circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet Lesezugriff auf Compliance-, Audit- und Sicherheitsdaten von Microsoft Defender, Microsoft Purview und verwandten Microsoft 365-Diensten über das Security Copilot-Plugins. Sein Zweck ist es, die Data Protection Baseline (DPB) -Lage Ihrer Organisation zu bewerten, mögliche Compliance-Lücken zu identifizieren und Erkenntnisse zu generieren, ohne Konfigurationen zu ändern.

hashtag
Funktionsweise

Der Agent verbindet sich sicher mit Ihrem Mandanten über Microsoft Graph-API-Endpunkte, um Compliance-, Sicherheits- und Prüfungsprotokolldaten abzurufen. Er bewertet diese Informationen anhand von Datenschutz- und Compliance-Rahmenwerken wie der Microsoft Data Protection Baseline und der DSGVO, um Verbesserungsmöglichkeiten und Risikobereiche aufzuzeigen.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Frameworks.

  • Minimalprinzip (Least Privilege): Es werden nur die minimalen Berechtigungen benötigt, um Compliance- und Sicherheitsdaten zu lesen.

  • Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph-API-Endpunkte und ist vollständig innerhalb von Microsoft Entra prüfbar.

hashtag
Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Compliance-Datenadministrator

Bietet schreibgeschützten Zugriff auf Microsoft Purview- und Compliance-Daten.

Security Reader

Gewährt schreibgeschützte Einsicht in Sicherheitsereignisse und -warnungen von Microsoft Defender.

Berichtsleser

Ermöglicht schreibgeschützten Zugriff auf Prüf- und Berichtsdatendaten über Microsoft 365-Dienste.

circle-info

Diese Rollen richten sich nach dem Prinzip der minimalen Berechtigungen. Passen Sie sie entsprechend den Compliance- und Governance-Anforderungen Ihrer Organisation an.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle gibt einen Überblick über die vom Agenten abgerufenen Daten und deren Zweck.

Datentyp
Zugriffslevel
Zweck

Compliance- und Richtlinienkonfigurationsdaten

Schreibgeschützt

Um die Übereinstimmung mit der Data Protection Baseline und Compliance-Rahmenwerken zu bewerten.

Sicherheitsvorfälle und -alarme

Schreibgeschützt

Um die Compliance-Lage mit Sicherheitsereignissen und Risikosignalen zu korrelieren.

Prüfprotokolle

Schreibgeschützt

Um Benutzer- und Administratoraktivitäten im Zusammenhang mit Datenschutzkontrollen zu bewerten.

Datenklassifizierungs- und Kennzeichnungsdaten

Schreibgeschützt

Um Abdeckungs­lücken in Daten­schutz- und Aufbewahrungsrichtlinien zu identifizieren.

Datenverarbeitung:

  • Der Agent ändert nicht

  • Der gesamte Zugriff erfolgt über das Microsoft Graph-API Alle Zugriffe sind auf das

  • Zugriffsereignisse werden protokolliert in Microsoft Entra-Prüfprotokollen für Sichtbarkeit und Nachverfolgung der Einhaltung.

hashtag
Agenteneinstellungen

Der Agent unterstützt optionale Parameter zur Anpassung der Analyse­tiefe, der Rahmenwerke und der Zeitbereiche.

Einstellung
Optionen / Beispiel
Beschreibung

Rahmenwerke

Standard: Data Protection Baseline (DPB) und DSGVO

Definiert, welche Compliance- oder Schutzrahmen bewertet werden sollen.

ZusätzlicherFrameworkText

"ISO 27001 erfordert die Verschlüsselung von Daten im Ruhezustand und während der Übertragung..."

Ermöglicht das Hinzufügen benutzerdefinierter Framework-Texte für erweiterte Compliance-Bewertungen.

Framework-URL

"https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-soc-2"

Verweist auf ein externes Compliance-Rahmenwerk oder ein Leitdokument zum Vergleich.

Zeitraum

30 oder 90 (Tage)

Definiert das Zeitfenster für die Analyse von Compliance- und Prüfungsdaten.

circle-info

Für genaue Ergebnisse stellen Sie sicher, dass mindestens 30 Tage Compliance- und Sicherheitsdaten vor dem Ausführen des Agents verfügbar sind.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph ist mittels HTTPS verschlüsselt und über Microsoft-Identitätsdienste gesichert.

  • Der Agent entspricht den Zero-Trust und Prinzipien des geringsten Privilegs .

  • Zugriff kann jederzeit über Entra ID-Rollenassignments oder Verwaltung der Anwendungszustimmung.

hashtag
Nächste Schritte

  • Bestätigen Sie, dass dem Administratorenkonto die erforderlichen Rollen zugewiesen sind.

  • Überprüfen Sie, dass die Datenerfassung von Microsoft Defender und Purview mindestens 30 Tage aktiv ist.

  • Erfahren Sie mehr über Berechtigungen in der Microsoft Graph-Berechtigungsreferenzarrow-up-right.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?