Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält einen Bereitstellungsplan zum Erstellen Zero Trust Sicherheit mit Microsoft 365. Zero Trust ist ein Sicherheitsmodell, das von einer Sicherheitsverletzung ausgeht und jede Anforderung so überprüft, als ob sie aus einem unkontrollierten Netzwerk stammt. Unabhängig vom Ursprung der Anforderung oder der Ressource, auf die zugegriffen wird, lehrt uns das Zero Trust-Modell: nie vertrauen, immer prüfen.
Verwenden Sie diesen Artikel zusammen mit diesem Poster.
Zero Trust Prinzipien und Architektur
Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien.
| Prinzip | BESCHREIBUNG |
|---|---|
| Explizit verifizieren | Ziehen Sie zur Authentifizierung und Autorisierung immer alle verfügbaren Datenpunkte heran. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Gehe von einem Verstoß aus | Minimieren Sie den Explosionsradius und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern. |
Die Anleitung in diesem Artikel hilft Ihnen, diese Prinzipien anzuwenden, indem Sie Funktionen mit Microsoft 365 implementieren.
Ein Zero Trust-Ansatz erstreckt sich über die gesamte digitale Landschaft und dient als integrierte Sicherheitsphilosophie und End-to-End-Strategie.
Diese Abbildung enthält eine Darstellung der primären Elemente, die zur Zero Trust beitragen.
In der Abbildung:
- Die Durchsetzung von Sicherheitsrichtlinien befindet sich im Zentrum einer Zero Trust-Architektur. Dies umfasst die mehrstufige Authentifizierung mit bedingtem Zugriff, bei der das Benutzerkontorisiko, die gerätebezogene status und andere von Ihnen festgelegte Kriterien und Richtlinien berücksichtigt werden.
- Identitäten, Geräte, Daten, Apps, Netzwerke und andere Infrastrukturkomponenten werden alle mit entsprechender Sicherheit konfiguriert. Richtlinien, die für jede dieser Komponenten konfiguriert sind, werden mit Ihrer gesamten Zero Trust-Strategie koordiniert. Beispielsweise bestimmen Geräterichtlinien die Kriterien für fehlerfreie Geräte, und Richtlinien für bedingten Zugriff erfordern fehlerfreie Geräte für den Zugriff auf bestimmte Apps und Daten.
- Der Bedrohungsschutz und die Intelligenz überwacht die Umgebung, zeigt aktuelle Risiken an und führt automatisierte Maßnahmen zur Behebung von Angriffen durch.
Weitere Informationen zu Zero Trust finden Sie im microsoft Zero Trust Guidance Center.
Bereitstellen von Zero Trust für Microsoft 365
Microsoft 365 wurde absichtlich mit vielen Sicherheits- und Informationsschutzfunktionen erstellt, die Ihnen helfen, Zero Trust in Ihre Umgebung zu integrieren. Viele der Funktionen können erweitert werden, um den Zugriff auf andere SaaS-Apps zu schützen, die Ihre Organisation verwendet, und die Daten in diesen Apps.
Diese Abbildung stellt die Arbeit der Bereitstellung Zero Trust Funktionen dar. Diese Arbeit ist auf Zero Trust Geschäftsszenarien im Zero Trust Einführungsframework ausgerichtet.
In dieser Abbildung ist die Bereitstellungsarbeit in fünf Schwimmspuren unterteilt:
- Sichere Remote- und Hybridarbeit – Diese Arbeit bildet eine Grundlage für Identitäts- und Geräteschutz.
- Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung – Bedrohungsschutz bietet Echtzeitüberwachung und Behebung von Sicherheitsbedrohungen. Defender for Cloud Apps ermöglicht die Ermittlung von SaaS-Apps, einschließlich KI-Apps, und ermöglicht es Ihnen, den Datenschutz auf diese Apps auszudehnen.
- Identifizieren und Schützen vertraulicher Geschäftsdaten – Datenschutzfunktionen bieten komplexe Kontrollen, die auf bestimmte Arten von Daten ausgerichtet sind, um Ihre wertvollsten Informationen zu schützen.
- Schützen von KI-Apps und -Daten : Schützen Sie ihre organization schnell bei der Verwendung von KI-Apps und den Daten, mit denen diese interagieren.
- Einhaltung gesetzlicher Bestimmungen und Complianceanforderungen – Verstehen und nachverfolgen Sie Ihre Fortschritte bei der Einhaltung von Vorschriften, die sich auf Ihre organization auswirken.
In diesem Artikel wird davon ausgegangen, dass Sie die Cloudidentität verwenden. Wenn Sie Anleitungen zu diesem Ziel benötigen, lesen Sie " Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365".
Tipp
Wenn Sie die Schritte und den End-to-End-Bereitstellungsprozess verstehen, können Sie das erweiterte Bereitstellungshandbuch einrichten Ihres Microsoft Zero Trust-Sicherheitsmodells verwenden, wenn Sie bei der Microsoft 365 Admin Center angemeldet sind. Dieser Leitfaden führt Sie durch die Anwendung Zero Trust Prinzipien für standard- und fortschrittliche Technologiesäulen. Navigieren Sie zum Microsoft 365-Setupportal, um den Leitfaden schrittweise durchzugehen, ohne sich anzumelden.
Swim Lane 1 – Sichere Remote- und Hybridarbeit
Das Schützen von Remote- und Hybridarbeit umfasst das Konfigurieren des Identitäts- und Gerätezugriffsschutzes. Diese Schutzmaßnahmen tragen zum Zero Trust Prinzip explizite Überprüfung bei.
Führen Sie die Arbeit zum Sichern von Remote- und Hybridarbeit in drei Phasen durch.
Phase 1: Implementieren von Richtlinien für die Startpunktidentität und den Gerätezugriff
Microsoft empfiehlt einen umfassenden Satz von Identitäts- und Gerätezugriffsrichtlinien für Zero Trust in diesem Leitfaden – Zero Trust Identitäts- und Gerätezugriffskonfigurationen.
Beginnen Sie in Phase 1 mit der Implementierung der Startpunktebene. Diese Richtlinien erfordern keine Registrierung von Geräten für die Verwaltung.
Ausführliche Anleitungen finden Sie unter Zero Trust Identitäts- und Gerätezugriffsschutz. In dieser Artikelreihe werden eine Reihe von Konfigurationen für den Identitäts- und Gerätezugriff sowie eine Reihe von Microsoft Entra bedingten Zugriff, Microsoft Intune und anderen Richtlinien zum Sichern des Zugriffs auf Microsoft 365 enterprise Cloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen beschrieben, die mit Microsoft Entra Anwendung veröffentlicht wurden. Stellvertreter.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Empfohlene Identitäts- und Gerätezugriffsrichtlinien für drei Schutzebenen:
Zusätzliche Empfehlungen für:
|
Microsoft E3 oder E5 Microsoft Entra ID in einem der folgenden Modi:
|
Geräteregistrierung für Richtlinien, die verwaltete Geräte erfordern. Informationen zum Registrieren von Geräten finden Sie unter Verwalten von Geräten mit Intune. |
Phase 2: Registrieren von Geräten für die Verwaltung mit Intune
Registrieren Sie als Nächstes Ihre Geräte bei der Verwaltung, und beginnen Sie mit dem Schutz mit komplexeren Steuerelementen.
Ausführliche Anleitungen zum Registrieren von Geräten für die Verwaltung finden Sie unter Verwalten von Geräten mit Intune.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Registrieren von Geräten mit Intune:
Konfigurieren von Richtlinien:
|
Registrieren von Endpunkten bei Microsoft Entra ID | Konfigurieren von Informationsschutzfunktionen, einschließlich:
Informationen zu diesen Funktionen finden Sie unter Swim Lane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten (weiter unten in diesem Artikel). |
Weitere Informationen finden Sie unter Zero Trust für Microsoft Intune.
Phase 3 – Hinzufügen von Zero Trust Identitäts- und Gerätezugriffsschutz: Unternehmensrichtlinien
Wenn Geräte bei der Verwaltung registriert sind, können Sie jetzt den vollständigen Satz empfohlener Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, sodass kompatible Geräte erforderlich sind.
Kehren Sie zu allgemeinen Identitäts- und Gerätezugriffsrichtlinien zurück, und fügen Sie die Richtlinien auf der Enterprise-Ebene hinzu.
Weitere Informationen zum Schützen von Remote- und Hybridarbeit finden Sie im Zero Trust-Einführungsframework – Sichere Remote- und Hybridarbeit.
Swim Lane 2 – Verhindern oder Reduzieren von Geschäftlichen Schäden durch eine Sicherheitsverletzung
Microsoft Defender XDR ist eine Lösung für erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR), die automatisch Signal-, Bedrohungs- und Warnungsdaten aus Ihrer gesamten Microsoft 365-Umgebung sammelt, korreliert und analysiert, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten. Darüber hinaus unterstützt Microsoft Defender for Cloud Apps Organisationen beim Identifizieren und Verwalten des Zugriffs auf SaaS-Apps, einschließlich GenAI-Apps.
Verhindern oder reduzieren Sie Geschäftliche Schäden durch eine Sicherheitsverletzung, indem Sie pilotieren und Microsoft Defender XDR bereitstellen.
Einen methodischen Leitfaden zum Pilotieren und Bereitstellen Microsoft Defender XDR finden Sie unter Pilotieren und Bereitstellen Microsoft Defender XDR Komponenten.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
| Richten Sie die Evaluierungs- und Pilotumgebung für alle Komponenten ein: Schutz vor Bedrohungen Untersuchen und Reagieren auf Bedrohungen |
Informationen zu den Architekturanforderungen für jede Komponente von Microsoft Defender XDR finden Sie in der Anleitung. | Microsoft Entra ID Protection ist in diesem Lösungsleitfaden nicht enthalten. Es ist in Swim Lane 1 – Sichere Remote- und Hybridarbeit enthalten. |
Weitere Informationen zum Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung finden Sie im Zero Trust Einführungsframework – Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung.
Swim Lane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten
Implementieren Sie Microsoft Purview Information Protection, damit Sie vertrauliche Informationen überall dort ermitteln, klassifizieren und schützen können, wo sie sich befinden oder reisen.
Microsoft Purview Information Protection Funktionen sind in Microsoft Purview enthalten und bieten Ihnen die Tools, mit denen Sie Ihre Daten kennen, Ihre Daten schützen und Datenverluste verhindern können. Sie können diese Arbeit jederzeit beginnen.
Microsoft Purview Information Protection stellt ein Framework, einen Prozess und funktionen bereit, mit dem Sie Ihre spezifischen Geschäftsziele erreichen können.
Weitere Informationen zum Planen und Bereitstellen von Informationsschutz finden Sie unter Bereitstellen einer Microsoft Purview Information Protection-Lösung.
Weitere Informationen zum Identifizieren und Schützen vertraulicher Geschäftsdaten finden Sie im Zero Trust Einführungsframework – Identifizieren und Schützen vertraulicher Geschäftsdaten.
Swim Lane 4 – Schützen von KI-Apps und -Daten
Microsoft 365 enthält Funktionen, mit denen Organisationen KI-Apps und die von ihnen verwendeten Daten schnell schützen können.
Beginnen Sie mit der Verwendung von Purview Datensicherheitstatus-Management (DSSM) für KI. Dieses Tool konzentriert sich darauf, wie KI in Ihrem organization verwendet wird, insbesondere auf Ihre vertraulichen Daten, die mit KI-Tools interagieren. DSSM für KI bietet tiefere Einblicke für Microsoft Copilots und SaaS-Anwendungen von Drittanbietern wie ChatGPT Enterprise und Google Gemini.
Das folgende Diagramm zeigt eine der aggregierten Ansichten zu den Auswirkungen der KI-Nutzung auf Ihre Daten – Sensible Interaktionen pro generativer KI-App.
Verwenden Sie DSSM für KI für Folgendes:
- Verschaffen Sie sich Einblick in die KI-Nutzung, einschließlich vertraulicher Daten.
- Überprüfen Sie Datenbewertungen, um mehr über Lücken bei der Überteilung zu erfahren, die mit SharePoint-Steuerelementen für die Überteilung behoben werden können.
- Finden Sie Lücken in Der Richtlinienabdeckung für Vertraulichkeitsbezeichnungen und DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust).
Defender for Cloud Apps ist ein weiteres leistungsstarkes Tool zum Ermitteln und Steuern von SaaS GenAI-Apps und derEn Nutzung. Defender for Cloud Apps enthält mehr als tausend generative KI-bezogene Apps im Katalog, die Einblicke in die Verwendung von generativen KI-Apps in Ihrem organization bieten und Sie bei der sicheren Verwaltung unterstützen.
Zusätzlich zu diesen Tools bietet Microsoft 365 eine umfassende Reihe von Funktionen zum Schützen und Steuern von KI. Informationen zu den ersten Schritten mit diesen Funktionen finden Sie unter Entdecken, Schützen und Steuern von KI-Apps und -Daten .
In der folgenden Tabelle sind die Microsoft 365-Funktionen mit Links zu weiteren Informationen in der Security for AI-Bibliothek aufgeführt.
Swim Lane 5 – Erfüllen von gesetzlichen Und Compliance-Anforderungen
Unabhängig von der Komplexität der IT-Umgebung Ihrer organization oder der Größe Ihrer organization werden neue gesetzliche Anforderungen, die sich auf Ihr Unternehmen auswirken können, ständig addiert. Ein Zero Trust Ansatz überschreitet häufig einige Arten von Anforderungen, die von Compliance-Vorschriften auferlegt werden, z. B. solche, die den Zugriff auf personenbezogene Daten steuern. Organisationen, die einen Zero Trust-Ansatz implementiert haben, stellen möglicherweise fest, dass sie bereits einige neue Bedingungen erfüllen, oder können problemlos auf ihrer Zero Trust Architektur aufbauen, um konform zu sein.
Microsoft 365 umfasst Funktionen zur Unterstützung der Einhaltung gesetzlicher Bestimmungen, einschließlich:
- Compliance-Manager
- Inhalts-Explorer
- Aufbewahrungsrichtlinien, Vertraulichkeitsbezeichnungen und DLP-Richtlinien
- Kommunikationscompliance
- Datenlebenszyklusverwaltung
- Priva: Datenschutz-Risikomanagement
Verwenden Sie die folgenden Ressourcen, um gesetzliche Anforderungen und Complianceanforderungen zu erfüllen.
| Ressource | Mehr Informationen |
|---|---|
| Zero Trust Einführungsframework – Einhaltung gesetzlicher Bestimmungen und Complianceanforderungen | Beschreibt einen methodischen Ansatz, dem Ihre organization folgen können, einschließlich der Definition von Strategie, Planung, Einführung und Steuerung. |
| Steuern von KI-Apps und -Daten zur Einhaltung gesetzlicher Bestimmungen | Behandelt die Einhaltung gesetzlicher Bestimmungen für die neuen KI-bezogenen Vorschriften, einschließlich spezifischer Funktionen, die hilfreich sind. |
| Verwalten von Datenprivatsphäre und Datenschutz mit Microsoft Priva und Microsoft Purview | Bewerten Sie Risiken, und ergreifen Sie geeignete Maßnahmen, um personenbezogene Daten in der Umgebung Ihrer organization mithilfe von Microsoft Priva und Microsoft Purview zu schützen. |
Nächste Schritte
Weitere Informationen zu Zero Trust finden Sie im Zero Trust Guidance Center.