DokumentfingerabdrückeDocument Fingerprinting

Information-Worker in Ihrer Organisation verarbeiten im Lauf eines Arbeitstags viele Arten von vertraulichen Informationen.Information workers in your organization handle many kinds of sensitive information during a typical day. Im Security & Compliance Center erleichtert das Dokumentieren von Fingerabdrücken den Schutz dieser Informationen, indem Standardformulare identifiziert werden, die in Ihrer Organisation verwendet werden.In the Security & Compliance Center, Document Fingerprinting makes it easier for you to protect this information by identifying standard forms that are used throughout your organization. In diesem Thema werden die Konzepte hinter dem Dokument Fingerabdruck und das Erstellen eines mithilfe von PowerShell beschrieben.This topic describes the concepts behind Document Fingerprinting and how to create one by using PowerShell.

Grundlegendes Szenario für DokumentfingerabdrückeBasic scenario for Document Fingerprinting

Dokument Fingerabdruck ist eine DLP-Funktion (Data Loss Prevention, Verhinderung von Datenverlust), die ein Standardformular in einen vertraulichen Informationstyp umwandelt, das Sie in den Regeln ihrer DLP-Richtlinien verwenden können.Document Fingerprinting is a Data Loss Prevention (DLP) feature that converts a standard form into a sensitive information type, which you can use in the rules of your DLP policies. Sie können beispielsweise einen Dokument Fingerabdruck basierend auf einer leeren Patent Vorlage erstellen und anschließend eine DLP-Richtlinie erstellen, mit der alle ausgehenden Patent Vorlagen mit vertraulichen Inhalten erkannt und blockiert werden.For example, you can create a document fingerprint based on a blank patent template and then create a DLP policy that detects and blocks all outgoing patent templates with sensitive content filled in. Optional können Sie Richtlinien Tipps einrichten, um Absender zu benachrichtigen, dass Sie möglicherweise vertrauliche Informationen senden, und der Absender sollte überprüfen, ob die Empfänger qualifiziert sind, die Patente zu erhalten.Optionally, you can set up policy tips to notify senders that they might be sending sensitive information, and the sender should verify that the recipients are qualified to receive the patents. Dieser Vorgang funktioniert mit allen textbasierten Formularen, die in Ihrer Organisation verwendet werden.This process works with any text-based forms used in your organization. Weitere Beispiele für Formulare, die Sie hochladen können, sind:Additional examples of forms that you can upload include:

  • RegierungsformulareGovernment forms
  • HIPAA (Health Insurance Portability and Accountability Act)-kompatible FormulareHealth Insurance Portability and Accountability Act (HIPAA) compliance forms
  • Formulare mit Mitarbeiterinformationen für die PersonalabteilungEmployee information forms for Human Resources departments
  • Speziell für Ihre Organisation erstellte benutzerdefinierte FormulareCustom forms created specifically for your organization

Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe.Ideally, your organization already has an established business practice of using certain forms to transmit sensitive information. Nachdem Sie ein leeres Formular hochgeladen haben, um es in einen Fingerabdruck zu konvertieren und eine entsprechende Richtlinie einzurichten, erkennt DLP alle Dokumente in ausgehenden e-Mails, die mit diesem Fingerabdruck übereinstimmen.After you upload an empty form to be converted to a document fingerprint and set up a corresponding policy, the DLP detects any documents in outbound mail that match that fingerprint.

Funktionsweise von DokumentfingerabdrückenHow Document Fingerprinting works

Wahrscheinlich haben Sie schon erraten, dass sich auf den Dokumenten keine echten Fingerabdrücke befinden - aber der Name erklärt sehr gut die Funktion.You've probably already guessed that documents don't have actual fingerprints, but the name helps explain the feature. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur.In the same way that a person's fingerprints have unique patterns, documents have unique word patterns. Wenn Sie eine Datei hochladen, identifiziert DLP das eindeutige Wortmuster im Dokument, erstellt einen Dokument Fingerabdruck basierend auf diesem Muster und verwendet diesen Dokument Fingerabdruck, um ausgehende Dokumente zu erkennen, die dasselbe Muster enthalten.When you upload a file, DLP identifies the unique word pattern in the document, creates a document fingerprint based on that pattern, and uses that document fingerprint to detect outbound documents containing the same pattern. Aus diesem Grund werden die effektivsten Dokumentfingerabdrücke durch Hochladen von Formularen oder Vorlagen erstellt.That's why uploading a form or template creates the most effective type of document fingerprint. Jede Person, die ein Formular ausfüllt, verwendet denselben Originalsatz von Wörtern und fügt dann ihre eigenen Wörter in das Dokument ein.Everyone who fills out a form uses the same original set of words and then adds his or her own words to the document. Solange das ausgehende Dokument nicht kennwortgeschützt ist und den gesamten Text aus dem ursprünglichen Formular enthält, kann DLP ermitteln, ob das Dokument mit dem Fingerabdruck des Dokuments übereinstimmt.As long as the outbound document isn't password protected and contains all the text from the original form, DLP can determine if the document matches the document fingerprint.

Wichtig

Im Moment kann DLP Dokument Fingerabdruck als Erkennungsmethode nur in Exchange Online verwenden.For now, DLP can use document fingerprinting as a detection method in Exchange online only.

Im folgenden Beispiel wird gezeigt, was passiert, wenn Sie einen Dokumentfingerabdruck auf Grundlage einer Patentvorlage erstellen. Sie können aber auch jedes andere Formular dafür verwenden.The following example shows what happens if you create a document fingerprint based on a patent template, but you can use any form as a basis for creating a document fingerprint.

Beispiel für ein Patentdokument, das zum Fingerabdruck einer Patentvorlage passtExample of a patent document matching a document fingerprint of a patent template

Document-Fingerprinting-diagram.png

Die Patent Vorlage enthält die leeren Felder "Patent Title", "Inventors" und "Description" sowie Beschreibungen für jedes dieser Felder, also das Wortmuster.The patent template contains the blank fields "Patent title," "Inventors," and "Description" and descriptions for each of those fields—that's the word pattern. Wenn Sie die ursprüngliche Patent Vorlage hochladen, befindet Sie sich in einem der unterstützten Dateitypen und im nur-Text-Format.When you upload the original patent template, it's in one of the supported file types and in plain text. DLP wandelt dieses Wortmuster in einen Fingerabdruck des Dokuments um, bei dem es sich um eine kleine Unicode-XML-Datei mit einem eindeutigen Hashwert handelt, der den ursprünglichen Text darstellt, und der Fingerabdruck wird als Datenklassifizierung in Active Directory gespeichert.DLP converts this word pattern into a document fingerprint, which is a small Unicode XML file containing a unique hash value representing the original text, and the fingerprint is saved as a data classification in Active Directory. (Als Sicherheitsmaßnahme wird das Originaldokument selbst nicht im Dienst gespeichert; es wird nur der Hashwert gespeichert, und das ursprüngliche Dokument kann nicht aus dem Hashwert rekonstruiert werden.) Der Patent Fingerabdruck wird dann zu einem vertraulichen Informationstyp, den Sie einer DLP-Richtlinie zuordnen können.(As a security measure, the original document itself isn't stored on the service; only the hash value is stored, and the original document can't be reconstructed from the hash value.) The patent fingerprint then becomes a sensitive information type that you can associate with a DLP policy. Nachdem Sie den Fingerabdruck einer DLP-Richtlinie zugeordnet haben, erkennt DLP alle ausgehenden e-Mails mit Dokumenten, die dem Patent Fingerabdruck entsprechen, und behandelt diese entsprechend der Richtlinie Ihrer Organisation.After you associate the fingerprint with a DLP policy, DLP detects any outbound emails containing documents that match the patent fingerprint and deals with them according to your organization's policy.

Sie möchten beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden.For example, you might want to set up a DLP policy that prevents regular employees from sending outgoing messages containing patents. DLP verwendet den Patent Fingerabdruck zum Erkennen von Patenten und zum Blockieren dieser e-Mails.DLP will use the patent fingerprint to detect patents and block those emails. Alternativ möchten Sie möglicherweise Ihre Rechtsabteilung in die Lage versetzen, Patente an andere Organisationen zu senden, da dies eine geschäftliche Notwendigkeit dafür hat.Alternatively, you might want to let your legal department to be able to send patents to other organizations because it has a business need for doing so. Sie können zulassen, dass bestimmte Abteilungen vertrauliche Informationen senden, indem Sie Ausnahmen für diese Abteilungen in ihrer DLP-Richtlinie erstellen, oder Sie können zulassen, dass ein richtlinientipp mit einer geschäftlichen Begründung außer Kraft gesetzt wird.You can allow specific departments to send sensitive information by creating exceptions for those departments in your DLP policy, or you can allow them to override a policy tip with a business justification.

Unterstützte DateitypenSupported file types

Die Dokument Fingerabdruckunterstützung unterstützt die gleichen Dateitypen, die in Nachrichtenfluss Regeln (auch bekannt als Transportregeln) unterstützt werden.Document Fingerprinting supports the same file types that are supported in mail flow rules (also known as transport rules). Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenfluss Regeln.For a list of supported file types, see Supported file types for mail flow rule content inspection. Ein kurzer Hinweis zu Dateitypen: weder Nachrichtenfluss Regeln noch Dokument Fingerabdruck unterstützen den DOTX-Dateityp, was verwirrend sein kann, da es sich um eine Vorlagendatei in Word handelt.One quick note about file types: neither mail flow rules nor Document Fingerprinting supports the .dotx file type, which can be confusing because that's a template file in Word. Der Begriff "Vorlage" in diesem und anderen Themen zum Dokumentfingerabdruck bezieht sich auf ein Dokument, das Sie als Standardformular eingerichtet haben, nicht auf den Dateityp "Vorlage".When you see the word "template" in this and other Document Fingerprinting topics, it refers to a document that you have established as a standard form, not the template file type.

Einschränkungen der Funktion "Dokumentfingerabdruck"Limitations of document fingerprinting

Das Dokumentieren von Fingerabdrücken erkennt in den folgenden Fällen keine vertraulichen Informationen:Document Fingerprinting won't detect sensitive information in the following cases:

  • Kennwortgeschützte DateienPassword protected files
  • Dateien, die nur Bilder enthaltenFiles that contain only images
  • Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurdeDocuments that don't contain all the text from the original form used to create the document fingerprint

Verwenden von PowerShell zum Erstellen eines Klassifizierungsregel Pakets basierend auf dem Dokument FingerabdruckUse PowerShell to create a classification rule package based on document fingerprinting

Beachten Sie, dass Sie derzeit nur mithilfe von PowerShell im Security Compliance Center einen Dokument Fingerabdruck erstellen können & .Note that you can currently create a document fingerprint only by using PowerShell in the Security & Compliance Center. Informationen zum Herstellen einer Verbindung finden Sie unter Connect to Security & Compliance Center PowerShell.To connect, see Connect to Security & Compliance Center PowerShell.

DLP verwendet Klassifizierungsregel Pakete, um vertrauliche Inhalte zu erkennen.DLP uses classification rule packages to detect sensitive content. Zum Erstellen eines Klassifizierungsregel Pakets basierend auf einem Dokument Fingerabdruck verwenden Sie die Cmdlets New-DlpFingerprint und New-DlpSensitiveInformationType .To create a classification rule package based on a document fingerprint, use the New-DlpFingerprint and New-DlpSensitiveInformationType cmdlets. Da die Ergebnisse von New-DlpFingerprint nicht außerhalb der Daten Klassifizierungsregel gespeichert werden, führen Sie immer New-DlpFingerprint und New-DlpSensitiveInformationType oder festlegen-DlpSensitiveInformationType in derselben PowerShell-Sitzung aus.Because the results of New-DlpFingerprint aren't stored outside the data classification rule, you always run New-DlpFingerprint and New-DlpSensitiveInformationType or Set-DlpSensitiveInformationType in the same PowerShell session. Im folgenden Beispiel wird ein neuer Dokumentfingerabdruck basierend auf der Datei "C:\Eigene Dateien\Contoso Employee Template.docx" erstellt.The following example creates a new document fingerprint based on the file C:\My Documents\Contoso Employee Template.docx. Sie speichern den neuen Fingerabdruck als Variable, damit Sie ihn mit dem Cmdlet New-DlpSensitiveInformationType in derselben PowerShell-Sitzung verwenden können.You store the new fingerprint as a variable so you can use it with the New-DlpSensitiveInformationType cmdlet in the same PowerShell session.

$Employee_Template = Get-Content "C:\My Documents\Contoso Employee Template.docx" -Encoding byte -ReadCount 0
$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

Lassen Sie uns nun eine neue Datenklassifizierungsregel namens "Contoso Employee Confidential" erstellen, die den Dokumentfingerabdruck auf der Datei "C:\Eigene Dateien\Contoso Customer Information Form.docx" verwendet.Now, let's create a new data classification rule named "Contoso Employee Confidential" that uses the document fingerprint of the file C:\My Documents\Contoso Customer Information Form.docx.

$Customer_Form = Get-Content "C:\My Documents\Contoso Customer Information Form.docx" -Encoding byte -ReadCount 0
$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information." 

Sie können jetzt das Cmdlet Get-DlpSensitiveInformationType verwenden, um nach allen DLP-Daten Klassifizierungsregel Paketen zu suchen, und in diesem Beispiel ist "Contoso-Kunde vertraulich" Teil der Liste der Daten Klassifizierungsregel Pakete.You can now use the Get-DlpSensitiveInformationType cmdlet to find all DLP data classification rule packages, and in this example, "Contoso Customer Confidential" is part of the data classification rule packages list.

Fügen Sie abschließend das Daten Klassifizierungsregel Paket "Contoso Customer Confidential" zu einer DLP-Richtlinie im Security & Compliance Center hinzu.Finally, add the "Contoso Customer Confidential" data classification rule package to a DLP policy in the Security & Compliance Center. In diesem Beispiel wird einer vorhandenen DLP-Richtlinie mit dem Namen "ConfidentialPolicy" eine Regel hinzugefügt.This example adds a rule to an existing DLP policy named "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Sie können das Daten Klassifizierungsregel Paket auch in Nachrichtenfluss Regeln in Exchange Online verwenden, wie im folgenden Beispiel dargestellt.You can also use the data classification rule package in mail flow rules in Exchange Online, as shown in the following example. Zum Ausführen dieses Befehls müssen Sie zunächst eine Verbindung mit Exchange Online PowerShell herstellen.To run this command, you first need to Connect to Exchange Online PowerShell. Beachten Sie auch, dass es Zeit dauert, bis das Regelpaket vom Security & Compliance Center mit dem Exchange Admin Center synchronisiert wird.Also note that it takes time for the rule package to sync from the Security & Compliance Center to the Exchange admin center.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP erkennt jetzt Dokumente, die mit dem Fingerabdruck des Kunden Form.docx Document von Contoso übereinstimmen.DLP now detects documents that match the Contoso Customer Form.docx document fingerprint.

Informationen zu Syntax und Parametern finden Sie unter:For syntax and parameter information, see: