Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
Ctrlk
Go to glueckkanja Website

Berechtigungen

Übersicht

Diese Seite beschreibt die Berechtigungen, Konfigurationsanforderungen und das Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff Zugriff auf Microsoft Purview- und Microsoft Security Copilot-Daten. Sein Zweck besteht darin, Muster der Datenklassifizierung, Aktivitäten von DLP-Richtlinien und Sicherheitseinblicke zu analysieren, ohne Konfigurationen zu ändern.

So funktioniert es

Der Agent stellt über Microsoft Graph API-Endpunkte sicher eine Verbindung mit Ihrem Tenant her, um Klassifizierungs- und DLP-Daten aus Microsoft Purview zu lesen. Er analysiert diese Signale, um Muster zu identifizieren, die Abdeckung zu bewerten und Empfehlungen zur Verbesserung der Datensicherheitslage zu geben.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Klassifizierer.

  • Prinzip der minimalen Rechtevergabe: Es werden nur die minimalen Berechtigungen benötigt, die zum Lesen von Purview- und Sicherheitsdaten erforderlich sind.

  • Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und ist in Microsoft Entra überprüfbar.

Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Compliance Data Administrator

Bietet schreibgeschützten Zugriff auf Klassifizierungs- und DLP-Daten aus Microsoft Purview.

Security Reader

Gewährt schreibgeschützte Sichtbarkeit in Sicherheitsereignisse und -warnungen.

Global Reader (optional)

Ermöglicht schreibgeschützten Zugriff auf Microsoft 365-Dienste für domänenübergreifende Datenkorrelation.

Diese Rollen folgen dem Prinzip der geringsten Berechtigung. Passen Sie sie an die Sicherheits- und Compliance-Anforderungen Ihrer Organisation an.

Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp
Zugriffslevel
Zweck

Purview-Klassifizierungs- und Beschriftungsdaten

Schreibgeschützt

Zur Bewertung der Verteilung der Datensensibilität und der Wirksamkeit von Richtlinien.

DLP-Richtlinienübereinstimmungsereignisse

Schreibgeschützt

Zur Analyse von Trends beim Datenverlust und zur Identifizierung von Bereichen mit verbessertem Schutzbedarf.

Sicherheitseinblicke und Warnungen

Schreibgeschützt

Zur Korrelation von Datenschutzereignissen mit umfassenderen Sicherheitssignalen.

Metadaten der Tenant-Konfiguration

Schreibgeschützt

Zur Einordnung der Ergebnisse, ohne Konfigurationsänderungen vorzunehmen.

Datenverarbeitung:

  • Der Agent nicht ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze.

  • Der gesamte Zugriff ist auf den Microsoft Graph API mithilfe delegierter oder Anwendungsberechtigungen.

  • Alle Aktivitäten werden aufgezeichnet in Microsoft Entra-Auditprotokollen für Transparenz und Compliance-Prüfung.

Agenteneinstellungen

Beim Ausführen des Agenten können die folgenden Parameter konfiguriert werden, um die Analysetiefe und den Zeitbereich zu steuern.

Einstellung
Optionen
Beschreibung

TimeRange

30, last_30_days, 2025-01-01/2025-01-31

Definiert das Zeitfenster für die Analyse von Klassifizierungs- und DLP-Ereignissen.

Modus

schnell, standard, tief

Bestimmt die Analysetiefe und den Ressourcenverbrauch. • schnell — Schnelle Analyse mit begrenzten Empfehlungen. • standard — Ausgewogene Tiefe und Leistung (empfohlen). • tief — Umfassende Analyse mit detaillierten Statistiken und erweiterten Einblicken (verwendet mehr SCUs).

Der Agent erfordert mindestens 30 Tage an Klassifizierungs- und Erkennungsdaten für aussagekräftige Ergebnisse.

Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph ist durch HTTPS verschlüsselt und durch Microsoft-Identitätsdienste geschützt.

  • Der Agent orientiert sich an Microsofts Zero Trust und Prinzip der minimalen Rechtevergabe .

  • Der Zugriff kann jederzeit überprüft oder widerrufen werden über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.

Nächste Schritte

  • Überprüfen Sie, ob dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.

  • Bestätigen Sie, dass die Purview-Klassifizierungs- und DLP-Richtlinien mit mindestens 30 Tagen Daten aktiv sind.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?