Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält einen Bereitstellungsplan zum Erstellen von Zero Trust Sicherheit mit Microsoft 365. Zero Trust ist ein Sicherheitsmodell, das eine Verletzung annimmt und jede Anforderung überprüft, als ob sie von einem nicht kontrollierten Netzwerk stammt. Unabhängig davon, wo die Anforderung stammt oder auf welche Ressource zugegriffen wird, lehrt uns das Zero Trust-Modell, "niemals vertrauen, immer überprüfen".
Verwenden Sie diesen Artikel zusammen mit diesem Poster.
| Gegenstand | BESCHREIBUNG |
|---|---|
PDF | Visio Aktualisiert April 2025 |
Zugehörige Lösungsanleitungen
|
Zero Trust Prinzipien und Architektur
Zero Trust ist eine Sicherheitsstrategie. Es handelt sich nicht um ein Produkt oder einen Dienst, sondern um einen Ansatz beim Entwerfen und Implementieren der folgenden Sicherheitsprinzipien.
| Prinzip | BESCHREIBUNG |
|---|---|
| Explizit verifizieren | Ziehen Sie zur Authentifizierung und Autorisierung immer alle verfügbaren Datenpunkte heran. |
| Verwenden Sie den Zugriff mit den geringsten Rechten | Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz. |
| Gehe von einem Verstoß aus | Minimieren Sie den Explosionsradius und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern. |
Mithilfe der Anleitung in diesem Artikel können Sie diese Prinzipien anwenden, indem Sie Funktionen mit Microsoft 365 implementieren.
Ein Zero Trust Ansatz erstreckt sich über den gesamten digitalen Nachlass und dient als integrierte Sicherheitsphilosophie und End-to-End-Strategie.
Diese Abbildung enthält eine Darstellung der primären Elemente, die zu Zero Trust beitragen.
In der Abbildung:
- Die Durchsetzung von Sicherheitsrichtlinien befindet sich im Mittelpunkt einer Zero Trust Architektur. Dies umfasst die Mehrfaktor-Authentifizierung mit bedingtem Zugriff, bei der das Risiko des Benutzerkontos, der Gerätestatus und andere von Ihnen festgelegte Kriterien und Richtlinien berücksichtigt werden.
- Identitäten, Geräte, Daten, Apps, Netzwerke und andere Infrastrukturkomponenten werden alle mit entsprechender Sicherheit konfiguriert. Richtlinien, die für jede dieser Komponenten konfiguriert sind, werden mit Ihrer gesamten Zero Trust-Strategie abgestimmt. Beispielsweise bestimmen Geräterichtlinien die Kriterien für fehlerfreie Geräte, und Richtlinien für bedingten Zugriff erfordern fehlerfreie Geräte für den Zugriff auf bestimmte Apps und Daten.
- Der Bedrohungsschutz und die Intelligenz überwacht die Umgebung, zeigt aktuelle Risiken an und führt automatisierte Maßnahmen zur Behebung von Angriffen durch.
Weitere Informationen zu Zero Trust finden Sie im Zero Trust Guidance Center.
Bereitstellen von Zero Trust für Microsoft 365
Microsoft 365 wird absichtlich mit vielen Sicherheits- und Informationsschutzfunktionen erstellt, die Ihnen helfen, Zero Trust in Ihre Umgebung zu integrieren. Viele der Funktionen können erweitert werden, um den Zugriff auf andere SaaS-Apps zu schützen, die Ihre Organisation verwendet, und die Daten in diesen Apps.
Diese Abbildung zeigt die Bereitstellung von Zero Trust-Funktionen. Diese Arbeit richtet sich an Zero Trust Geschäftsszenarien im Zero Trust Adoption Framework.
Diagramm, das den Microsoft 365 Zero Trust Bereitstellungsplan über fünf Bahnen zeigt.
In dieser Abbildung ist die Bereitstellungsarbeit in fünf Schwimmspuren unterteilt:
- Sichere Remote- und Hybridarbeit – Diese Arbeit bildet eine Grundlage für Identitäts- und Geräteschutz.
- Verhindern oder Reduzieren von Geschäftsschäden durch eine Sicherheitsverletzung – Bedrohungsschutz bietet Echtzeitüberwachung und Behebung von Sicherheitsbedrohungen. Defender for Cloud Apps ermöglicht die Ermittlung von SaaS-Apps, einschließlich KI-Apps, und ermöglicht es Ihnen, den Datenschutz auf diese Apps auszudehnen.
- Identifizieren und Schützen vertraulicher Geschäftsdaten – Datenschutzfunktionen bieten komplexe Kontrollen, die auf bestimmte Arten von Daten ausgerichtet sind, um Ihre wertvollsten Informationen zu schützen.
- Schutz von KI-Apps und -Daten — Schützen Sie zügig Ihre Organisation bei der Nutzung von KI-Apps und der Daten, mit denen diese interagieren.
- Einhaltung gesetzlicher Bestimmungen und Complianceanforderungen – Verstehen und nachverfolgen Sie Ihre Fortschritte bei der Einhaltung von Vorschriften, die sich auf Ihre organization auswirken.
In diesem Artikel wird davon ausgegangen, dass Sie die Cloudidentität verwenden. Wenn Sie Anleitungen zu diesem Ziel benötigen, lesen Sie Deploy your identity infrastructure for Microsoft 365.
Tipp
Wenn Sie die Schritte und den End-to-End-Bereitstellungsprozess verstehen, können Sie die Anleitung für die erweiterte Bereitstellung „Microsoft Zero Trust Sicherheitsmodell einrichten“ verwenden, wenn Sie im Microsoft 365 Admin Center angemeldet sind. Dieser Leitfaden führt Sie durch die Anwendung Zero Trust Prinzipien für standard- und fortgeschrittene Technologiepfeiler.
Swim Lane 1 – Sichere Remote- und Hybridarbeit
Das Schützen von Remote- und Hybridarbeit umfasst das Konfigurieren des Identitäts- und Gerätezugriffsschutzes. Diese Schutzmaßnahmen tragen zum Zero Trust Prinzip verify explizit bei.
Führen Sie die Arbeit zum Sichern von Remote- und Hybridarbeit in drei Phasen durch.
Phase 1: Implementieren von Richtlinien für die Startpunktidentität und den Gerätezugriff
Microsoft empfiehlt einen umfassenden Satz von Identitäts- und Gerätezugriffsrichtlinien für Zero Trust in diesem Handbuch – Zero Trust Identitäts- und Gerätezugriffskonfigurationen.
Beginnen Sie in Phase 1 mit der Implementierung der Startpunktebene. Diese Richtlinien erfordern keine Registrierung von Geräten für die Verwaltung.
Wechseln Sie zu Zero Trust Identitäts- und Gerätezugriffsschutz für detaillierte Anleitungen. Diese Reihe von Artikeln beschreibt eine Reihe von Identitäts- und Gerätezugriffskonfigurationen und eine Reihe von Microsoft Entra Bedingter Zugriff, Microsoft Intune und anderen Richtlinien für den sicheren Zugriff auf Microsoft 365 für Unternehmens-Cloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen, die mit dem Microsoft Entra Anwendungsproxy veröffentlicht werden.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Empfohlene Identitäts- und Gerätezugriffsrichtlinien für drei Schutzebenen:
Zusätzliche Empfehlungen für:
|
Microsoft E3 oder E5 Microsoft Entra ID in einem der folgenden Modi:
|
Geräteregistrierung für Richtlinien, die verwaltete Geräte erfordern. Informationen zum Registrieren von Geräten finden Sie unter Verwalten von Geräten mit Intune. |
Phase 2: Registrieren von Geräten für die Verwaltung mit Intune
Registrieren Sie als Nächstes Ihre Geräte bei der Verwaltung, und beginnen Sie mit dem Schutz mit komplexeren Steuerelementen.
Ausführliche Anleitungen zum Registrieren von Geräten für die Verwaltung finden Sie unter Verwalten von Geräten mit Intune.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Registrieren von Geräten mit Intune:
Konfigurieren von Richtlinien:
|
Registrieren von Endpunkten mit Microsoft Entra ID | Konfigurieren von Informationsschutzfunktionen, einschließlich:
Informationen zu diesen Funktionen finden Sie unter Swim Lane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten (weiter unten in diesem Artikel). |
Weitere Informationen finden Sie unter Zero Trust für Microsoft Intune.
Phase 3 – Zero Trust Identitäts- und Gerätezugriffsschutz hinzufügen: Unternehmensrichtlinien
Mit geräten, die bei der Verwaltung registriert sind, können Sie jetzt den vollständigen Satz empfohlener Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, die kompatible Geräte erfordern.
Kehren Sie zu allgemeinen Identitäts- und Gerätezugriffsrichtlinien zurück, und fügen Sie die Richtlinien auf der Enterprise-Ebene hinzu.
Weitere Informationen zum Sichern von Remote- und Hybridarbeit im Zero Trust Adoption Framework – Secure remote and hybrid work.
Swim Lane 2 – Verhindern oder Reduzieren von Geschäftlichen Schäden durch eine Sicherheitsverletzung
Microsoft Defender XDR ist eine erweiterte Erkennungs- und Reaktionslösung (XDR), die Signal-, Bedrohungs- und Warnungsdaten aus Ihrer Microsoft 365 Umgebung, einschließlich Endpunkt, E-Mail, Anwendungen und Identitäten, automatisch sammelt, korreliert und analysiert. Darüber hinaus hilft Microsoft Defender for Cloud Apps Organisationen beim Identifizieren und Verwalten des Zugriffs auf SaaS-Apps, einschließlich GenAI-Apps.
Verhindern oder reduzieren Sie Unternehmensschäden, indem Sie Microsoft Defender XDR pilotieren und bereitstellen.
Wechseln Sie zu Microsoft Defender XDR Pilot und Bereitstellung für eine methodische Anleitung zum Pilotieren und Bereitstellen der Microsoft Defender XDR-Komponenten.
| Enthält | Voraussetzungen | Enthält nicht |
|---|---|---|
Richten Sie die Evaluierungs- und Pilotumgebung für alle Komponenten ein:
Schutz vor Bedrohungen Untersuchen und Reagieren auf Bedrohungen |
Weitere Informationen zu den Architekturanforderungen für jede Komponente von Microsoft Defender XDR finden Sie in den Anleitungen. | Microsoft Entra ID Protection ist in diesem Lösungshandbuch nicht enthalten. Es ist in Swim Lane 1 – Sichere Remote- und Hybridarbeit enthalten. |
Weitere Informationen zum Verhindern oder Verringern von Unternehmensschäden durch einen Verstoß im Zero Trust Adoption Framework – Vorbereiten oder Reduzieren von Geschäftsschäden durch eine Verletzung.
Swim Lane 3 – Identifizieren und Schützen vertraulicher Geschäftsdaten
Implementieren Sie Microsoft Purview Information Protection, damit Sie vertrauliche Informationen überall dort entdecken, klassifizieren und schützen können, wo sie leben oder reisen.
Microsoft Purview Information Protection Funktionen sind in Microsoft Purview enthalten und bieten Ihnen die Tools, mit denen Sie Ihre Daten kennen, Ihre Daten schützen und Datenverluste verhindern können. Sie können diese Arbeit jederzeit beginnen.
Microsoft Purview Information Protection bietet ein Framework, einen Prozess und eine Funktion, mit der Sie Ihre spezifischen Geschäftsziele erreichen können.
Weitere Informationen zum Planen und Bereitstellen von information protection finden Sie unter Deploy a Microsoft Purview Information Protection solution.
Weitere Informationen zum Identifizieren und Schützen vertraulicher Geschäftsdaten im Zero Trust Adoption Framework – Identifizieren und Schützen vertraulicher Geschäftsdaten.
Swim Lane 4 – Schützen von KI-Apps und -Daten
Microsoft 365 umfasst Funktionen, mit denen Organisationen KI-Apps und die daten, die diese Verwenden verwenden, schnell sichern können.
Beginnen Sie mit der Verwendung von Purview Datensicherheitstatus-Management (DSSM) für KI. Dieses Tool konzentriert sich darauf, wie KI in Ihrem organization verwendet wird, insbesondere auf Ihre vertraulichen Daten, die mit KI-Tools interagieren. DSSM für KI bietet tiefere Einblicke für Microsoft Copilots und SaaS-Anwendungen von Drittanbietern wie ChatGPT Enterprise und Google Gemini.
Das folgende Diagramm zeigt eine der aggregierten Ansichten zu den Auswirkungen der KI-Nutzung auf Ihre Daten – Sensible Interaktionen pro generativer KI-App.
Diagramm, das die sensiblen Interaktionen pro generative KI-App zeigt.
Verwenden Sie DSPM für KI, um Folgendes zu tun:
- Verschaffen Sie sich Einblick in die KI-Nutzung, einschließlich vertraulicher Daten.
- Überprüfen Sie Datenbewertungen, um mehr über Lücken im übermäßigen Teilen zu erfahren, die mit Steuerelementen für übermäßiges Teilen in SharePoint abgemildert werden können.
- Finden Sie Lücken in der Richtlinienabdeckung für Vertraulichkeitskennzeichnungen und Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP).
Defender for Cloud Apps ist ein weiteres leistungsstarkes Tool zum Ermitteln und Steuern von SaaS GenAI-Apps und derEn Nutzung. Defender for Cloud Apps enthält mehr als tausend generative KI-bezogene Apps im Katalog, die Einblicke in die Verwendung von generativen KI-Apps in Ihrem organization bieten und Sie bei der sicheren Verwaltung unterstützen.
Zusätzlich zu diesen Tools bietet Microsoft 365 eine umfassende Reihe von Funktionen zum Sichern und Verwalten von KI. Informationen zu den ersten Schritten mit diesen Funktionen finden Sie unter Entdecken, Schützen und Steuern von KI-Apps und -Daten .
In der folgenden Tabelle sind die Microsoft 365 Funktionen mit Links zu weiteren Informationen in der Security for AI library aufgeführt.
| Fähigkeit | Mehr Informationen |
|---|---|
| SharePoint-Kontrollen zum Teilen, einschließlich SharePoint Advanced Management | Anwenden von SharePoint-Kontrollen gegen übermäßiges Teilen |
| DSSM für KI | Verschaffen Sie sich Einblick in die KI-Nutzung mit (DSPM) für KI Schützen von Daten durch DSSM für KI |
| Vertraulichkeitsbezeichnungen und DLP-Richtlinien | Fahren Sie fort, Lücken in Vertraulichkeitsbezeichnungen und DLP-Richtlinien zu identifizieren |
| Insider-Risikomanagement (IRM): Richtlinienvorlage für die Nutzung riskanter KI | Anwenden der Vorlage für riskante KI |
| Adaptiver Schutz | Konfigurieren des adaptiven Schutzes für das Insider-Risikomanagement |
| Defender für Cloud-Apps | Entdecken, Sanktionieren und Blockieren von KI-Apps Selektieren und Schützen der Verwendung von KI-Apps Verwalten von KI-Apps basierend auf dem Compliancerisiko |
| Purview Compliance-Manager | Erstellen und Verwalten von Bewertungen für KI-bezogene Vorschriften |
| Verantwortungsbereich Kommunikationskonformität | Analysieren von Anfragen und Antworten, die in generativen KI-Anwendungen eingegeben werden, um unangemessene oder riskante Interaktionen zu identifizieren oder um die Weitergabe vertraulicher Informationen zu erkennen. |
| Purview Data Lifecycle Management | Proaktives Löschen von Inhalten, die Sie nicht mehr beibehalten müssen, um das Risiko einer Überexposition von Daten in KI-Tools zu verringern |
| eDiscovery | Suchen nach Schlüsselwörtern in Eingabeaufforderungen und Antworten, Verwalten der Ergebnisse in eDiscovery-Fällen |
| Überwachungsprotokolle für Copilot- und KI-Aktivitäten | identifizieren, wie, wann und wo Copilot Interaktionen aufgetreten sind und auf welche Elemente zugegriffen wurde, einschließlich aller Vertraulichkeitsbezeichnungen für diese Elemente |
| Priva Datenschutzbewertungen | Initiieren Sie Datenschutz-Folgenabschätzungen für KI-Apps, die Sie entwickeln |
Swimlane 5 – Erfüllung der gesetzlichen und Compliance-Anforderungen
Egal wie komplex die IT-Umgebung oder wie groß Ihre Organisation ist, neue gesetzliche Anforderungen, die sich auf Ihr Unternehmen auswirken können, häufen sich stetig an. Ein Zero Trust Ansatz überschreitet häufig einige Arten von Anforderungen, die von Compliance-Vorschriften auferlegt werden, z. B. diejenigen, die den Zugriff auf personenbezogene Daten steuern. Organisationen, die einen Zero Trust Ansatz implementiert haben, stellen möglicherweise fest, dass sie bereits einige neue Bedingungen erfüllen oder auf einfache Weise auf ihre Zero Trust Architektur aufbauen können, um konform zu sein.
Microsoft 365 umfasst Funktionen zur Unterstützung der Einhaltung gesetzlicher Vorschriften, einschließlich:
- Compliance-Manager
- Inhalts-Explorer
- Aufbewahrungsrichtlinien, Vertraulichkeitsbezeichnungen und DLP-Richtlinien
- Kommunikationscompliance
- Datenlebenszyklusverwaltung
- Priva: Datenschutz-Risikomanagement
Verwenden Sie die folgenden Ressourcen, um gesetzliche Anforderungen und Complianceanforderungen zu erfüllen.
| Ressource | Mehr Informationen |
|---|---|
| Zero Trust Einführungsrahmen – Erfüllen Sie regulatorische und Compliance-Anforderungen | Beschreibt einen methodischen Ansatz, dem Ihre organization folgen können, einschließlich der Definition von Strategie, Planung, Einführung und Steuerung. |
| Steuern von KI-Apps und -Daten zur Einhaltung gesetzlicher Bestimmungen | Behandelt die Einhaltung gesetzlicher Bestimmungen für die neuen KI-bezogenen Vorschriften, einschließlich spezifischer Funktionen, die hilfreich sind. |
| Verwalten Sie den Datenschutz und die Datensicherheit mit Microsoft Priva und Microsoft Purview | Bewerten Sie Risiken und ergreifen Sie geeignete Maßnahmen, um personenbezogene Daten in der Umgebung Ihrer Organisation mithilfe von Microsoft Priva und Microsoft Purview zu schützen. |
Nächste Schritte
Erfahren Sie mehr über Zero Trust, indem Sie das Zero Trust Guidance Center besuchen.