Compliance Manager Compliance Manager
Tiefenreferenz zu Compliance Score, Assessments, Improvement Actions, Controls, Templates, Evidence Management, Multi-Cloud, Reporting und Governance in Microsoft Purview Compliance Manager. Deep reference for compliance score, assessments, improvement actions, controls, templates, evidence management, multi-cloud, reporting, and governance in Microsoft Purview Compliance Manager.
Compliance Manager ist keine reine Auditorenansicht. Der eigentliche Wert entsteht, wenn Assessments, Improvement Actions, Evidence und Verantwortlichkeiten in einen dauerhaften Governance-Prozess überführt werden. Compliance Manager is not just an auditor view. Its real value appears when assessments, improvement actions, evidence, and ownership are turned into a durable governance process.
Methodik und Berechnung Methodology and calculation
Vorlagen und Regulatorik Templates and regulation
Improvement Actions und Tests Improvement actions and tests
Control Families und Mapping Control families and mapping
Universal, M365 und Custom Universal, M365, and custom
Dokumente, Alerts, History Documents, alerts, history
Export, Power BI, Trends Export, Power BI, trends
PowerShell, Graph, Best Practices PowerShell, Graph, best practices
Compliance Score und Methodik Compliance score and methodology
Compliance Score gewichtet Improvement Actions nach Risiko- und Kontrollrelevanz. Der Score ist damit eher ein Steuerungsinstrument als ein absolutes Zertifizierungssignal. Reife Organisationen interpretieren ihn immer im Kontext von Scope, Regulierung und Revisionsstand. Compliance Score weights improvement actions by risk and control relevance. It is therefore more a steering instrument than an absolute certification signal. Mature organizations always interpret it in the context of scope, regulation, and audit state.
| Thema Topic | Bedeutung Meaning | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| Current Score Current score | Aktueller Erfüllungsgrad über gewertete Aktionen Current fulfillment level across weighted actions | Nicht isoliert betrachten, sondern mit offenen Risikobereichen kombinieren Do not view in isolation; combine with open risk areas |
| Scoring Model Scoring model | Punkte basieren auf Umsetzungs- und Teststatus Points are based on implementation and test state | Definitionen für implemented und tested organisationsweit vereinheitlichen Standardize the meaning of implemented and tested across the organization |
| Microsoft-managed Actions Microsoft-managed actions | Microsoft verantwortet die Umsetzung Microsoft is responsible for implementation | Diese Bereiche prüfen, aber nicht mit lokalen Maßnahmen vermischen Review these areas but do not mix them with local tasks |
| Customer-managed Actions Customer-managed actions | Eigene technische oder organisatorische Pflichten Your own technical or organizational obligations | Owner, Fälligkeitsdatum und Nachweis immer setzen Always set owner, due date, and evidence |
| Shared Responsibility Shared responsibility | Kontrollen mit Beiträgen beider Seiten Controls with contributions from both sides | Gut für Cloud-Governance, aber erklärungsbedürftig gegenüber Auditoren Good for cloud governance but needs explanation toward auditors |
| Score Trends Score trends | Zeitliche Entwicklung des Reifegrads Time-based maturity development | Trend wichtiger als Momentaufnahme; Sprünge immer kommentieren Trend matters more than a snapshot; always comment on large jumps |
Assessments und regulatorische Vorlagen Assessments and regulatory templates
Compliance Manager liefert Hunderte vorgefertigte Assessments und Templates. Diese decken globale, branchenspezifische und regionale Vorschriften ab und bilden den Ausgangspunkt für normierte Kontrollarbeit. Compliance Manager provides hundreds of prebuilt assessments and templates. They cover global, industry-specific, and regional regulations and form the starting point for standardized control work.
| Regulierung Regulation | Fokus Focus | Einsatznotiz Usage note |
|---|---|---|
| GDPR GDPR | Datenschutz und Betroffenenrechte Privacy and data subject rights | Mit DSR-, Retention- und Purview-Nachweisen verknüpfen Link with DSR, retention, and Purview evidence |
| HIPAA HIPAA | Gesundheitsdaten und Schutzmaßnahmen Health data and safeguards | Mit branchenspezifischer Dokumentation und Zugriffskontrollen koppeln Tie to industry-specific documentation and access controls |
| SOC 2 SOC 2 | Security, availability, confidentiality Security, availability, confidentiality | Für Trust-Service-Criteria oft gut als Management-Backbone geeignet Often works well as a management backbone for trust service criteria |
| ISO 27001 ISO 27001 | ISMS-Kontrollen und Nachweiskultur ISMS controls and evidence culture | Mit dem formalen ISMS-Register synchronisieren Synchronize with the formal ISMS register |
| NIST CSF NIST CSF | Identify, Protect, Detect, Respond, Recover Identify, protect, detect, respond, recover | Gut für Managementstruktur und Maturity-Dialoge Good for management structure and maturity discussions |
| PCI DSS PCI DSS | Zahlungsdaten und strenge Schutzmaßnahmen Payment data and strict safeguards | Nur in eindeutigem Karten-Daten-Scope werten Evaluate only in explicit card-data scope |
| FedRAMP FedRAMP | US-Behördenkontext US public sector context | Cloud-Service-Scope und ATO-Prozesse sauber dokumentieren Document cloud service scope and ATO processes carefully |
| CCPA / LGPD / BSI C5 CCPA / LGPD / BSI C5 | Regionale Datenschutz- und Cloudvorgaben Regional privacy and cloud requirements | Mehrregionale Unternehmen sollten Assessments parallel pflegen Multiregional companies should maintain assessments in parallel |
Improvement Actions Improvement actions
Improvement Actions sind die operative Arbeitseinheit von Compliance Manager. Sie enthalten Status, Teststand, Implementierungsdetails, Nachweise und Verantwortlichkeiten. Gute Governance trennt technische, prozessuale und organisatorische Aktionen klar. Improvement actions are the operational unit of work in Compliance Manager. They include status, test state, implementation details, evidence, and ownership. Good governance clearly separates technical, process, and organizational actions.
| Feld Field | Zweck Purpose | Best Practice Best practice |
|---|---|---|
| Implementation Status Implementation status | Planned, in progress, implemented Planned, in progress, implemented | Nur implemented setzen, wenn Nachweis und Betriebsprozess existieren Set implemented only when evidence and an operating process exist |
| Testing Status Testing status | Nicht getestet, getestet, fehlgeschlagen Not tested, tested, failed | Regelmäßige Re-Tests planen statt einmaligem Haken Plan recurring retests instead of a one-time checkmark |
| Action Type Action type | Technisch, prozessual, dokumentarisch Technical, procedural, documentary | Für bessere Ressourcenzuordnung sauber klassifizieren Classify cleanly for better resource assignment |
| Evidence Evidence | Dokumente, Screenshots, Ticketauszüge, Reports Documents, screenshots, ticket extracts, reports | Bevorzugt zeitstabile Nachweise statt volatile Portal-Screenshots Prefer time-stable evidence rather than volatile portal screenshots |
| Implementation Notes Implementation notes | Kontext zur lokalen Umsetzung Context for the local implementation | Auditoren benötigen kurze, präzise Notizen statt Romane Auditors need short, precise notes rather than novels |
| Assignments Assignments | Owner und Due Dates Owner and due dates | Aktionen ohne Owner sind praktisch nie nachhaltig Actions without an owner are practically never sustainable |
Controls, Control Families und Mapping Controls, control families, and mapping
Compliance Manager mappt einzelne Improvement Actions auf Controls und diese wiederum auf regulatorische Anforderungen. Dadurch lässt sich eine Maßnahme mehrfach nutzen, wenn sie auf mehrere Vorschriften einzahlt. Compliance Manager maps individual improvement actions to controls and those controls to regulatory requirements. That lets one measure be reused when it contributes to multiple regulations.
| Ebene Layer | Beschreibung Description | Mehrwert Value |
|---|---|---|
| Requirement Requirement | Regulatorische Forderung oder Clause Regulatory demand or clause | Auditorische Ausgangsebene Auditorial starting level |
| Control Control | Kontrollbeschreibung zur Erfüllung einer Anforderung Control description to satisfy a requirement | Schafft standardisierte Sprache über Vorschriften hinweg Creates standardized language across regulations |
| Control Family Control family | Verwandte Kontrollen wie Zugriff, Logging, Datenhaltung Related controls such as access, logging, data retention | Hilft beim Bündeln von Verantwortlichkeiten Helps bundle responsibilities |
| Shared Controls Shared controls | Eine Kontrolle zahlt auf mehrere Assessments ein One control contributes to multiple assessments | Großer Effizienzhebel in Multi-Regulation-Umgebungen Major efficiency lever in multi-regulation environments |
| Test Mapping Test mapping | Wie Nachweis und Bewertung verknüpft sind How evidence and evaluation are linked | Für Wiederholbarkeit und Revisionssicherheit entscheidend Critical for repeatability and audit defensibility |
| Exception Handling Exception handling | Begründete Abweichungen oder kompensierende Maßnahmen Justified deviations or compensating controls | Außerhalb des Tools zusätzlich im Risk Register dokumentieren Also document outside the tool in the risk register |
Templates, Automation und Multi-Cloud Templates, automation, and multi-cloud
Templates definieren die Assessments, die eine Organisation wirklich pflegen will. Neben Microsoft-365-spezifischen Vorlagen gewinnen universelle und Multi-Cloud-Assessments an Bedeutung, wenn Kontrollverantwortung über Azure, AWS und GCP verteilt ist. Templates define the assessments an organization truly wants to maintain. In addition to Microsoft 365 specific templates, universal and multi-cloud assessments matter when control ownership is distributed across Azure, AWS, and GCP.
| Bereich Area | Inhalt Content | Praktische Notiz Practical note |
|---|---|---|
| Universal Templates Universal templates | Plattformübergreifende Kontrollsets Platform-agnostic control sets | Gut für zentrale Governance und Vergleichbarkeit Good for central governance and comparability |
| Microsoft 365 Templates Microsoft 365 templates | Tiefe Abbildung von Purview, Entra, Exchange, SharePoint Deep modeling of Purview, Entra, Exchange, SharePoint | Ideal für tenantnahe Betriebsarbeit Ideal for tenant-close operations |
| Custom Templates Custom templates | Eigene Frameworks oder interne Policies Custom frameworks or internal policies | Nur mit definierter Versionierung und Review-Prozess nutzen Use only with defined versioning and review process |
| Template Versioning Template versioning | Änderungen an regulatorischen Vorlagen Changes to regulatory templates | Versionwechsel aktiv bewerten statt automatisch akzeptieren Evaluate version changes actively rather than accepting them blindly |
| Automation Automation | Automated testing und Microsoft Actions Automated testing and Microsoft actions | Automatisierung spart Zeit, ersetzt aber keine lokale Plausibilitätsprüfung Automation saves time but does not replace local plausibility checking |
| Azure / AWS / GCP Assessments Azure / AWS / GCP assessments | Gemeinsame Sicht auf mehrere Cloud-Landschaften Shared view across multiple cloud estates | Verantwortlichkeiten zwischen Plattformteams klar trennen Clearly separate ownership between platform teams |
Evidence Management, Alerts und History Evidence management, alerts, and history
Ohne verlässliche Evidenz bleibt Compliance Manager eine schöne Oberfläche. Uploads, Testnotizen, Statushistorie und Alerts machen das System erst revisionsfest und ermöglichen dauerhafte Steuerung. Without reliable evidence, Compliance Manager remains a nice interface. Uploads, test notes, status history, and alerts make the system audit-defensible and support sustained governance.
| Funktion Function | Beschreibung Description | Einsatzhinweis Usage note |
|---|---|---|
| Document Upload Document upload | Policy-Dokumente, Reports, Screenshots, Exportfiles Policy documents, reports, screenshots, export files | Dateinamen standardisieren und Versionsstände kenntlich machen Standardize file names and indicate versions |
| Testing Notes Testing notes | Begründung, Ergebnis und Testdatum Rationale, result, and test date | Kurze, auditfeste Sprache statt interner Abkürzungen verwenden Use short audit-ready language instead of internal shorthand |
| Implementation Details Implementation details | Wie die Kontrolle lokal umgesetzt wurde How the control was implemented locally | Auf konkrete Technologien und Prozesse verweisen Reference specific technologies and processes |
| Assessment Alerts Assessment alerts | Score changes, Fälligkeiten, Zuweisungen Score changes, due dates, assignments | Alerts in reguläre Governance-Meetings übernehmen Feed alerts into regular governance meetings |
| History History | Versions- und Statusentwicklung einer Bewertung Version and status evolution of an assessment | Wichtig für Audit-Trails und Rollback von Fehlbewertungen Important for audit trails and rollback of misratings |
| Activity Log Activity log | Wer was wann geändert hat Who changed what and when | Rollen- und Änderungsreview regelmäßig durchführen Review roles and changes regularly |
Reporting, Rollen und Automatisierung Reporting, roles, and automation
Reporting und Rollenmodell entscheiden darüber, ob Compliance Manager strategisch nutzbar ist. Administrator, Assessor, Contributor und Reader brauchen jeweils andere Sicht- und Änderungsrechte. Ergänzend helfen Export, Power BI und Skripte beim operativen Betrieb. Reporting and the role model decide whether Compliance Manager is strategically useful. Administrator, assessor, contributor, and reader each need different viewing and change rights. Exports, Power BI, and scripts support daily operations.
Starte mit wenigen, wirklich genutzten Assessments und etabliere dafür belastbare Owner-, Evidence- und Review-Prozesse. Breite ohne Pflegequalität senkt den Wert von Compliance Manager stärker als eine kleinere, sauber betriebene Auswahl. Start with a smaller set of truly used assessments and establish durable owner, evidence, and review processes for them. Breadth without maintenance quality hurts the value of Compliance Manager more than a smaller, well-run selection.
| Bereich Area | Beispiel Example | Praxiswert Practical value |
|---|---|---|
| Role: Administrator Role: Administrator | Volle Steuerung über Templates, Assessments und Einstellungen Full control over templates, assessments, and settings | Nur zentralem Governance-Team zuweisen Assign only to the central governance team |
| Role: Assessor Role: Assessor | Bewertungen und Tests durchführen Perform assessments and tests | Gute Wahl für Kontrollverantwortliche Good fit for control owners |
| Role: Contributor Role: Contributor | Nachweise und Status pflegen Maintain evidence and status | Geeignet für operative Service-Teams Suitable for operational service teams |
| Role: Reader Role: Reader | Nur Lesesicht Read-only view | Für Management, Audit und Datenschutz nützlich Useful for management, audit, and privacy teams |
| Report Export Report export | CSV, Managementreporting, Nachweisexport CSV, management reporting, evidence export | Für Review Boards regelmäßige Exporte automatisieren Automate recurring exports for review boards |
| Power BI Integration Power BI integration | Trend- und Statusvisualisierung Trend and status visualization | Für mehrdimensionale Governance-Dashboards geeignet Suitable for multi-dimensional governance dashboards |
| Graph / API Availability Graph / API availability | Nur teilweise verfügbar, viele Workflows bleiben portalzentriert Only partly available; many workflows remain portal-centric | API-Lücken offen in die Automatisierungsstrategie einplanen Plan API gaps openly into the automation strategy |
| PowerShell PowerShell | Export- und Governance-Runbooks Export and governance runbooks | Meist indirekt über Purview-, Exchange- oder Graph-Module Mostly indirect through Purview, Exchange, or Graph modules |
Connect-IPPSSession
Get-ComplianceCaseHoldPolicy
Get-LabelPolicy
# Compliance Manager selbst bleibt weitgehend portalzentriert; Skripte ergänzen Nachweis- und Governance-Prozesse.