Referenz zur Verhinderung von Datenverlust

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Wichtig

Dieses Referenzthema ist nicht mehr die Hauptressource für Microsoft Purview Data Loss Prevention (DLP)-Informationen. Der DLP-Inhaltssatz wird aktualisiert und neu strukturiert. Die in diesem Artikel behandelten Themen werden in neue, aktualisierte Artikel verschoben. Weitere Informationen zu DLP finden Sie unter "Informationen zur Verhinderung von Datenverlust".

Hinweis

Kürzlich wurden Funktionen zur Verhinderung von Datenverlust zu den Microsoft Teams-Chat- und Kanalnachrichten für Benutzer hinzugefügt, die für Office 365 Advanced Compliance lizensiert sind. Sie sind als eigenständige Option verfügbar und in Office 365 E5 und Microsoft 365 E5 Compliance enthalten. Weitere Informationen zu den Lizenzierungsanforderungen finden Sie unter Microsoft 365-Dienste auf Mandantenebene – Leitfaden zur Lizenzierung.

Erstellen und Verwalten von DLP-Richtlinien

Sie erstellen und verwalten DLP-Richtlinien auf der Seite zur Verhinderung von Datenverlust im Microsoft Purview Compliance-Portal.

Seite "Verhinderung von Datenverlust" im Microsoft Purview Compliance-Portal

Optimieren von Regeln, um Übereinstimmungen zu vereinfachen oder zu erschweren

Nachdem man eine DLP-Richtlinie erstellt und aktiviert hat, ergeben sich manchmal die folgenden Probleme:

  • Zu viele Inhalte, bei denen es sich nicht um vertrauliche Informationen handelt, entsprechen der Regel. Anders ausgedrückt, es gibt zu viele falsch positive Ergebnisse.

  • Zu wenig Inhalte, die vertrauliche Informationen sind, entsprechen den Regeln. Anders ausgedrückt, die Schutzaktionen werden bei diesen vertraulichen Informationen nicht umgesetzt.

Um diese Probleme zu beheben, können Sie Ihre Regeln verbessern, indem Sie die Anzahl der Instanzen und die Übereinstimmungsgenauigkeit anpassen, um die Übereinstimmung von Inhalten mit den Regeln zu erschweren oder zu vereinfachen. Jeder Typ vertraulicher Informationen, der in einer Regel verwendet wird, verfügt sowohl über eine Instanzenanzahl als auch über eine Übereinstimmungsgenauigkeit.

Instanzenanzahl

Die Instanzenanzahl gibt einfach nur an, wie oft ein bestimmter Typ vertraulicher Informationen vorkommen muss, damit ein Inhalt der Regel entspricht. So entspricht beispielsweise ein Inhalt der Regel unten, wenn darin zwischen 1 und 9 eindeutige US-amerikanische oder britische Passnummern erkannt wurden.

Hinweis

Bei der Anzahl der Instanzen werden nur einmalig vorkommende Übereinstimmungen für vertrauliche Informationstypen und Stichwörter gezählt. Wenn in einer E-Mail-Nachricht beispielsweise 10 mal die gleiche Kreditkartennummer vorkommt, zählen diese 10 Vorkommen als eine einzige Kreditkartennummerinstanz.

Die Optimierung von Regeln mithilfe der Instanzenanzahl ist einfach:

  • Damit für die Regel einfacher Übereinstimmungen gefunden werden können, verringern Sie die Werte für die min-Anzahl und/oder erhöhen Sie die max-Anzahl. Sie können max auch auf beliebig festlegen, indem Sie den numerischen Wert löschen.

  • Um die Übereinstimmung mit der Regel zu erschweren, erhöhen Sie den Wert für die Mindestanzahl.

Normalerweise verwenden Sie in einer Regel mit einer geringeren Instanzenanzahl (beispielsweise 1-9) weniger restriktive Aktionen wie das Senden von Benachrichtigungen an Benutzer. In einer Regel mit einer höheren Instanzenanzahl (beispielsweise 10-beliebig) verwenden Sie restriktivere Aktionen wie das Einschränken des Zugriffs auf Inhalte, ohne Benutzeraußerkraftsetzung zuzulassen.

Instanzenanzahl im Regel-Editor.

Treffergenauigkeit

Wie vorstehend beschrieben wird jeder Typ vertraulicher Informationen durch eine Kombination unterschiedlicher Arten von Beweisen definiert und ermittelt. Im Allgemeinen wird ein Typ vertraulicher Informationen durch mehrere solche Kombinationen, den so genannten Mustern, definiert. Ein Muster, das weniger Beweise erfordert, verfügt über eine geringere Übereinstimmungsgenauigkeit (oder Vertrauensstufe), während ein Muster, das mehr Beweise erfordert, über eine höhere Übereinstimmungsgenauigkeit (oder Vertrauensstufe) verfügt. Wenn Sie mehr über die tatsächlichen Muster und Vertrauensstufen, die von jedem Typ vertraulicher Informationen verwendet werden, wissen möchten, lesen Sie Entitätsdefinitionen für Typen vertraulicher Informationstypen.

So wird der Typ vertraulicher Informationen mit Namen Kreditkartennummer durch zwei Muster definiert:

  • Ein Muster mit einer Vertrauensstufe von 65 %, das Folgendes voraussetzt:

    • Eine Nummer im Format einer Kreditkartennummer

    • Eine Nummer, die die Prüfsumme übergibt

  • Ein Muster mit einer Vertrauensstufe von 85 %, das Folgendes voraussetzt:

    • Eine Nummer im Format einer Kreditkartennummer

    • Eine Nummer, die die Prüfsumme übergibt

    • Ein Stichwort oder ein Ablaufdatum im korrekten Format

Sie können diese Vertrauensstufen (oder die Übereinstimmungsgenauigkeit) in Ihren Regeln verwenden. Normalerweise verwenden Sie in einer Regel mit einer geringeren Übereinstimmungsgenauigkeit weniger restriktive Aktionen wie das Senden von Benachrichtigungen an Benutzer. In einer Regel mit höherer Übereinstimmungsgenauigkeit verwenden Sie restriktivere Aktionen wie das Einschränken des Zugriffs auf Inhalte, ohne Benutzeraußerkraftsetzung zuzulassen.

Es ist wichtig zu verstehen, dass nur eine einzige Vertrauensstufe zurückgegeben wird, wenn in einem Inhalt ein bestimmter Typ vertraulicher Informationen wie eine Kreditkartennummer erkannt wird:

  • Wenn alle Übereinstimmungen einem einzigen Muster entsprechen, wird die Vertrauensstufe für dieses Muster zurückgegeben.

  • Wenn es Übereinstimmungen für mehr als ein Muster gibt (wenn es beispielsweise Übereinstimmungen mit zwei unterschiedlichen Vertrauensstufen gibt), wird eine Vertrauensstufe zurückgegeben, die höher als die der einzelnen Muster ist. Das ist der schwierige Teil. Wenn es bei einer Kreditkarte beispielsweise Übereinstimmungen für die 65 %igen und die 85 %igen Muster gibt, ist die Vertrauensstufe, die für diesen Typ vertraulicher Informationen höher als 90 %, da mehr Beweise mehr Vertrauen bedeuten.

Wenn Sie also zwei sich gegenseitig ausschließende Regeln für Kreditkarten erstellen möchten, eine für die 65 %ige Übereinstimmungsgenauigkeit und eine für die 85 %ige Übereinstimmungsgenauigkeit, sehen die Bereiche für die Übereinstimmungsgenauigkeit folgendermaßen aus: Mit der ersten Regel werden nur Übereinstimmungen mit dem 65 %igen Muster erfasst. Mit der zweiten Regel werden Übereinstimmungen mit mindestens einer 85 %igen Übereinstimmung erfasst, und sie kann potenziell auch weitere, niedrigere Vertrauensübereinstimmungen erfassen.

Zwei Regeln mit unterschiedlichen Bereichen für die Übereinstimmungsgenauigkeit.

Aus diesen Gründen lautet die Anleitung zum Erstellen von Regeln mit unterschiedlichen Übereinstimmungsgenauigkeiten wie folgt:

  • Für die niedrigste Vertrauensstufe wird normalerweise derselbe Wert für min und max (und kein Bereich) verwendet.

  • Bei der höchsten Vertrauensstufe handelt es sich normalerweise um einen Bereich, der von direkt über der niedrigeren Vertrauensstufe bis 100 reicht.

  • Alle dazwischen liegenden Vertrauensstufen rangieren normalerweise von direkt über der niedrigeren Vertrauensstufe bis direkt unterhalb der höheren Vertrauensstufe.

Verwenden einer Aufbewahrungsbezeichnung als Bedingung in einer DLP-Richtlinie

Wenn Sie eine zuvor erstellte und veröffentlichte Aufbewahrungsbezeichnung als Bedingung in einer DLP-Richtlinie verwenden, müssen Sie Folgendes beachten:

  • Die Aufbewahrungsbezeichnung muss vor der Verwendung als Bedingung in einer DLP-Richtlinie erstellt und veröffentlicht werden.

  • Die Synchronisierung veröffentlichter Aufbewahrungsbezeichnungen kann ein bis sieben Tage dauern. Weitere Informationen zu Aufbewahrungsbezeichnungen, die in einer Aufbewahrungsrichtlinie veröffentlicht sind, finden Sie unter Wann Aufbewahrungsbezeichnungen zur Verfügung stehen und zu automatisch veröffentlichten Aufbewahrungsbezeichnungen unter Wie lange dauert es, bis Aufbewahrungsbezeichnungen übernommen werden.

  • Die Verwendung einer Aufbewahrungsbezeichnung in einer Richtlinie wird nur für Elemente in SharePoint und OneDrive unterstützt.

    Beschriftungen als Bedingung.

    Vielleicht möchten Sie in einer DLP-Richtlinie eine Aufbewahrungsbezeichnung verwenden, weil Elemente vorliegen, die unter Aufbewahrung und Disposition stehen, und Sie auch andere Kontrollelemente anwenden möchten wie z. B.:

    • Sie haben eine Aufbewahrungsbezeichnung namens Steuerjahr 2018 veröffentlicht, durch deren Anwendung auf Steuerdokumente von 2018, die in SharePoint gespeichert sind, diese für 10 Jahre aufbewahrt und dann freigegeben werden. Sie möchten außerdem nicht, dass diese Elemente außerhalb Ihrer Organisation freigegeben werden, wofür Sie mit einer DLP-Richtlinie sorgen können.

    Wichtig

    Wenn Sie eine Aufbewahrungsbezeichnung als Bedingung in einer DLP-Richtlinie angeben und zudem Exchange und/oder Microsoft Teams als Speicherort verwenden, wird die folgende Fehlermeldung angezeigt: "Der Schutz von mit Bezeichnungen versehenen Inhalten in E-Mail- und Teams-Nachrichten wird nicht unterstützt. Entfernen Sie die Bezeichnung unten, oder deaktivieren Sie Exchange und Microsoft Teams als Speicherort." Der Grund dafür ist, dass der Exchange-Transport die Bezeichnungsmetadaten beim Senden und Zustellen von Nachrichten nicht ausgewertet.

Verwenden einer Vertraulichkeitsbezeichnung als Bedingung in einer DLP-Richtlinie

Erfahren Sie mehr über die Verwendung von Vertraulichkeitsbezeichnungen als Bedingung in DLP-Richtlinien.

Die Beziehung dieses Features zu anderen Features

Auf Inhalte mit vertraulichen Informationen können verschiedene Features angewendet werden:

  • Sowohl eine Aufbewahrungsbezeichnung als auch eine Aufbewahrungsrichtlinie kann Aktionen zur Aufbewahrung für diese Inhalte erzwingen.

  • Mit einer DLP-Richtlinie können Aktionen zum Schutz dieser Inhalte erzwungen werden. Und bevor diese Aktionen erzwungen werden, kann eine DLP-Richtlinie vorsehen, dass zusätzlich zum Inhalt mit einer Bezeichnung noch andere Bedingungen erfüllt werden müssen.

Diagramm der Features, die für vertrauliche Informationen gelten können.

Beachten Sie, dass eine DLP-Richtlinie eine umfangreichere Erkennungsfunktionalität aufweist als eine Bezeichnung oder Aufbewahrungsrichtlinie, die vertraulichen Informationen zugewiesen ist. Eine DLP-Richtlinie kann Schutzaktionen für Inhalte mit vertraulichen Informationen erzwingen. Wenn die vertraulichen Informationen aus dem Inhalt entfernt werden, erfolgt nach der nächsten Untersuchung des Inhalts die Aufhebung dieser Schutzaktionen. Wenn hingegen eine Aufbewahrungsrichtlinie oder Bezeichnung auf Inhalt mit vertraulichen Informationen angewendet wird, handelt es sich um eine einmalige Aktion, die nicht rückgängig gemacht wird, selbst wenn die vertraulichen Informationen entfernt wurden.

Durch Verwenden einer Bezeichnung als Bedingung in Ihrer DLP-Richtlinie können Sie für Inhalte mit dieser Bezeichnung sowohl Aufbewahrungs- als auch Schutzaktionen erzwingen. Sie können sich Inhalte mit einer Bezeichnung exakt wie Inhalte mit vertraulichen Informationen vorstellen. Sowohl eine Bezeichnung als auch der vertrauliche Informationstyp sind Eigenschaften zum Klassifizieren von Inhalten, damit Sie Aktionen für diese erzwingen können.

Diagramm der DLP-Richtlinie, in der die Bezeichnung als Bedingung verwendet wird.

Die einfachen Einstellungen im Vergleich zu den erweiterten Einstellungen

Beim Erstellen einer DLP-Richtlinie können Sie zwischen einfachen und erweiterten Einstellungen auswählen:

  • Einfache Einstellungen machen es leicht, die am häufigsten verwendeten Typen von DLP-Richtlinien zu erstellen, ohne Regeln mit dem Regel-Editor erstellen oder ändern zu müssen.

  • Erweiterte Einstellungen sehen die Verwendung des Regel-Editors vor, um Ihnen die vollständige Kontrolle über jede Einstellung für Ihre DLP-Richtlinie zu geben.

Keine Sorge, hinter den Kulissen funktionieren die einfachen Einstellungen und die erweiterten Einstellungen genau gleich. Beide erzwingen aus Bedingungen und Aktionen bestehende Regeln, nur dass der Regel-Editor bei den einfachen Einstellungen nicht angezeigt wird. Dies ist eine schnelle Möglichkeit zum Erstellen einer DLP-Richtlinie.

Einfache Einstellungen

Das bei Weitem häufigste DLP-Szenario ist das Erstellen einer Richtlinie, mit der Sie Inhalte mit vertraulichen Informationen vor der Freigabe für Personen außerhalb Ihrer Organisation schützen und eine automatische Abhilfemaßnahme erstellen, indem Sie z. B. den Zugriff auf den Inhalt einschränken, Endbenutzern oder Administratoren Benachrichtigungen senden und das Ereignis für eine spätere Untersuchung überwachen. Personen verwenden DLP, um zu verhindern, dass vertrauliche Informationen versehentlich veröffentlicht werden.

Um dieses Ziel einfacher zu erreichen, können Sie beim Erstellen einer DLP-Richtlinie Einfache Einstellungen verwenden auswählen. Diese Einstellungen bieten alles, was Sie benötigen, um die am häufigsten verwendeten DLP-Richtlinien zu implementieren, ohne in den Regel-Editor wechseln zu müssen.

DLP-Optionen für einfache und erweiterte Einstellungen.

Erweiterte Einstellungen

Wenn Sie speziellere DLP-Richtlinien erstellen müssen, können Sie Erweiterte Einstellungen verwenden auswählen.

Die erweiterten Einstellungen präsentieren Ihnen den Regel-Editor, mit dem Sie die vollständige Kontrolle über alle verfügbaren Optionen haben, einschließlich Anzahl der Instanzen und Übereinstimmungsgenauigkeit (Vertrauensstufe) für jede Regel.

Um schnell zu einem bestimmten Abschnitt zu springen, klicken Sie auf der oberen Navigationsleiste des Regel-Editors auf ein Element, um unten zum betreffenden Abschnitt zu wechseln.

Oberes Navigationsmenü des DLP-Regel-Editors.

DLP-Richtlinienvorlagen

Der erste Schritt beim Erstellen einer DLP-Richtlinie besteht in der Auswahl der zu schützenden Informationen. Wenn Sie mit einer DLP-Richtlinienvorlage beginnen, müssen Sie nicht alle Regeln von Grund auf neu erstellen und sich überlegen, welche Arten von Informationen standardmäßig einbezogen werden sollen. Anschließend können Sie diese Anforderungen ergänzen oder ändern, um die Regel an die spezifischen Anforderungen Ihrer Organisation anzupassen.

Mithilfe einer vorkonfigurierten DLP-Richtlinienvorlage können spezifische Arten von vertraulichen Informationen ermittelt werden, wie z. B. HIPAA-Daten, PCI-DSS-Daten, Gramm-Leach-Bliley Act-Daten oder sogar standortspezifisch personenbezogene Informationen (PII). Damit Sie allgemeine Typen vertraulicher Informationen schnell ausfindig machen und schützen können, weisen die in Microsoft 365 enthaltenen Richtlinienvorlagen bereits die gängigsten Typen vertraulicher Informationen auf, sodass Sie schnell einen Einstieg finden.

Liste der Vorlagen für Richtlinien zur Verhinderung von Datenverlust mit Fokus auf Vorlagen für den U.S. Patriot Act.

Ihre Organisation weist aber möglicherweise ihre ganz eigenen speziellen Anforderungen auf. In diesem Fall können Sie eine DLP-Richtlinie auch von Grund auf neu erstellen, indem Sie die Option Benutzerdefinierte Richtlinie auswählen. Eine benutzerdefinierte Richtlinie ist leer und enthält keine vordefinierten Regeln.

DLP-Berichte

Nachdem Sie DLP-Richtlinien erstellt und aktiviert haben, müssen Sie sicherstellen, dass sie wie gewünscht funktionieren und Sie bei der Richtlinieneinhaltung unterstützen. Den DLP-Berichten können Sie schnell die Anzahl der DLP-Richtlinien- und -Regelübereinstimmungen sowie die Anzahl von falsch positiven Ergebnissen und Außerkraftsetzungen entnehmen. Sie können die Übereinstimmungen in einem Bericht nach Speicherort und Zeitrahmen filtern und sogar auf eine bestimmte Richtlinie, Regel oder Aktion eingrenzen.

DLP-Berichte bieten Ihnen geschäftliche Einblicke und ermöglichen Ihnen Folgendes:

  • Sie können sich auf bestimmte Zeiträume konzentrieren und so mehr über die Gründe für Spitzen und Trends erfahren.

  • Sie können die Geschäftsprozesse ermitteln, die gegen die Einhaltungsrichtlinien Ihrer Organisation verstoßen.

  • Sie können die geschäftlichen Auswirkungen der DLP-Richtlinien besser nachvollziehen.

Darüber hinaus können Sie die DLP-Berichte verwenden, um Ihre DLP-Richtlinien optimieren, wenn sie ausgeführt werden.

Berichtsdashboard im Security and Compliance Center.

Funktionsweise von DLP-Richtlinien

DLP erkennt vertrauliche Informationen mithilfe einer eingehenden Inhaltsanalyse (nicht nur einer einfachen Textprüfung). Bei dieser eingehenden Inhaltsanalyse werden Schlüsselwortübereinstimmung, Wörterbuchübereinstimmungen, die Auswertung regulärer Ausdrücke, interne Funktionen sowie weitere Inhaltsuntersuchungsmethoden herangezogen, um Inhalte zu erkennen, welche die DLP-Richtlinien erfüllen. Möglicherweise gilt nur ein kleiner Prozentsatz Ihrer Daten als vertraulich. Eine DLP-Richtlinie kann nur diese Daten bestimmen, überwachen und automatisch schützen, ohne Personen zu behindern, die mit den restlichen Inhalten arbeiten.

Richtlinien werden synchronisiert

Nachdem Sie eine DLP-Richtlinie im Microsoft Purview-Complianceportal erstellt haben, wird sie in einem zentralen Richtlinienspeicher gespeichert und dann mit den verschiedenen Inhaltsquellen synchronisiert, einschließlich:

  • Exchange Online und von dort aus mit Outlook im Web und Outlook.

  • OneDrive for Business-Websites.

  • SharePoint Online-Websites.

  • Office-Desktopprogrammen (Excel, PowerPoint und Word).

  • Microsoft Teams-Kanälen und Chatnachrichten.

Nachdem die Richtlinie mit den richtigen Speicherorten synchronisiert wurde, werden Inhalte ausgewertet und Aktionen erzwungen.

Richtlinienauswertung in OneDrive for Business- und SharePoint Online-Websites

Die Dokumente auf Ihren SharePoint Online- und OneDrive for Business-Websites ändern sich ständig: Sie werden erstellt, bearbeitet, freigegeben und vieles mehr. Dies hat zur Folge, dass Dokumente jederzeit mit einer DLP-Richtlinie in Konflikt geraten oder richtlinienkonform werden können. So kann beispielsweise eine Person ein Dokument, das keine vertraulichen Informationen enthält, auf die Teamwebsite hochladen und eine andere Person zu einem späteren Zeitpunkt das Dokument bearbeiten und diesem vertrauliche Informationen hinzufügen.

Aus diesem Grund überprüfen DLP-Richtlinien Dokumente im Hintergrund regelmäßig auf Richtlinienübereinstimmungen. Sie können sich diesen Vorgang als asynchrone Richtlinienauswertung vorstellen.

Funktionsweise

Während Dokumente auf Websites hinzugefügt oder geändert werden, werden die Inhalte vom Suchmodul überprüft, wodurch eine spätere Suche danach ermöglicht wird. Währenddessen wird der Inhalt auch auf vertrauliche Informationen und eine etwaige Freigabe überprüft. Alle gefundenen vertraulichen Informationen werden sicher im Suchindex gespeichert. Auf diesen kann nur das Complianceteam, nicht der normale Benutzer zugreifen. Jede aktivierte DLP-Richtlinie wird im Hintergrund (asynchron) ausgeführt. Dabei werden Suchergebnisse regelmäßig auf Inhalte überprüft, die mit einer Richtlinie übereinstimmen, und es werden Aktionen angewendet, um diese Inhalte vor einer versehentlichen Veröffentlichung zu schützen.

Diagramm, das zeigt, wie die DLP-Richtlinie Inhalte asynchron auswertet.

Dokumente können jedoch nicht nur mit einer DLP-Richtlinie in Konflikt stehen, sondern es können auch Änderungen vorgenommen werden, die dazu führen, dass sie nun einer DLP-Richtlinie entsprechen. Wenn eine Person zum Beispiel einem Dokument Kreditkartennummern hinzufügt, kann dies dazu führen, dass die DLP-Richtlinie den Zugriff auf das Dokument automatisch sperrt. Wenn die Person jedoch später die vertraulichen Informationen entfernt, wird die Aktion (in diesem Fall die Sperre) automatisch entfernt, wenn das Dokument das nächste Mal anhand der Richtlinie ausgewertet wird.

Eine DLP wertet alle Inhalte aus, die indiziert werden können. Weitere Informationen zu den Dateitypen, die standardmäßig durchforstet werden, finden Sie unter Standardmäßig durchforstete Dateinamenerweiterungen und analysierte Dateitypen in SharePoint Server.

Hinweis

Um zu verhindern, dass Dokumente freigegeben werden, bevor DLP-Richtlinien die Möglichkeit hatten, sie zu analysieren, kann die Freigabe neuer Dateien in SharePoint blockiert werden, bis der Inhalt indiziert wurde. Ausführliche Informationen finden Sie unter Neue Dateien standardmäßig als vertraulich kennzeichnen.

Richtlinienauswertung in Exchange, Outlook und Outlook im Web

Wenn Sie eine DLP-Richtlinie erstellen, die Exchange Online als Speicherort enthält, wird die Richtlinie vom Microsoft Purview-Complianceportal mit Exchange Online synchronisiert und dann von Exchange Online zu Outlook im Web und Outlook.

Beim Verfassen einer Nachricht in Outlook können Richtlinientipps für den Benutzer angezeigt werden, während die erstellten Inhalte anhand der DLP-Richtlinien ausgewertet werden. Und nachdem eine Nachricht gesendet wurde, wird sie anhand von DLP-Richtlinien als normalem Teil des Nachrichtenflusses ausgewertet, zusammen mit Exchange Nachrichtenflussregeln (auch als Transportregeln bezeichnet) und DLP-Richtlinien, die im Exchange Admin Center erstellt wurden. DLP-Richtlinien überprüfen die Nachricht und alle Anlagen.

Richtlinienauswertung in den Office-Desktopprogrammen

Excel, PowerPoint und Word enthalten dieselben Funktionen wie SharePoint Online und OneDrive for Business, um vertrauliche Informationen zu identifizieren und DLP-Richtlinien anzuwenden. Diese Office-Programme synchronisieren ihre DLP-Richtlinien direkt über den zentralen Richtlinienspeicher und bewerten dann kontinuierlich Inhalte anhand der DLP-Richtlinien, wenn Benutzer mit Dokumenten arbeiten, die von einem in einer DLP-Richtlinie enthaltenen Ort geöffnet werden.

Die DLP-Richtlinienauswertung in Office wirkt sich nicht auf die Leistung der Programme oder die Produktivität der Mitarbeiter aus, die mit solchen Inhalten arbeiten. Wenn ein großes Dokument bearbeitet wird oder der Computer eines Benutzers ausgelastet ist, kann es möglicherweise einige Sekunden dauern, bis ein Richtlinientipp angezeigt wird.

Richtlinienauswertung in Microsoft Teams

Wenn Sie eine DLP-Richtlinie erstellen, die Microsoft Teams als Speicherort enthält, wird die Richtlinie vom Microsoft Purview Compliance-Portal mit Benutzerkonten und Microsoft Teams Kanälen und Chatnachrichten synchronisiert. Je nachdem, wie eine DLP-Richtlinie konfiguriert ist, kann bei dem Versuch, vertrauliche Informationen in einer Microsoft Teams-Chat- oder Kanalnachricht freizugeben, die entsprechende Nachricht blockiert oder widerrufen werden. Außerdem können Dokumente, die vertrauliche Informationen enthalten und für Gäste (externe Benutzer) freigegeben wurden, von diesen Benutzern nicht geöffnet werden. Weitere Informationen finden Sie unter Verhinderung von Datenverlust und Microsoft Teams.

Berechtigungen

Standardmäßig haben globale Administratoren, Sicherheitsadministratoren und Compliance-Administratoren Zugriff, um eine DLP-Richtlinie zu erstellen und anzuwenden. Andere Mitglieder Ihres Complianceteams, die DLP-Richtlinien erstellen, benötigen Berechtigungen für das Microsoft Purview Compliance-Portal. Standardmäßig hat Ihr Mandantenadministrator Zugriff auf diesen Speicherort und kann Compliance Officern und anderen Personen Zugriff auf das Microsoft Purview-Complianceportal gewähren, ohne ihnen alle Berechtigungen eines Mandantenadministrators zu erteilen. Zu diesem Zweck empfehlen wir Folgendes:

  1. Erstellen Sie eine Gruppe in Microsoft 365, und fügen Sie dieser Compliance Officers hinzu.

  2. Erstellen Sie auf der Seite "Berechtigungen" des Microsoft Purview-Complianceportals eine Rollengruppe.

  3. Verwenden Sie beim Erstellen der Rollengruppe den Abschnitt Rollen auswählen, um die folgende Rolle zur Rollengruppe hinzuzufügen: DLP-Complianceverwaltung.

  4. Verwenden Sie den Abschnitt Mitglieder auswählen, um die zuvor erstellte Microsoft 365-Gruppe der Rollengruppe hinzuzufügen.

Sie können auch eine Rollengruppe mit Nur-Lese-Rechten für die DLP-Richtlinien und DLP-Berichte erstellen, indem Sie die Rolle DLP-Complianceverwaltung mit Leserechten.

Weitere Informationen finden Sie unter Gewähren des Zugriffs auf das Office 365 Compliance Center.

Diese Berechtigungen sind nur erforderlich, um eine DLP-Richtlinie zu erstellen und anzuwenden. Für die Richtlinienerzwingung ist kein Zugriff auf den Inhalt erforderlich.

Finden der DLP-Cmdlets

Um die meisten Cmdlets für das Microsoft Purview Compliance-Portal zu verwenden, müssen Sie Folgendes ausführen:

  1. Verbinden zu Security & Compliance PowerShell.

  2. Verwenden Sie eines dieser policy-and-compliance-dlp-Cmdlets.

DLP-Berichte müssen jedoch Daten aus allen Microsoft 365-Komponenten (einschließlich Exchange Online) abrufen. Aus diesem Grund sind die Cmdlets für die DLP-Berichte in Exchange Online PowerShell verfügbar – nicht im Microsoft Purview-Complianceportal Powershell. Zur Verwendung der Cmdlets für die DLP-Berichte müssen Sie daher folgende Aktionen ausführen:

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Verwenden Sie eines dieser Cmdlets für die DLP-Berichte:

Weitere Informationen