Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
Ctrlk
Go to glueckkanja Website

Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff für Compliance-, Audit- und Sicherheitsdaten aus Microsoft Defender, Microsoft Purview und zugehörigen Microsoft 365-Diensten über den Security Copilot Plugins. Sein Zweck ist es, die Data Protection Baseline (DPB) -Konfiguration Ihrer Organisation zu bewerten, potenzielle Compliance-Lücken zu identifizieren und Erkenntnisse zu generieren, ohne Konfigurationen zu ändern.

So funktioniert es

Der Agent stellt über Microsoft Graph API-Endpunkte eine sichere Verbindung zu Ihrem Tenant her, um Compliance-, Sicherheits- und Auditprotokolldaten abzurufen. Er bewertet diese Informationen anhand von Datenschutz- und Compliance-Frameworks wie der Microsoft Data Protection Baseline und GDPR, um Verbesserungspotenziale und Risikobereiche aufzuzeigen.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Frameworks.

  • Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen benötigt, um Compliance- und Sicherheitsdaten lesen zu können.

  • Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und ist innerhalb von Microsoft Entra vollständig überprüfbar.

Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Compliance-Datenadministrator

Bietet schreibgeschützten Zugriff auf Microsoft Purview- und Compliance-Daten.

Security Reader

Gewährt schreibgeschützte Sicht auf Sicherheitsereignisse und Warnungen von Microsoft Defender.

Berichtsleser

Ermöglicht schreibgeschützten Zugriff auf Audit- und Berichtsdaten in den Microsoft 365-Diensten.

Diese Rollen orientieren sich am Prinzip der geringsten Berechtigung. Passen Sie sie anhand der Compliance- und Governance-Anforderungen Ihrer Organisation an.

Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt die vom Agenten abgerufenen Daten und ihren Zweck.

Datentyp
Zugriffslevel
Zweck

Compliance- und Richtlinienkonfigurationsdaten

Schreibgeschützt

Zur Bewertung der Übereinstimmung mit der Data Protection Baseline und Compliance-Frameworks.

Sicherheitsvorfälle und Warnungen

Schreibgeschützt

Zur Korrelation der Compliance-Situation mit Sicherheitsereignissen und Risikosignalen.

Auditprotokolle

Schreibgeschützt

Zur Bewertung von Benutzer- und Administratoraktivitäten im Zusammenhang mit Datenschutzkontrollen.

Datenklassifizierungs- und Kennzeichnungsdaten

Schreibgeschützt

Zur Identifizierung von Abdeckungslücken in Datenschutz- und Aufbewahrungsrichtlinien.

Datenverarbeitung:

  • Der Agent nicht Kundendaten außerhalb der Tenant-Grenze ändern, löschen oder exportieren.

  • Der gesamte Zugriff erfolgt über den Microsoft Graph API mithilfe delegierter oder Anwendungsberechtigungen.

  • Zugriffsereignisse werden in Microsoft Entra-Auditprotokollen für Sichtbarkeit und Compliance-Tracking protokolliert.

Agenteneinstellungen

Der Agent unterstützt optionale Parameter, um die Analyse-Tiefe, Frameworks und Zeiträume anzupassen.

Einstellung
Optionen / Beispiel
Beschreibung

Frameworks

Standard: Data Protection Baseline (DPB) und GDPR

Legt fest, welche Compliance- oder Schutz-Frameworks bewertet werden sollen.

AdditionalFrameworkText

"ISO 27001 erfordert die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung..."

Ermöglicht das Hinzufügen von benutzerdefiniertem Framework-Text für eine erweiterte Compliance-Bewertung.

FrameworkURL

"https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-soc-2"

Verweist zum Vergleich auf ein externes Compliance-Framework oder ein Leitliniendokument.

TimeRange

30 oder 90 (Tage)

Legt das Zeitfenster für die Analyse von Compliance- und Auditdaten fest.

Für genaue Ergebnisse stellen Sie sicher, dass mindestens 30 Tage an Compliance- und Sicherheitsdaten vor dem Ausführen des Agenten verfügbar sind.

Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph ist mithilfe von HTTPS verschlüsselt und über Microsoft-Identitätsdienste abgesichert.

  • Der Agent erfüllt die Zero Trust und Prinzip der minimalen Rechtevergabe .

  • Der Zugriff kann jederzeit über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.

Nächste Schritte

  • Bestätigen Sie, dass dem Administratorkonto die erforderlichen Rollen zugewiesen sind.

  • Überprüfen Sie, dass die Datenerfassung von Microsoft Defender und Purview seit mindestens 30 Tagen aktiv ist.

  • Erfahren Sie mehr über Berechtigungen in der Microsoft Graph permissions reference.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?