Freigeben über


Anwenden von Zero Trust-Prinzipien auf Microsoft 365 Copilot

Zusammenfassung: Um Zero-Trust-Prinzipien auf Microsoft 365 Copilot anzuwenden, müssen Sie sieben Schutzebenen in Ihrem Microsoft 365-Mandanten anwenden:

  1. Datenschutz
  2. Identität und Zugriff
  3. App-Schutz
  4. Geräteverwaltung und -schutz
  5. Bedrohungsschutz
  6. Sichere Zusammenarbeit mit Teams
  7. Benutzerberechtigungen für Daten

Einführung

Bevor Sie Microsoft 365 Copilot (Copilot) in Ihre Umgebung einführen, empfiehlt Microsoft, eine starke Grundlage für Sicherheit zu schaffen. Glücklicherweise gibt es Anleitungen für eine starke Sicherheitsbasis in Form von Zero Trust. Die Zero Trust-Sicherheitsstrategie behandelt jede Verbindung und Ressourcenanforderung so, als ob sie von einem nicht kontrollierten Netzwerk und einem böswilligen Akteur stammte. Unabhängig davon, woher die Anfrage kommt oder auf welche Ressource sie zugreift, lehrt uns Zero Trust: „Niemals vertrauen, immer überprüfen“.

Dieser Artikel enthält Schritte zum Anwenden der Prinzipien der Zero Trust-Sicherheit , um Ihre Umgebung auf folgende Weise auf Copilot vorzubereiten:

Zero Trust-Prinzip Definition Erfüllt von
Explizit verifizieren Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. Erzwingen Sie die Überprüfung von Benutzeranmeldeinformationen, Geräteanforderungen und App-Berechtigungen und -Verhalten.
Geringstmögliche Zugriffsberechtigungen verwenden Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. Überprüfen Sie JEA in Ihrer gesamten Organisation, um die Überteilung zu vermeiden, indem Sie sicherstellen, dass den Dateien, Ordnern, Teams und E-Mails die richtigen Berechtigungen zugewiesen werden. Verwenden Sie Vertraulichkeitsbezeichnungen und Richtlinien zur Verhinderung von Datenverlust.
Von einer Sicherheitsverletzung ausgehen Minimieren Sie Auswirkungsgrad und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um für Transparenz zu sorgen, die Bedrohungserkennung voranzutreiben und die Abwehr zu verbessern. Verwenden Sie Exchange Online Protection (EOP) und Microsoft Defender XDR-Dienste, um häufige Angriffe automatisch zu verhindern und Sicherheitsvorfälle zu erkennen und darauf zu reagieren.

Die Grundlagen von Copilot finden Sie in der Übersicht und in den ersten Schritten.

Logische Architektur

Sie wenden Zero Trust-Prinzipien für Copilot über die gesamte Architektur hinweg an, von Benutzern und Geräten bis zu den Anwendungsdaten, auf die sie Zugriff haben. Das folgende Diagramm zeigt die logischen Architekturkomponenten.

Diagramm der logischen Architektur für Copilot

In der Abbildung:

  • Benutzergeräte haben Microsoft 365-Apps installiert, von denen Benutzer Copilot-Eingabeaufforderungen initiieren können
  • Zu den Copilot-Komponenten gehören:
    • Der Copilot-Dienst, der die Antworten auf Benutzeraufforderungen koordiniert
    • Das LLM (Large Language Model), auf das Copilot verweist, um die beste Antwort für eine Person zu erzielen
    • Eine Instanz von Microsoft Graph für die Daten Ihres Microsoft 365-Mandanten
  • Ihr Microsoft 365-Mandant, der Ihre Organisationsdaten enthält
  • Copilot-Ergebnisse für eine Person enthalten nur Daten, auf die die Person zugreifen darf

Was in diesem Artikel enthalten ist

Dieser Artikel führt Sie durch die Schritte zum Anwenden der Prinzipien von Zero Trust, um Ihre Microsoft 365-Umgebung für Copilot vorzubereiten.

Schritt Task Es gelten die Zero Trust-Prinzipien
1 Bereitstellen oder Überprüfen Ihres Datenschutzes Explizit verifizieren
Geringstmögliche Zugriffsberechtigungen verwenden
2 Bereitstellen oder Überprüfen Ihrer Identitäts- und Zugriffsrichtlinien Explizit verifizieren
Geringstmögliche Zugriffsberechtigungen verwenden
3 Bereitstellen oder Überprüfen Ihrer Appschutz-Richtlinien Verwenden des Zugriffs mit den geringsten Rechten
Von einer Sicherheitsverletzung ausgehen
4 Bereitstellen oder Überprüfen der Geräteverwaltung und des Schutzes Explizit verifizieren
5 Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste Von einer Sicherheitsverletzung ausgehen
6 Bereitstellen oder Überprüfen der sicheren Zusammenarbeit mit Teams Explizit verifizieren
Geringstmögliche Zugriffsberechtigungen verwenden
7 Bereitstellen oder Überprüfen von Benutzerberechtigungen für Daten Geringstmögliche Zugriffsberechtigungen verwenden

Erste Schritte mit E3 und nächste Schritte mit E5

Um Ihnen den Fortschritt zu erleichtern, werden die einzelnen Schritte in diesem Artikel wie folgt organisiert:

  • Erste Schritte mit E3-Funktionen
  • Nächste Schritte mit E5-Funktionen

Arbeiten mit dem Microsoft FastTrack-Team

Wenn Sie mit dem Microsoft FastTrack-Team zusammenarbeiten, um Copilot in Ihre Umgebung einzuführen, werden Sie mit drei Phasen vertraut: Baseline, Core und Best-in-Class. Dieser Ansatz funktioniert gut mit dieser Anleitung.

Diagramm, das die drei Phasen für die Bereitstellung von Microsoft 365 Copilot zeigt, die vom Microsoft FastTrack-Team empfohlen werden.

Im Diagramm verfolgt das Microsoft FastTrack-Team einen dreistufigen Ansatz zur Bereitstellung von Copilot:

  • Baseline – Einrichten von Copilot
  • Core – Erste Schritte mit den Schutzmaßnahmen in E3
  • Best-in-Class – Nächste Schritte mit E5

Weitere Informationen finden Sie unter Erste Schritte mit Microsoft 365 Copilot.

Anpassen dieses Leitfadens für Ihre Organisation

Da sich unterschiedliche Organisationen in verschiedenen Phasen der Bereitstellung von Zero Trust-Schutzfunktionen befinden können, führen Sie in jedem dieser Schritte folgende Schritte aus:

  • Wenn Sie KEINEN der im Schritt beschriebenen Schutzmaßnahmen verwenden, nehmen Sie sich die Zeit, um sie zu testen und bereitzustellen, bevor Sie Copilot-Lizenzen zuweisen.
  • Wenn Sie einige der im Schritt beschriebenen Schutzmaßnahmen verwenden, nutzen Sie die Informationen im Schritt als Prüfliste, und stellen Sie sicher, dass jeder angegebene Schutz vor dem Zuweisen von Copilot-Lizenzen einem Pilotversuch unterzogen und bereitgestellt wurde.

Die neuesten Copilot-Unterstützung für sicherheitsbezogene und andere Features von Microsoft 365 finden Sie unter Copilot-Anforderungen.

Hinweis

Ab dem 1. Januar 2024 ist Copilot allgemein für Microsoft 365 A3- und A5-Lehrpersonal verfügbar. Weitere Informationen finden Sie in diesem Beitrag der technischen Community.

Schritt 1. Bereitstellen oder Überprüfen Ihres Datenschutzes

Um zu verhindern, dass die Daten Ihrer Organisation überlastet oder freigegeben werden, besteht der nächste Schritt darin, die Daten in Ihrem Microsoft 365-Mandanten zu schützen. Sie müssen sicherstellen, dass:

  • Ihre Daten werden mit Vertraulichkeitsstufen kategorisiert.
  • Vertraulichkeitsbezeichnungen stellen Ihre Vertraulichkeitsstufen dar, die von Benutzern oder automatisch angewendet werden.
  • Sie können anzeigen, wie Vertraulichkeitsbezeichnungen in Ihrem Microsoft 365-Mandanten verwendet werden.

Diese Datenschutzfunktionen können auch verwendet werden, um sicherzustellen, dass Ihre Organisation Datenvorschriften erfüllt, z. B. solche, die sich mit dem Schutz persönlicher Informationen befassen.

Die folgenden Funktionen von Microsoft Purview stärken Ihre Datensicherheit und Compliance für Copilot:

  • Vertraulichkeitsbezeichnungen und von Microsoft Purview Information Protection verschlüsselte Inhalte
  • Datenklassifizierung
  • Kundenschlüssel
  • Kommunikationscompliance
  • Überwachung
  • Inhaltssuche
  • eDiscovery
  • Aufbewahrung und Löschung
  • Kunden-Lockbox

Weitere Informationen finden Sie unter Microsoft Purview-Datenschutz und Compliance-Schutz für Microsoft Copilot und Überlegungen zur Bereitstellung von Microsoft Purview-Datensicherheit und Compliance-Schutz für Copilot.

Erste Schritte mit E3

Vertraulichkeitsbezeichnungen bilden den Grundstein für den Schutz Ihrer Daten. Bevor Sie die Bezeichnungen erstellen, um die Vertraulichkeit von Elementen und die angewendeten Schutzaktionen zu kennzeichnen, müssen Sie die vorhandene Klassifizierungstaxonomie Ihrer Organisation verstehen und wie sie Bezeichnungen zugeordnet ist, die Benutzer in Apps sehen und anwenden. Nachdem Sie die Vertraulichkeitsbezeichnungen erstellt haben, veröffentlichen Sie sie, und geben Sie Benutzern Anleitungen darüber, wie und wann sie in Word, Excel, PowerPoint und Outlook angewendet werden.

Weitere Informationen finden Sie unter:

Erwägen Sie das Erweitern manueller Bezeichnungen mithilfe der Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen einer Standardbezeichnung und obligatorischer Bezeichnungen. Eine Standardbezeichnung hilft dabei, grundlegende Schutzeinstellungen festzulegen, die auf alle Ihre Inhalte angewendet werden sollen. Durch die obligatorische Bezeichnung wird sichergestellt, dass Benutzer Dokumente und E-Mails beschriften. Ohne umfassende Benutzerschulung und andere Kontrollen können diese Einstellungen jedoch zu ungenauen Bezeichnungen führen.

Sehen Sie sich diese zusätzlichen Ressourcen zum Schutz der Daten Ihrer Organisation an:

Nächste Schritte mit E5

Mit Microsoft 365 E5 können Sie Vertraulichkeitsbezeichnungen erweitern, um mehr Inhalte und mehr Bezeichnungsmethoden zu schützen. Beispielsweise das Bezeichnen von SharePoint-Websites und Teams mithilfe von Containerbezeichnungen und automatischem Bezeichnen von Elementen in Microsoft 365 und darüber hinaus. Weitere Informationen finden Sie in einer Liste allgemeiner Bezeichnungsszenarien und deren Ausrichtung auf Geschäftsziele.

Berücksichtigen Sie diese zusätzlichen Microsoft 365 E5-Funktionen:

  • Erweitern Sie Ihre Richtlinien zur Verhinderung von Datenverlust auf mehr Speicherorte, und verwenden Sie einen größeren Bereich von Klassifizierern, um vertrauliche Informationen zu finden.
  • Aufbewahrungsbezeichnungen können automatisch angewendet werden, wenn vertrauliche Informationen gefunden werden, die unterschiedliche Einstellungen von Ihren Aufbewahrungsrichtlinien oder eine höhere Verwaltungsebene benötigen.
  • Verwenden Sie den Aktivitäts-Explorer und die vollständigen Funktionen des Inhaltsexplorers, um Ihre vertraulichen Daten und wie diese bezeichnet werden besser zu verstehen.

Schritt 2. Bereitstellen oder Überprüfen Ihrer Identitäts- und Zugriffsrichtlinien

Um zu verhindern, dass böswillige Akteure Copilot verwenden, um vertrauliche Daten schneller zu finden und darauf zuzugreifen, besteht der erste Schritt darin, sie daran zu hindern, Zugriff zu erhalten. Sie müssen sicherstellen, dass:

  • Benutzer müssen eine strenge Authentifizierung verwenden, die nicht durch das Erraten von Benutzerkennwörter allein kompromittiert werden kann.
  • Authentifizierungsversuche werden für ihr Risiko ausgewertet und haben mehr Anforderungen auferlegt.
  • Sie können Überprüfungen des Zugriffs durchführen, der Benutzerkonten gewährt wird, um die Überteilung zu verhindern.

Erste Schritte mit E3

Microsoft 365 E3 umfasst Lizenzen von Microsoft Entra ID P1. Mit diesem Plan empfiehlt Microsoft die Verwendung allgemeiner Richtlinien für den bedingten Zugriff, die folgende sind:

Stellen Sie sicher, dass Sie Microsoft 365-Dienste und Ihre anderen SaaS-Apps im Rahmen dieser Richtlinien einschließen.

Wenn Ihre Umgebung Hybrididentitäten mit lokales Active Directory Domain Services enthält, stellen Sie sicher, dass Sie Microsoft Entra-Kennwortschutz bereitstellen. Diese Funktionalität erkennt und blockiert bekannte unsichere Kennwörter und deren Varianten und kann außerdem unsicherere Ausdrücke innerhalb von Kennwörtern blockieren, die spezifisch für Ihre Organisation sind.

Nächste Schritte mit E5

Microsoft 365 E5 umfasst Lizenzen von Microsoft Entra ID P2. Beginnen Sie mit der Implementierung der empfohlenen Microsoft-Richtlinie für bedingten Zugriff und zugehörige Richtlinien, einschließlich:

  • Erfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist.
  • Erfordern Sie, dass Benutzer mit hohem Risiko ihr Kennwort ändern (zutreffend, wenn Sie keine kennwortlose Authentifizierung verwenden).

Weitere Informationen zum Implementieren des Schutzes für Identität und Zugriff basierend auf Ihrem Lizenzierungsplan finden Sie unter Erhöhen der Anmeldesicherheit für Hybrid Worker mit MFA.

Microsoft 365 E5 und Microsoft Entra ID P2 enthalten beide mehr Schutz für privilegierte Konten. Implementieren Sie die in der folgenden Tabelle zusammengefassten Funktionen.

Funktion Ressourcen
Privileged Identity Management (PIM) Bieten Schutz für priviligierte Konten, die auf Ressourcen zugreifen, einschließlich Ressourcen in Microsoft Entra ID, Azure und anderen Microsoft-Onlinediensten wie Microsoft 365 oder Microsoft Intune. Siehe Planen einer Bereitstellung von Privileged Identity Management.
Microsoft Purview Privileged Access Management Ermöglicht eine präzise Zugriffssteuerung über privilegierte Exchange Online-Administratoraufgaben in Office 365. Die Lösung kann dazu beitragen, Ihre Organisationen vor Sicherheitsverletzungen zu schützen, die durch vorhandene privilegierte Administratorkonten mit ständigem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verursacht werden. Siehe Übersicht über Privileged Access Management.

Ziehen Sie schließlich die Implementierung von Zugriffsüberprüfungen im Rahmen Ihrer gesamten JEA-Strategie in Betracht. Mithilfe von Zugriffsüberprüfungen kann Ihre Organisation Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin angemessenen Zugriff haben.

Schritt 3. Bereitstellen oder Überprüfen Ihrer Appschutz-Richtlinien

Verwenden Sie sowohl für Microsoft 365 E3 als auch für E5 Intune Appschutz-Richtlinien (APP), welche Regeln sind, die sicherstellen, dass die Standard Daten einer Organisation sicher sind oder in einer verwalteten App enthalten sind.

Mit ASR erstellt Intune eine Wand zwischen Ihren Organisationsdaten und personenbezogenen Daten. ASR stellt sicher, dass Organisationsdaten in bestimmten Apps nicht kopiert und in andere Apps auf dem Gerät eingefügt werden können, auch wenn das Gerät nicht verwaltet wird.

ASR kann das versehentliche oder absichtliche Kopieren von Copilot-generierten Inhalten auf Apps auf einem Gerät verhindern, die nicht in der Liste der zulässigen Apps enthalten sind. ASR kann den Strahlradius eines Angreifers mit einem kompromittierten Gerät einschränken.

Weitere Informationen finden Sie unter „Appschutz-Richtlinien erstellen“.

Schritt 4. Bereitstellen oder Überprüfen der Geräteverwaltung und des Schutzes

Um zu verhindern, dass böswillige Akteure Geräte kompromittieren oder kompromittierte Geräte verwenden, um Zugriff auf Copilot zu erhalten, besteht der nächste Schritt darin, Microsoft 365-Features der Geräteverwaltung und des Schutzes zu verwenden. Sie müssen sicherstellen, dass:

  • Geräte werden in Microsoft Intune registriert und müssen die Integritäts- und Compliance-Anforderungen erfüllen.
  • Sie können Einstellungen und Features auf Geräten verwalten.
  • Sie können Ihre Geräte auf ihr Risikoniveau überwachen.
  • Sie können proaktiv Datenverluste verhindern.

Erste Schritte mit E3

Microsoft 365 E3 umfasst Microsoft Intune zum Verwalten von Geräten.

Beginnen Sie als Nächstes mit der Registrierung von Geräten bei der Verwaltung. Richten Sie nach der Registrierung Compliancerichtlinien ein und erfordern dann fehlerfreie und kompatible Geräte. Schließlich können Sie Geräteprofile, auch als Konfigurationsprofile bezeichnet, bereitstellen, um Einstellungen und Features auf Geräten zu verwalten.

Verwenden Sie zum Bereitstellen dieser Schutzmaßnahmen die folgenden Artikel.

Nächste Schritte mit E5

Microsoft 365 E5 enthält auch Microsoft Defender for Endpoint. Nach der Bereitstellung von Microsoft Defender for Endpunkt können Sie mehr Einblicke und den Schutz Ihrer Geräte erhalten, indem Sie Microsoft Intune in Defender für Endpunkt integrieren. Für mobile Geräte umfasst dies die Möglichkeit, das Geräterisiko als Bedingung für den Zugriff zu überwachen. Für Windows-Geräte können Sie die Compliance dieser Geräte auf Sicherheitsgrundwerte überwachen.

Microsoft 365 E5 umfasst auch die Verhinderung von Datenverlust am Endpunkt (Endpoint Data Loss Prevention, DLP). Wenn Ihre Organisation Ihre Daten bereits versteht, ein Datenempfindlichkeitsschema entwickelt und das Schema angewendet hat, können Sie elemente dieses Schemas mithilfe von Microsoft Purview DLP-Richtlinien auf Endpunkte erweitern.

Verwenden Sie die folgenden Artikel, um diese Geräteschutz- und Verwaltungsfunktionen bereitzustellen:

Schritt 5. Bereitstellen oder Überprüfen Ihrer Bedrohungsschutzdienste

Um die Aktivitäten böswilliger Akteure zu erkennen und ihnen den Zugriff auf Copilot zu ermöglichen, besteht der nächste Schritt darin, Bedrohungsschutzdienste von Microsoft 365 zu verwenden. Sie müssen sicherstellen, dass:

  • Sie können häufig verwendete E-Mail- und gerätebasierte Angriffe automatisch verhindern.
  • Sie können Features verwenden, um den Angriffsflächenbereich von Windows-Geräten zu reduzieren.
  • Sie können Sicherheitsvorfälle mit einer umfassenden Suite von Bedrohungsschutzdiensten erkennen und darauf reagieren.

Erste Schritte mit E3

Microsoft 365 E3 umfasst mehrere wichtige Funktionen in Defender for Office 365 und Defender for Endpunkt. Darüber hinaus umfassen Windows 11 und Windows 10 viele Bedrohungsschutzfunktionen.

Microsoft Defender für Office 365 P1

Microsoft Defender for Office 365 P1 enthält Exchange Online Protection (EOP), die in Microsoft 365 E3 enthalten sind. EOP schützt Ihre E-Mail- und Zusammenarbeitstools vor Phishing, Identitätsdiebstahl und anderen Bedrohungen. Verwenden Sie diese Ressourcen, um Anti-Malware-, Anti-Spam- und Anti-Phishingschutz zu konfigurieren:

Defender for Endpunkt P1

Microsoft 365 E3 umfasst Microsoft Defender for Endpunkt P1, der die folgenden Funktionen umfasst:

  • Schutz der nächsten Generation – Schützt Ihre Geräte vor neuen Bedrohungen in Echtzeit. Diese Funktion umfasst Microsoft Defender Antivirus, die Ihr Gerät kontinuierlich mithilfe von Datei- und Prozessverhaltensüberwachung überprüft.
  • Verringerung der Angriffsfläche – Verhindert, dass Angriffe an erster Stelle stattfinden, indem Einstellungen konfiguriert werden, die potenziell verdächtige Aktivitäten automatisch blockieren.

Verwenden Sie diese Ressourcen, um Defender for Endpunkt Plan 1 zu konfigurieren:

Windows-Schutzfunktionen

Standardmäßig enthält Windows starke Sicherheit und Schutz für Hardware, Betriebssystem, Apps und vieles mehr. Weitere Informationen finden Sie in der Einführung in die Windows-Sicherheit. In der folgenden Tabelle sind die wichtigen Windows-Client-Bedrohungsschutzfunktionen aufgeführt, die in Microsoft 365 E3 enthalten sind.

Funktion Ressourcen
Windows Hello Windows Hello for Business – Überblick
Microsoft Defender Firewall Dokumentation zur Windows Defender Firewall
Microsoft Defender SmartScreen Übersicht über Microsoft Defender SmartScreen
Anwendungssteuerung für Windows Anwendungssteuerung für Windows
BitLocker Übersicht über die BitLocker-Geräteverschlüsselung
Microsoft Defender Application Guard für Edge Übersicht über Microsoft Defender Application Guard

Diese Funktionen können direkt auf dem Client mithilfe von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) oder mithilfe eines Geräteverwaltungstools, einschließlich Intune, konfiguriert werden. Sie können Einstellungen auf Geräten in Intune jedoch nur verwalten, indem Sie Konfigurationsprofile bereitstellen, die ein Feature von Microsoft 365 E5 sind.

Nächste Schritte mit E5

Für umfassenderen Bedrohungsschutz, sollten Sie einen Pilotversuch mit Microsoft Defender XDR durchführen und es bereitstellen, inklusive:

  • Defender für Identität
  • Defender for Office 365 P2
  • Defender for Endpunkt P2
  • Defender for Cloud Apps

Microsoft empfiehlt, die Komponenten von Microsoft 365 in der dargestellten Reihenfolge zu aktivieren:

Diagramm des Prozesses zum Auswerten und Bereitstellen von Microsoft Defender XDR-Komponenten

Weitere Informationen und eine Beschreibung dieser Abbildung finden Sie unter Durchführen der Evaluierung und eines Pilotprojekts für Microsoft Defender XDR.

Integrieren Sie nach der Bereitstellung von Microsoft Defender DR diese XDR-Tools (eXtended Detection and Response) in Microsoft Sentinel. Microsoft Sentinel wird separat von Microsoft 365 E5 lizenziert und in Rechnung gestellt. Weitere Informationen finden Sie in diesen Ressourcen:

Schritt 6. Bereitstellen oder Überprüfen der sicheren Zusammenarbeit für Microsoft Teams

Microsoft bietet Anleitungen zum Schutz Ihrer Teams auf drei verschiedenen Ebenen – Basisplan, vertraulich und streng vertraulich. Die Einführung von Copilot ist ein guter Zeitpunkt, um Ihre Umgebung zu überprüfen und sicherzustellen, dass der entsprechende Schutz konfiguriert ist. Führen Sie die folgenden Schritte aus:

  1. Identifizieren Sie Teams oder Projekte, die einen hochgradig vertraulichen Schutz gewährleisten. Konfigurieren Sie Schutzmaßnahmen für diese Stufe. Viele Organisationen verfügen nicht über Daten, die diese Schutzstufe erfordern.
  2. Identifizieren Sie Teams oder Projekte, die vertraulichen Schutz gewährleisten, und wenden Sie diesen Schutz an.
  3. Stellen Sie sicher, dass alle Teams und Projekte mindestens für den Schutz auf Basisplan konfiguriert sind.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Externe Freigabe

Die Einführung von Copilot ist ein guter Zeitpunkt, um Ihre Richtlinien für die Freigabe von Dateien für Personen außerhalb Ihrer Organisation zu überprüfen und externe Mitwirkender zuzulassen. Gastkonten sind nicht für die Verwendung von Copilot lizenziert.

Für die Freigabe für Personen außerhalb Ihrer Organisation müssen Sie möglicherweise Informationen über alle Vertraulichkeiten freigeben. Informationen finden Sie in folgenden Artikeln:

Informationen zur Zusammenarbeit mit Personen außerhalb Ihrer Organisation finden Sie in den folgenden Ressourcen:

Schritt 7. Bereitstellen oder Überprüfen von Mindestbenutzerberechtigungen für Daten

Um zu verhindern, dass die Daten Ihrer Organisation überbelichtet oder überlastet werden, besteht der nächste Schritt darin, sicherzustellen, dass alle Benutzer just Enough Access (JEA) haben, um ihre Aufgaben auszuführen und nicht mehr. Benutzer sollten keine Daten entdecken, die sie nicht in der Lage sein sollen, Daten anzuzeigen oder freizugeben, die sie nicht freigeben sollten.

Um die Überteilung zu verhindern, implementieren Sie Berechtigungsanforderungen und Organisationsrichtlinien, die alle Benutzer befolgen und schulen müssen, um sie zu verwenden. Platzieren Sie beispielsweise Steuerelemente, z. B. das Anfordern von Websitezugriffsüberprüfungen durch Websitebesitzer oder das Einschränken des Zugriffs auf definierte Sicherheitsgruppen von einem zentralen Ort aus.

So erkennen Sie vorhandene Überteilungen:

  • Auf Dateiebene

    Verwenden Sie Microsoft Purview Information Protection und die zugehörigen Datenklassifizierungssteuerelemente, integrierte Inhaltsbezeichnungen und entsprechende Richtlinien zur Verhinderung von Datenverlust.

    Diese Features können Ihnen helfen, Dateien in Microsoft Teams, SharePoint-Websites, OneDrive-Speicherorten innerhalb von E-Mails, in Chat-Konversationen, in Ihrer lokalen Infrastruktur und auf Endpunktgeräten zu identifizieren, die vertrauliche Informationen oder klassifizierte Inhalte enthalten, und dann automatisch Steuerelemente anwenden, um ihren Zugriff einzuschränken.

  • Auf Website-Team- und Containerebene in Microsoft Teams und SharePoint

    Sie können den Zugriff auf freigegebene Inhalte auf Website- und Teamebene überwachen und Einschränkungen erzwingen, die die Informationsermittlung auf nur diejenigen beschränken, die Zugriff haben sollen.

    Um diesen Prozess noch mehr zu automatisieren, hilft Ihnen Microsoft Syntex – SharePoint Advanced Management, potenzielle Überteilungen mit Ihren SharePoint- und Microsoft Teams-Dateien zu finden.

Paralleles Anwenden von Schutzmaßnahmen und Bereitstellen von Copilot

Um die Zuweisung von Copilot-Lizenzen in Ihrem Mandanten mit den entsprechenden Schutzmaßnahmen zu beschleunigen, führen Sie beide parallel aus. Das folgende Diagramm zeigt, wie Sie die Phasen des Rollouts von Schutzmaßnahmen durchlaufen können, bevor Sie Copilot-Lizenzen einzelnen Benutzerkonten und ihren Geräten zuweisen, sobald sie geschützt sind.

Diagramm zum parallelen Anwenden von Schutz und der Bereitstellung von Copilot

Wie das Diagramm auch zeigt, können Sie den Informationsschutz in Ihrer Gesamten Organisation bereitstellen, während Sie Identitäts- und Gerätezugriffsschutz bereitstellen.

Training

Erste Schritte mit Copilot

Training Erste Schritte mit Copilot
Dieser Lernpfad führt Sie durch die Grundlagen von Copilot, zeigt seine Vielseitigkeit in verschiedenen Microsoft 365-Anwendungen und bietet Ratschläge zur Maximierung seines Potenzials.
Training Vorbereiten Ihrer Organisation auf Copilot
Dieser Lernpfad untersucht das Copilot-Design, seine Sicherheits- und Compliance-Features und bietet Anweisungen zur Implementierung von Copilot.

Nächste Schritte

Schauen Sie sich das Video So bereiten Sie sich auf Copilot vor an.

Weitere Informationen finden Sie in den folgenden Artikeln zu Zero Trust und den Microsoft Copilots:

Siehe auch:

Zusammenfassungsposter

Eine visuelle Zusammenfassung der Informationen in diesem Artikel finden Sie im Poster Copilot-Architektur und -Bereitstellung.

Miniaturbild des Posters mit der Copilot-Architektur

PDF | Visio

Verwenden Sie die Visio-Datei, um diese Abbildungen an Ihren eigenen Gebrauch anzupassen.

Weitere technische Illustrationen von Zero Trust finden Sie unter Zero Trust-Illustrationen für IT-Architektinnen, IT-Architekten und Implementierende.

References

Unter diesen Links erfahren Sie mehr über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien.