HR im Homeoffice greift auf Personalakten zu.
MFA + Conditional Access für compliant device + Sensitivity Label 'Vertraulich'
Kombiniert explizite Prüfung, Least Privilege und Datenklassifizierung.
Zero Trust
Zero Trust prüft jeden Zugriff explizit, begrenzt Rechte und plant mit möglichen Kompromittierungen.
Aufgabenstellung
Identität, Gerät, Risiko, Berechtigung und Datenkontext werden gemeinsam bewertet.
Die Lösungen sind direkt sichtbar, damit die Seite als ruhiges Nachschlagewerk funktioniert.
Kernwissen
- Verify explicitly: Identität, Gerät, Standort und Risiko bei jedem Zugriff prüfen.
- Least Privilege: nur notwendige Rechte, möglichst zeitlich begrenzt.
- Assume Breach: Überwachung, Segmentierung und schnelle Reaktion einplanen.
Lösungen zu Aufgabe 08
Szenario-Entscheidungen
Externer IT-Dienstleister soll temporär in Teams arbeiten.
Entra B2B-Gastkonto + befristete Team-Mitgliedschaft + MFA
Externer behält seine Identität, Zugriff ist punktuell und zeitlich begrenzt.
IT-Admin braucht 30 Minuten Entra-ID-Konfiguration.
PIM-Eligibility, Aktivierung mit Begründung und MFA
Just-in-Time-Zugriff setzt Least Privilege um.
Copilot arbeitet mit sensiblen Finanzdaten.
Sensitivity Labels respektieren + Purview DLP + Permission Trimming
Labels und DLP setzen den Datenkontext für KI-Zugriffe durch.
Maßnahme -> Zero-Trust-Phase
| Aufgabe | Lösung |
|---|---|
| Username + MFA | Identität |
| Conditional Access prüft Gerät | Prüfung |
| Sign-In Risk Score auswerten | Prüfung |
| PIM-JIT-Aktivierung | Zugriff |
| Sensitivity Label entscheidet | Zugriff |
| Defender XDR korreliert Events | Überwachung |
Zugriffskette
| Aufgabe | Lösung |
|---|---|
| Identität | Entra ID prüft den Benutzer als Anker des Zugriffs. |
| Prüfung | Conditional Access bewertet MFA, Geräte-Compliance, Standort und Risiko. |
| Zugriff | Nur minimale, passende Rechte werden gewährt. |
| Überwachung | Logs und Defender-Signale erkennen Anomalien und lösen Reaktionen aus. |