Zero Trust Bereitstellungsplan mit Microsoft 365
Dieser Artikel enthält einen Bereitstellungsplan zum Erstellen Zero Trust Sicherheit mit Microsoft 365. Zero Trust ist ein neues Sicherheitsmodell, das von einer Sicherheitsverletzung ausgeht und jede Anforderung überprüft, als ob sie aus einem unkontrollierten Netzwerk stammte. Unabhängig davon, woher die Anforderung stammt oder auf welche Ressource sie zugreift, lehrt uns das Zero Trust-Modell, dass wir "niemals vertrauen, immer überprüfen".
Verwenden Sie diesen Artikel zusammen mit diesem Poster.
Zero Trust Sicherheitsarchitektur
Ein Zero Trust Ansatz erstreckt sich über den gesamten digitalen Bestand und dient als integrierte Sicherheitsphilosophie und End-to-End-Strategie.
Diese Abbildung enthält eine Darstellung der primären Elemente, die zur Zero Trust beitragen.
In der Abbildung sehen Sie Folgendes:
- Die Erzwingung von Sicherheitsrichtlinien steht im Mittelpunkt einer Zero Trust Architektur. Dies umfasst die mehrstufige Authentifizierung mit bedingtem Zugriff, bei der das Benutzerkontorisiko, der Gerätestatus und andere von Ihnen festgelegte Kriterien und Richtlinien berücksichtigt werden.
- Identitäten, Geräte, Daten, Apps, Netzwerke und andere Infrastrukturkomponenten werden alle mit entsprechender Sicherheit konfiguriert. Richtlinien, die für jede dieser Komponenten konfiguriert sind, werden mit Ihrer allgemeinen Zero Trust Strategie koordiniert. Beispielsweise bestimmen Geräterichtlinien die Kriterien für fehlerfreie Geräte, und Richtlinien für bedingten Zugriff erfordern fehlerfreie Geräte für den Zugriff auf bestimmte Apps und Daten.
- Bedrohungsschutz und Informationen überwachen die Umgebung, stellen aktuelle Risiken dar und ergreifen automatisierte Maßnahmen zur Abwehr von Angriffen.
Weitere Informationen zu Zero Trust finden Sie im Zero Trust Guidance Center von Microsoft.
Bereitstellen von Zero Trust für Microsoft 365
Microsoft 365 wurde absichtlich mit vielen Sicherheits- und Informationsschutzfunktionen erstellt, die Ihnen helfen, Zero Trust in Ihre Umgebung zu integrieren. Viele der Funktionen können erweitert werden, um den Zugriff auf andere SaaS-Apps, die Ihre Organisation verwendet, und die Daten in diesen Apps zu schützen.
Diese Abbildung stellt die Arbeit der Bereitstellung Zero Trust Funktionen dar. Diese Arbeit ist in Arbeitseinheiten unterteilt, die zusammen konfiguriert werden können, beginnend von unten bis nach oben, um sicherzustellen, dass die erforderlichen Arbeiten abgeschlossen sind.
In dieser Abbildung:
- Zero Trust beginnt mit einer Grundlage des Identitäts- und Geräteschutzes.
- Bedrohungsschutzfunktionen basieren auf dieser Grundlage, um die Überwachung und Behebung von Sicherheitsbedrohungen in Echtzeit zu ermöglichen.
- Informationsschutz und Governance bieten komplexe Kontrollen, die auf bestimmte Arten von Daten ausgerichtet sind, um Ihre wertvollsten Informationen zu schützen und Sie bei der Einhaltung von Compliancestandards, einschließlich des Schutzes personenbezogener Daten, zu unterstützen.
In diesem Artikel wird davon ausgegangen, dass Sie die Cloudidentität bereits konfiguriert haben. Informationen zu diesem Ziel finden Sie unter Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365.
Schritt 1. Konfigurieren von Zero Trust Identitäts- und Gerätezugriffsschutz – Startpunktrichtlinien
Der erste Schritt besteht darin, Ihre Zero Trust Grundlage zu erstellen, indem Sie den Identitäts- und Gerätezugriffsschutz konfigurieren.
Wechseln Sie zu Zero Trust Identitäts- und Gerätezugriffsschutz, um dies zu erreichen. In dieser Artikelreihe werden eine Reihe von Konfigurationen für den Identitäts- und Gerätezugriff sowie eine Reihe von bedingtem Azure Active Directory-Zugriff (Azure AD), Microsoft Intune und anderen Richtlinien zum Sichern des Zugriffs auf Microsoft 365 für Unternehmens-Cloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen beschrieben, die mit Azure AD Anwendungsproxy veröffentlicht wurden.
| Beinhaltet | Voraussetzungen | Enthält nicht |
|---|---|---|
Empfohlene Identitäts- und Gerätezugriffsrichtlinien für drei Schutzebenen:
Zusätzliche Empfehlungen für:
|
Microsoft E3 oder E5 Azure Active Directory in einem der folgenden Modi:
|
Geräteregistrierung für Richtlinien, die verwaltete Geräte erfordern. Siehe Schritt 2. Verwalten von Endpunkten mit Intune zum Registrieren von Geräten |
Beginnen Sie mit der Implementierung der Startpunktebene. Diese Richtlinien erfordern keine Registrierung von Geräten bei der Verwaltung.
Schritt 2. Verwalten von Endpunkten mit Intune
Registrieren Sie als Nächstes Ihre Geräte für die Verwaltung, und beginnen Sie mit dem Schutz dieser Geräte mit komplexeren Steuerelementen.
Wechseln Sie zu Verwalten von Geräten mit Intune, um dies zu erreichen.
| Beinhaltet | Voraussetzungen | Enthält nicht |
|---|---|---|
Registrieren von Geräten mit Intune:
Konfigurieren von Richtlinien:
|
Registrieren von Endpunkten bei Azure AD | Konfigurieren von Informationsschutzfunktionen, einschließlich:
Informationen zu diesen Funktionen finden Sie unter Schritt 5. Schützen und Steuern vertraulicher Daten (weiter unten in diesem Artikel). |
Schritt 3: Hinzufügen von Zero Trust Identitäts- und Gerätezugriffsschutz – Unternehmensrichtlinien
Wenn Geräte bei der Verwaltung registriert sind, können Sie jetzt den vollständigen Satz empfohlener Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, sodass kompatible Geräte erforderlich sind.
Kehren Sie zu Allgemeine Identitäts- und Gerätezugriffsrichtlinien zurück, und fügen Sie die Richtlinien im Enterprise-Tarif hinzu.
Schritt 4. Evaluieren, Testen und Bereitstellen von Microsoft 365 Defender
Microsoft 365 Defender ist eine XDR-Lösung (Extended Detection and Response), die automatisch Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Microsoft 365-Umgebung sammelt, korreliert und analysiert, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten.
Einen methodischen Leitfaden zum Pilotieren und Bereitstellen Microsoft 365 Defender Komponenten finden Sie unter Evaluieren und Microsoft 365 Defender.
| Beinhaltet | Voraussetzungen | Enthält nicht |
|---|---|---|
Richten Sie die Evaluierungs- und Pilotumgebung für alle Komponenten ein:
Schutz vor Bedrohungen Untersuchen und Reagieren auf Bedrohungen |
Weitere Informationen zu den Architekturanforderungen für die einzelnen Komponenten von Microsoft 365 Defender finden Sie in der Anleitung. | Azure AD Identity Protection ist in diesem Lösungshandbuch nicht enthalten. Es ist in Schritt 1 enthalten. Konfigurieren Sie Zero Trust Identitäts- und Gerätezugriffsschutz. |
Schritt 5. Schützen und Steuern vertraulicher Daten
Implementieren Sie Microsoft Purview Information Protection, damit Sie vertrauliche Informationen überall dort ermitteln, klassifizieren und schützen können, wo sie sich befinden oder reisen.
Microsoft Purview Information Protection Funktionen sind in Microsoft Purview enthalten und bieten Ihnen die Tools, um Ihre Daten zu kennen, Ihre Daten zu schützen und Datenverluste zu verhindern.
Diese Arbeit wird zwar oben im Bereitstellungsstapel dargestellt, der weiter oben in diesem Artikel veranschaulicht wurde, aber Sie können diese Arbeit jederzeit beginnen.
Microsoft Purview Information Protection stellt ein Framework, einen Prozess und funktionen bereit, mit dem Sie Ihre spezifischen Geschäftsziele erreichen können.
Weitere Informationen zum Planen und Bereitstellen von Information Protection finden Sie unter Bereitstellen einer Microsoft Purview Information Protection Lösung.
Wenn Sie den Informationsschutz für Datenschutzbestimmungen bereitstellen, bietet dieser Lösungsleitfaden einen empfohlenen Rahmen für den gesamten Prozess: Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft 365.