Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Generative KI-Dienste (künstliche Intelligenz) wie Microsoft Security Copilot und Microsoft 365 Copilot, liefern Ihrer Organisation einen Mehrwert, wenn sie entsprechend verwendet werden. Es ist möglich, diese Dienste mit vorhandenen Funktionen wie der Richtlinie für bedingten Zugriff von Microsoft Entra zu schützen.
Das Anwenden der Richtlinie für bedingten Zugriff auf diese generativen KI-Dienste ist über Ihre vorhandenen Richtlinien möglich, die auf alle Ressourcen für alle Benutzer, riskante Benutzer oder Anmeldungen sowie Benutzer mit Insider-Risiko abzielen.
In diesem Artikel erfahren Sie, wie Sie bestimmte generative KI-Dienste wie Microsoft Security Copilot und Microsoft 365 Copilot ansprechen, um Richtlinien durchzusetzen.
Erstellen Sie zielorientierte Diensthauptinstanzen mithilfe von PowerShell
Um diese generativen KI-Dienste individuell anzusprechen, müssen Organisationen die folgenden Dienstprinzipale erstellen, um sie in der App-Auswahl für bedingten Zugriff verfügbar zu machen. Die folgenden Schritte zeigen, wie Sie diese Dienstprinzipale mithilfe des Cmdlets New-MgServicePrincipal hinzufügen, das Bestandteil des Microsoft Graph PowerShell SDKs ist.
# Connect with the appropriate scopes to create service principals
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# Create service principal for the service Enterprise Copilot Platform (Microsoft 365 Copilot)
New-MgServicePrincipal -AppId fb8d773d-7ef8-4ec0-a117-179f88add510
# Create service principal for the service Security Copilot (Microsoft Security Copilot)
New-MgServicePrincipal -AppId bb5ffd56-39eb-458c-a53a-775ba21277da
Erstellen von Richtlinien für bedingten Zugriff
Als Organisation, die Dienste wie Microsoft 365 Copilot und Microsoft Security Copilot einführt, möchten Sie sicherstellen, dass der Zugriff nur durch Benutzer erfolgt, die Ihre Sicherheitsanforderungen erfüllen. Zum Beispiel:
- Alle Benutzer generativer KI-Dienste müssen phishingresistente MFA abschließen.
- Alle Benutzer generativer KI-Diensten müssen von einem kompatiblen Gerät aus zugreifen, wenn das Insider-Risiko moderat ist.
- Alle Benutzer generativer KI-Diensten werden blockiert, wenn das Insider-Risiko erhöht ist.
Tipp
Die folgenden Richtlinien für bedingten Zugriff zielen auf die eigenständigen, nicht auf die eingebetteten Umgebungen ab.
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:
-
Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
-
Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.
Alle Benutzer generativer KI-Dienste müssen phishingresistente MFA abschließen.
Mithilfe der folgenden Schritten können Sie eine Richtlinie für bedingten Zugriff erstellen, die von allen Benutzern eine Multi-Faktor-Authentifizierung verlangt, indem sie die Richtlinie für Authentifizierungsstärke nutzen.
Warnung
Wenn Sie externe Authentifizierungsmethoden verwenden, sind diese derzeit nicht mit der Authentifizierungsstärke kompatibel, und Sie sollten die Steuerung der mehrstufigen Authentifizierungserteilung verwenden.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Sicherheits-Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
- Wählen Sie "Authentifizierungsstärke erforderlich" aus, und wählen Sie dann die integrierte Phishing-resistente MFA-Authentifizierungsstärke aus der Liste aus.
- Wählen Sie Auswählen.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Berichterstattung fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Alle Benutzer generativer KI-Diensten müssen von einem kompatiblen Gerät aus zugreifen, wenn das Insider-Risiko moderat ist.
Tipp
Konfigurieren Sie den adaptiven Schutz, bevor Sie die folgende Richtlinie erstellen.
Ohne eine in Microsoft Intune erstellte Compliancerichtlinie funktioniert diese Richtlinie für bedingten Zugriff nicht wie beabsichtigt. Erstellen Sie zuerst eine Compliancerichtlinie, und stellen Sie sicher, dass Sie mindestens ein kompatibles Gerät haben, bevor Sie fortfahren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Führen Sie unter Ausschließen die folgenden Schritte aus:
- Wählen Sie Benutzer und Gruppen und dann die Notfallzugriffs- oder "Break-Glass"-Konten Ihrer Organisation aus.
- Wählen Sie Gast- oder externe Benutzer und dann Folgendes aus:
- Benutzer mit direkter B2B-Verbindung
- Dienstanbieterbenutzer
- Andere externe Benutzer
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Sicherheits-Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Legen Sie unter Bedingungen>Insider-Risiko die Option Konfigurieren auf Ja fest.
- Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
- Wählen Sie moderat aus.
- Wählen Sie Fertig aus.
- Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
- Unter Zugriffssteuerungen>Erteilen:
- Wählen Sie Anforderung, dass das Gerät als konform gekennzeichnet wird.
- Wählen Sie Auswählen.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Berichterstattung fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Alle Benutzer generativer KI-Diensten werden blockiert, wenn das Insider-Risiko erhöht ist.
Tipp
Konfigurieren Sie den adaptiven Schutz, bevor Sie die folgende Richtlinie erstellen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Führen Sie unter Ausschließen die folgenden Schritte aus:
- Wählen Sie Benutzer und Gruppen und dann die Notfallzugriffs- oder "Break-Glass"-Konten Ihrer Organisation aus.
- Wählen Sie Gast- oder externe Benutzer und dann Folgendes aus:
- Benutzer mit direkter B2B-Verbindung
- Dienstanbieterbenutzer
- Andere externe Benutzer
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Gewählte Ressourcen die folgenden aus:
- Enterprise Copilot Platform fb8d773d-7ef8-4ec0-a117-179f88add510 (Microsoft 365 Copilot)
- Sicherheits-Copilot bb5ffd56-39eb-458c-a53a-775ba21277da (Microsoft Security Copilot)
- Legen Sie unter Bedingungen>Insider-Risiko die Option Konfigurieren auf Ja fest.
- Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
- Wählen Sie Erhöht aus.
- Wählen Sie Fertig aus.
- Unter Risikostufen auswählen, die zum Erzwingen der Richtlinie zugewiesen werden müssen:
- Wählen Sie unter Zugriffssteuerung>Grant die Option Zugriff blockieren und dann Auswählen.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Berichterstattung fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Zugehöriger Inhalt
- Verwalten von Microsoft 365 für iOS und Android mit Microsoft Intune
- Verwenden des Modus „Nur Bericht“ für bedingten Zugriff zum Ermitteln der Ergebnisse neuer Richtlinienentscheidungen
- Sichere generative KI mit Microsoft Entra
- Microsoft Purview-Datenschutz und Compliance-Schutz für generative KI-Apps
- Überlegungen zu Microsoft Purview-KI-Hub und Datenschutz und Complianceschutz für Copilot
- Anwenden von Zero Trust-Prinzipien auf Microsoft Copilot
- Anwenden von Zero Trust-Prinzipien auf Microsoft 365 Copilot
- Anwenden von Zero Trust-Prinzipien auf Microsoft Security Copilot