Handbuch

Microsoft Security, Compliance, and Identity Fundamentals

Zuletzt überprüft: Mai 2026

Eine übersichtliche Referenz der Architekturmuster, die in der SC-900-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.

Beschreiben Sie die Konzepte von Sicherheit, Compliance und Identität

Implementieren Sie ein Sicherheitsmodell, das von einer Kompromittierung ausgeht und eine Verifizierung für jede Anfrage erfordert.

Führen Sie das Zero Trust-Sicherheitsmodell ein.

Warum: Basiert auf drei Kernprinzipien: Explizit verifizieren, Zugang mit den geringsten Rechten nutzen und von einer Kompromittierung ausgehen. Es ist ein strategischer Ansatz, kein einzelnes Produkt.

Referenz

Definieren Sie Sicherheitsverantwortlichkeiten für Cloud-Dienste.

Wenden Sie das Modell der geteilten Verantwortung an. Der Kunde ist immer verantwortlich für: Informationen & Daten, Geräte (Endpunkte), Konten & Identitäten.

Warum: Die Verantwortung des Cloud-Anbieters nimmt von IaaS über PaaS zu SaaS zu, aber der Kunde behält immer die Verantwortung für seine Daten und das Zugriffsmanagement.

Schützen Sie sich vor dem Ausfall einer einzelnen Sicherheitsebene.

Implementieren Sie eine mehrschichtige Sicherheitsstrategie (Defense in Depth) über physische, Identitäts-, Perimeter-, Netzwerk-, Compute-, Anwendungs- und Datenebenen hinweg.

Warum: Ein Bruch in einer Ebene wird durch nachfolgende Ebenen verlangsamt oder eingedämmt, wodurch das Gesamtrisiko und der Auswirkungen eines Angriffs reduziert werden.

Unterscheiden Sie zwischen der Überprüfung der Identität eines Benutzers und der Erteilung von Berechtigungen.

Verwenden Sie Authentifizierung (AuthN), um die Identität zu überprüfen (beweisen Sie, wer Sie vorgeben zu sein). Verwenden Sie Autorisierung (AuthZ), um die Zugriffsrechte einer authentifizierten Identität zu bestimmen (was Sie tun dürfen).

Warum: Authentifizierung muss immer vor der Autorisierung erfolgen. Ein Benutzer kann authentifiziert, aber nicht für den Zugriff auf eine bestimmte Ressource autorisiert sein.

Schützen Sie die Vertraulichkeit von Daten, wenn sie gespeichert und wenn sie übertragen werden.

Verwenden Sie Verschlüsselung im Ruhezustand (Encryption at Rest) für gespeicherte Daten (z. B. auf Festplatten, in Datenbanken). Verwenden Sie Verschlüsselung bei der Übertragung (Encryption in Transit) für Daten, die über ein Netzwerk übertragen werden (z. B. TLS/SSL).

Warum: Schützt vor verschiedenen Angriffsvektoren. Verschlüsselung im Ruhezustand mindert physischen Diebstahl von Speichermedien, während Verschlüsselung bei der Übertragung das Abhören verhindert.

Beschreiben Sie die Funktionen von Microsoft Entra

Verwalten Sie Benutzeridentitäten und Zugriffe für Cloud- und lokale Ressourcen von einer einzigen Steuerungsebene aus.

Verwenden Sie Microsoft Entra ID als zentralen Identitätsanbieter.

Warum: Bietet eine einzige Quelle der Wahrheit für Identitäten, ermöglicht Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und konsistente Zugriffsrichtlinien in der hybriden Umgebung.

Erzwingen Sie dynamische, risikobasierte Zugriffssteuerungen für Anwendungen und Daten.

Konfigurieren Sie Microsoft Entra Richtlinien für bedingten Zugriff (Conditional Access).

Warum: Dies ist die Zero Trust-Richtlinienengine. Sie wertet Signale (Benutzer, Standort, Gerätezustand, Risiko) aus, um Entscheidungen zu erzwingen, wie z.B. die Anforderung von MFA, die Begrenzung des Sitzungszugriffs oder das Blockieren des Zugriffs.

Referenz

Minimieren Sie Sicherheitsrisiken, die mit dauerhaften administrativen Berechtigungen verbunden sind.

Implementieren Sie Microsoft Entra Privileged Identity Management (PIM) für Azure- und Microsoft 365-Rollen.

Warum: Bietet Just-In-Time (JIT)-Zugriff, bei dem Benutzer Rollen bei Bedarf aktivieren müssen. Die Aktivierung kann MFA, Begründung und/oder Genehmigung erfordern, wodurch die Angriffsfläche drastisch reduziert wird. Erfordert Entra ID P2.

Eliminieren Sie passwortbasierte Angriffsvektoren wie Phishing und Password Spray.

Implementieren Sie passwortlose Authentifizierungsmethoden wie Windows Hello for Business, FIDO2-Sicherheitsschlüssel oder die Microsoft Authenticator App.

Warum: Bietet eine sicherere und benutzerfreundlichere Alternative zu Passwörtern, indem es auf Biometrie oder kryptografische Schlüssel setzt, die an ein physisches Gerät gebunden sind.

Stellen Sie Benutzern eine einzige Identität für lokale und Cloud-Ressourcen bereit.

Synchronisieren Sie das lokale Active Directory mit Microsoft Entra ID mithilfe von Microsoft Entra Connect.

Warum: Erstellt eine gemeinsame Benutzeridentität, die nahtloses Single Sign-On (SSO) und konsistentes Zugriffsmanagement in der hybriden Umgebung ermöglicht.

Ermöglichen Sie externen Partnern den Zugriff auf Unternehmensressourcen, ohne Konten für sie erstellen und verwalten zu müssen.

Nutzen Sie die Microsoft Entra B2B (Business-to-Business) Zusammenarbeit.

Warum: Lädt externe Benutzer als Gäste ein, die ihre eigenen Unternehmens- oder sozialen Identitäten zur Authentifizierung verwenden, wodurch der Verwaltungsaufwand und die Sicherheitsrisiken reduziert werden.

Identitätsbasierte Bedrohungen proaktiv erkennen und automatisch darauf reagieren.

Aktivieren Sie Microsoft Entra ID Protection.

Warum: Nutzt maschinelles Lernen, um Identitätsrisiken (z. B. kompromittierte Anmeldeinformationen, Anmeldungen von anonymen IPs) zu erkennen. Risikosignale können im Bedingten Zugriff verwendet werden, um automatisierte Reaktionen wie das Erzwingen eines Kennwortzurücksetzens oder MFA auszulösen.

Ermöglichen Sie in Azure gehosteten Anwendungen den Zugriff auf andere Azure-Ressourcen, ohne Anmeldeinformationen im Code verwalten zu müssen.

Weisen Sie der Azure-Ressource (z. B. VM, App Service) eine verwaltete Identität (Managed Identity) zu.

Warum: Eliminiert die Notwendigkeit für Entwickler, Geheimnisse, Verbindungszeichenfolgen oder Zertifikate zu handhaben. Azure verwaltet den Lebenszyklus der Identität automatisch.

Reduzieren Sie die Arbeitslast des Helpdesks und ermöglichen Sie Benutzern, ihre eigenen Kontosperrungen oder vergessenen Passwörter zu beheben.

Konfigurieren Sie Self-Service Password Reset (SSPR) in Microsoft Entra ID.

Warum: Ermöglicht Benutzern, ihre Passwörter sicher zurückzusetzen, nachdem sie ihre Identität mit vorab registrierten Methoden (z. B. Telefon, Authentifikator-App, Sicherheitsfragen) überprüft haben.

Regelmäßig überprüfen, ob der Benutzerzugriff auf Anwendungen und privilegierte Rollen weiterhin notwendig ist.

Planen Sie wiederkehrende Microsoft Entra Zugriffsüberprüfungen (Access Reviews).

Warum: Automatisiert den Zugriffsüberprüfungsprozess und stellt sicher, dass das Prinzip der geringsten Rechte im Laufe der Zeit durch das Entfernen unnötiger Zugriffsrechte eingehalten wird.

Beschreiben Sie die Funktionen der Microsoft-Sicherheitslösungen

Sicherheitsdaten aus dem gesamten Unternehmen zur Bedrohungserkennung aggregieren und die Reaktion auf Vorfälle automatisieren.

Stellen Sie Microsoft Sentinel bereit.

Warum: Fungiert als Cloud-natives Security Information and Event Management (SIEM) für die Datenerfassung und -analyse sowie als Security Orchestration, Automation, and Response (SOAR)-Plattform, die Playbooks für automatisierte Aktionen verwendet.

Referenz

Die Sicherheitskonfiguration von Cloud-Ressourcen kontinuierlich bewerten und härten.

Nutzen Sie Microsoft Defender for Cloud für seine Cloud Security Posture Management (CSPM)-Funktionen.

Warum: Bietet einen Secure Score, umsetzbare Sicherheitsempfehlungen und verfolgt die Einhaltung regulatorischer Standards, um die allgemeine Sicherheitslage zu verbessern.

Schützen Sie Cloud- und hybride Workloads wie VMs, Container und Datenbanken vor fortgeschrittenen Bedrohungen.

Aktivieren Sie die spezifischen Defender-Pläne (Cloud Workload Protection - CWP) in Microsoft Defender for Cloud.

Warum: Bietet erweiterte, workload-spezifische Funktionen zur Bedrohungserkennung und zum Schutz, wie z.B. Endpunkterkennung für Server und Schwachstellenscans für Containerregistrierungen.

Komplexe Angriffe untersuchen und darauf reagieren, die Endpunkte, E-Mails, Identitäten und Cloud-Anwendungen umfassen.

Verwenden Sie Microsoft 365 Defender.

Warum: Bietet eine Extended Detection and Response (XDR)-Lösung, die Alarme aus mehreren Microsoft Defender-Produkten zu einem einzigen Vorfall korreliert und eine vereinheitlichte Untersuchungs- und Reaktionserfahrung bietet.

Schützen Sie Benutzergeräte (Endpunkte) vor Malware, Ransomware und anderen ausgeklügelten Angriffen.

Stellen Sie Microsoft Defender for Endpoint bereit.

Warum: Bietet präventiven Schutz, Erkennung nach einer Kompromittierung (EDR), automatisierte Untersuchung und Reaktionsfunktionen zur Sicherung von Endpunkten.

Schützen Sie sich vor Phishing, Business Email Compromise und bösartigen Anhängen in E-Mails und Kollaborationstools.

Implementieren Sie Microsoft Defender for Office 365.

Warum: Bietet erweiterte Bedrohungsschutzfunktionen wie Safe Attachments (Detonationskammer) und Safe Links (URL-Umschreibung und -Scannen) für Microsoft 365-Dienste.

Angriffe erkennen, die auf lokale Active Directory-Infrastrukturen abzielen.

Stellen Sie Microsoft Defender for Identity bereit.

Warum: Überwacht lokale AD-Signale, um fortgeschrittene Bedrohungen, kompromittierte Identitäten und bösartige Insider-Aktionen zu erkennen, die oft Vorläufer größerer Sicherheitsverletzungen sind.

Nicht autorisierte Cloud-Anwendungen ("Shadow IT"), die von Mitarbeitern verwendet werden, entdecken und den Datenfluss zu genehmigten Anwendungen kontrollieren.

Verwenden Sie Microsoft Defender for Cloud Apps.

Warum: Fungiert als Cloud Access Security Broker (CASB), um Einblick in die Nutzung von Cloud-Anwendungen zu geben, Risiken zu bewerten, Richtlinien durchzusetzen und vor Bedrohungen in der Cloud zu schützen.

Kontrollieren Sie den Netzwerkverkehr zwischen Azure-Ressourcen innerhalb eines virtuellen Netzwerks.

Wenden Sie Netzwerksicherheitsgruppen (NSGs) auf Subnetze und/oder Netzwerkschnittstellen an.

Warum: Fungiert als einfache, zustandsbehaftete Paketfilter-Firewall, um Datenverkehr basierend auf IP-Adresse, Port und Protokoll zu erlauben oder zu verweigern. Es ist eine grundlegende Netzwerksicherheitskontrolle.

Zentraler Schutz aller virtuellen Netzwerkressourcen mit einem intelligenten, verwalteten Firewall-Dienst.

Stellen Sie Azure Firewall in einem Hub-VNet bereit.

Warum: Eine vollständig verwaltete, Cloud-native Firewall als Dienst, die Bedrohungsdaten-basiertes Filtern, hohe Verfügbarkeit und uneingeschränkte Skalierbarkeit bietet.

Schützen Sie öffentlich zugängliche Anwendungen in Azure vor Überlastung durch Distributed Denial of Service-Angriffe.

Aktivieren Sie Azure DDoS Protection Standard im virtuellen Netzwerk.

Warum: Bietet erweiterte Abwehrmechanismen, einschließlich adaptiver Abstimmung, Angriffsanalyse und Kostenschutz, über den standardmäßigen Infrastrukturschutz hinaus.

Sicheren RDP- und SSH-Zugriff auf Azure VMs bereitstellen, ohne Management-Ports dem öffentlichen Internet auszusetzen.

Stellen Sie Azure Bastion im virtuellen Netzwerk bereit.

Warum: Bietet eine sichere, Browser-basierte Verbindung zu VMs über das Azure-Portal via TLS, wodurch öffentliche IP-Adressen auf den VMs überflüssig werden und die Angriffsfläche reduziert wird.

Beschreiben Sie die Funktionen der Microsoft-Compliance-Lösungen

Klassifizieren und schützen Sie sensible Dokumente und E-Mails basierend auf ihrem Inhalt, unabhängig davon, wo sie gespeichert oder gesendet werden.

Verwenden Sie Microsoft Purview Information Protection mit Vertraulichkeitsbezeichnungen (Sensitivity Labels).

Warum: Die Bezeichnungen wenden einen dauerhaften Schutz (Verschlüsselung, Inhaltsmarkierung, Zugriffsbeschränkungen) an, der mit den Daten mitwandert und sicherstellt, dass sie während ihres gesamten Lebenszyklus geschützt bleiben.

Referenz

Verhindern Sie, dass Benutzer versehentlich oder absichtlich sensible Informationen (z. B. Kreditkartennummern, PII) außerhalb der Organisation teilen.

Konfigurieren Sie Microsoft Purview Data Loss Prevention (DLP)-Richtlinien.

Warum: DLP-Richtlinien identifizieren, überwachen und wenden automatisch Schutzmaßnahmen auf sensible Inhalte in Microsoft 365-Diensten, Endpunkten und Cloud-Anwendungen an.

Bewerten, verwalten und verfolgen Sie die Einhaltung von Branchenvorschriften und Standards wie DSGVO, HIPAA und ISO 27001.

Verwenden Sie Microsoft Purview Compliance Manager.

Warum: Bietet ein zentralisiertes Dashboard mit einem Compliance-Score, vorgefertigten Bewertungsvorlagen und empfohlenen Verbesserungsmaßnahmen zur Vereinfachung des Compliance-Managements.

Inhalte für einen erforderlichen Zeitraum automatisch aufbewahren und löschen, wenn sie aus geschäftlichen oder regulatorischen Gründen nicht mehr benötigt werden.

Implementieren Sie Microsoft Purview Data Lifecycle Management mithilfe von Aufbewahrungsrichtlinien (retention policies) und Aufbewahrungsbezeichnungen (retention labels).

Warum: Erzwingt Daten-Governance-Richtlinien in Microsoft 365, um den Lebenszyklus von Inhalten zu verwalten, Risiken zu reduzieren und Vorschriften einzuhalten.

Eine rechtliche Angelegenheit erfordert die Identifizierung, Sicherung und Sammlung elektronischer Daten aus Microsoft 365.

Verwenden Sie Microsoft Purview eDiscovery (Standard oder Premium).

Warum: Bietet die Tools zum Suchen nach relevanten Inhalten, diese zur Verhinderung von Änderungen oder Löschungen unter Legal Hold zu stellen und für die rechtliche Überprüfung zu exportieren.

Potenziellen Datendiebstahl oder Sicherheitsrichtlinienverstöße durch Mitarbeiter erkennen und untersuchen.

Konfigurieren Sie Microsoft Purview Insider Risk Management.

Warum: Korreliert verschiedene Signale aus Microsoft 365, um potenziell riskante Insider-Aktivitäten zu identifizieren und bietet Workflows zur Untersuchung und Reaktion darauf.

Ein reguliertes Unternehmen muss die Kommunikation zwischen bestimmten Abteilungen (z. B. Händlern und Analysten) verhindern, um Interessenkonflikte zu vermeiden.

Implementieren Sie Microsoft Purview Information Barriers.

Warum: Erzwingt Richtlinien, die die Kommunikation und Zusammenarbeit zwischen definierten Benutzergruppen in Microsoft Teams, SharePoint und OneDrive einschränken.

Erstellen Sie eine umfassende, aktuelle Karte aller Datenbestände in lokalen, Multicloud- und SaaS-Umgebungen.

Verwenden Sie die Microsoft Purview Data Map und den Data Catalog.

Warum: Automatisiert die Datenerkennung, die Klassifizierung sensibler Daten und die Nachverfolgung der Datenherkunft, um eine ganzheitliche Sicht auf den Datenbestand für eine effektive Governance zu bieten.

Unangemessene Nachrichten (z. B. Belästigung, Weitergabe von Geheimnissen) in der Unternehmenskommunikation erkennen, erfassen und darauf reagieren.

Stellen Sie Microsoft Purview Communication Compliance bereit.

Warum: Hilft, Kommunikationsrisiken zu minimieren, indem maschinelles Lernen eingesetzt wird, um Richtlinienverstöße in E-Mails, Teams und anderen Kanälen zur Überprüfung zu erkennen.

Stellen Sie sicher, dass Microsoft-Supporttechniker ohne Ihre explizite, nachvollziehbare Genehmigung nicht auf die Daten Ihrer Organisation zugreifen können.

Aktivieren Sie Customer Lockbox für Microsoft 365 oder Azure.

Warum: Bietet Kunden eine Schnittstelle zur Genehmigung oder Ablehnung von Datenzugriffsanfragen von Microsoft-Technikern, wodurch Sie in seltenen Support-Szenarien die Kontrolle behalten.

Einen Sicherheitsvorfall oder ein Compliance-Problem durch Überprüfung der Benutzer- und Administratoraktivitäten in Microsoft 365 untersuchen.

Durchsuchen Sie das Microsoft Purview Audit (Standard oder Premium) Protokoll.

Warum: Bietet eine vereinheitlichte Audit-Spur von Aktivitäten in Diensten wie Exchange Online, SharePoint Online, OneDrive und Entra ID für forensische Untersuchungen.