Ihre Microsoft 365 Copilot-Daten mit Microsoft 365 Sicherheitstools schützen

Abgeschlossen

Viele Unternehmen haben Bedenken, dass ihre Benutzer zu viele interne oder personenbezogene Informationen weitergeben. Um diese Bedenken auszuräumen, bietet Microsoft in seinen Ökosystemen Microsoft 365 und Azure leistungsstarke Sicherheitstools. Diese Tools helfen Organisationen dabei, Berechtigungen zu verschärfen und „gerade genug Zugriff“ zu gewähren. Die Richtlinien und Einstellungen, die Administratoren in diesen Tools definieren, werden nicht nur von Microsoft 365 und Azure verwendet, um eine übermäßige Datenfreigabe zu verhindern, sondern auch von Microsoft 365 Copilot. Administratoren sollten die Sicherheitspraktiken ihres Unternehmens in Bezug auf Berechtigungen, Vertraulichkeitsbezeichnung und Datenzugriff überprüfen, um eine mögliche übermäßige gemeinsame Nutzung von geschützten und vertraulichen Geschäftsdaten zu verhindern.

Microsoft empfiehlt zur Lösung dieser Situation den Ansatz "gerade genug Zugang". Bei diesem Ansatz kann jeder Benutzer nur auf die spezifischen Informationen zugreifen, die er für seine Arbeit benötigt. Dieser Ansatz beinhaltet eine strenge Kontrolle der Berechtigungen, damit Benutzer nicht auf Dokumente, Websites oder Daten zugreifen können, die sie nicht sehen sollen.

Um eine übermäßige gemeinsame Nutzung zu verhindern, sollten Unternehmen die folgenden Best Practices anwenden:

• Durchführen einer Zugriffsüberprüfung für Websites, Dokumente, E-Mails und andere Inhalte. Identifizieren Sie alle überbelichteten Vermögenswerte. Lassen Sie Datenbesitzer SharePoint-Websites, Dokumentbibliotheken, E-Mail-Postfächer und andere Datenressourcen inventarisieren. Identifizieren Sie Bereiche, in denen die Benutzerrechte weiter gefasst sind als erforderlich. Zum Beispiel eine SharePoint-Seite "HR Benefits", die für alle Mitarbeiter sichtbar ist und nicht nur für das HR-Team.
• Schrauben Sie die Berechtigungen für überbelichtete Assets so hoch, dass nur autorisierte Benutzer Zugriff haben. Beschränken Sie den Zugriff auf die Seite "HR Benefits" auf die Mitglieder der Personalabteilung. Ebenso sollten Sie vertrauliche Produktplanungsdokumente nur den zuständigen Produktmanagern zugänglich machen. Um die Gefährdung zu begrenzen, konfigurieren Sie die externe Freigabe und den Ablauf des Zugriffs auf E-Mails und Dokumente.
• Prüfen Sie, ob die Zugangsbeschränkung die Fähigkeit der Benutzer, ihre Aufgaben zu erfüllen, nicht beeinträchtigt. Befragung der Benutzer von eingeschränkten Ressourcen, um zu bestätigen, dass sie weiterhin Zugang zu allen für ihre Rolle erforderlichen Informationen haben. Stellen Sie z. B. sicher, dass der Vertrieb weiterhin auf Kundenkontaktinformationen und Projektspezifikationen zugreifen kann, auch wenn das Unternehmen die Personaldaten eingeschränkt hat.
• Testen Sie die Suchfunktion, um sicherzustellen, dass Benutzer nur auf Informationen zugreifen können, die für ihre Rolle relevant sind. Durchsuchen von Stichproben von Dokumenten, Websites und E-Mails als verschiedene interne Rollen. Bestätigen Sie, dass Finanzmitarbeiter keinen Zugriff auf HR-Daten haben. Überprüfen Sie, ob abteilungsübergreifende Teams weiterhin Zugang zu gemeinsamen Projektressourcen haben. Die Abstimmung von Berechtigungen ist ein iterativer Prozess.
• Implementieren Sie Microsoft SharePoint Advanced Management-Tools. Wie bereits in der vorherigen Schulung erwähnt, enthält SharePoint Advanced Management (SAM) mehrere Tools, die Organisationen dabei unterstützen, übermäßig verteilte Freigaben zu verhindern, darunter:
  • Berichte zur Datenzugriffsgovernance. Diese Berichte identifizieren Websites, die potenziell übermäßig freigegebene oder vertrauliche Inhalte enthalten. Diese Berichte bieten auch Einblicke in die wichtigsten Websites mit überberechtigungen innerhalb Ihres organization. Wenn Administratoren die Berichte zur Datenzugriffsgovernance verwenden, um diese Websites zu identifizieren, können Administratoren Korrekturmaßnahmen ergreifen, um sicherzustellen, dass nicht autorisierte Benutzer nicht auf vertrauliche Daten zugreifen. Dieser proaktive Ansatz hilft Organisationen dabei, eine sichere Datenumgebung aufrechtzuerhalten und versehentliche Datenlecks zu verhindern.
  • Eingeschränkte Zugriffssteuerung für SharePoint und OneDrive. Sie können verhindern, dass Websites und Inhalte auf Websiteebene ermittelt werden, indem Sie die Richtlinie Eingeschränkter Zugriff für SharePoint-Websites aktivieren. Die Websitezugriffseinschränkung ermöglicht nur Benutzern in der angegebenen Sicherheitsgruppe oder Microsoft 365-Gruppe den Zugriff auf Inhalte. Sie können den Zugriff auf freigegebene Inhalte des OneDrive eines Benutzers auch auf Personen in einer Sicherheitsgruppe mit der Richtlinie Eingeschränkter Zugriff für OneDrive beschränken. Sobald die Richtlinie aktiviert ist, kann jeder, der sich nicht in der angegebenen Sicherheitsgruppe befindet, nicht auf Inhalte in diesem OneDrive zugreifen, auch wenn er zuvor für ihn freigegeben wurde.
  • Websitezugriffsüberprüfung. Mit diesem Tool können Administratoren regelmäßig überprüfen und verwalten, wer Zugriff auf bestimmte SharePoint-Websites hat. Dieses Feature ermöglicht ES IT-Administratoren, den Überprüfungsprozess von Datenzugriffsgovernanceberichten an Websitebesitzer zu delegieren, die am besten positioniert sind, um den Kontext und die Notwendigkeit der freigegebenen Inhalte zu verstehen. Dieses Tool ist nützlich, um Probleme mit übermäßiger Freigabe zu beheben, die in Datenzugriffsgovernanceberichten identifiziert wurden. Wenn eine Website für eine potenzielle Überfreigabe gekennzeichnet ist, können Administratoren eine Websitezugriffsüberprüfung initiieren und websitebesitzer auffordern, Zugriffsberechtigungen zu überprüfen und zu verwalten.
  • Eingeschränkte Inhaltsermittlung. Dieses Feature verhindert, dass vertrauliche Inhalte von nicht autorisierten Benutzern erkannt werden, wodurch die Datensicherheit verbessert wird, indem die Sichtbarkeit basierend auf Benutzerberechtigungen eingeschränkt wird. Dieses Feature schränkt die Sichtbarkeit bestimmter Inhalte basierend auf Benutzerberechtigungen ein und stellt sicher, dass nur personen mit den entsprechenden Zugriffsebenen vertrauliche Informationen finden und anzeigen können. Die eingeschränkte Inhaltsermittlung ist wichtig für die Aufrechterhaltung der Datensicherheit und Compliance, da sie dazu beiträgt, zu steuern, wer vertrauliche Daten sehen und mit ihnen interagieren kann. Dieses Tool schränkt die Auffindbarkeit von Inhalten ein, wodurch Organisationen ihre Daten sicherer verwalten und versehentliche Überfreigaben verhindern können.

Microsoft-Tools zur Datensicherung

Microsoft 365, Microsoft 365 Copilot und verbundene Dienste verwenden alle die von Administratoren definierten Richtlinien und Einstellungen, um Berechtigungen zu verschärfen und „gerade genug Zugriff“ zu gewähren. Dies geschieht über Plug-Ins und Microsoft Graph Connectors, um eine übermäßige Datenfreigabe zu verhindern. Die folgende Liste enthält eine kurze Zusammenfassung einiger der Tools, die Administratoren zur Definition dieser Richtlinien und Einstellungen verwenden können:

• Microsoft Purview Information Protection. Klassifizierung und optionale Verschlüsselung von Dokumenten und E-Mails auf der Grundlage ihrer Vertraulichkeit. Sie können Richtlinien erstellen, um den Zugriff auf autorisierte Benutzer zu beschränken. Sie haben beispielsweise folgende Möglichkeiten:

  • Klassifizieren Sie Dokumente oder E-Mails, die Gehälter von Mitarbeitern enthalten, als "streng vertraulich" und beschränken Sie den Zugang darauf auf das HR-Team.
  • Klassifizieren Sie Kundendaten als "vertraulich" und erlauben Sie nur Vertriebsmitarbeitern, die diesem Kunden zugewiesen sind, den Zugriff darauf.
  • Klassifizieren Sie Finanzberichte als "nur intern" und verschlüsseln Sie sie automatisch, um eine externe Weitergabe zu verhindern.
  • Klassifizieren Sie die Kommunikation der Führungskräfte als "Internal Eyes Only" und beschränken Sie den Zugang auf Mitglieder des Führungsteams.

• Microsoft Purview Vertraulichkeitsbezeichnungen. Klassifizieren und kennzeichnen Sie SharePoint-Sites, -Dokumente und -E-Mails mit Vertraulichkeitsbezeichnungen wie "Vertraulich" oder "Nur für den internen Gebrauch" Sie können Richtlinien erstellen, um den Zugriff auf Elemente mit bestimmten Vertraulichkeitsbezeichnungen zu beschränken. Sie haben beispielsweise folgende Möglichkeiten:

  • Kennzeichnen Sie die Leistungsbeurteilungen Ihrer Mitarbeiter mit der Vertraulichkeitsbezeichnung "HR-Vertraulich" und beschränken Sie den Zugriff darauf auf die Personalverantwortlichen.
  • Kennzeichnen Sie Kundendaten mit einem "Customer Confidential"-Tag und konfigurieren Sie Richtlinien, um Downloads, Ausdrucke oder Freigaben von Elementen mit diesem Tag zu blockieren.
  • Kennzeichnen Sie Kundendaten mit "Vertraulich" und konfigurieren Sie die automatische Verschlüsselung von Dateien, die diese Bezeichnung tragen.
  • Kennzeichnen Sie Buchhaltungstabellen als "Finance Confidential" und beschränken Sie den Zugriff auf die Mitglieder des Finanzteams.

• Microsoft Entra Richtlinien für bedingten Zugang. Gewähren oder beschränken Sie den Zugriff auf Microsoft 365-Informationen und -Dienste, einschließlich SharePoint, basierend auf Bedingungen wie Benutzerstandort, Gerät oder Netzwerk. Diese Richtlinien sind nützlich, um den Zugang einzuschränken, wenn das System Risiken entdeckt oder Benutzeranmeldedaten kompromittiert werden. Sie haben beispielsweise folgende Möglichkeiten:

  • Erfordern Sie eine Mehrfaktor-Authentifizierung für den Zugriff auf SharePoint-Sites, die Finanzdaten enthalten, wenn Sie eine Fernverbindung herstellen.
  • Blockieren Sie die externe Freigabe von Websites, die interne Präsentationen enthalten, es sei denn, die Benutzer stellen die Verbindung über verwaltete Geräte im Unternehmensnetz her.
  • Erfordern Sie, dass verwaltete Geräte auf Websites mit geschütztem Quellcode zugreifen dürfen.
  • Sperren Sie den Zugang zu Websites, die Pressemitteilungen enthalten, vor dem Datum der öffentlichen Bekanntgabe.
  • Sperren Sie den Zugang oder verlangen Sie eine verstärkte Authentifizierung mit einem anderen Faktor, wenn das System eine unmögliche Reise feststellt, was oft ein Anzeichen für den Diebstahl von Zugangsdaten ist.

• Microsoft Entra Privileged Identity Management (PIM). Ermöglichen Sie einen Just-in-Time-Administrator-Zugriff, setzen Sie das Prinzip der geringsten Rechte durch und beschränken Sie dauerhafte Rechte, indem Sie einem Benutzer nur die erforderlichen Rechte erteilen, wenn er sie benötigt. Sie haben beispielsweise folgende Möglichkeiten:

  • Gewähren Sie privilegierte Rollen wie SharePoint-Admin oder Global-Admin nur für genehmigte Geschäftszeiten, um den ständigen Zugriff zu minimieren.
  • Erfordern Sie eine mehrstufige Authentifizierung und eine Rechtfertigung für die Aktivierung des privilegierten Zugriffs auf Daten oder Anwendungen.
  • Beschränken Sie den privilegierten Zugang wie den Rechnungsadministrator auf maximal fünf Stunden pro Woche.
  • Erfordert eine Genehmigung zur Aktivierung des Zugriffs auf die Rolle des Microsoft 365 Global Administrator.

• SharePoint Advanced Management (SAM) Websitezugriffsüberprüfungen. Dieses SAM-Tool erfordert und automatisiert Zugriffsüberprüfungen von Websitebesitzern, Mitgliedern und Zugriffsanforderungen, um Berechtigungen zu widerrufen, die Benutzer nicht oder nicht mehr benötigen. Dieses Tool wurde weiter oben in dieser Lerneinheit untersucht, um Organisationen dabei zu helfen, eine übermäßige Datenfreigabe zu verhindern. Es hilft Organisationen auch sicherzustellen, dass nur autorisierte Benutzer Zugriff auf vertrauliche Informationen haben, was wiederum das Risiko von Datenschutzverletzungen verringert. Websitezugriffsüberprüfungen stellen sicher, dass Benutzer nur den Zugriff behalten, den sie für ihre Rolle benötigen. Sie haben beispielsweise folgende Möglichkeiten:

  • Automatischer Entzug von Berechtigungen für HR- oder Finanzsysteme nach 90 Tagen, sofern diese nicht überprüft und genehmigt wurden.
  • Verlangen Sie vierteljährlich eine geschäftliche Rechtfertigung für externe Benutzerkonten, um zu überprüfen, ob der Zugang weiterhin erforderlich ist.
  • Verlangen Sie vierteljährliche Überprüfungen des Benutzerzugangs und entfernen Sie den Zugang für ausgeschiedene Mitarbeiter.
  • Erzwingen Sie Zeitlimits für den Zugriff externer Benutzer auf Websites für die Zusammenarbeit.

• Microsoft Graph-Konnektoren und -Plugins. Beschränken Sie den Zugriff auf verbundene externe Daten mit Microsoft Graph-Konnektoren oder Plugins. Sie haben beispielsweise folgende Möglichkeiten:

  • Definieren Sie den Zugriffsbereich, den Benutzer und Gruppen für den Zugriff auf verbundene Datenanbieter benötigen.
  • Erfordert eine auf dem Benutzerkonto basierende Dienstauthentifizierung für verbundene Dienste und Daten, die mit Microsoft 365 Copilot-Plug-Ins verwendet werden.
  • Beschränken Sie die erweiterten Suchfunktionen für externe Inhalte, die über Graph-Konnektoren indiziert werden, auf die Benutzer, die darauf Zugriff haben sollen.

Durch den Einsatz von Kombinationen dieser Tools zur Einschränkung des Zugriffs und zur Umsetzung von Least Privilege können Unternehmen die Offenlegung sensibler Daten begrenzen und eine übermäßige gemeinsame Nutzung verhindern, um die Sicherheit sensibler Informationen zu gewährleisten. Diese Tools sind leistungsstarke Mechanismen, um „gerade genug Zugriff“ zu ermöglichen. Indem Sie sicherstellen, dass jede mitarbeitende Person gerade genug Zugriff hat, um ihre Arbeit zu erledigen, ohne übermäßige Privilegien zu haben, können Sie auch dafür sorgen, dass sich Microsoft 365 Copilot nur auf die Daten konzentriert, die für hilfreiche Empfehlungen benötigt werden.

Zusätzliche Informationen. Weitere Informationen zur Sicherung Ihrer Daten und Benutzergeräte finden Sie in den folgenden Schulungsangeboten:

• Erkunden sie Sicherheitsmetriken in Microsoft 365 Defender.
• Implementieren Sie den Endpunktschutz mithilfe von Microsoft Defender for Endpoint.
• Verwaltung der Compliance in Microsoft 365.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.

Überprüfen Sie Ihre Kenntnisse

1.

Holly Dickson ist der Microsoft 365-Administrator bei Contoso. Holly bereitet sich auf die Einführung von Microsoft 365 Copilot durch Contoso vor. Daher überprüft Holly die vorhandenen Richtlinien und Einstellungen des Unternehmens, um zu verhindern, dass Daten in Microsoft 365 Copilot übermäßig freigegeben werden. Holly möchte einen Just-in-Time-Administrator-Zugriff ermöglichen und das Prinzip der geringsten Privilegien durchsetzen, indem es den Benutzern nur die Berechtigungen erteilt, die sie bei Bedarf benötigen. Welches Sicherheitstool sollte Holly prüfen, das diese Sicherheitsfunktionen bietet?

Microsoft Purview Information Protection

Microsoft Entra Privileged Identity Management

Microsoft Entra Richtlinien für den bedingten Zugriff

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.