Pas Zero Trust-principes toe op uw adoptiestrategie
Copilot voor Microsoft 365 geeft uw eindgebruikers de mogelijkheid om elke vraag over uw gegevens te stellen en een antwoord te krijgen, maar het stelt ook slechte actoren in staat om hetzelfde te doen. Dit maakt een Zero Trust-aanpak cruciaal voor uw Copilot-adoptiestrategie.
Zero Trust-principes
In de huidige wereld van toenemende cyberaanvallen en datalekken zijn traditionele perimeterbeveiligingsmodellen niet langer voldoende. Organisaties hebben een nieuwe aanpak nodig die geen vertrouwen veronderstelt en elk verzoek verifieert. ongeacht waar het vandaan komt of waar het naartoe gaat. Dit is de essentie van het Zero Trust-model – een essentieel onderdeel van een veilige implementatie van Copilot voor Microsoft 365. In deze whitepaper leert u hoe u uw omgeving voorbereidt op het gebruik van Copilot voor Microsoft 365, en hoe u Zero Trust-principes toepast en de volledige waarde benut voor M365 E5-licensing.
Het Zero Trust-principe van expliciete verificatie betekent dat elk verzoek om toegang of bronnen moeten worden geauthenticeerd en geautoriseerd op basis van alle beschikbare datapunten, waaronder:
Identiteit
Devices
Locatie
Netwerk
Applicatie-context
Dit betekent ook dat vertrouwen niet mag worden afgeleid uit eerdere interacties of aangenomen op basis van vooraf gedefinieerde grenzen. In plaats daarvan moet het vertrouwen voortdurend worden geëvalueerd en gevalideerd gedurende de hele sessie of transactie. Om dit principe toe te passen op Copilot voor Microsoft 365, moet u ervoor zorgen dat moderne authenticatie met Multi-Factor Authentication (MFA)-methoden worden gecombineerd met voorwaardelijke toegangsbeleidsregels. Hiermee worden de identiteitsclaims van gebruikers en de huidige beveiligingspositie van het device geverifieerd. Door gebruik te maken van de kracht van Microsoft EntraTM ID Protection, kunt u het risiconiveau van elke gebruiker en aanmeldingspoging beoordelen met de handhaving van gedetailleerde voorwaardelijke toegangsbeleidsregels op basis van de rol, locatie, devicestatus en appgevoeligheid van de gebruiker – waardoor u ongeautoriseerde toegang kunt stoppen.
2
3
nl.insight.com
Valideer altijd alle beschikbare datapunten, waaronder:
Gebruikersidentiteit en locatie Devicestatus Service- of werkloadcontext Datarubricering Afwijkingen
Verify explicitly
Om zowel gegevens als productiviteit te helpen beveiligen, kunt u de gebruikerstoegang beperken met:
Gebruik toegang met de minste rechten
Just-in-Time (JIT) toegang Just-Enough-toegang (JEA) Risicogebaseerd adaptief beleid Gegevensbescherming tegen out-of-band vectoren
Minimaliseer de radius voor inbreuken en voorkom zijdelingse bewegingen door:
Assume breach
Toegang te segmenteren op netwerk-, gebruikers-, devices- en appbewustzijn Alle sessies te versleutelen End-to-end Gebruik van analyses voor het detecteren van bedreigingen, inzicht in de houding en het verbeteren van de verdediging
Verken dit onderwerp
Een ander belangrijk principe voor het beveiligen van Copilot voor Microsoft 365 is om altijd het least privileged access model te gebruiken. Dit betekent dat gebruikers en applicaties alleen het minimum level van machtigingen en toegangsrechten moeten hebben die nodig zijn om hun taken uit te voeren. Door de blootstelling van gevoelige gegevens en resources te beperken, wordt het risico op compromissen of misbruik verminderd. Bovendien kan in geval van een inbreuk de gevolgen en schade worden beperkt. Om dit principe toe te passen op Copilot voor Microsoft 365, moet u ervoor zorgen dat Role-Based Access Control (RBAC) wordt geïmplementeerd om rollen en machtigingen toe te wijzen aan gebruikers en applicaties op basis van hun verantwoordelijkheden en behoeften. Met RBAC kunt u het principe van scheiding van taken handhaven, waarmee u belangenconflicten en ongeoorloofde handelingen voorkomt. U kunt ook Microsoft Entra Privileged Identity Management (PIM) gebruiken om het gebruik van privileged accounts en rollen te beheren, te monitoren en te auditen. PIM biedt functies zoals just-in-time toegang, tijdgebonden toegang, goedkeuringsworkflows en toegangsreviews om ervoor te zorgen dat privileged access alleen wordt verleend wanneer dat nodig is (en ingetrokken wanneer het niet in gebruik is). Een derde belangrijk principe voor het beveiligen van Copilot voor Microsoft 365 is het assume breach. Dit betekent dat u niet alleen moet vertrouwen op perimetergebaseerde beveiligingsmaatregelen, maar een diepgaande defensiestrategie moet hanteren die ervan uitgaat dat aanvallers uw netwerk of devices al kunnen hebben gecompromitteerd. Door een inbreuk aan te nemen, kunt u uw beveiligingsbeleid en -controles ontwerpen om uw gegevens en resources op elk niveau te beschermen, van het identiteits- en device level tot het applicatie- en data level. U kunt ook proactieve monitoring- en dreigingsdetectiefuncties implementeren om kwaadaardige activiteiten of afwijkingen in uw omgeving te identificeren en erop te reageren.
• • • • •
• • • •
• • •
Contents
2 - 3 Zero Trust-principes
4 - 5 Copilot voor Microsoft 365: UC Technical Architect
6 - 6 Copilot voor Microsoft 365: Logische architectuur van service en tenant
7 - 7 Semantische index voor Copilot voor Microsoft 365
8 - 9 Aanbevelingen inzake beveiliging en informatiebescherming
10 - 10 Conclusie
2 Zero Trust-principes
3 Copilot voor Microsoft 365: UC Technical Architect
4 Copilot voor Microsoft 365: Logische architectuur van service en tenant
4 Semantische index voor Copilot voor Microsoft 365
5 Aanbevelingen inzake beveiliging en informatiebescherming
6 Conclusie
Copilot voor Microsoft 365: UC Technical Architect
Bij het beschrijven van de logische architectuur van Copilot voor Microsoft 365 kunnen we kijken naar de kerncomponenten en hoe ze samenwerken. De Copilot-service is de component die natuurlijke taalvragen van gebruikers verwerkt en relevante antwoorden teruggeeft. De Copilot-service maakt gebruik van Microsoft® Graph, een uitgebreide API die gegevens en functionaliteit van verschillende Microsoft-cloudservices blootlegt. Microsoft Graph maakt verbinding met uw Microsoft 365® tenant. Dit is de container van de gegevens en resources van uw organisatie, inclusief entiteiten zoals gebruikers en devices, bestanden en mappen, teamsites en communicatiesites, mailboxen en chats, registraties en apps. Uw klantgegevens blijven binnen de Microsoft 365-servicegrenzen. Uw prompts, antwoorden en gegevens in Microsoft Graph worden niet gebruikt om basis Large Language Models (LLM's) te trainen die Copilot benut. Uw gegevens worden beveiligd op basis van bestaande beveiligings-, compliance- en privacybeleidslijnen die al door uw organisatie zijn geïmplementeerd.
4
5
Explore this topic
Another important principle for securing Copilot for Microsoft 365 is to always use the least privileged access model. This means that users and applications should only have the minimum level of permissions and access rights required to perform their tasks. By limiting the exposure of sensitive data and resources, the risk of compromise or misuse is reduced. Additionally, in the event of a breach, the impact and damage can be contained and mitigated. To apply this principle to Copilot for Microsoft 365, ensure that Role-Based Access Control (RBAC) is implemented to assign roles and permissions to users and applications based on their responsibilities and needs. By using RBAC, you can enforce the principle of separation of duties — which prevents conflicts of interest and unauthorised actions. You can also use Microsoft Entra Privileged Identity Management (PIM) to manage, monitor and audit the use of privileged accounts and roles. PIM provides features such as just-in-time access, time-bound access, approval workflows and access reviews to ensure that privileged access is granted only when needed (and revoked when not in use). A third important principle for securing Copilot for Microsoft 365 is to assume breach. This means that you should not rely on perimeter-based security measures alone — but rather adopt a defense-in-depth strategy that assumes that attackers may have already compromised your network or devices. By assuming breach, you can design your security policies and controls to protect your data and resources at every layer, from the identity and device level to the application and data level. You can also implement proactive monitoring and threat detection capabilities to identify and respond to any malicious activity or anomalies in your environment.
Gebruikers en devices
Microsoft 365 Apps
Copilot en aanverwante
Organisatiedata (voorbeeldgegevens)
Semantische index voor Copilot
Brengt uw gegevens en relaties in kaart Biedt gepersonaliseerde, relevante en bruikbare informatie
• •
Microsoft CSP
Copilot for Microsoft 365: Service and Tenant Logical Architecture
Uw tenant bevindt zich binnen de Microsoft 365-servicegrens, waarbij de toewijding van Microsoft aan beveiliging, naleving, datalocatie en privacy wordt gehandhaafd. Copilot is een gedeelde dienst, net als veel andere diensten in Microsoft 365. De communicatie tussen uw tenant en de Copilot-componenten is versleuteld.
6
7
Devices en gebruikers
Apps op devices
Semantische index voor Copilot voor Microsoft 365
De Semantische index voor Copilot identificeert relaties en verbindingen van uw gebruikers- en bedrijfsgegevens. Samen met Copilot en Microsoft Graph creëert het een geavanceerde kaart van alle gegevens en content in uw organisatie om Copilot in staat te stellen gepersonaliseerde, relevante en bruikbare reacties te leveren. De semantische index maakt deel uit van de Microsoft 365-service en wordt automatisch aangemaakt.
De semantische index catalogiseert tekstbestanden in SharePoint® die met twee of meer mensen worden gedeeld. Op user level catalogiseert de semantische index alle e-mail. Het indexeert ook alle op tekst gebaseerde bestanden in OneDrive® van een gebruiker die zijn gedeeld, waarmee is gecommuniceerd (zelfs door de gebruiker) of waarop commentaar is gegeven.
Word-documenten (.doc/.docx) PowerPoint® (.pptx) PDF Webpagina’s (.html/.aspx) OneNote® (.one)
Wat wordt momenteel geïndexeerd:
Ondersteuning voor:
Microsoft CSP-services
Uw Microsoft 365-tenant
Uw klantgegevens: Bestanden, mailboxen, chatgegevens, video's enz.
Exchangemailboxen
Microsoft Teams
OneDrivebestanden
SharePoint bestanden en lijsten
Copilot voor Microsoft 365
LLM
Azure OpenAI Service-abonnement voor Microsoft 365
Onderdelen van Copilot voor Microsoft 365
Correleert relaties en begrijpt machtigingen met Microsoft Graph
Microsoft 365-servicegrens
Correlates Relationships and Understands Permissions with Microsoft Graph
Word documents (.doc/.docx) PowerPoint® (.pptx) PDF Web pages (.html/.aspx) OneNote® (.one)
De semantische index catalogiseert tekstbestanden in SharePoint® die met twee of meer mensen worden gedeeld. • Op user level catalogiseert de semantische index alle e-mail. Het indexeert ook alle op tekst gebaseerde bestanden in OneDrive® van een gebruiker die zijn gedeeld, waarmee is gecommuniceerd (zelfs door de gebruiker) of waarop commentaar is gegeven.
Aanbevelingen inzake beveiliging en informatiebescherming
M365 E5 is de meest uitgebreide en veilige cloud-oplossing voor bedrijven die hun werknemers, klanten en partners willen ondersteunen met het beste van Microsoft. E5 biedt verschillende voordelen ten opzichte van E3 op het vlak van identiteit en toegang, Microsoft apps, devices, threat protection, organisatiegegevens, teams en externe gasten.
8
9
>>
M365 E5 bevat Azure® Active Directory® Premium P2, dat geavanceerde identiteits- en toegangsbeheerfuncties biedt, zoals identiteitsbescherming, privileged identity management, conditional access en access reviews. Deze functies helpen organisaties om identiteitscompromittering te voorkomen, privileged accounts te beheren, granulair toegangsbeleid af te dwingen en toegangsbeslissingen te auditen.
Identiteit & toegang
Databescherming
Organisatiedata
Teams en externe gasten
Het kan nodig zijn om gevoelige informatie te delen met mensen buiten uw organisatie. Gebruik deze resources:
Delen met mensen buiten uw organisatie
Gebruik deze resources om uw omgeving in te stellen voor samenwerking met mensen buiten uw organisatie:
Samenwerken met mensen buiten uw organisatie
Pas best practices toe voor het delen van bestanden en mappen met niet-geverifieerde gebruikers. Beperk onbedoelde blootstelling aan bestanden bij het delen met mensen buiten uw organisatie. Creëer een veilige omgeving voor het delen van gasten.
Samenwerken aan documenten - individuele bestanden of mappen delen. Samenwerken op een site - samenwerken met gasten op een SharePoint-site. Samenwerken als team - samenwerken met gasten in een team. Samenwerken met externe deelnemers in een kanaal - samenwerken met mensen buiten de organisatie in een gedeeld kanaal.
Configureer algemene beleidsregels voor voorwaardelijke toegang:
MFA vereist voor beheerders. MFA vereist voor alle gebruikers. Blokkeer verouderde authenticatie.
Voor hybride identiteiten kunt u on-premise Microsoft Entra Password Protection voor Active Directory Domain Services toepassen.
Configureer aanbevolen beleidslijnen voor Zero Trust:
Vereist MFA wanneer het aanmeldingsrisico gemiddeld of hoog is. Verplicht gebruikers met een hoog risico om hun wachtwoord te wijzigen. PIM configureren.
Microsoft apps: E5 omvat Office 365® E5, dat hoogwaardige productiviteits- en samenwerkingsapps biedt zoals Word, Excel®, PowerPoint, Outlook®, OneNote, Teams®, SharePoint, OneDrive, Yammer® en Stream. Daarnaast bevat de M365 E5 geavanceerde functies zoals Power BI® Pro, Power Apps, Power Automate®, Forms, Planner, To Do en Sway®. Deze functies stellen gebruikers in staat om gegevens en inzichten in de hele organisatie te creëren, analyseren, automatiseren en delen.
Intune App Protection-beleid (APP's) implementeren: Met de APP creëert Intune® een muur tussen uw organisatiegegevens en persoonlijke gegevens. Beleid zorgt ervoor dat bedrijfsgegevens in de door u opgegeven apps niet kunnen worden gekopieerd en geplakt naar andere apps op het device, zelfs als het device niet wordt managed.
De M365 E5 bevat Windows® 10 Enterprise E5, het meest veilige en flexibele besturingssysteem voor enterprise devices. Windows 10 Enterprise E5 bevat functies zoals Windows Defender Advanced Threat Protection, Windows Defender Application Guard, Windows Defender Credential Guard, Windows Defender Device Guard en Windows Defender Exploit Guard. Deze functies beschermen devices tegen malware, ransomware, phishing, zero-day aanvallen en andere geavanceerde bedreigingen.
Manage devices:
Registreer devices in beheer. Stel compliancebeleid op. Zorg voor gezonde en compliant devices. Zet device-profielen in.
Monitor devicerisico en compliance met Security Baselines:
Integreer Intune met Defender for Endpoint om devicerisico's te monitoren als voorwaarde voor toegang. Controleer voor Windows devices de compliance van deze devices met de Security Baseline.
M365 E5 bevat Microsoft 365 Defender, een geïntegreerd beveiligingsplatform dat gebruikmaakt van AI en machine learning om bedreigingen op te sporen, te onderzoeken en te reageren op endpoints, e-mail, identiteit en cloud-apps. Microsoft 365 Defender omvat Microsoft Defender voor Endpoint, Microsoft Defender voor Office 365, Microsoft Defender voor Identity en Microsoft Defender voor Cloud Apps. Deze functies bieden zichtbaarheid, preventie, detectie, respons en opsporingsmogelijkheden voor het hele aanvalsoppervlak.
Configureer Exchange Online Protection en Endpoint Protection.
Implementeer Microsoft 365 Defender.
Voor een uitgebreidere bescherming tegen bedreigingen kunt u Microsoft 365 Defender implementeren, inclusief:
Defender voor Identity Defender voor Office 365 Defender voor Endpoint Defender voor cloud-apps
M365 E5 omvat Microsoft 365 Compliance, een uitgebreide oplossing die organisaties helpt te voldoen aan diverse regelgeving en standaarden zoals GDPR, HIPAA, PCI DSS, ISO 27001 en NIST. Microsoft 365 Compliance omvat functies zoals Data Loss Prevention, Information Protection, Records Management, eDiscovery, Audit en Compliance Manager. Deze functies helpen organisaties bij het ontdekken, classificeren, beschermen, bewaren en beheren van hun gevoelige gegevens op verschillende devices, apps en cloud services.
Ontwikkel uw classificatieschema en begin met gevoeligheidslabels en andere beleidslijnen:
Breid beleid uit naar meer data en start met het gebruik van automatisering met databeschermingsbeleid:
Gevoeligheidslabels worden uitgebreid om meer inhoud te beschermen en meer labelingsmethoden. Label SharePoint-sites en Teams door containerlabels te gebruiken en items automatisch te labelen.
Schakel Data Loss Prevention-maatregelen in Zorg voor retentiebeleid Gebruik context explorer (om resultaten te bekijken).
Gevoelige bedrijfsgegevens ontdekken en identificeren.
Een classificatie- en beschermingsschema
Het schema testen met gegevens in Microsoft 365
Implementeer het classificatie- en beschermingsschema voor gegevens in Microsoft 365
Breid het schema uit naar gegevens in andere SaaS-apps
Blijf gegevens in andere repositories ontdekken en beschermen op basis van uw prioriteiten.
Technische invoering van informatiebescherming
Adoptiefasen die overgaan naar volledige productie-uitrol
De M365 E5 bevat Microsoft Teams, de hub voor teamwork en communicatie in Microsoft 365. Met Teams kunnen gebruikers op een veilige en compliante manier chatten, bellen, ontmoeten en samenwerken met hun collega's en externe gasten. Teams integreert ook met andere apps en diensten van Microsoft en derden om een naadloze gebruikerservaring te bieden. Daarnaast bevat de M365 E5 functies zoals Teams Phone System, Teams Calling Plan, Teams Audio Conferencing en Teams Live Events. Deze functies stellen gebruikers in staat om telefoongesprekken te voeren en te ontvangen, audioconferenties te hosten en eraan deel te nemen, en live evenementen van Teams te streamen en op te nemen.
Hoogste bescherming
Identificeer Teams of projecten eerst die zeer gevoelige bescherming vereisen. Configureer beveiligingen voor dit level. Veel organisaties beschikken niet over gegevens die dit level van bescherming vereisen.
Stel beveiligde bestandsdeling en samenwerking met Microsoft Teams in door deze te configureren met de juiste bescherming – Baseline, Sensitive en Highly Sensitive.
Zeer weinig Teams
Gevoelige bescherming
Identificeer vervolgens Teams of projecten die gevoelige bescherming rechtvaardigenen pas deze bescherming toe.
Baseline-bescherming
Meeste Teams
Zorg er ten slotte voor dat alle Teams en projecten minimaal zijn geconfigureerd voor Baseline Protection.
Applying Zero Trust Principles to Your Adoption Strategy
Conclusie
Microsoft 365 E5 is de meest uitgebreide en veilige cloudoplossing voor zakelijke klanten. Het biedt geavanceerde mogelijkheden voor identiteits- en toegangsmanagement, teamwork en communicatie, gegevensbescherming en governance, bescherming tegen en reactie op bedreigingen en business intelligence en analytics. In vergelijking met Microsoft 365 E3, dat de belangrijkste productiviteits- en beveiligingsfuncties biedt, biedt Microsoft 365 E5 extra waarde en bescherming voor uw organisatie.
Gevoeligheidslabeling voor SharePoint-sites en Teams, waarmee u uw content kunt classificeren en beschermen op basis van de gevoeligheid ervan en beleid kunt toepassen zoals encryptie, toegangscontrole en retentie Automatische labeling van items, waarbij machine learning wordt gebruikt om gevoelige informatie in uw documenten en e-mails te detecteren en de juiste labels en beschermingsbeleidslijnen toe te passen Teams Phone System, Calling Plan, Audio Conferencing en Live Events, waarmee u telefoongesprekken kunt voeren en ontvangen, audioconferenties kunt hosten en bijwonen, en live-gebeurtenissen kunt streamen en opnemen vanuit Teams, met de beste beveiliging en compliance Defender voor Office 365 beschermt uw e-mail, samenwerking en cloudopslag tegen geavanceerde bedreigingen zoals phishing, ransomware en Business Email Compromise (BEC) Defender for Endpoint, dat endpoint detection and response (EDR), threat and vulnerability management, aanvalsoppervlakreductie en geautomatiseerd onderzoek en herstel voor uw devices biedt Defender for Identity, dat uw identiteitsinfrastructuur bewaakt en beschermt tegen op identiteit gebaseerde aanvallen zoals diefstal van credentials, escalatie van privileges en laterale beweging Microsoft Entra ID P2, dat uw identiteits- en toegangsbeheer verbetert met functies zoals identiteitsbescherming, privileged identity management, access reviews en Entitlement Management Power BI Pro, waarmee u interactieve dashboards en rapporten kunt aanmaken en delen met rich datavisualisatie en -analyse
• • • • • • • •
Belangrijkste punten
Innovatie stimuleren met digitale transformatie Bij Insight helpen we klanten innovatie mogelijk te maken met een aanpak die mensen, processen en technologieën omvat. Wij geloven dat de beste weg naar digitale transformatie is integratief, responsief en proactief afgestemd op de eisen van de sector. Onze klantgerichte aanpak levert de best passende oplossingen voor een breed scala aan diensten, waaronder de Modern Workplace, moderne applicaties, moderne infrastructuren, de intelligent edge, cyberbeveiliging en data en AI.
Meer informatie
