> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/classification-optimizer/permissions.md).

# Berechtigungen

### Übersicht

Diese Seite beschreibt die Berechtigungen, Konfigurationsanforderungen und das Zugriffsmodell für diesen Agenten.\
Der Agent verwendet **schreibgeschützten Zugriff** Zugriff auf Microsoft Purview- und Microsoft Security Copilot-Daten.\
Sein Zweck besteht darin, Muster der Datenklassifizierung, Aktivitäten von DLP-Richtlinien und Sicherheitseinblicke zu analysieren, ohne Konfigurationen zu ändern.

***

### So funktioniert es

Der Agent stellt über Microsoft Graph API-Endpunkte sicher eine Verbindung mit Ihrem Tenant her, um Klassifizierungs- und DLP-Daten aus Microsoft Purview zu lesen.\
Er analysiert diese Signale, um Muster zu identifizieren, die Abdeckung zu bewerten und Empfehlungen zur Verbesserung der Datensicherheitslage zu geben.

Alle Interaktionen folgen diesen Grundsätzen:

* **Schreibgeschützter Zugriff:** Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Klassifizierer.
* **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimalen Berechtigungen benötigt, die zum Lesen von Purview- und Sicherheitsdaten erforderlich sind.
* **Transparenz:** Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und ist in Microsoft Entra überprüfbar.

***

### Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

| Rolle                             | Beschreibung                                                                                               |
| --------------------------------- | ---------------------------------------------------------------------------------------------------------- |
| **Compliance Data Administrator** | Bietet schreibgeschützten Zugriff auf Klassifizierungs- und DLP-Daten aus Microsoft Purview.               |
| **Security Reader**               | Gewährt schreibgeschützte Sichtbarkeit in Sicherheitsereignisse und -warnungen.                            |
| **Global Reader** *(optional)*    | Ermöglicht schreibgeschützten Zugriff auf Microsoft 365-Dienste für domänenübergreifende Datenkorrelation. |

{% hint style="info" %}
Diese Rollen folgen dem Prinzip der geringsten Berechtigung. Passen Sie sie an die Sicherheits- und Compliance-Anforderungen Ihrer Organisation an.
{% endhint %}

***

### Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

| Datentyp                                             | Zugriffslevel    | Zweck                                                                                                         |
| ---------------------------------------------------- | ---------------- | ------------------------------------------------------------------------------------------------------------- |
| **Purview-Klassifizierungs- und Beschriftungsdaten** | Schreibgeschützt | Zur Bewertung der Verteilung der Datensensibilität und der Wirksamkeit von Richtlinien.                       |
| **DLP-Richtlinienübereinstimmungsereignisse**        | Schreibgeschützt | Zur Analyse von Trends beim Datenverlust und zur Identifizierung von Bereichen mit verbessertem Schutzbedarf. |
| **Sicherheitseinblicke und Warnungen**               | Schreibgeschützt | Zur Korrelation von Datenschutzereignissen mit umfassenderen Sicherheitssignalen.                             |
| **Metadaten der Tenant-Konfiguration**               | Schreibgeschützt | Zur Einordnung der Ergebnisse, ohne Konfigurationsänderungen vorzunehmen.                                     |

**Datenverarbeitung:**

* Der Agent **nicht** ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze.
* Der gesamte Zugriff ist auf den **Microsoft Graph API** mithilfe delegierter oder Anwendungsberechtigungen.
* Alle Aktivitäten werden aufgezeichnet in **Microsoft Entra-Auditprotokollen** für Transparenz und Compliance-Prüfung.

***

### Agenteneinstellungen

Beim Ausführen des Agenten können die folgenden Parameter konfiguriert werden, um die Analysetiefe und den Zeitbereich zu steuern.

| Einstellung   | Optionen                                      | Beschreibung                                                                                                                                                                                                                                                                                                                                 |
| ------------- | --------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **TimeRange** | `30`, `last_30_days`, `2025-01-01/2025-01-31` | Definiert das Zeitfenster für die Analyse von Klassifizierungs- und DLP-Ereignissen.                                                                                                                                                                                                                                                         |
| **Modus**     | `schnell`, `standard`, `tief`                 | <p>Bestimmt die Analysetiefe und den Ressourcenverbrauch.<br>• <code>schnell</code> — Schnelle Analyse mit begrenzten Empfehlungen.<br>• <code>standard</code> — Ausgewogene Tiefe und Leistung (empfohlen).<br>• <code>tief</code> — Umfassende Analyse mit detaillierten Statistiken und erweiterten Einblicken (verwendet mehr SCUs).</p> |

{% hint style="info" %}
Der Agent erfordert **mindestens 30 Tage an Klassifizierungs- und Erkennungsdaten** für aussagekräftige Ergebnisse.
{% endhint %}

***

### Sicherheits- und Compliance-Überlegungen

* Die gesamte Kommunikation mit Microsoft Graph ist durch HTTPS verschlüsselt und durch Microsoft-Identitätsdienste geschützt.
* Der Agent orientiert sich an Microsofts **Zero Trust** und **Prinzip der minimalen Rechtevergabe** .
* Der Zugriff kann jederzeit überprüft oder widerrufen werden über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**.

***

### Nächste Schritte

* Überprüfen Sie, ob dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.
* Bestätigen Sie, dass die Purview-Klassifizierungs- und DLP-Richtlinien mit mindestens 30 Tagen Daten aktiv sind.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/classification-optimizer/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.