Anwenden von Prinzipien von Zero Trust auf Microsoft Copilot für Microsoft 365
Zusammenfassung: Um Zero-Trust-Prinzipien auf Microsoft Copilot für Microsoft 365 anzuwenden, müssen Sie sieben Schutzschichten in Ihrem Microsoft 365-Mandanten anwenden:
- Datenschutz
- Identität und Zugriff
- App-Schutz
- Geräteverwaltung und -schutz
- Bedrohungsschutz
- Sichere Zusammenarbeit mit Teams
- Benutzerberechtigungen für Daten
Einführung
Bevor Sie Microsoft Copilot für Microsoft 365 oder Copilot in Ihre Umgebung einführen, empfiehlt Microsoft, eine starke Grundlage für Sicherheit zu schaffen. Glücklicherweise gibt es Anleitungen für eine starke Sicherheitsbasis in Form von Zero Trust. Die Zero Trust-Sicherheitsstrategie behandelt jede Verbindung und Ressourcenanforderung so, als ob sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur stammte. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: „Niemals vertrauen, immer überprüfen“.
Dieser Artikel enthält Schritte zum Anwenden der Prinzipien der Zero Trust-Sicherheit , um Ihre Umgebung auf folgende Weise auf Copilot vorzubereiten:
| Zero Trust-Prinzip | Definition | Erfüllt von |
|---|---|---|
| Explizit verifizieren | Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. | Erzwingen Sie die Überprüfung von Benutzeranmeldeinformationen, Geräteanforderungen und App-Berechtigungen und -Verhalten. |
| Geringstmögliche Zugriffsberechtigungen verwenden | Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. | Überprüfen Sie JEA in Ihrer gesamten Organisation, um die Überteilung zu vermeiden, indem Sie sicherstellen, dass den Dateien, Ordnern, Teams und E-Mails die richtigen Berechtigungen zugewiesen werden. Verwenden Sie Vertraulichkeitsbezeichnungen und Richtlinien zur Verhinderung von Datenverlust. |
| Von einer Sicherheitsverletzung ausgehen | Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern. | Verwenden Sie Exchange Online Protection (EOP) und Microsoft Defender XDR-Dienste, um häufige Angriffe automatisch zu verhindern und Sicherheitsvorfälle zu erkennen und darauf zu reagieren. |
Die Grundlagen von Copilot finden Sie in der Übersicht und in den ersten Schritten.
Logische Architektur
Sie wenden Zero Trust-Prinzipien für Copilot über die gesamte Architektur hinweg an, von Benutzern und Geräten bis zu den Anwendungsdaten, auf die sie Zugriff haben. Das folgende Diagramm zeigt die logischen Architekturkomponenten.
In der Abbildung:
- Benutzergeräte haben Microsoft 365-Apps installiert, von denen Benutzer Copilot-Eingabeaufforderungen initiieren können
- Zu den Copilot-Komponenten gehören:
- Der Copilot-Dienst, der die Antworten auf Benutzeraufforderungen koordiniert
- Eine Instanz von Microsoft Graph für die Daten Ihres Microsoft 365-Mandanten
- Ihr Microsoft 365-Mandant, der Ihre Organisationsdaten enthält
Was in diesem Artikel enthalten ist
Dieser Artikel führt Sie durch die Schritte zum Anwenden der Prinzipien von Zero Trust, um Ihre Microsoft 365-Umgebung für Copilot vorzubereiten.
| Schritt | Task | Es gelten die Zero Trust-Prinzipien |
|---|---|---|
| 1 | Bereitstellen oder Überprüfen Ihres Datenschutzes | Explizit verifizieren Geringstmögliche Zugriffsberechtigungen verwenden |
| 2 | Bereitstellen oder Überprüfen Ihrer Identitäts- und Zugriffsrichtlinien | Explizit verifizieren Geringstmögliche Zugriffsberechtigungen verwenden |
| 3 | Bereitstellen oder Überprüfen Ihrer Appschutz-Richtlinien | Verwenden des Zugriffs mit den geringsten Rechten Von einer Sicherheitsverletzung ausgehen |
| 4 | Bereitstellen oder Überprüfen der Geräteverwaltung und des Schutzes | Explizit verifizieren |
| 5 | Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste | Von einer Sicherheitsverletzung ausgehen |
| 6 | Bereitstellen oder Überprüfen der sicheren Zusammenarbeit mit Teams | Explizit verifizieren Geringstmögliche Zugriffsberechtigungen verwenden |
| 7 | Bereitstellen oder Überprüfen von Benutzerberechtigungen für Daten | Geringstmögliche Zugriffsberechtigungen verwenden |
Da sich unterschiedliche Organisationen in verschiedenen Phasen der Bereitstellung von Zero Trust-Schutzfunktionen befinden können, führen Sie in jedem dieser Schritte folgende Schritte aus:
- Wenn Sie KEINEN der im Schritt beschriebenen Schutzmaßnahmen verwenden, nehmen Sie sich die Zeit, um sie zu testen und bereitzustellen, bevor Sie Copilot-Lizenzen zuweisen.
- Wenn Sie einige der im Schritt beschriebenen Schutzmaßnahmen verwenden, nutzen Sie die Informationen im Schritt als Prüfliste, und stellen Sie sicher, dass jeder angegebene Schutz vor dem Zuweisen von Copilot-Lizenzen einem Pilotversuch unterzogen und bereitgestellt wurde.
Die neuesten Copilot-Unterstützung für sicherheitsbezogene und andere Features von Microsoft 365 finden Sie unter Copilot-Anforderungen.
Hinweis
Ab dem 1. Januar 2024 ist Copilot allgemein für Microsoft 365 A3- und A5-Lehrpersonal verfügbar. Weitere Informationen finden Sie in diesem Beitrag der technischen Community.
Schritt 1. Bereitstellen oder Überprüfen Ihres Datenschutzes
Um zu verhindern, dass die Daten Ihrer Organisation überlastet oder freigegeben werden, besteht der nächste Schritt darin, die Daten in Ihrem Microsoft 365-Mandanten zu schützen. Sie müssen sicherstellen, dass:
- Ihre Daten werden mit Vertraulichkeitsstufen kategorisiert.
- Vertraulichkeitsbezeichnungen stellen Ihre Vertraulichkeitsstufen dar, die von Benutzern oder automatisch angewendet werden.
- Sie können anzeigen, wie Vertraulichkeitsbezeichnungen in Ihrem Microsoft 365-Mandanten verwendet werden.
Diese Datenschutzfunktionen können auch verwendet werden, um sicherzustellen, dass Ihre Organisation Datenvorschriften erfüllt, z. B. solche, die sich mit dem Schutz persönlicher Informationen befassen.
Die folgenden Funktionen von Microsoft Purview stärken Ihre Datensicherheit und Compliance für Copilot:
- Vertraulichkeitsbezeichnungen und von Microsoft Purview Information Protection verschlüsselte Inhalte
- Datenklassifizierung
- Kundenschlüssel
- Kommunikationscompliance
- Überwachung
- Inhaltssuche
- eDiscovery
- Aufbewahrung und Löschung
- Kunden-Lockbox
Weitere Informationen finden Sie unter Microsoft Purview-Datenschutz und Compliance-Schutz für Microsoft Copilot und Überlegungen zur Bereitstellung von Microsoft Purview-Datensicherheit und Compliance-Schutz für Copilot.
Erste Schritte mit E3
Vertraulichkeitsbezeichnungen bilden den Grundstein für den Schutz Ihrer Daten. Bevor Sie die Bezeichnungen erstellen, um die Vertraulichkeit von Elementen und die angewendeten Schutzaktionen zu kennzeichnen, müssen Sie die vorhandene Klassifizierungstaxonomie Ihrer Organisation verstehen und wie sie Bezeichnungen zugeordnet ist, die Benutzer in Apps sehen und anwenden. Nachdem Sie die Vertraulichkeitsbezeichnungen erstellt haben, veröffentlichen Sie sie, und geben Sie Benutzern Anleitungen darüber, wie und wann sie in Word, Excel, PowerPoint und Outlook angewendet werden.
Weitere Informationen finden Sie unter:
- Erste Schritte mit Vertraulichkeitsbezeichnungen
- Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien
- Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive
Erwägen Sie das Erweitern manueller Bezeichnungen mithilfe der Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen einer Standardbezeichnung und obligatorischer Bezeichnungen. Eine Standardbezeichnung hilft dabei, grundlegende Schutzeinstellungen festzulegen, die auf alle Ihre Inhalte angewendet werden sollen. Durch die obligatorische Bezeichnung wird sichergestellt, dass Benutzer Dokumente und E-Mails beschriften. Ohne umfassende Benutzerschulung und andere Kontrollen können diese Einstellungen jedoch zu ungenauen Bezeichnungen führen.
Sehen Sie sich diese zusätzlichen Ressourcen zum Schutz der Daten Ihrer Organisation an:
- Erstellen Sie DLP-Richtlinien für Dateien und E-Mails.
- Erstellen Sie Aufbewahrungsrichtlinien, um zu behalten, was Sie benötigen, und zu löschen, was Sie nicht benötigen.
- Verwenden Sie den Inhaltsexplorer, um Elemente anzuzeigen und zu überprüfen, die über eine Vertraulichkeitsbezeichnung, eine Aufbewahrungsbezeichnung oder als Typ vertraulicher Informationen in Ihrer Organisation klassifiziert wurden.
Nächste Schritte mit E5
Mit Microsoft 365 E5 können Sie Vertraulichkeitsbezeichnungen erweitern, um mehr Inhalte und mehr Bezeichnungsmethoden zu schützen. Beispielsweise das Bezeichnen von SharePoint-Websites und Teams mithilfe von Containerbezeichnungen und automatischem Bezeichnen von Elementen in Microsoft 365 und darüber hinaus. Weitere Informationen finden Sie in einer Liste allgemeiner Bezeichnungsszenarien und deren Ausrichtung auf Geschäftsziele.
Berücksichtigen Sie diese zusätzlichen Microsoft 365 E5-Funktionen:
- Erweitern Sie Ihre Richtlinien zur Verhinderung von Datenverlust auf mehr Speicherorte, und verwenden Sie einen größeren Bereich von Klassifizierern, um vertrauliche Informationen zu finden.
- Aufbewahrungsbezeichnungen können automatisch angewendet werden, wenn vertrauliche Informationen gefunden werden, die unterschiedliche Einstellungen von Ihren Aufbewahrungsrichtlinien oder eine höhere Verwaltungsebene benötigen.
- Verwenden Sie den Aktivitäts-Explorer und die vollständigen Funktionen des Inhaltsexplorers, um Ihre vertraulichen Daten und wie diese bezeichnet werden besser zu verstehen.
Schritt 2. Bereitstellen oder Überprüfen Ihrer Identitäts- und Zugriffsrichtlinien
Um zu verhindern, dass böswillige Akteure Copilot verwenden, um vertrauliche Daten schneller zu finden und darauf zuzugreifen, besteht der erste Schritt darin, sie daran zu hindern, Zugriff zu erhalten. Sie müssen sicherstellen, dass:
- Benutzer müssen eine strenge Authentifizierung verwenden, die nicht durch das Erraten von Benutzerkennwörter allein kompromittiert werden kann.
- Authentifizierungsversuche werden für ihr Risiko ausgewertet und haben mehr Anforderungen auferlegt.
- Sie können Überprüfungen des Zugriffs durchführen, der Benutzerkonten gewährt wird, um die Überteilung zu verhindern.
Erste Schritte mit E3
Microsoft 365 E3 umfasst Lizenzen von Microsoft Entra ID P1. Mit diesem Plan empfiehlt Microsoft die Verwendung allgemeiner Richtlinien für den bedingten Zugriff, die folgende sind:
- Verlangen Sie die Multi-Faktor-Authentifizierung (MFA) für Administratoren
- Erzwingen der MFA für alle Benutzer
- Blockieren älterer Authentifizierungsmethoden
Stellen Sie sicher, dass Sie Microsoft 365-Dienste und Ihre anderen SaaS-Apps im Rahmen dieser Richtlinien einschließen.
Wenn Ihre Umgebung Hybrididentitäten mit lokales Active Directory Domain Services enthält, stellen Sie sicher, dass Sie Microsoft Entra-Kennwortschutz bereitstellen. Diese Funktionalität erkennt und blockiert bekannte unsichere Kennwörter und deren Varianten und kann außerdem unsicherere Ausdrücke innerhalb von Kennwörtern blockieren, die spezifisch für Ihre Organisation sind.
Nächste Schritte mit E5
Microsoft 365 E5 umfasst Lizenzen von Microsoft Entra ID P2. Beginnen Sie mit der Implementierung der empfohlenen Microsoft-Richtlinie für bedingten Zugriff und zugehörige Richtlinien, einschließlich:
- Erfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist.
- Erfordern Sie, dass Benutzer mit hohem Risiko ihr Kennwort ändern (zutreffend, wenn Sie keine kennwortlose Authentifizierung verwenden).
Weitere Informationen zum Implementieren des Schutzes für Identität und Zugriff basierend auf Ihrem Lizenzierungsplan finden Sie unter Erhöhen der Anmeldesicherheit für Hybrid Worker mit MFA.
Microsoft 365 E5 und Microsoft Entra ID P2 enthalten beide mehr Schutz für privilegierte Konten. Implementieren Sie die in der folgenden Tabelle zusammengefassten Funktionen.
| Funktion | Ressourcen |
|---|---|
| Privileged Identity Management (PIM) | Bieten Schutz für priviligierte Konten, die auf Ressourcen zugreifen, einschließlich Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Siehe Planen einer Bereitstellung von Privileged Identity Management. |
| Microsoft Purview Privileged Access Management | Ermöglicht eine präzise Zugriffssteuerung über privilegierte Exchange Online-Administratoraufgaben in Office 365. Die Lösung kann dazu beitragen, Ihre Organisationen vor Sicherheitsverletzungen zu schützen, die durch vorhandene privilegierte Administratorkonten mit ständigem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verursacht werden. Siehe Übersicht über Privileged Access Management. |
Ziehen Sie schließlich die Implementierung von Zugriffsüberprüfungen im Rahmen Ihrer gesamten JEA-Strategie in Betracht. Mithilfe von Zugriffsüberprüfungen kann Ihre Organisation Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin angemessenen Zugriff haben.
Schritt 3. Bereitstellen oder Überprüfen Ihrer Appschutz-Richtlinien
Verwenden Sie sowohl für Microsoft 365 E3 als auch für E5 Intune Appschutz-Richtlinien (APP), welche Regeln sind, die sicherstellen, dass die Standard Daten einer Organisation sicher sind oder in einer verwalteten App enthalten sind.
Mit ASR erstellt Intune eine Wand zwischen Ihren Organisationsdaten und personenbezogenen Daten. ASR stellt sicher, dass Organisationsdaten in bestimmten Apps nicht kopiert und in andere Apps auf dem Gerät eingefügt werden können, auch wenn das Gerät nicht verwaltet wird.
ASR kann das versehentliche oder absichtliche Kopieren von Copilot-generierten Inhalten auf Apps auf einem Gerät verhindern, die nicht in der Liste der zulässigen Apps enthalten sind. ASR kann den Strahlradius eines Angreifers mit einem kompromittierten Gerät einschränken.
Weitere Informationen finden Sie unter „Appschutz-Richtlinien erstellen“.
Schritt 4. Bereitstellen oder Überprüfen der Geräteverwaltung und des Schutzes
Um zu verhindern, dass böswillige Akteure Geräte kompromittieren oder kompromittierte Geräte verwenden, um Zugriff auf Copilot zu erhalten, besteht der nächste Schritt darin, Microsoft 365-Features der Geräteverwaltung und des Schutzes zu verwenden. Sie müssen sicherstellen, dass:
- Geräte werden in Microsoft Intune registriert und müssen die Integritäts- und Compliance-Anforderungen erfüllen.
- Sie können Einstellungen und Features auf Geräten verwalten.
- Sie können Ihre Geräte auf ihr Risikoniveau überwachen.
- Sie können proaktiv Datenverluste verhindern.
Erste Schritte mit E3
Microsoft 365 E3 umfasst Microsoft Intune zum Verwalten von Geräten.
Beginnen Sie als Nächstes mit der Registrierung von Geräten bei der Verwaltung. Richten Sie nach der Registrierung Compliancerichtlinien ein und erfordern dann fehlerfreie und kompatible Geräte. Schließlich können Sie Geräteprofile, auch als Konfigurationsprofile bezeichnet, bereitstellen, um Einstellungen und Features auf Geräten zu verwalten.
Verwenden Sie zum Bereitstellen dieser Schutzmaßnahmen die folgenden Artikel.
- Schritt 1. Implementieren von App-Schutzrichtlinien
- Schritt 2. Geräten bei Verwaltung registrieren
- Schritt 3. Compliancerichtlinien einrichten
- Schritt 4. Fehlerfreie und konforme Geräte sicherstellen
- Schritt 5. Bereitstellen von Geräteprofilen
Nächste Schritte mit E5
Microsoft 365 E5 enthält auch Microsoft Defender for Endpoint. Nach der Bereitstellung von Microsoft Defender for Endpunkt können Sie mehr Einblicke und den Schutz Ihrer Geräte erhalten, indem Sie Microsoft Intune in Defender für Endpunkt integrieren. Für mobile Geräte umfasst dies die Möglichkeit, das Geräterisiko als Bedingung für den Zugriff zu überwachen. Für Windows-Geräte können Sie die Compliance dieser Geräte auf Sicherheitsgrundwerte überwachen.
Microsoft 365 E5 umfasst auch die Verhinderung von Datenverlust am Endpunkt (Endpoint Data Loss Prevention, DLP). Wenn Ihre Organisation Ihre Daten bereits versteht, ein Datenempfindlichkeitsschema entwickelt und das Schema angewendet hat, können Sie elemente dieses Schemas mithilfe von Microsoft Purview DLP-Richtlinien auf Endpunkte erweitern.
Verwenden Sie die folgenden Artikel, um diese Geräteschutz- und Verwaltungsfunktionen bereitzustellen:
- Schritt 6. Überwachen von Geräterisiken und -compliance auf Sicherheitsgrundwerte
- Schritt 7. Implementieren von DLP mit Informationsschutzfunktionen
Schritt 5. Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste
Um die Aktivitäten böswilliger Akteure zu erkennen und ihnen den Zugriff auf Copilot zu ermöglichen, besteht der nächste Schritt darin, Bedrohungsschutzdienste von Microsoft 365 zu verwenden. Sie müssen sicherstellen, dass:
- Sie können häufig verwendete E-Mail- und gerätebasierte Angriffe automatisch verhindern.
- Sie können Features verwenden, um den Angriffsflächenbereich von Windows-Geräten zu reduzieren.
- Sie können Sicherheitsvorfälle mit einer umfassenden Suite von Bedrohungsschutzdiensten erkennen und darauf reagieren.
Erste Schritte mit E3
Microsoft 365 E3 umfasst mehrere wichtige Funktionen in Defender for Office 365 und Defender for Endpunkt. Darüber hinaus umfassen Windows 11 und Windows 10 viele Bedrohungsschutzfunktionen.
Microsoft Defender für Office 365 P1
Microsoft Defender for Office 365 P1 enthält Exchange Online Protection (EOP), die in Microsoft 365 E3 enthalten sind. EOP schützt Ihre E-Mail- und Zusammenarbeitstools vor Phishing, Identitätsdiebstahl und anderen Bedrohungen. Verwenden Sie diese Ressourcen, um Anti-Malware-, Anti-Spam- und Anti-Phishingschutz zu konfigurieren:
Defender for Endpunkt P1
Microsoft 365 E3 umfasst Microsoft Defender for Endpunkt P1, der die folgenden Funktionen umfasst:
- Schutz der nächsten Generation – Schützt Ihre Geräte vor neuen Bedrohungen in Echtzeit. Diese Funktion umfasst Microsoft Defender Antivirus, die Ihr Gerät kontinuierlich mithilfe von Datei- und Prozessverhaltensüberwachung überprüft.
- Verringerung der Angriffsfläche – Verhindert, dass Angriffe an erster Stelle stattfinden, indem Einstellungen konfiguriert werden, die potenziell verdächtige Aktivitäten automatisch blockieren.
Verwenden Sie diese Ressourcen, um Defender for Endpunkt Plan 1 zu konfigurieren:
Windows-Schutzfunktionen
Standardmäßig enthält Windows starke Sicherheit und Schutz für Hardware, Betriebssystem, Apps und vieles mehr. Weitere Informationen finden Sie in der Einführung in die Windows-Sicherheit. In der folgenden Tabelle sind die wichtigen Windows-Client-Bedrohungsschutzfunktionen aufgeführt, die in Microsoft 365 E3 enthalten sind.
| Funktion | Ressourcen |
|---|---|
| Windows Hello | Windows Hello for Business – Überblick |
| Microsoft Defender Firewall | Dokumentation zur Windows Defender Firewall |
| Microsoft Defender SmartScreen | Übersicht über Microsoft Defender SmartScreen |
| Anwendungssteuerung für Windows | Anwendungssteuerung für Windows |
| BitLocker | Übersicht über die BitLocker-Geräteverschlüsselung |
| Microsoft Defender Application Guard für Edge | Übersicht über Microsoft Defender Application Guard |
Diese Funktionen können direkt auf dem Client mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) oder mithilfe eines Geräteverwaltungstools, einschließlich Intune, konfiguriert werden. Sie können Einstellungen auf Geräten in Intune jedoch nur verwalten, indem Sie Konfigurationsprofile bereitstellen, die ein Feature von Microsoft 365 E5 sind.
Nächste Schritte mit E5
Für umfassenderen Bedrohungsschutz, sollten Sie einen Pilotversuch mit Microsoft Defender XDR durchführen und es bereitstellen, inklusive:
- Defender für Identität
- Defender for Office 365 P2
- Defender for Endpunkt P2
- Defender for Cloud Apps
Microsoft empfiehlt, die Komponenten von Microsoft 365 in der dargestellten Reihenfolge zu aktivieren:
Weitere Informationen und eine Beschreibung dieser Abbildung finden Sie unter Durchführen der Evaluierung und eines Pilotprojekts für Microsoft Defender XDR.
Integrieren Sie nach der Bereitstellung von Microsoft Defender DR diese XDR-Tools (eXtended Detection and Response) in Microsoft Sentinel. Microsoft Sentinel wird separat von Microsoft 365 E5 lizenziert und in Rechnung gestellt. Weitere Informationen finden Sie in diesen Ressourcen:
- Implementieren von Microsoft Sentinel und Microsoft Defender XDR für Zero Trust
- Kosten planen und die Preise und Abrechnung von Microsoft Sentinel verstehen
Schritt 6. Bereitstellen oder Überprüfen der sicheren Zusammenarbeit für Microsoft Teams
Microsoft bietet Anleitungen zum Schutz Ihrer Teams auf drei verschiedenen Ebenen – Basisplan, vertraulich und streng vertraulich. Die Einführung von Copilot ist ein guter Zeitpunkt, um Ihre Umgebung zu überprüfen und sicherzustellen, dass der entsprechende Schutz konfiguriert ist. Führen Sie die folgenden Schritte aus:
- Identifizieren Sie Teams oder Projekte, die einen hochgradig vertraulichen Schutz gewährleisten. Konfigurieren Sie Schutzmaßnahmen für diese Stufe. Viele Organisationen verfügen nicht über Daten, die diese Schutzstufe erfordern.
- Identifizieren Sie Teams oder Projekte, die vertraulichen Schutz gewährleisten, und wenden Sie diesen Schutz an.
- Stellen Sie sicher, dass alle Teams und Projekte mindestens für den Schutz auf Basisplan konfiguriert sind.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Externe Freigabe
Die Einführung von Copilot ist ein guter Zeitpunkt, um Ihre Richtlinien für die Freigabe von Dateien für Personen außerhalb Ihrer Organisation zu überprüfen und externe Mitwirkender zuzulassen. Gastkonten sind nicht für die Verwendung von Copilot lizenziert.
Für die Freigabe für Personen außerhalb Ihrer Organisation müssen Sie möglicherweise Informationen über alle Vertraulichkeiten freigeben. Informationen finden Sie in folgenden Artikeln:
- Anwenden bewährter Methoden zum Freigeben von Dateien und Ordnern mit nicht authentifizierten Benutzern
- Einschränken der versehentlichen Gefährdung von Dateien bei der Freigabe für Personen außerhalb Ihrer Organisation
- Erstellen einer sicheren Gastfreigabeumgebung
Informationen zur Zusammenarbeit mit Personen außerhalb Ihrer Organisation finden Sie in den folgenden Ressourcen:
- Zusammenarbeiten an Dokumenten zum Freigeben einzelner Dateien oder Ordner
- Zusammenarbeiten an einer Website für Gäste auf einer SharePoint-Website
- Zusammenarbeit als Team für Gäste in einem Team
- Zusammenarbeit mit externen Teilnehmern in einem Kanal für Personen außerhalb der Organisation in einem freigegebenen Kanal
Schritt 7. Bereitstellen oder Überprüfen von Mindestbenutzerberechtigungen für Daten
Um zu verhindern, dass die Daten Ihrer Organisation überbelichtet oder überlastet werden, besteht der nächste Schritt darin, sicherzustellen, dass alle Benutzer just Enough Access (JEA) haben, um ihre Aufgaben auszuführen und nicht mehr. Benutzer sollten keine Daten entdecken, die sie nicht in der Lage sein sollen, Daten anzuzeigen oder freizugeben, die sie nicht freigeben sollten.
Um die Überteilung zu verhindern, implementieren Sie Berechtigungsanforderungen und Organisationsrichtlinien, die alle Benutzer befolgen und schulen müssen, um sie zu verwenden. Platzieren Sie beispielsweise Steuerelemente, z. B. das Anfordern von Websitezugriffsüberprüfungen durch Websitebesitzer oder das Einschränken des Zugriffs auf definierte Sicherheitsgruppen von einem zentralen Ort aus.
So erkennen Sie vorhandene Überteilungen:
Auf Dateiebene
Verwenden Sie Microsoft Purview Information Protection und die zugehörigen Datenklassifizierungssteuerelemente, integrierte Inhaltsbezeichnungen und entsprechende Richtlinien zur Verhinderung von Datenverlust.
Diese Features können Ihnen helfen, Dateien in Microsoft Teams, SharePoint-Websites, OneDrive-Speicherorten innerhalb von E-Mails, in Chat-Konversationen, in Ihrer lokalen Infrastruktur und auf Endpunktgeräten zu identifizieren, die vertrauliche Informationen oder klassifizierte Inhalte enthalten, und dann automatisch Steuerelemente anwenden, um ihren Zugriff einzuschränken.
Auf Website-Team- und Containerebene in Microsoft Teams und SharePoint
Sie können den Zugriff auf freigegebene Inhalte auf Website- und Teamebene überwachen und Einschränkungen erzwingen, die die Informationsermittlung auf nur diejenigen beschränken, die Zugriff haben sollen.
Um diesen Prozess noch mehr zu automatisieren, hilft Ihnen Microsoft Syntex – SharePoint Advanced Management, potenzielle Überteilungen mit Ihren SharePoint- und Microsoft Teams-Dateien zu finden.
Paralleles Anwenden von Schutzmaßnahmen und Bereitstellen von Copilot
Um die Zuweisung von Copilot-Lizenzen in Ihrem Mandanten mit den entsprechenden Schutzmaßnahmen zu beschleunigen, führen Sie beide parallel aus. Das folgende Diagramm zeigt, wie Sie die Phasen des Rollouts von Schutzmaßnahmen durchlaufen können, bevor Sie Copilot-Lizenzen einzelnen Benutzerkonten und ihren Geräten zuweisen, sobald sie geschützt sind.
Wie das Diagramm auch zeigt, können Sie den Informationsschutz in Ihrer Gesamten Organisation bereitstellen, während Sie Identitäts- und Gerätezugriffsschutz bereitstellen.
Training
Erste Schritte mit Copilot
| Training | Erste Schritte mit Copilot |
|---|---|
|
Dieser Lernpfad führt Sie durch die Grundlagen von Copilot, zeigt seine Vielseitigkeit in verschiedenen Microsoft 365-Anwendungen und bietet Ratschläge zur Maximierung seines Potenzials. |
| Training | Vorbereiten Ihrer Organisation auf Copilot |
|---|---|
|
|
Dieser Lernpfad untersucht das Copilot-Design, seine Sicherheits- und Compliance-Features und bietet Anweisungen zur Implementierung von Copilot. |
Nächste Schritte
Schauen Sie sich das Video So bereiten Sie sich auf Copilot vor an.
Weitere Informationen finden Sie in den folgenden Artikeln zu Zero Trust und den Microsoft Copilots:
Siehe auch:
- Microsoft Purview-Datenschutz und Compliance-Schutz für Microsoft Copilot
- Daten, Datenschutz und Sicherheit für Copilot für Microsoft 365
- Copilot für Microsoft 365 – Dokumentation
Zusammenfassungsposter
Eine visuelle Zusammenfassung der Informationen in diesem Artikel finden Sie im Poster Copilot-Architektur und -Bereitstellung.
Verwenden Sie die Visio-Datei, um diese Abbildungen an Ihren eigenen Gebrauch anzupassen.
Weitere technische Illustrationen zu Zero Trust finden Sie hier.
References
Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.
- Copilot für Microsoft 365 – Übersicht
- Allgemeine Sicherheitsrichtlinien für Microsoft 365-Organisationen
- Intune-App-Schutzrichtlinien (APP)
- Verwalten Sie Geräte mit Intune
- EOP-Übersicht
- Einführung in Windows-Sicherheit
- Durchführen der Evaluierung und eines Pilotprojekts für Microsoft Defender XDR
- Erste Schritte mit Vertraulichkeitsbezeichnungen
- Erstellen von DLP-Richtlinien
- Teams mit drei Schutzebenen konfigurieren
- Microsoft Syntex – Erweiterte Verwaltung von SharePoint
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für