# Berechtigungen

### Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten.\
Der Agent verwendet **schreibgeschützten Zugriff** für Compliance-, Audit- und Sicherheitsdaten aus Microsoft Defender, Microsoft Purview und zugehörigen Microsoft 365-Diensten über den **Security Copilot Plugins**.\
Sein Zweck ist es, die **Data Protection Baseline (DPB)** -Konfiguration Ihrer Organisation zu bewerten, potenzielle Compliance-Lücken zu identifizieren und Erkenntnisse zu generieren, ohne Konfigurationen zu ändern.

***

### So funktioniert es

Der Agent stellt über Microsoft Graph API-Endpunkte eine sichere Verbindung zu Ihrem Tenant her, um Compliance-, Sicherheits- und Auditprotokolldaten abzurufen.\
Er bewertet diese Informationen anhand von Datenschutz- und Compliance-Frameworks wie der Microsoft Data Protection Baseline und GDPR, um Verbesserungspotenziale und Risikobereiche aufzuzeigen.

Alle Interaktionen folgen diesen Grundsätzen:

* **Schreibgeschützter Zugriff:** Der Agent ändert oder erstellt keine Konfigurationen, Richtlinien oder Frameworks.
* **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Berechtigungen benötigt, um Compliance- und Sicherheitsdaten lesen zu können.
* **Transparenz:** Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und ist innerhalb von Microsoft Entra vollständig überprüfbar.

***

### Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

| Rolle                             | Beschreibung                                                                                      |
| --------------------------------- | ------------------------------------------------------------------------------------------------- |
| **Compliance-Datenadministrator** | Bietet schreibgeschützten Zugriff auf Microsoft Purview- und Compliance-Daten.                    |
| **Security Reader**               | Gewährt schreibgeschützte Sicht auf Sicherheitsereignisse und Warnungen von Microsoft Defender.   |
| **Berichtsleser**                 | Ermöglicht schreibgeschützten Zugriff auf Audit- und Berichtsdaten in den Microsoft 365-Diensten. |

{% hint style="info" %}
Diese Rollen orientieren sich am Prinzip der geringsten Berechtigung. Passen Sie sie anhand der Compliance- und Governance-Anforderungen Ihrer Organisation an.
{% endhint %}

***

### Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt die vom Agenten abgerufenen Daten und ihren Zweck.

| Datentyp                                           | Zugriffslevel    | Zweck                                                                                               |
| -------------------------------------------------- | ---------------- | --------------------------------------------------------------------------------------------------- |
| **Compliance- und Richtlinienkonfigurationsdaten** | Schreibgeschützt | Zur Bewertung der Übereinstimmung mit der Data Protection Baseline und Compliance-Frameworks.       |
| **Sicherheitsvorfälle und Warnungen**              | Schreibgeschützt | Zur Korrelation der Compliance-Situation mit Sicherheitsereignissen und Risikosignalen.             |
| **Auditprotokolle**                                | Schreibgeschützt | Zur Bewertung von Benutzer- und Administratoraktivitäten im Zusammenhang mit Datenschutzkontrollen. |
| **Datenklassifizierungs- und Kennzeichnungsdaten** | Schreibgeschützt | Zur Identifizierung von Abdeckungslücken in Datenschutz- und Aufbewahrungsrichtlinien.              |

**Datenverarbeitung:**

* Der Agent **nicht** Kundendaten außerhalb der Tenant-Grenze ändern, löschen oder exportieren.
* Der gesamte Zugriff erfolgt über den **Microsoft Graph API** mithilfe delegierter oder Anwendungsberechtigungen.
* Zugriffsereignisse werden in **Microsoft Entra-Auditprotokollen** für Sichtbarkeit und Compliance-Tracking protokolliert.

***

### Agenteneinstellungen

Der Agent unterstützt optionale Parameter, um die Analyse-Tiefe, Frameworks und Zeiträume anzupassen.

| Einstellung                 | Optionen / Beispiel                                                                             | Beschreibung                                                                                               |
| --------------------------- | ----------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------- |
| **Frameworks**              | Standard: Data Protection Baseline (DPB) und GDPR                                               | Legt fest, welche Compliance- oder Schutz-Frameworks bewertet werden sollen.                               |
| **AdditionalFrameworkText** | `"ISO 27001 erfordert die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung..."` | Ermöglicht das Hinzufügen von benutzerdefiniertem Framework-Text für eine erweiterte Compliance-Bewertung. |
| **FrameworkURL**            | `"https://learn.microsoft.com/en-us/azure/compliance/offerings/offering-soc-2"`                 | Verweist zum Vergleich auf ein externes Compliance-Framework oder ein Leitliniendokument.                  |
| **TimeRange**               | `30` oder `90` (Tage)                                                                           | Legt das Zeitfenster für die Analyse von Compliance- und Auditdaten fest.                                  |

{% hint style="info" %}
Für genaue Ergebnisse stellen Sie sicher, dass mindestens **30 Tage an Compliance- und Sicherheitsdaten** vor dem Ausführen des Agenten verfügbar sind.
{% endhint %}

***

### Sicherheits- und Compliance-Überlegungen

* Die gesamte Kommunikation mit Microsoft Graph ist mithilfe von HTTPS verschlüsselt und über Microsoft-Identitätsdienste abgesichert.
* Der Agent erfüllt die **Zero Trust** und **Prinzip der minimalen Rechtevergabe** .
* Der Zugriff kann jederzeit über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**.

***

### Nächste Schritte

* Bestätigen Sie, dass dem Administratorkonto die erforderlichen Rollen zugewiesen sind.
* Überprüfen Sie, dass die Datenerfassung von Microsoft Defender und Purview seit mindestens 30 Tagen aktiv ist.
* Erfahren Sie mehr über Berechtigungen in der [Microsoft Graph permissions reference](https://learn.microsoft.com/graph/permissions-reference).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/compliance-assistant/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.