Verhinderung von Datenverlust in Exchange Online

Hinweis

Legacy Exchange Online Verhinderung von Datenverlust im Exchange Admin Center wird derzeit nicht mehr unterstützt. Es wird empfohlen, DLP-Richtlinien im Microsoft Purview-Complianceportal zu erstellen. Weitere Informationen zu diesem DLP finden Sie unter "Informationen zur Verhinderung von Datenverlust".

  • Ab dem 1. April 2022 können Administratoren keine Konfigurationsänderungen mehr an DLP-Richtlinien im klassischen Exchange Admin Center vornehmen. Vorhandene Regeln funktionieren weiterhin in der vorliegenden Weise.
  • Ab dem 1. August 2022 wird die DLP-Richtlinienverwaltung im klassischen Exchange Admin Center eingestellt. Administratoren können die zugehörigen Regeln weiterhin im schreibgeschützten Modus mithilfe der E-Mail-Flussregel (Transportregel) anzeigen.

Sie können Ihre legacy Exchange Online DLP-Richtlinien ganz einfach mithilfe des Migrations-Assistenten migrieren. Weitere Informationen finden Sie unter Migrieren Exchange Online Richtlinien zur Verhinderung von Datenverlust zum Microsoft Purview Compliance-Portal.

Detaillierte Zeitachsen für GCC-H- und DoD-Spezialclouds werden separat kommuniziert.

Erfahren Sie mehr über DLP-Richtlinien in Exchange Online, einschließlich der darin enthaltenen Informationen und wie Sie sie testen können. Des Weiteren erhalten Sie hier Informationen zu einem neuen Feature in Exchange DLP.

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ein wichtiger Aspekt in Messagingsystemen von Unternehmen, da E-Mails in sehr hohem Maß in der geschäftskritischen Kommunikation verwendet werden, die häufig vertrauliche Daten umfasst. DLP-Funktionen vereinfachen die Verwaltung von vertraulichen Daten erheblich und tragen so dazu bei, die Anforderungen an die Richtlinientreue für solche Daten einzuhalten und die Verwendung dieser Daten in E-Mails zu verwalten, ohne die Produktivität der Benutzer einzuschränken. Sehen Sie sich das folgende Video an, um einen konzeptionellen Überblick über DLP zu erhalten.

DLP-Richtlinien sind einfache Pakete, die Gruppen von Bedingungen enthalten, die aus E-Mail-Flussregelbedingungen (auch als Transportregel bezeichnet) bedingungen, Ausnahmen und Aktionen bestehen, die Sie im Exchange Admin Center (EAC) erstellen und dann aktivieren, um E-Mail-Nachrichten und Anlagen zu filtern. Sie können eine DLP-Richtlinie erstellen, sie aber zunächst nicht aktivieren. Dadurch können Sie Ihre Richtlinien testen, ohne die Nachrichtenübermittlung zu beeinträchtigen. DLP-Richtlinien können die volle Leistungsfähigkeit vorhandener Nachrichtenflussregeln nutzen. Tatsächlich wurden in Exchange Online eine Reihe neuer Arten von Nachrichtenflussregeln erstellt, um neue DLP-Funktionen zu erreichen. Ein wichtiges neues Feature von Nachrichtenflussregeln ist ein neuer Ansatz für die Klassifizierung vertraulicher Informationen, die in die Nachrichtenflussverarbeitung integriert werden können. Diese neue DLP-Funktion führt eine eingehende Inhaltsanalyse anhand von Schlüsselwortübereinstimmungen, Wörterbuchübereinstimmungen, regulären Ausdrücken sowie anderen Untersuchungsmethoden aus, um Inhalte zu ermitteln, die die DLP-Richtlinien der Organisation verletzen. Weitere Informationen zu Nachrichtenflussregeln finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online und Integrieren von Regeln für vertrauliche Informationen mit Nachrichtenflussregeln in Exchange Online. Sie können Ihre DLP-Richtlinien auch mithilfe Exchange Online PowerShell-Cmdlets in Exchange PowerShell verwalten.

Zusätzlich zu den anpassbaren DLP-Richtlinien selbst können Sie E-Mail-Absender darüber informieren, dass sie möglicherweise gegen eine Ihrer Richtlinien verstoßen, noch bevor sie eine beleidigte Nachricht senden. Sie können dies erreichen, indem Sie Richtlinien-Tipps konfigurieren. Richtlinien-Tipps ähneln MailTips und können so konfiguriert werden, dass eine kurze Notiz im Microsoft Outlook 2013-Client angezeigt wird, die Informationen zu möglichen Richtlinienverstößen für eine Person bereitstellt, die eine Nachricht erstellt. In Exchange Online werden Richtlinien Tipps auch in Outlook im Web (früher als Outlook Web App bezeichnet) und OWA für Geräte angezeigt. Weitere Informationen finden Sie unter Policy Tips.

Hinweis

Exchange Online DLP ist ein Premium-Feature. Weitere Informationen finden Sie unter Exchange Online Licensing, Exchange Online Service Description und Exchange Online Protection Service Description.

Nachrichten, die in einer Hybridbereitstellung zwischen lokalen Benutzern gesendet werden, haben keine Exchange Online DLP-Richtlinien angewendet, da die Nachrichten die lokale Infrastruktur nicht verlassen.

Einrichten von Richtlinien zum Schutz vertraulicher Daten

Mit den Funktionen zur Verhinderung von Datenverlust können Sie verschiedene Kategorien vertraulicher Informationen ermitteln und überwachen, die Sie im Rahmen Ihrer Richtlinienbedingungen definiert haben, z. B. Personalausweis- oder Kreditkartennummern. Sie haben die Möglichkeit, eigene benutzerdefinierte Richtlinien und Nachrichtenflussregeln zu definieren oder die vordefinierten DLP-Richtlinienvorlagen von Microsoft zu verwenden, um schnell zu beginnen. Weitere Informationen zu den enthaltenen Richtlinienvorlagen finden Sie in den in Exchange bereitgestellten DLP-Richtlinienvorlagen. Eine Richtlinienvorlage umfasst eine Reihe von Bedingungen, Regeln und Aktionen, mit denen Sie eine DLP-Richtlinie zur Untersuchung von Nachrichten erstellen und speichern können. Bei den Richtlinienvorlagen handelt es sich um Modelle, aus denen Sie Regeln auswählen oder die Sie mit eigenen Regeln anpassen können, um eine Richtlinie zu erstellen, die Ihre Anforderungen an die Verhinderung von Datenverlust erfüllt.

Ihnen stehen drei verschiedene Methoden zur Verfügung, um mit der Verwendung von DLP-Richtlinien zu beginnen:

  1. Anwenden einer vordefinierten Vorlage, die von Microsoft bereitgestellt wird: Die schnellste Möglichkeit, mit der Verwendung von DLP-Richtlinien zu beginnen, besteht darin, eine neue Richtlinie mithilfe einer Vorlage zu erstellen und zu implementieren. Dies erspart Ihnen die Mühe, einen vollständig neuen Satz an Regeln erstellen zu müssen. Sie müssen wissen, welche Datentypen geprüft werden sollen und welche Vorschriften zur Richtlinientreue eingehalten werden müssen. Sie müssen auch die Vorgaben Ihrer Organisation hinsichtlich der Verarbeitung solcher Daten kennen. Weitere Informationen finden Sie unter In Exchange bereitgestellte DLP-Richtlinienvorlagen und Erstellen einer DLP-Richtlinie aus einer Vorlage.

  2. Importieren Sie eine vordefinierte Richtliniendatei von außerhalb Ihrer Organisation: Sie können Richtlinien importieren, die bereits von unabhängigen Softwareanbietern außerhalb Ihrer Messagingumgebung erstellt wurden. Auf diese Weise können Sie die DLP-Lösung erweitern und an Ihre geschäftlichen Anforderungen anpassen.

  3. Erstellen Sie eine benutzerdefinierte Richtlinie ohne bereits vorhandene Bedingungen: Ihr Unternehmen hat möglicherweise eigene Anforderungen für die Überwachung bestimmter Datentypen, von der bekannt ist, dass sie in einem Messagingsystem vorhanden sind. Sie können selbst eine benutzerdefinierte Richtlinie erstellen, um die spezifischen Messagingdaten in Ihrer Organisation zu überprüfen und geeignete Aktionen auszuführen. Sie müssen die Anforderungen und Einschränkungen der Umgebung kennen, in der die DLP-Richtlinie erzwungen werden soll, um eine solche benutzerdefinierte Richtlinie zu erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie.

Nachdem Sie eine Richtlinie hinzugefügt haben, können Sie die enthaltenen Regeln prüfen und ändern, die Richtlinie inaktiv setzen oder die Richtlinie vollständig entfernen.

Arten von vertraulichen Informationen in DLP-Richtlinien

Wenn Sie DLP-Richtlinien erstellen oder ändern, können Sie Regeln verwenden, die eine Überprüfung auf vertrauliche Daten einschließen. Die im Thema " Entitätsdefinitionen für vertrauliche Informationstypen" aufgeführten Typen vertraulicher Informationen können in Ihren Richtlinien verwendet werden. Sie können die Bedingungen Ihrer Richtlinien – z. B. wie oft ein Element gefunden werden muss, damit eine Aktion ausgeführt wird, oder welche Aktion ausgeführt werden soll – benutzerdefiniert anpassen, um die spezifischen Richtlinienanforderungen in Ihrer Organisation zu erfüllen. Weitere Informationen zum Erstellen von DLP-Richtlinien finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu den vollständigen Suite-Nachrichtenflussregeln finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online.

Damit Sie die Regeln in Bezug auf vertrauliche Daten einfacher verwenden können, stellt Microsoft Richtlinienvorlagen bereit, die bereits einige Arten vertraulicher Informationen beinhalten. Sie können richtlinienvorlagen jedoch keine Bedingungen für alle hier aufgeführten Typen vertraulicher Informationen hinzufügen, da die Vorlagen ihnen dabei helfen sollen, sich auf die am häufigsten verwendeten Typen von Compliance-bezogenen Daten in Ihrer Organisation zu konzentrieren. Weitere Informationen zu den vordefinierten Vorlagen finden Sie unter In Exchange bereitgestellte DLP-Richtlinienvorlagen. Sie können eine Vielzahl von DLP-Richtlinien für Ihre Organisation erstellen und aktivieren, sodass viele verschiedene Arten von Informationen untersucht werden. Sie können auch DLP-Richtlinien erstellen, die nicht auf vorhandenen Vorlagen basieren. Informationen dazu, wie Sie eine solche Richtlinie erstellen, finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu Typen vertraulicher Informationen finden Sie unter Entitätsdefinitionen für vertrauliche Informationstypen.

Richtlinientipps zur Benachrichtigung der Benutzer über die Erwartungen hinsichtlich vertraulicher Inhalte

Sie können Richtlinientipp-Benachrichtigungen verwenden, um E-Mail-Absender über mögliche Probleme mit der Richtlinientreue zu informieren, während diese eine Nachricht erstellen. Wenn Sie einen Richtlinientipp in einer DLP-Richtlinie konfigurieren, wird die Benachrichtigung nur angezeigt, wenn ein Element in der E-Mail des Absenders die in der Richtlinie festgelegten Bedingungen erfüllt. Richtlinientipps ähneln den E-Mail-Infos, die in Microsoft Exchange 2010 eingeführt wurden. Weitere Informationen finden Sie unter Richtlinientipps.

Erkennen von vertraulichen Informationen und herkömmliche Nachrichtenklassifikation

Exchange Online stellt eine neue Methode dar, mit der Sie Nachrichten- und Anlagendaten im Vergleich zur herkömmlichen Nachrichtenklassifizierung verwalten können. Ein entscheidender Vorteil der DLP-Lösung ist die Möglichkeit, vertrauliche Inhalte ordnungsgemäß identifizieren zu können, die für die Organisation, für rechtliche Anforderungen, in der Geografie oder für andere geschäftliche Anforderungen einzigartig sind. Exchange Online können dies erreichen, indem sie eine neue Architektur für eine umfassende Inhaltsanalyse in Verbindung mit Erkennungskriterien verwenden, die Sie durch Regeln in Ihren DLP-Richtlinien festlegen. Die Verhinderung von Datenverlust in Exchange Online basiert auf der Konfiguration des richtigen Satzes von Regeln für vertrauliche Informationen, damit sie ein hohes Maß an Schutz bieten und unangemessene Nachrichtenflussunterbrechungen mit falsch positiven und negativen Ergebnissen minimieren. Diese Arten von Regeln, die in den gesamten DLP-Informationen als Erkennung vertraulicher Informationen bezeichnet werden, funktionieren innerhalb des Von E-Mail-Flussregeln bereitgestellten Rahmens, um DLP-Funktionen zu aktivieren.

Weitere Informationen zu diesen neuen Features finden Sie unter Integrieren von Regeln für vertrauliche Informationen mit Nachrichtenflussregeln in Exchange Online. Die herkömmlichen Felder für die Nachrichtenklassifizierung können weiterhin auf Nachrichten in Exchange angewendet werden, und diese können mit der neuen Erkennung vertraulicher Informationen kombiniert werden, entweder in einer einzigen DLP-Richtlinie oder gleichzeitig ausgeführt, sodass sie unabhängig innerhalb Exchange ausgewertet werden. Weitere Informationen zu älteren Exchange 2010-Nachrichtenklassifizierungen finden Sie unter Grundlegendes zu Nachrichtenklassifizierungen.

Installationsvoraussetzungen

Um DLP-Features nutzen zu können, benötigen Sie mindestens ein Postfach, für das eine Exchange Online Plan 2-Lizenz konfiguriert ist. Weitere Informationen finden Sie unter Exchange Online Dienstbeschreibung.

Weitere Informationen

Exchange Online