständigkeiten koordinieren und Kontrollen operativ begleiten. Can assess recommendations, coordinate ownership, and operate controls. | Für Umsetzungsteams und Security Operations geeignet. Suitable for implementation teams and security operations. |
| Graph-Berechtigungen Graph permissions | Für API-Auswertungen werden typischerweise SecurityEvents.Read.All oder weitergehende Rechte benötigt. API reporting typically needs SecurityEvents.Read.All or broader rights. | Vergebe App-Berechtigungen nur mit sauberem Governance-Prozess. Grant app permissions only with a proper governance process. |
Planung von Maßnahmen Planning actions
- Ordne Maßnahmen nach Punktgewinn, Abhängigkeiten, User Impact und regulatorischem Druck. Order actions by point gain, dependencies, user impact, and regulatory pressure.
- Nutze Pilotgruppen für Kontrollen mit hohem Reibungspotenzial wie MFA-Ausweitung, DLP-Blockierung oder WDAC. Use pilot groups for controls with high friction potential such as broader MFA, DLP blocking, or WDAC.
- Lege für jede Maßnahme einen Owner, ein Zielquartal, ein Kommunikationspaket und eine Regression-Prüfung fest. Assign an owner, target quarter, communications package, and regression review to every action.
- Berichte nicht nur über Punkte, sondern auch über geschlossene Risiken, reduzierte Incidents und stabile Prozesse. Report not only on points but also on risks closed, incidents reduced, and stable processes.