Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält einen Bereitstellungsplan zum Erstellen von Zero Trust Sicherheit mit Microsoft 365. Zero Trust ist ein Sicherheitsmodell, das eine Verletzung annimmt und jede Anforderung überprüft, als ob sie von einem nicht kontrollierten Netzwerk stammt. Unabhängig davon, wo die Anforderung stammt oder auf welche Ressource zugegriffen wird, lehrt uns das Zero Trust-Modell, "niemals vertrauen, immer überprüfen".
Verwenden Sie diesen Artikel zusammen mit diesem Poster.
Zero Trust Prinzipien und Architektur
Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien.
| Prinzip | BESCHREIBUNG |
|---|---|
| Explizit verifizieren | Ziehen Sie zur Authentifizierung und Autorisierung immer alle verfügbaren Datenpunkte heran. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Gehe von einem Verstoß aus | Minimieren Sie den Explosionsradius und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern. |
Mithilfe der Anleitung in diesem Artikel können Sie diese Prinzipien anwenden, indem Sie Funktionen mit Microsoft 365 implementieren.
Ein Zero Trust Ansatz erstreckt sich über den gesamten digitalen Nachlass und dient als integrierte Sicherheitsphilosophie und End-to-End-Strategie.
Diese Abbildung enthält eine Darstellung der primären Elemente, die zu Zero Trust beitragen.
In der Abbildung:
- Die Durchsetzung von Sicherheitsrichtlinien befindet sich im Mittelpunkt einer Zero Trust Architektur. Dies umfasst die Mehrfaktor-Authentifizierung mit bedingtem Zugriff, bei der das Risiko des Benutzerkontos, der Gerätestatus und andere von Ihnen festgelegte Kriterien und Richtlinien berücksichtigt werden.
- Identitäten, Geräte, Daten, Apps, Netzwerke und andere Infrastrukturkomponenten werden alle mit entsprechender Sicherheit konfiguriert. Richtlinien, die für jede dieser Komponenten konfiguriert sind, werden mit Ihrer Gesamtstrategie für Zero Trust abgestimmt. Beispielsweise bestimmen Geräterichtlinien die Kriterien für fehlerfreie Geräte, und Richtlinien für bedingten Zugriff erfordern fehlerfreie Geräte für den Zugriff auf bestimmte Apps und Daten.
- Der Bedrohungsschutz und die Intelligenz überwacht die Umgebung, zeigt aktuelle Risiken an und führt automatisierte Maßnahmen zur Behebung von Angriffen durch.
Weitere Informationen zu Zero Trust finden Sie im Microsoft Zero Trust Guidance Center.
Bereitstellen von Zero Trust für Microsoft 365
Microsoft 365 wird absichtlich mit vielen Sicherheits- und Informationsschutzfunktionen erstellt, die Ihnen helfen, Zero Trust in Ihre Umgebung zu integrieren. Viele der Funktionen können erweitert werden, um den Zugriff auf andere SaaS-Apps zu schützen, die Ihre Organisation verwendet, und die Daten in diesen Apps.
Diese Abbildung stellt die Arbeit bei der Bereitstellung von Zero-Trust-Funktionen dar. Diese Arbeit richtet sich an Zero Trust Geschäftsszenarien im Zero Trust Adoption Framework.
Diagramm, das den Microsoft 365 Zero Trust Bereitstellungsplan über fünf Bahnen zeigt.
In dieser Abbildung ist die Bereitstellungsarbeit in fünf Schwimmspuren unterteilt:
- Sichere Remote- und Hybridarbeit – Diese Arbeit bildet eine Grundlage für Identitäts- und Geräteschutz.
- Verhindern oder Reduzieren von Unternehmensschäden durch eine Verletzung – Bedrohungsschutz bietet Echtzeitüberwachung und Behebung von Sicherheitsbedrohungen. Defender for Cloud Apps bietet die Ermittlung von SaaS-Apps, einschließlich KI-Apps, und ermöglicht es Ihnen, den Datenschutz auf diese Apps zu erweitern.
- Identifizieren und Schützen vertraulicher Geschäftsdaten – Datenschutzfunktionen bieten komplexe Steuerelemente, die auf bestimmte Arten von Daten ausgerichtet sind, um Ihre wertvollsten Informationen zu schützen.
- Sichere KI-Apps und -Daten – Schützen Sie schnell die Verwendung von KI-Apps Und die Daten, mit denen diese interagieren.
- Einhaltung gesetzlicher vorschriften und Complianceanforderungen – Verstehen und Nachverfolgen Ihres Fortschritts bei der Einhaltung von Vorschriften, die sich auf Ihre Organisation auswirken.
In diesem Artikel wird davon ausgegangen, dass Sie die Cloudidentität verwenden. Wenn Sie Anleitungen zu diesem Ziel benötigen, lesen Sie Deploy your identity infrastructure for Microsoft 365.
Tipp
Wenn Sie die Schritte und den End-to-End-Bereitstellungsprozess verstehen, können Sie das erweiterte Bereitstellungshandbuch Ihr Microsoft Zero Trust Sicherheitsmodell einrichten verwenden, wenn Sie bei der Microsoft 365-Adminzentrale angemeldet sind. Dieser Leitfaden führt Sie durch die Anwendung Zero Trust Prinzipien für standard- und fortgeschrittene Technologiepfeiler.
Swim Lane 1 – Sichere Remote- und Hybridarbeit
Das Schützen von Remote- und Hybridarbeit umfasst das Konfigurieren des Identitäts- und Gerätezugriffsschutzes. Diese Schutzmaßnahmen tragen zum Zero Trust Prinzip verify explizit bei.
Führen Sie die Arbeit zum Sichern von Remote- und Hybridarbeit in drei Phasen durch.
Phase 1: Implementieren von Richtlinien für die Startpunktidentität und den Gerätezugriff
Microsoft empfiehlt einen umfassenden Satz von Identitäts- und Gerätezugriffsrichtlinien für Zero Trust in diesem Handbuch – Zero Trust Identitäts- und Gerätezugriffskonfigurationen.
Beginnen Sie in Phase 1 mit der Implementierung der Startpunktebene. Diese Richtlinien erfordern keine Registrierung von Geräten für die Verwaltung.
Wechseln Sie zu Zero Trust Identitäts- und Gerätezugriffsschutz für detaillierte Anleitungen. In dieser Artikelserie werden eine Reihe von Konfigurationen für Identitäts- und Gerätezugriffsvoraussetzungen sowie eine Reihe von Richtlinien zu Microsoft Entra Conditional Access, Microsoft Intune und anderen Lösungen beschrieben, um den Zugriff auf Microsoft 365 für Enterprise-Cloud-Apps und -Dienste, andere SaaS-Dienste und lokal bereitgestellte Anwendungen, die mit dem Microsoft Entra-Anwendungsproxy veröffentlicht wurden, abzusichern.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Empfohlene Identitäts- und Gerätezugriffsrichtlinien für drei Schutzebenen:
Zusätzliche Empfehlungen für:
|
Microsoft E3 oder E5 Microsoft Entra ID in einem der folgenden Modi:
|
Geräteregistrierung für Richtlinien, die verwaltete Geräte erfordern. Weitere Informationen finden Sie unter "Verwalten von Geräten mit Intune ", um Geräte zu registrieren. |
Phase 2: Registrieren von Geräten für die Verwaltung mit Intune
Registrieren Sie als Nächstes Ihre Geräte bei der Verwaltung, und beginnen Sie mit dem Schutz mit komplexeren Steuerelementen.
Ausführliche Anleitungen zum Registrieren von Geräten bei der Verwaltung finden Sie unter "Verwalten von Geräten mit Intune ".
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Registrieren von Geräten mit Intune:
Konfigurieren von Richtlinien:
|
Registrieren von Endpunkten mit Microsoft Entra ID | Konfigurieren von Informationsschutzfunktionen, einschließlich:
Informationen zu diesen Funktionen finden Sie unter Swimlane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten (weiter unten in diesem Artikel). |
Weitere Informationen finden Sie unter Zero Trust für Microsoft Intune.
Phase 3 – Hinzufügen von Zero Trust Identitäts- und Gerätezugriffsschutzes: Unternehmensrichtlinien
Mit geräten, die bei der Verwaltung registriert sind, können Sie jetzt den vollständigen Satz empfohlener Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, die kompatible Geräte erfordern.
Kehren Sie zu allgemeinen Identitäts- und Gerätezugriffsrichtlinien zurück, und fügen Sie die Richtlinien auf der Enterprise-Ebene hinzu.
Weitere Informationen zum Sichern von Remote- und Hybridarbeit im Zero Trust Adoption Framework – Secure remote and hybrid work.
Swim Lane 2 – Verhindern oder Reduzieren von Geschäftlichen Schäden durch eine Sicherheitsverletzung
Microsoft Defender XDR ist eine erweiterte Erkennungs- und Reaktionslösung (XDR), die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer Microsoft 365 Umgebung, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten, automatisch sammelt, korreliert und analysiert. Darüber hinaus hilft Microsoft Defender for Cloud Apps Organisationen beim Identifizieren und Verwalten des Zugriffs auf SaaS-Apps, einschließlich GenAI-Apps.
Verhindern oder reduzieren Sie Unternehmensschäden durch das Testen und Implementieren von Microsoft Defender XDR.
Wechseln Sie zu Pilot und Implementierung von Microsoft Defender XDR für eine systematische Anleitung zum Pilotbetrieb und zur Bereitstellung von Microsoft Defender XDR-Komponenten.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
| Richten Sie die Evaluierungs- und Pilotumgebung für alle Komponenten ein: Schutz vor Bedrohungen Untersuchen und Reagieren auf Bedrohungen |
Weitere Informationen zu den Architekturanforderungen für jede Komponente von Microsoft Defender XDR finden Sie in den Anleitungen. | Microsoft Entra ID Protection ist in diesem Lösungshandbuch nicht enthalten. Es ist in Swim lane 1 – sichere Remote- und Hybridarbeit enthalten. |
Weitere Informationen zum Verhindern oder Verringern von Unternehmensschäden durch einen Verstoß im Zero Trust Adoption Framework – Vorbereiten oder Reduzieren von Geschäftsschäden durch eine Verletzung.
Swim Lane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten
Implementieren Sie Microsoft Purview Information Protection, damit Sie vertrauliche Informationen überall dort entdecken, klassifizieren und schützen können, wo sie leben oder reisen.
Microsoft Purview Information Protection Funktionen sind in Microsoft Purview enthalten und bieten Ihnen die Tools, mit denen Sie Ihre Daten kennen, Ihre Daten schützen und Datenverluste verhindern können. Sie können diese Arbeit jederzeit beginnen.
Microsoft Purview Information Protection bietet ein Framework, einen Prozess und eine Funktionalität, mit dem Sie Ihre spezifischen Geschäftsziele erreichen können.
Weitere Informationen zum Planen und Bereitstellen von Informationsschutz finden Sie unter Deploy a Microsoft Purview Information Protection solution.
Weitere Informationen zum Identifizieren und Schützen vertraulicher Geschäftsdaten im Zero Trust-Adoptionsrahmen – Identifizieren und Schützen vertraulicher Geschäftsdaten.
Swim Lane 4 – Schützen von KI-Apps und -Daten
Microsoft 365 umfasst Funktionen, mit denen Organisationen KI-Apps und die daten, die diese Verwenden verwenden, schnell sichern können.
Beginnen Sie mit der Verwendung von Purview Datensicherheitstatus-Management (DSSM) für KI. Dieses Tool konzentriert sich darauf, wie KI in Ihrem organization verwendet wird, insbesondere auf Ihre vertraulichen Daten, die mit KI-Tools interagieren. DSPM für KI bietet tiefere Einblicke für Microsoft Copilots und SaaS-Anwendungen von Drittanbietern wie ChatGPT Enterprise und Google Gemini.
Das folgende Diagramm zeigt eine der aggregierten Ansichten zu den Auswirkungen der KI-Nutzung auf Ihre Daten – Sensible Interaktionen pro generativer KI-App.
Verwenden Sie DSPM für KI, um Folgendes zu tun:
- Verschaffen Sie sich Einblick in die KI-Nutzung, einschließlich vertraulicher Daten.
- Überprüfen Sie Datenbewertungen, um Informationen über Lücken bei der Überfreigabe zu erfahren, die mit SharePoint Freigabesteuerelementen gemildert werden können.
- Finden Sie Lücken in der Richtlinienabdeckung für Vertraulichkeitskennzeichnungen und Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP).
Defender for Cloud Apps ist ein weiteres leistungsstarkes Tool, um SaaS GenAI-Apps und -Nutzung zu entdecken und zu steuern. Defender for Cloud Apps umfasst mehr als tausend generative KI-bezogene Apps im Katalog und bietet Einblicke in die Verwendung von generativen KI-Apps in Ihrer Organisation und hilft Ihnen dabei, sie sicher zu verwalten.
Zusätzlich zu diesen Tools bietet Microsoft 365 eine umfassende Reihe von Funktionen zum Sichern und Verwalten von KI. Informationen zu den ersten Schritten mit diesen Funktionen finden Sie unter Entdecken, Schützen und Steuern von KI-Apps und -Daten .
In der folgenden Tabelle sind die Microsoft 365 Funktionen mit Links zu weiteren Informationen in der Security for AI library aufgeführt.
Swimlane 5 – Erfüllung der gesetzlichen und Compliance-Anforderungen
Egal wie komplex die IT-Umgebung oder wie groß Ihre Organisation ist, neue gesetzliche Anforderungen, die sich auf Ihr Unternehmen auswirken können, häufen sich stetig an. Ein Zero Trust Ansatz überschreitet häufig einige Arten von Anforderungen, die von Compliance-Vorschriften auferlegt werden, z. B. diejenigen, die den Zugriff auf personenbezogene Daten steuern. Organisationen, die einen Zero Trust Ansatz implementiert haben, stellen möglicherweise fest, dass sie bereits einige neue Bedingungen erfüllen oder auf einfache Weise auf ihre Zero Trust Architektur aufbauen können, um konform zu sein.
Microsoft 365 umfasst Funktionen zur Unterstützung der Einhaltung gesetzlicher Vorschriften, einschließlich:
- Compliance-Manager
- Inhalts-Explorer
- Aufbewahrungsrichtlinien, Vertraulichkeitsbezeichnungen und DLP-Richtlinien
- Kommunikationscompliance
- Datenlebenszyklusverwaltung
- Priva Privacy Risk Management
Verwenden Sie die folgenden Ressourcen, um gesetzliche Anforderungen und Complianceanforderungen zu erfüllen.
| Ressource | Mehr Informationen |
|---|---|
| Zero Trust Einführungsrahmen – Erfüllen von Compliance- und regulatorischen Anforderungen | Beschreibt einen methodischen Ansatz, dem Ihre organization folgen können, einschließlich der Definition von Strategie, Planung, Einführung und Steuerung. |
| Steuern von KI-Apps und -Daten zur Einhaltung gesetzlicher Bestimmungen | Behandelt die Einhaltung gesetzlicher Bestimmungen für die neuen KI-bezogenen Vorschriften, einschließlich spezifischer Funktionen, die hilfreich sind. |
| Verwalten Sie Datenschutz und Datensicherheit mit Microsoft Priva und Microsoft Purview | Bewerten Sie Risiken und ergreifen Sie geeignete Maßnahmen, um personenbezogene Daten in der Umgebung Ihrer Organisation mithilfe von Microsoft Priva und Microsoft Purview zu schützen. |
Nächste Schritte
Erfahren Sie mehr über Zero Trust, indem Sie das Zero Trust Guidance Center besuchen.