Schnelle Aufgaben für die ersten Schritte mit Microsoft 365 Compliance

Wenn Sie noch nicht mit der Microsoft 365 compliance und fragen, wo Sie beginnen sollten, enthält dieser Artikel Anleitungen zu den Grundlagen und priorisiert wichtige Compliance-Aufgaben. Dieser Artikel hilft Ihnen bei den ersten Schritten mit der Verwaltung und Überwachung Ihrer Daten, dem Schutz von Informationen und der Minimierung von Insider-Risiken.

Dieser Artikel ist auch hilfreich, wenn Sie herausfinden, wie Sie Risiken am besten verwalten, Ihre Daten schützen und den Vorschriften und Standards einer neu entlegenen Belegschaft entsprechen. Mitarbeiter arbeiten jetzt auf neue Weise zusammen und verbinden sich miteinander, was bedeutet, dass sich Ihre vorhandenen Complianceprozesse und Kontrollen möglicherweise anpassen müssen. Die Identifizierung und Verwaltung dieser neuen Compliancerisiken innerhalb Ihrer Organisation ist entscheidend, um Ihre Daten zu schützen und Bedrohungen und Risiken zu minimieren.

Nachdem Sie diese grundlegenden Complianceaufgaben abgeschlossen haben, sollten Sie erwägen, die Compliance-Abdeckung in Ihrer Organisation zu erweitern, indem Sie zusätzliche Microsoft 365 Compliancelösungen implementieren.

Aufgabe 1: Konfigurieren von Complianceberechtigungen

Es ist wichtig zu verwalten, wer in Ihrer Organisation Zugriff auf die Microsoft 365 Compliance Center hat, um Inhalte anzuzeigen und Verwaltungsaufgaben auszuführen. Microsoft 365 stellt administrative Rollen bereit, die speziell für die Compliance und die Verwendung der in der Microsoft 365 Compliance Center enthaltenen Tools geeignet sind.

Beginnen Sie, indem Sie den Personen in Ihrer Organisation Complianceberechtigungen zuweisen, damit sie diese Aufgaben ausführen können und um zu verhindern, dass nicht autorisierte Personen Zugriff auf Bereiche haben, die außerhalb ihrer Verantwortlichkeiten liegen. Sie sollten sicherstellen, dass Sie dem Compliancedatenadministrator und den Administratorrollen des Complianceadministrators die richtigen Personen zugewiesen haben, bevor Sie mit der Konfiguration und Implementierung von Compliancelösungen beginnen, die in Microsoft 365 enthalten sind. Außerdem müssen Sie der Rolle Azure Active Directory globalen Lesers Benutzer zuweisen, um Daten im Compliance-Manager anzuzeigen.

Eine schrittweise Anleitung zum Konfigurieren von Berechtigungen und Zuweisen von Personen zu Administratorrollen finden Sie unter "Berechtigungen" im Security & Compliance Center.

Aufgabe 2: Kennen Sie Ihren Compliancestatus

Es ist schwierig zu wissen, wohin Sie gehen sollten, wenn Sie nicht wissen, wo Sie sich befinden. Die Erfüllung Ihrer Complianceanforderungen umfasst das Verständnis Ihres aktuellen Risikoniveaus und darüber, welche Updates in diesen sich ständig ändernden Zeiten erforderlich sein können. Unabhängig davon, ob Ihre Organisation noch nicht mit Complianceanforderungen vertraut ist oder über umfassende Erfahrung mit Standards und Vorschriften verfügt, die Ihre Branche steuern, können Sie die Compliance am besten verbessern, wenn Sie wissen, wo Ihre Organisation steht.

Microsoft Compliance Manager kann Ihnen dabei helfen, den Compliancestatus Ihrer Organisation zu verstehen und Bereiche hervorzuheben, die möglicherweise verbessert werden müssen. Compliance-Manager verwendet ein zentrales Dashboard, um eine risikobasierte Bewertung zu berechnen und Ihren Fortschritt bei der Durchführung von Maßnahmen zu messen, die dazu beitragen, Risiken im Zusammenhang mit Datenschutz und gesetzlichen Standards zu verringern. Sie können den Compliance-Manager auch als Tool verwenden, um alle Ihre Risikobewertungen nachzuverfolgen. Es bietet Workflowfunktionen, um Ihre Risikobewertungen mithilfe eines zentralen Tools effizient durchzuführen.

Eine schrittweise Anleitung für die ersten Schritte mit Compliance-Manager finden Sie unter "Erste Schritte mit Compliance-Manager".

Wichtig

Sicherheit und Compliance sind für die meisten Organisationen eng integriert. Es ist wichtig, dass Sich Ihre Organisation mit grundlegenden Sicherheits-, Bedrohungsschutz- und Identitäts- und Zugriffsverwaltungsbereichen befasst, um einen umfassenden Ansatz für Sicherheit und Compliance bereitzustellen.

Überprüfen Sie Ihre Microsoft 365 Sicherheitsbewertung im Microsoft 365 Defender-Portal, und führen Sie die in den folgenden Artikeln beschriebenen Aufgaben aus:

Aufgabe 3: Aktivieren der Überwachung für Ihre Organisation

Nachdem Sie nun den aktuellen Status Ihrer Organisation bestimmt haben und wer Compliancefunktionen verwalten kann, besteht der nächste Schritt darin, sicherzustellen, dass Sie über die Daten verfügen, um Complianceuntersuchungen durchzuführen und Berichte für Netzwerk- und Benutzeraktivitäten in Ihrer Organisation zu generieren. Die Aktivierung der Überwachung ist auch eine wichtige Voraussetzung für Compliancelösungen, die weiter unten in diesem Artikel behandelt werden.

Insights aus dem Überwachungsprotokoll sind ein wertvolles Tool, um Ihre Complianceanforderungen an Lösungen anzupassen, die Ihnen helfen können, Compliancebereiche zu verwalten und zu überwachen, die verbessert werden müssen. Die Überwachungsprotokollierung muss aktiviert sein, bevor Aktivitäten aufgezeichnet werden und bevor Sie das Überwachungsprotokoll durchsuchen können. Wenn dies aktiviert ist, werden die Aktivitäten von Benutzern und Administratoren aus Ihrer Organisation im Überwachungsprotokoll aufgezeichnet und 90 Tage lang und bis zu einem Jahr aufbewahrt, je nach der den Benutzern zugewiesenen Lizenz.

Schrittweise Anleitungen zum Aktivieren der Überwachung finden Sie unter Aktivieren oder Deaktivieren der Überwachungsprotokollsuche.

Aufgabe 4: Erstellen von Richtlinien, um Sie über potenzielle Complianceprobleme zu informieren

Microsoft bietet mehrere integrierte Warnungsrichtlinien, mit denen Administratorberechtigungsverletzungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Informationsgovernancerisiken identifiziert werden können. Diese Richtlinien sind standardmäßig aktiviert, aber Sie müssen möglicherweise benutzerdefinierte Warnungen konfigurieren, um compliancespezifische Complianceanforderungen für Ihre Organisation zu verwalten.

Verwenden Sie Warnungsrichtlinien- und Warnungsdashboardtools, um benutzerdefinierte Warnungsrichtlinien zu erstellen und die Warnungen anzuzeigen, die generiert werden, wenn Benutzer Aktivitäten ausführen, die den Richtlinienbedingungen entsprechen. Einige Beispiele könnten die Verwendung von Warnungsrichtlinien sein, um Benutzer- und Administratoraktivitäten nachzuverfolgen, die sich auf Complianceanforderungen, Berechtigungen und Datenverlustvorfälle in Ihrer Organisation auswirken.

For step-by-step guidance to create custom alert policies, see Alert policies in the security and compliance center.

Aufgabe 5: Klassifizieren und Schützen vertraulicher Daten

Im Rahmen ihrer Arbeit müssen Personen in Ihrer Organisation mit anderen Personen innerhalb und außerhalb der Organisation zusammenarbeiten. Dies bedeutet, dass Inhalte nicht mehr durch eine Firewall geschützt sind – sie können zwischen verschiedenen Geräten, Apps und Diensten hin- und herbewegt werden. Dies soll auf sichere und geschützte Weise geschehen, die den geschäftlichen Anforderungen und Compliancerichtlinien Ihrer Organisation entspricht.

Mit Vertraulichkeitsbezeichnungen können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass die Produktivität der Benutzer und ihre Fähigkeit zur Zusammenarbeit nicht beeinträchtigt wird. Verwenden Sie Vertraulichkeitsbezeichnungen, um Verschlüsselungs- und Nutzungseinschränkungen durchzusetzen, wenden Sie visuelle Markierungen an und schützen Sie Informationen plattform- und geräteübergreifend, lokal und in der Cloud.

Eine schrittweise Anleitung zum Konfigurieren und Verwenden von Vertraulichkeitsbezeichnungen finden Sie unter "Erste Schritte mit Vertraulichkeitsbezeichnungen".

Aufgabe 6: Konfigurieren von Aufbewahrungsrichtlinien

Mithilfe einer Aufbewahrungsrichtlinie können Sie proaktiv entscheiden, ob Inhalte aufbewahrt, gelöscht oder beides, also aufbewahrt und dann am Ende eines bestimmten Aufbewahrungszeitraums gelöscht werden sollen. Diese Maßnahmen sind möglicherweise erforderlich, um branchenspezifische Vorschriften und interne Richtlinien einzuhalten und Ihr Risiko im Falle von Rechtsstreitigkeiten oder Sicherheitsverletzungen zu verringern.

Wenn Inhalte einer Aufbewahrungsrichtlinie unterliegen, können Benutzer den Inhalt weiterhin bearbeiten und damit arbeiten, als ob sich nichts geändert hätte. Der Inhalt wird an seinem ursprünglichen Speicherort beibehalten. Wenn jedoch jemand Inhalte bearbeitet oder löscht, die der Aufbewahrungsrichtlinie unterliegen, wird eine Kopie des ursprünglichen Inhalts an einem sicheren Speicherort gespeichert, an dem er aufbewahrt wird, während die Aufbewahrungsrichtlinie für diese Inhalte wirksam ist.

Sie können schnell Aufbewahrungsrichtlinien für mehrere Dienste in Ihrer Microsoft 365 Umgebung einrichten, die Teams und Yammer Nachrichten, Exchange E-Mails, SharePoint Websites und OneDrive Konten umfassen. Es gibt keine Beschränkungen für die Anzahl der Benutzer, Postfächer oder Websites, die eine Aufbewahrungsrichtlinie automatisch einschließen kann. Wenn Sie jedoch selektiver arbeiten müssen, können Sie dies tun, indem Sie entweder einen adaptiven Bereich konfigurieren, der abfragebasiert für dynamische Zielinstanzen ist, oder einen statischen Bereich, der bestimmte Instanzen angibt, die immer eingeschlossen oder immer ausgeschlossen werden sollen.

Eine schrittweise Anleitung zum Konfigurieren von Aufbewahrungsrichtlinien finden Sie unter Erstellen und Konfigurieren von Aufbewahrungsrichtlinien. Da Aufbewahrungsrichtlinien den Grundpfeiler einer Informationsgovernancestrategie für Microsoft 365 bilden, lesen Sie "Erste Schritte mit der Informationsgovernance".

Aufgabe 7: Konfigurieren vertraulicher Informationen und Richtlinien für anstößige Sprachen

Der Schutz vertraulicher Informationen und die Erkennung und Behandlung von Vorfällen bei Belästigung am Arbeitsplatz ist ein wichtiger Bestandteil der Einhaltung interner Richtlinien und Standards. Die Kommunikationscompliance in Microsoft 365 trägt dazu bei, diese Risiken zu minimieren, indem es Ihnen hilft, E-Mail- und Microsoft Teams-Kommunikation schnell zu erkennen, zu erfassen und Abhilfemaßnahmen zu ergreifen. Dazu gehören unangemessene Kommunikationen, die Anstößigkeit, Bedrohungen sowie Belästigungen und Kommunikationen enthalten, die vertrauliche Informationen innerhalb und außerhalb Ihrer Organisation teilen.

Mit einer vordefinierten Vorlage für anstößige Sprache und Antibelästigungsrichtlinien können Sie die interne und externe Kommunikation auf Richtlinienübereinstimmungen überprüfen, damit sie von bestimmten Prüfern überprüft werden können. Prüfer können gescannte E-Mails, Microsoft Teams, Yammer oder Drittanbieterkommunikationen in Ihrer Organisation untersuchen und geeignete Korrekturmaßnahmen ergreifen, um sicherzustellen, dass sie den Standards Ihrer Organisation entsprechen.

Mit der vordefinierten Vorlage für Richtlinien für vertrauliche Informationen können Sie schnell eine Richtlinie zum Scannen von E-Mails und Microsoft Teams Kommunikationen erstellen, die definierte Typen vertraulicher Informationen oder Schlüsselwörter enthalten, um sicherzustellen, dass wichtige Daten nicht für Personen freigegeben werden, die keinen Zugriff haben sollten. Diese Aktivitäten können eine nicht autorisierte Kommunikation über vertrauliche Projekte oder branchenspezifische Regeln für Insider-Geschäfte oder andere geheime Aktivitäten umfassen.

Eine schrittweise Anleitung zum Planen und Konfigurieren der Kommunikationscompliance finden Sie unter "Planen der Kommunikationscompliance" und "Erste Schritte mit der Kommunikationscompliance". Informationen zur Kommunikationscompliancelizenzierung finden Sie unter Microsoft 365 Lizenzierungsleitfaden für Sicherheit & Compliance.

Aufgabe 8: Sehen Sie sich an, was mit Ihren vertraulichen Elementen geschieht

Vertraulichkeitsbezeichnungen, Typen vertraulicher Informationen, Aufbewahrungsbezeichnungen und Richtlinien sowie trainierbare Klassifizierer können verwendet werden, um vertrauliche Elemente in Exchange, SharePoint und OneDrive zu klassifizieren und zu kennzeichnen, wie Sie in den vorherigen Aufgaben gesehen haben. Der letzte Schritt ihrer schnellen Aufgaben besteht darin, zu sehen, welche Elemente bezeichnet wurden und welche Aktionen Ihre Benutzer für diese vertraulichen Elemente ausführen. Der Inhalts-Explorer und der Aktivitäten-Explorer bieten diese Sichtbarkeit.

Inhalts-Explorer

Mit dem Inhalts-Explorer können Sie in ihrem systemeigenen Format alle Elemente anzeigen, die als vertraulicher Informationstyp klassifiziert wurden oder zu einer bestimmten Klassifizierung durch einen trainierbaren Klassifizierer gehören, sowie alle Elemente, auf die Vertraulichkeits- oder Aufbewahrungsbezeichnungen angewendet wurden.

Eine schrittweise Anleitung zur Verwendung des Inhalts-Explorers finden Sie unter "Kennen Sie Ihre Daten – Übersicht über die Datenklassifizierung"und "Erste Schritte mit dem Inhalts-Explorer".

Aktivitäten-Explorer

Der Aktivitäts-Explorer hilft Ihnen, zu überwachen, was mit Ihren klassifizierten und bezeichneten vertraulichen Elementen geschieht:

  • SharePoint
  • Exchange
  • OneDrive

Es stehen über 30 verschiedene Filter zur Verfügung, einschließlich:

  • Zeitraum:
  • Aktivitätstyp
  • Speicherort
  • Benutzer
  • Vertraulichkeitsbezeichnung
  • Aufbewahrungsbezeichnung
  • Dateipfad
  • DLP-Richtlinie

Schritt-für-Schritt-Anleitungen zur Verwendung des Aktivitäten-Explorers finden Sie unter Erste Schritte mit dem Aktivitäten-Explorer.

Nächste Schritte

Nachdem Sie nun die Grundlagen für das Compliance-Management für Ihre Organisation konfiguriert haben, sollten Sie die folgenden Compliance-Lösungen in Microsoft 365 in Betracht ziehen, um vertrauliche Informationen zu schützen und zusätzliche Insider-Risiken zu erkennen und darauf zu reagieren.

Konfigurieren von Aufbewahrungsbezeichnungen

Während Aufbewahrungsrichtlinien automatisch für alle Elemente auf Containerebene gelten (z. B. SharePoint Websites, Benutzerpostfächer usw.), gelten Aufbewahrungsbezeichnungen für einzelne Elemente, z. B. ein SharePoint-Dokument oder eine E-Mail-Nachricht. Sie können diese Bezeichnungen manuell oder automatisch anwenden.

Aufbewahrungsbezeichnungen können als Teil Ihrer Governance-Informationsstrategie verwendet werden, um die benötigten Elemente beizubehalten und nicht benötigte Elemente zu löschen. Verwenden Sie diese Bezeichnungen, wenn Sie Ausnahmen von Ihren Aufbewahrungsrichtlinien benötigen, wenn bestimmte Dokumente oder E-Mails andere Aufbewahrungs- oder Löscheinstellungen benötigen. Ihre SharePoint-Richtlinie bewahrt beispielsweise alle Dokumente für drei Jahre auf, bestimmte Geschäftsdokumente müssen jedoch fünf Jahre lang aufbewahrt werden. Weitere Informationen finden Sie unter Erstellen von Aufbewahrungsbezeichnungen für Ausnahmen von Ihren Aufbewahrungsrichtlinien.

Aufbewahrungsbezeichnungen bieten jedoch, wenn sie mit der Datensatzverwaltungverwendet werden, viele weitere Verwaltungsoptionen, um den gesamten Lebenszyklus von Dokumenten und E-Mails zu unterstützen. Diese Ebene der Datenverwaltung eignet sich gut für hochwertige Elemente für geschäftliche, rechtliche oder behördliche Aufbewahrungsanforderungen. Weitere Informationen finden Sie unter Erste Schritte mit der Datensatzverwaltung.

Identifizieren und Definieren vertraulicher Informationstypen

Definieren Sie Typen vertraulicher Informationen basierend auf dem Muster, das in den Informationen in den Daten Ihrer Organisation enthalten ist. Verwenden Sie integrierte Typen vertraulicher Informationen, um Kreditkartennummern, Bankkontonummern, Reisepassnummern und vieles mehr zu identifizieren und zu schützen. Oder erstellen Sie eigene benutzerdefinierte Vertraulichkeitsinformationstypen, die für Ihre Organisation spezifisch sind.

Eine schrittweise Anleitung zum Definieren benutzerdefinierter Typen vertraulicher Informationen finden Sie unter Erstellen eines benutzerdefinierten Vertraulichen Informationstyps im Security & Compliance Center.

Verhindern von Datenverlust

Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) ermöglichen es Ihnen, vertrauliche Informationen in Ihrer Microsoft 365 Organisation zu identifizieren, zu überwachen und automatisch zu schützen. Verwenden Sie DLP-Richtlinien, um vertrauliche Elemente über Microsoft-Dienste hinweg zu identifizieren, die versehentliche Freigabe vertraulicher Elemente zu verhindern und Benutzern zu helfen, zu erfahren, wie sie konform bleiben, ohne ihren Workflow zu unterbrechen.

Eine schrittweise Anleitung zum Konfigurieren von DLP-Richtlinien finden Sie unter Erstellen, Testen und Optimieren einer DLP-Richtlinie. Informationen zur Verwaltung von Datenverlust finden Sie unter Microsoft 365 Lizenzierungsanleitungen für Die Sicherheit & Compliance.

Erkennen und Reagieren auf Insider-Risiken

Immer mehr Mitarbeiter haben zunehmenden Zugriff auf das Erstellen, Verwalten und Freigeben von Daten über ein breites Spektrum von Plattformen und Diensten hinweg. In den meisten Fällen verfügen Organisationen über begrenzte Ressourcen und Tools, um organisationsweite Risiken zu erkennen und zu mindern und gleichzeitig compliancebezogene Anforderungen und Datenschutzstandards der Mitarbeiter zu erfüllen. Zu diesen Risiken können Datendiebstahl durch ausscheidende Mitarbeiter und Datenlecks von Informationen außerhalb Ihrer Organisation durch versehentliche Überteilung oder böswillige Absichten gehören.

Das Insider-Risikomanagement in Microsoft 365 nutzt die gesamte Bandbreite von Dienst- und Drittanbieterindikatoren, um riskante Benutzeraktivitäten schnell zu identifizieren, zu selektieren und zu bearbeiten. Dank der Nutzung von Protokollen aus Microsoft 365 und Microsoft Graph können Sie mithilfe des Insider-Risikomanagements spezifische Richtlinien definieren, um Risikoindikatoren zu identifizieren und Maßnahmen zur Verringerung dieser Risiken zu ergreifen.

Eine schrittweise Anleitung zum Planen und Konfigurieren von Richtlinien für das Insider-Risikomanagement finden Sie unter "Planen des Insider-Risikomanagements" und "Erste Schritte mit dem Insider-Risikomanagement". Informationen zur Lizenzierung des Insider-Risikomanagements finden Sie unter Microsoft 365 Lizenzierungsleitfaden für Sicherheit & Compliance.