Zero Trust Bereitstellungsplan mit Microsoft 365

Dieser Artikel enthält einen Bereitstellungsplan zum Erstellen Zero Trust Sicherheit mit Microsoft 365. Zero Trust ist ein neues Sicherheitsmodell, das von einer Sicherheitsverletzung ausgeht und jede Anforderung überprüft, als ob sie aus einem unkontrollierten Netzwerk stammte. Unabhängig davon, woher die Anforderung stammt oder auf welche Ressource sie zugreift, lehrt uns das Zero Trust-Modell, dass wir "niemals vertrauen, immer überprüfen".

Verwenden Sie diesen Artikel zusammen mit diesem Poster.

Element Beschreibung
Abbildung des Bereitstellungsplans für Microsoft 365 Zero Trust
PDF | Visio
Aktualisiert märz 2022
Zugehörige Lösungsleitfäden

Zero Trust Sicherheitsarchitektur

Ein Zero Trust Ansatz erstreckt sich über den gesamten digitalen Bestand und dient als integrierte Sicherheitsphilosophie und End-to-End-Strategie.

Diese Abbildung enthält eine Darstellung der primären Elemente, die zur Zero Trust beitragen.

Die Zero Trust Sicherheitsarchitektur

In der Abbildung sehen Sie Folgendes:

  • Die Erzwingung von Sicherheitsrichtlinien steht im Mittelpunkt einer Zero Trust Architektur. Dies umfasst die mehrstufige Authentifizierung mit bedingtem Zugriff, bei der das Benutzerkontorisiko, der Gerätestatus und andere von Ihnen festgelegte Kriterien und Richtlinien berücksichtigt werden.
  • Identitäten, Geräte, Daten, Apps, Netzwerke und andere Infrastrukturkomponenten werden alle mit entsprechender Sicherheit konfiguriert. Richtlinien, die für jede dieser Komponenten konfiguriert sind, werden mit Ihrer allgemeinen Zero Trust Strategie koordiniert. Beispielsweise bestimmen Geräterichtlinien die Kriterien für fehlerfreie Geräte, und Richtlinien für bedingten Zugriff erfordern fehlerfreie Geräte für den Zugriff auf bestimmte Apps und Daten.
  • Bedrohungsschutz und Informationen überwachen die Umgebung, stellen aktuelle Risiken dar und ergreifen automatisierte Maßnahmen zur Abwehr von Angriffen.

Weitere Informationen zu Zero Trust finden Sie im Zero Trust Guidance Center von Microsoft.

Bereitstellen von Zero Trust für Microsoft 365

Microsoft 365 wurde absichtlich mit vielen Sicherheits- und Informationsschutzfunktionen erstellt, die Ihnen helfen, Zero Trust in Ihre Umgebung zu integrieren. Viele der Funktionen können erweitert werden, um den Zugriff auf andere SaaS-Apps, die Ihre Organisation verwendet, und die Daten in diesen Apps zu schützen.

Diese Abbildung stellt die Arbeit der Bereitstellung Zero Trust Funktionen dar. Diese Arbeit ist in Arbeitseinheiten unterteilt, die zusammen konfiguriert werden können, beginnend von unten bis nach oben, um sicherzustellen, dass die erforderlichen Arbeiten abgeschlossen sind.

Der Microsoft 365 Zero Trust-Bereitstellungsstapel

In dieser Abbildung:

  • Zero Trust beginnt mit einer Grundlage des Identitäts- und Geräteschutzes.
  • Bedrohungsschutzfunktionen basieren auf dieser Grundlage, um die Überwachung und Behebung von Sicherheitsbedrohungen in Echtzeit zu ermöglichen.
  • Informationsschutz und Governance bieten komplexe Kontrollen, die auf bestimmte Arten von Daten ausgerichtet sind, um Ihre wertvollsten Informationen zu schützen und Sie bei der Einhaltung von Compliancestandards, einschließlich des Schutzes personenbezogener Daten, zu unterstützen.

In diesem Artikel wird davon ausgegangen, dass Sie die Cloudidentität bereits konfiguriert haben. Informationen zu diesem Ziel finden Sie unter Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365.

Schritt 1. Konfigurieren von Zero Trust Identitäts- und Gerätezugriffsschutz – Startpunktrichtlinien

Der erste Schritt besteht darin, Ihre Zero Trust Grundlage zu erstellen, indem Sie den Identitäts- und Gerätezugriffsschutz konfigurieren.

Der Prozess zum Konfigurieren von Zero Trust Identitäts- und Gerätezugriffsschutz

Wechseln Sie zu Zero Trust Identitäts- und Gerätezugriffsschutz, um dies zu erreichen. In dieser Artikelreihe werden eine Reihe von Konfigurationen für den Identitäts- und Gerätezugriff sowie eine Reihe von bedingtem Azure Active Directory-Zugriff (Azure AD), Microsoft Intune und anderen Richtlinien zum Sichern des Zugriffs auf Microsoft 365 für Unternehmens-Cloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen beschrieben, die mit Azure AD Anwendungsproxy veröffentlicht wurden.

Beinhaltet Voraussetzungen Enthält nicht
Empfohlene Identitäts- und Gerätezugriffsrichtlinien für drei Schutzebenen:
  • Ausgangspunkt
  • Enterprise (empfohlen)
  • Spezialisiert

Zusätzliche Empfehlungen für:
  • Externe Benutzer (Gäste)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 oder E5

Azure Active Directory in einem der folgenden Modi:
  • Rein cloudbasiert
  • Hybrid mit Kennworthashsynchronisierung (PHS)-Authentifizierung
  • Hybrid mit Passthrough-Authentifizierung (PTA)
  • Federated
Geräteregistrierung für Richtlinien, die verwaltete Geräte erfordern. Siehe Schritt 2. Verwalten von Endpunkten mit Intune zum Registrieren von Geräten

Beginnen Sie mit der Implementierung der Startpunktebene. Diese Richtlinien erfordern keine Registrierung von Geräten bei der Verwaltung.

Die Zero Trust Identitäts- und Gerätezugriffsrichtlinien – Startpunktebene

Schritt 2. Verwalten von Endpunkten mit Intune

Registrieren Sie als Nächstes Ihre Geräte für die Verwaltung, und beginnen Sie mit dem Schutz dieser Geräte mit komplexeren Steuerelementen.

Das Element

Wechseln Sie zu Verwalten von Geräten mit Intune, um dies zu erreichen.

Beinhaltet Voraussetzungen Enthält nicht
Registrieren von Geräten mit Intune:
  • Unternehmenseigene Geräte
  • Autopilot/automatisiert
  • Registrierung

Konfigurieren von Richtlinien:
  • App-Schutzrichtlinien
  • Compliancerichtlinien
  • Geräteprofilrichtlinien
Registrieren von Endpunkten bei Azure AD Konfigurieren von Informationsschutzfunktionen, einschließlich:
  • Typen vertraulicher Informationen
  • Labels
  • DLP-Richtlinien

Informationen zu diesen Funktionen finden Sie unter Schritt 5. Schützen und Steuern vertraulicher Daten (weiter unten in diesem Artikel).

Schritt 3: Hinzufügen von Zero Trust Identitäts- und Gerätezugriffsschutz – Unternehmensrichtlinien

Wenn Geräte bei der Verwaltung registriert sind, können Sie jetzt den vollständigen Satz empfohlener Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, sodass kompatible Geräte erforderlich sind.

Die Zero Trust Identitäts- und Zugriffsrichtlinien mit der Geräteverwaltung

Kehren Sie zu Allgemeine Identitäts- und Gerätezugriffsrichtlinien zurück, und fügen Sie die Richtlinien im Enterprise-Tarif hinzu.

Die Zero Trust Identitäts- und Zugriffsrichtlinien – Enterprise-Ebene (empfohlen)

Schritt 4. Evaluieren, Testen und Bereitstellen von Microsoft 365 Defender

Microsoft 365 Defender ist eine XDR-Lösung (Extended Detection and Response), die automatisch Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Microsoft 365-Umgebung sammelt, korreliert und analysiert, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten.

Der Prozess zum Hinzufügen von Microsoft 365 Defender zur Zero Trust-Architektur

Einen methodischen Leitfaden zum Pilotieren und Bereitstellen Microsoft 365 Defender Komponenten finden Sie unter Evaluieren und Microsoft 365 Defender.

Beinhaltet Voraussetzungen Enthält nicht
Richten Sie die Evaluierungs- und Pilotumgebung für alle Komponenten ein:
  • Defender for Identity
  • Defender for Office 365
  • Defender für Endpunkt
  • Microsoft Defender for Cloud Apps

Schutz vor Bedrohungen

Untersuchen und Reagieren auf Bedrohungen
Weitere Informationen zu den Architekturanforderungen für die einzelnen Komponenten von Microsoft 365 Defender finden Sie in der Anleitung. Azure AD Identity Protection ist in diesem Lösungshandbuch nicht enthalten. Es ist in Schritt 1 enthalten. Konfigurieren Sie Zero Trust Identitäts- und Gerätezugriffsschutz.

Schritt 5. Schützen und Steuern vertraulicher Daten

Implementieren Sie Microsoft Purview Information Protection, damit Sie vertrauliche Informationen überall dort ermitteln, klassifizieren und schützen können, wo sie sich befinden oder reisen.

Microsoft Purview Information Protection Funktionen sind in Microsoft Purview enthalten und bieten Ihnen die Tools, um Ihre Daten zu kennen, Ihre Daten zu schützen und Datenverluste zu verhindern.

Die Informationsschutzfunktionen zum Schutz von Daten durch Richtlinienerzwingung

Diese Arbeit wird zwar oben im Bereitstellungsstapel dargestellt, der weiter oben in diesem Artikel veranschaulicht wurde, aber Sie können diese Arbeit jederzeit beginnen.

Microsoft Purview Information Protection stellt ein Framework, einen Prozess und funktionen bereit, mit dem Sie Ihre spezifischen Geschäftsziele erreichen können.

Microsoft Purview Information Protection

Weitere Informationen zum Planen und Bereitstellen von Information Protection finden Sie unter Bereitstellen einer Microsoft Purview Information Protection Lösung.

Wenn Sie den Informationsschutz für Datenschutzbestimmungen bereitstellen, bietet dieser Lösungsleitfaden einen empfohlenen Rahmen für den gesamten Prozess: Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft 365.