Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Da sich die digitale Landschaft schnell weiterentwickelt, übernehmen Organisationen in verschiedenen Branchen zunehmend Generative Artificial Intelligence (Gen AI), um Innovationen voranzutreiben und die Produktivität zu steigern. Eine kürzlich durchgeführte Forschungsstudie zeigt, dass 93 % der Geschäfte eine KI-Strategie umsetzen oder entwickeln. Ungefähr der gleiche Prozentsatz der Risiko-Gesprächsleiter berichtet, sich unzureichend vorbereitet oder nur teilweise vorbereitet zu fühlen, um die zugeordneten Risiken zu adressieren. Wenn Sie Gen AI in Ihre Operationen integrieren, müssen Sie erhebliche IT-Sicherheits- und Governance-Risiken mindern.
Microsoft Entra bietet eine umfassende Suite von Funktionen, um AI-Anwendungen sicher zu verwalten, den Zugriff angemessen zu steuern und sensible Daten zu schützen.
- Microsoft Entra ID Governance
- Bedingter Microsoft Entra-Zugriff
- Microsoft Entra Privileged Identity Management (PIM)
- Microsoft Purview Insider Risk
Dieser Artikel befasst sich mit den spezifischen Sicherheitsproblemen, die Gen AI darstellt, und wie Sie sie mit den von Microsoft Entra angebotenen Funktionen beheben können.
Entdecken Sie überprivilegierte Identitäten
Stellen Sie sicher, dass Benutzer entsprechend dem Prinzip der geringsten Rechte über angemessene Berechtigungen verfügen. Basierend auf unserer Anwendungstelemetrie nutzen über 90% der Identitäten weniger als 5% der erteilten Berechtigungen. Über 50 % dieser Berechtigungen sind ein hohes Risiko. Kompromittierte Konten können katastrophale Schäden verursachen.
Die Verwaltung einer Multicloud-Umgebung ist schwierig, da Identität und Zugriff Management (IAM) und IT-Sicherheit Teams oft funktionsübergreifend zusammenarbeiten müssen. Multicloud-Umgebungen können eine umfassende Sicht auf Identitäten, Berechtigungen und Ressourcen einschränken. Diese eingeschränkte Sicht erhöht die Angriffsfläche auf Identitäten, die übermäßig privilegierte Rollen und überberechtigte Konten haben. Das Risiko von kompromittierten vernachlässigten Firmen mit hohen Berechtigungen steigt, wenn Organisationen Multicloud übernehmen.
Identifizieren Sie nichtmenschliche Firmen
Nichtmenschliche Firmen haben wiederholbare Muster und ändern sich im Laufe der time weniger wahrscheinlich. Wenn Sie diese Konten identifizieren, erwägen Sie die Verwendung von Workload- oder verwalteten Identitäten.
Rollen auf das Zero Trust Prinzip der geringsten Rechte in der IT-Sicherheit zuschneiden. Schenken Sie den super Identitäten (wie serverlosen Funktionen und Apps) besondere Achtung. Faktor in Anwendungsfälle für generische Anwendungen einbeziehen.
Erzwingen Sie Just-In-Time-Zugriff für Microsoft Entra-Rollen
Microsoft Entra Privileged Identity Management (PIM) hilft Ihnen, den Zugriff auf Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft Online Services (wie Microsoft 365 oder Microsoft Intune) zu verwalten, zu kontrollieren und zu überwachen. Nicht-PIM-aktivierte privilegierte Benutzer haben ständigen Zugriff (immer in ihren zugewiesenen Rollen, auch wenn sie ihre Rechte nicht benötigen). Die PIM Offenlegungspflicht und Einblicke-Seite zeigt permanente globale Administrator-Arbeitsaufträge, Konten mit hoch privilegierten Rollen und Dienstprinzipale mit privilegierten Rollenzuweisungen. Wenn Sie diese Berechtigungen sehen, machen Sie einen Hinweis darauf, was für Ihre Umgebung normal sein sollte. Erwägen Sie, diese Rollen zu kürzen oder sie auf Just-In-Time (JIT) Zugriff mit PIM-berechtigten Rollenzuweisungen zu reduzieren.
Direkt auf der Seite für Offenlegungspflicht und Einblicke können Sie privilegierte Rollen PIM-berechtigt machen, um den stehenden Zugriff zu reduzieren. Sie können den Arbeitsauftrag vollständig entfernen, wenn sie nicht auf privilegierte Aufgaben zugreifen müssen. Sie können eine Überprüfung für globale Administratoren erstellen, die sie dazu auffordert, regelmäßig ihren eigenen Zugriff zu prüfen.
Zugriffssteuerung aktivieren
Berechtigungskriechen erstellt ein Risiko für unautorisierten Zugriff und eingeschränkte Unternehmensdatenmanipulation. Sichern Sie AI-Anwendungen mit denselben Governance-Regeln, die Sie auf alle Unternehmensressourcen anwenden. Um dieses Ziel zu erreichen, definieren und führen Sie präzise Zugriffsrichtlinien für alle Benutzer und Unternehmensressourcen (einschließlich Gen AI Apps) mit ID-Governance und Microsoft Entra bedingtem Zugriff ein.
Stellen Sie sicher, dass nur die richtigen Kontakte die richtige Zugriffsebene für die richtigen Ressourcen haben. Automatisieren Sie Lebenszyklen für den Zugriff im großen Maßstab durch Kontrollen mit Berechtigungsverwaltung, Lebenszyklus-Workflows, Zugriffsanforderungen, Prüfungen und Abläufen.
Verwalten Sie Ihre Joiner, Mover und Leaver (JML) Benutzerprozesse mit Lebenszyklus-Workflows und kontrollieren Sie den Zugriff in der ID-Governance.
Richtlinien und Kontrollen konfigurieren, um den Benutzerzugriff zu steuern
Verwenden Sie Entitlement Management in der ID Governance, um die Kontrolle darüber zu haben, wer auf Anwendungen, Gruppen, Teams und SharePoint-Websites mit mehrstufigen Genehmigungsrichtlinien zugreifen kann.
Kalendergesteuerte Arbeitsauftragsrichtlinien in der Berechtigungsverwaltung konfigurieren, um Benutzern automatisch Zugriff auf Ressourcen basierend auf Benutzereigenschaften wie Abteilung oder Kostenstelle zu geben. Benutzerzugriff entfernen, wenn diese Eigenschaften geändert werden.
Um den Zugriff richtig zu dimensionieren, empfehlen wir, ein Ablaufdatum und/oder eine periodische Zugriffsprüfung auf Verwaltungsrichtlinien anzuwenden. Diese Anforderungen stellen sicher, dass Benutzer nicht unbegrenzt zugreifen auf durch zeitlich begrenzte Arbeitsaufträge und wiederkehrende Anwendungsprüfungen.
Erzwingen Sie Organisationsrichtlinien mit Microsoft Entra bedingtem Zugriff
Conditional Access führt Signale zusammen, um Entscheidungen zu treffen und Unternehmensrichtlinien durchzusetzen. Bedingter Zugriff ist Microsofts Null-Vertrauensrichtlinienmodul, das Signale aus verschiedenen Quellen berücksichtigt, um Richtlinienentscheidungen zu erzwingen.
Erzwingen Sie die Prinzipien der geringsten Rechte und wenden Sie die richtigen Zugriffssteuerungen an, um Ihre Organisation mit bedingten Zugriffsrichtlinien sicher zu halten. Denken Sie an bedingte Zugriffsrichtlinien wie Bedingungsanweisungen, bei denen Identitäten, die bestimmte Kriterien erfüllen, nur auf Ressourcen zugreifen können, wenn sie spezifische Anforderungen wie MFA oder den Gerätestatus zur Kompatibilität erfüllen.
Beschränken Sie den Zugriff auf Gen AI-Anwendungen basierend auf Signalen wie Benutzer, Gruppen, Rollen, Ort oder Risiko, um Richtlinienentscheidungen zu verbessern.
- Verwenden Sie die Authentifizierungsstärke der bedingten Zugriffssteuerung, die Kombinationen von Authentifizierungsmethoden spezifiziert, um auf eine Ressource zuzugreifen. Erfordern Sie, dass Benutzer phishing-resistente mehrstufige Authentifizierung (MFA) abschließen, um auf Gen-AI-Anwendungen zuzugreifen.
- Stellen Sie Microsoft Purview adaptiven Schutz bereit, um AI-Verbrauchsrisiken auszugleichen und zu verwalten. Verwenden Sie die Insider Risiko Bedingung, um den Zugriff von Gen AI-Apps für Benutzer mit erhöhtem Insider Risiko zu blockieren.
- Bereitstellen von Microsoft Intune-Gerätekompatibilitätsrichtlinien, um Gerätekompatibilitätssignale in bedingte Zugriffsrichtlinienentscheidungen zu integrieren. Verwenden Sie die Gerät-Kompabilitäts-Bedingung, um Benutzer zu verpflichten, ein kompatibles Gerät zu haben, um auf Gen AI-Apps zuzugreifen.
Nachdem Sie bedingte Zugriff-Richtlinien bereitgestellt haben, verwenden Sie die bedingte Zugriff GAP-Analyse-Arbeitsmappe, um Anmeldungen und Anwendungen zu identifizieren, bei denen Sie diese Richtlinien nicht durchsetzen. Wir empfehlen, mindestens eine bedingte Zugriffssteuerungsrichtlinie bereitzustellen, die auf alle Ressourcen abzielt, um die Baseline-Zugriffssteuerung zu gewährleisten.
Aktivieren Sie die Automatisierung, um den Identitätslebenszyklus von Mitarbeitern im großen Maßstab zu verwalten.
Geben Sie Benutzern nur dann Zugriff auf Informationen und Ressourcen, wenn sie eine originale Notwendigkeit dafür haben, um ihre Aufgaben durchzuführen. Dieser Ansatz verhindert den unautorisierten Zugriff auf sensible Daten und minimiert die potenzielle Auswirkung einer Sicherheitsverletzung. Verwenden Sie die automatisierte Benutzervermittlung, um das unnötige Gewähren von Zugriffsrechten zu reduzieren.
Automatisieren Sie Lebenszyklusprozesse für Microsoft Entra-Benutzer im großen Maßstab mit Lebenszyklus-Workflows in der ID-Governance. Automatisieren Sie Workflowaufgaben, um Benutzerrechte bei Schlüsselereignissen auf die richtige Größe anzupassen. Beispielereignisse umfassen Vorabereignisse, wenn ein neuer Mitarbeiter im Zeitplan steht, um in der Organisation zu starten, wenn Mitarbeiter ihren Status ändern und wenn Mitarbeiter die Organisation verlassen.
Verwaltung des Zugriffs auf hoch privilegierte Administratorrolle
Es könnte Anfragen geben, bei denen Identitäten erhöhte Zugriffsrechte benötigen, aufgrund von Geschäfts-/Betriebsanforderungen wie Pause Glas Konten.
Privilegierte Konten sollten die höchste Schutzebene haben. Kompromittierte privilegierte Konten können potenziell signifikante oder materielle Auswirkungen auf die Operationen der Organisation haben.
Weisen Sie nur autorisierte Benutzer Administratorrollen in Microsoft Azure und Microsoft Entra zu. Microsoft empfiehlt, dass Sie mindestens für die folgenden Rollen Phishing-resistente MFA verlangen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für bedingten Zugriff
- Exchange-Administrator
- Helpdeskadministrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Ihre Organisation könnte Rollen basierend auf Anforderungen auswählen oder ausschließen. Um Rollenmitgliedschaften zu prüfen, konfigurieren und verwenden Sie Verzeichnisrollen-Zugriffsüberprüfungen.
Anwenden der rollenbasierten Zugriffssteuerung unter Verwendung von Privileged Identity Management (PIM) und Just-In-Time (JIT) Zugriff. PIM bietet JIT-Zugriff auf Ressourcen, indem es zeitgebundenen Zugriff zuweist. Eliminieren Sie den stehenden Zugriff, um das Risiko eines übermäßigen oder missbräuchlichen Zugriffs zu verringern. PIM ermöglicht Genehmigung und Ausrichtung Anforderungen, Durchsetzung der MFA für Rollenaktivierung und Überwachungsverlauf.
Verwalten des externen Gast-Identitätslebenszyklus und des Zugriffs
In den meisten Organisationen laden Endbenutzer Geschäftspartner (B2B) und Lieferanten zur Kollaboration ein und gewähren Zugriff auf Anwendungen. Typischerweise empfangen Kollaborationspartner während des Onboarding-Prozesses Zugriff auf die Anwendung. Wenn Kollaborationen kein klares Enddatum haben, ist es nicht klar, wann ein Benutzer keinen Zugriff mehr benötigt.
Entitlement Management Funktionen aktivieren die automatische Identitätslebenszyklus von externen Identitäten mit Zugriff auf Ressourcen. Prozesse und Prozeduren etablieren, um den Zugriff durch die Zugriffsebenenverwaltung zu verwalten. Ressourcen durch Zugriffspakete veröffentlichen Dieser Ansatz hilft Ihnen, den Zugriff externer Benutzer auf Ressourcen nachzuverfolgen und die Komplexität des Problems zu reduzieren.
Wenn Sie Mitarbeiter autorisieren, mit externen Benutzern zu kollaborieren, können sie eine beliebige Anzahl von Benutzern außerhalb Ihrer Organisation einladen. Wenn externe Identitäten Anwendungen nutzen, bieten Microsoft Entra Zugriffsüberprüfungen Hilfe, um den Zugriff zu prüfen. Sie können den Ressourcenbesitzer, die externen Identitäten selbst oder eine andere Person, der Sie vertrauen, als Delegat bestimmen, um zu bestätigen, ob sie weiterhin zugreifen auf benötigen.
Verwenden Sie Microsoft Entra-Zugriffsprüfungen, um externe Identitäten von der Anmeldung bei Ihrem Mandanten zu blockieren und externe Identitäten nach 30 Tagen aus Ihrem Mandanten zu löschen.
Erzwingen Sie den Schutz von Daten und die Einhaltung von Vorschriften mit Microsoft Purview.
Verwenden Sie Microsoft Purview, um die Risiken im Zusammenhang mit dem AI-Verbrauch zu mindern und zu verwalten. Implementieren Sie die entsprechenden Schutz- und Governance-Kontrollen. Microsoft Purview AI Hub ist derzeit in der Vorschau. Es bietet leicht zu bedienende grafische Tools und Berichte, um schnell Einblicke in die Nutzung von KI innerhalb Ihrer Organisation zu gewinnen. Mit Richtlinien mit nur einem Klick können Sie Ihre Daten schützen und gesetzliche Vorschriften einhalten.
Innerhalb des bedingten Zugriffs können Sie Microsoft Purview Adaptive Schutz aktivieren, um Verhalten zu kennzeichnen, das auf ein Insider-Risiko hinweist. Wenden Sie adaptiven Schutz an, während Sie andere bedingte Zugriffssteuerungen anwenden, um den Benutzer zur Eingabeaufforderung für MFA zu bewegen oder andere Aktionen basierend auf Ihren Anwendungsfällen bereitzustellen.
Monitor zugreifen auf
Die Überwachung ist entscheidend, um potenzielle Bedrohungen und Sicherheitsrisiken frühzeitig zu erkennen. Überwachungselement für ungewöhnliche Aktivitäten und Konfigurationsänderungen, um Sicherheitsverletzungen zu verhindern und die Datenintegrität zu wahren.
Prüfen und überwachen Sie kontinuierlich den Zugriff auf Ihre Umgebung, um verdächtige Aktivitäten zu entdecken. Vermeiden Sie Berechtigungswachstum und erhalten Sie Benachrichtigungen, wenn sich Dinge unbeabsichtigt ändern.
- Um Ihre Umgebung proaktiv auf Konfigurationsänderungen und verdächtige Aktivitäten zu überwachen, integrieren Sie Microsoft Entra ID Überwachungsprotokolle mit Azure Monitor.
- Konfigurieren Sie Sicherheitsbenachrichtigungen, um zu überwachen, wann Benutzer privilegierte Rollen aktivieren.
- Überwachungselement für atypische Benutzerverbrauchsmuster mit Microsoft Entra ID Schutz. Atypischer Verbrauch könnte darauf hinweisen, dass ein bösartiger Akteur herumschnüffelt und Gen AI Tools unangemessen verwendet.
In einigen Szenarien könnten Sie AI-Anwendungen nur saisonal nutzen. Zum Beispiel könnten Finanz-Apps außerhalb der Steuer- und Überwachungszeit einen niedrigen Verbrauch haben, während Einzelhandels-Apps während der Feiertagszeit Verbrauchssammlungen erleben könnten. Deaktivieren Sie Konten, die über einen längeren Zeitraum ungenutzt bleiben, insbesondere externe Partnerkonten, mit Lebenszyklus-Workflows. Berücksichtigen Sie die Saisonalität, ob JIT oder die temporäre Deaktivierung des Kontos geeigneter ist.
Idealerweise befolgen alle Benutzer die Zugriffsrichtlinien, um den Zugriff auf organisatorische Ressourcen zu sichern. Wenn Sie bedingte Zugriffsrichtlinien mit Ausschlüssen für einzelne Benutzer oder Gäste verwenden müssen, können Sie die Aufsicht über Richtlinienausschlüsse vermeiden. Verwenden Sie Microsoft Entra-Zugriffsüberprüfungen, um Wirtschaftsprüfern den Beweis einer regelmäßigen Ausnahmeprüfung zu liefern.
- Konfigurieren Sie Berichte, um regelmäßig ausgeführt zu werden. Konfigurieren Sie benutzerdefinierte Berichte für spezifische Anwendungsfälle, insbesondere für Identitäten, die auf Gen-AI-Apps zugreifen müssen.
Zugehöriger Inhalt
- Microsoft Security Copilot bietet Hilfe für IT-Sicherheitsexperten in End-to-End-Szenarien wie Vorfallantwort, Bedrohungsjagd, Informationssammlung und Haltungsmanagement.
- Microsoft Purview Information Barriers sind Richtlinien, die verhindern können, dass Einzelpersonen oder Gruppen miteinander kommunizieren. Informationsbarrieren in Microsoft Teams können unautorisierte Kollaborationen bestimmen und verhindern.
- Für Microsoft 365 Copilot-Anforderungen prüfen Sie Unternehmensschutz von Daten in Copilot für Microsoft 365 und Microsoft Copilot.