Verhinderung von Datenverlust (DLP) und Microsoft Teams.Data loss prevention and Microsoft Teams

Wenn Ihre Organisation über Verhinderung von Datenverlust (Data Loss Prevention, DLP) verfügt, können Sie Richtlinien definieren, die verhindern, dass Personen vertrauliche Informationen in einer Microsoft Teams Kanal- oder Chatsitzung freigeben.If your organization has data loss prevention (DLP), you can define policies that prevent people from sharing sensitive information in a Microsoft Teams channel or chat session. Hier sind einige Beispiele für die Funktionsweise dieses Schutzes:Here are some examples of how this protection works:

  • Beispiel 1: Schützen vertraulicher Informationen in Nachrichten.Example 1: Protecting sensitive information in messages. Angenommen, jemand versucht, vertrauliche Informationen in einem Teams Chat oder Kanal für Gäste (externe Benutzer) freizugeben.Suppose that someone attempts to share sensitive information in a Teams chat or channel with guests (external users). Wenn Sie eine DLP-Richtlinie definiert haben, um dies zu verhindern, werden Nachrichten mit vertraulichen Informationen, die an externe Benutzer gesendet werden, gelöscht.If you have a DLP policy defined to prevent this, messages with sensitive information that are sent to external users are deleted. Dies geschieht automatisch und innerhalb von Sekunden entsprechend der Konfiguration Ihrer DLP-Richtlinie.This happens automatically, and within seconds, according to how your DLP policy is configured.

    Hinweis

    DLP für Microsoft Teams blockiert vertrauliche Inhalte, wenn sie für Microsoft Teams Benutzer freigegeben werden, die Folgendes haben:DLP for Microsoft Teams blocks sensitive content when shared with Microsoft Teams users who have:
    - Gastzugriff in Teams und Kanälen; Oder- guest access in teams and channels; or
    - Externer Zugriff in Besprechungen und Chatsitzungen.- external access in meetings and chat sessions.

    DLP für externe Chatsitzungen funktioniert nur, wenn sich sowohl der Absender als auch der Empfänger im modus "Nur" Teams befinden und Microsoft Teams systemeigenen Partnerverbundverwenden.DLP for external chat sessions will only work if both the sender and the receiver are in Teams Only mode and using Microsoft Teams native federation. DLP für Teams blockiert keine Nachrichten in der Interoperabilität mit Skype for Business oder nicht systemeigenen Verbundchatsitzungen.DLP for Teams does not block messages in interop with Skype for Business or non-native federated chat sessions.

  • Beispiel 2: Schützen vertraulicher Informationen in Dokumenten.Example 2: Protecting sensitive information in documents. Angenommen, jemand versucht, ein Dokument für Gäste in einem Microsoft Teams Kanal oder Chat freizugeben, und das Dokument enthält vertrauliche Informationen.Suppose that someone attempts to share a document with guests in a Microsoft Teams channel or chat, and the document contains sensitive information. Wenn Sie eine DLP-Richtlinie definiert haben, um dies zu verhindern, wird das Dokument für diese Benutzer nicht geöffnet.If you have a DLP policy defined to prevent this, the document won't open for those users. Ihre DLP-Richtlinie muss SharePoint und OneDrive einschließen, damit ein Schutz besteht.Your DLP policy must include SharePoint and OneDrive in order for protection to be in place. Dies ist ein Beispiel für DLP für SharePoint, das in Microsoft Teams angezeigt wird und daher erfordert, dass Benutzer für Office 365 DLP lizenziert sind (in Office 365 E3 enthalten), aber keine Benutzer für Office 365 Advanced Compliance lizenziert werden müssen.)This is an example of DLP for SharePoint that shows up in Microsoft Teams, and therefore requires that users are licensed for Office 365 DLP (included in Office 365 E3), but does not require users to be licensed for Office 365 Advanced Compliance.)

DLP-Lizenzierung für Microsoft TeamsDLP Licensing for Microsoft Teams

Die Funktionen zur Verhinderung von Datenverlust wurden erweitert, um Microsoft Teams Chat- und Kanalnachrichten einzuschließen, einschließlich Nachrichten aus privaten Kanälen für:Data loss prevention capabilities were extended to include Microsoft Teams chat and channel messages, including private channel messages for:

  • Office 365 E5/A5Office 365 E5/A5
  • Microsoft 365 E5/A5Microsoft 365 E5/A5
  • Microsoft 365 A5 Information Protection und GovernanceMicrosoft 365 Information Protection and Governance
  • Office 365 Advanced ComplianceOffice 365 Advanced Compliance

Office 365 und Microsoft 365 E3 DLP-Schutz für SharePoint Online, OneDrive und Exchange Online enthalten.Office 365 and Microsoft 365 E3 include DLP protection for SharePoint Online, OneDrive, and Exchange Online. Dies umfasst auch Dateien, die über Teams freigegeben werden, da Teams SharePoint Online und OneDrive zum Freigeben von Dateien verwendet.This also includes files that are shared through Teams because Teams uses SharePoint Online and OneDrive to share files.

Die Unterstützung des DLP-Schutzes in Teams Chat erfordert E5.Support for DLP protection in Teams Chat requires E5.

Weitere Informationen zu den Lizenzierungsanforderungen finden Sie unter Microsoft 365-Dienste auf Mandantenebene – Leitfaden zur Lizenzierung.To learn more about licensing requirements, see Microsoft 365 Tenant-Level Services Licensing Guidance.

Wichtig

DLP gilt nur für die tatsächlichen Nachrichten im Chat- oder Kanalthread.DLP applies only to the actual messages in the chat or channel thread. Aktivitätsbenachrichtigungen – die eine kurze Nachrichtenvorschau enthalten und basierend auf den Benachrichtigungseinstellungen eines Benutzers angezeigt werden – sind nicht in Teams DLP enthalten.Activity notifications -- which include a short message preview and appear based on a user's notification settings -- are not included in Teams DLP. Alle vertraulichen Informationen, die in dem Teil der Nachricht vorhanden sind, der in der Vorschau angezeigt wird, bleiben in der Benachrichtigung sichtbar, auch nachdem die DLP-Richtlinie angewendet und vertrauliche Informationen entfernt wurde.Any sensitive information present in the part of the message that appears in the preview will remain visible in the notification even after the DLP policy has been applied and removed sensitive information the message itself.

Umfang des DLP-SchutzesScope of DLP protection

DLP-Schutz wird auf Teams Entitäten unterschiedlich angewendet.DLP protection are applied differently to Teams entities.

Benutzerkonten/Gruppen/ListeUser Accounts/Groups/List Teams EntitätTeams Entity DLP-Schutz verfügbarDLP protection available
Einzelne Benutzerkontenindividual user accounts 1:1/n-Chats1:1/n chats jayes
Allgemeine Chatsgeneral chats neinno
Private Kanäleprivate channels jayes
Sicherheitsgruppen/Verteilerlistensecurity groups/distribution lists 1:1/n-Chats1:1/n chats jayes
Allgemeine Chatsgeneral chats neinno
Private Kanäleprivate channels jayes
Microsoft 365 GruppeMicrosoft 365 group 1:1/n-Chats1:1/n chats neinno
Allgemeine Chatsgeneral chats jayes
Private Kanäleprivate channels neinno

Richtlinientipps helfen bei der Schulung von BenutzernPolicy tips help educate users

Ähnlich wie DLP in Exchange, Outlook, Outlook im Web, SharePoint Online, OneDrive for Business Websitesund Office Desktopclients,werden Richtlinientipps angezeigt, wenn eine Aktion mit einer DLP-Richtlinie ausgelöst wird.Similar to how DLP works in Exchange, Outlook, Outlook on the web, SharePoint Online, OneDrive for Business sites, and Office desktop clients, policy tips appear when an action triggers with a DLP policy. Hier ist ein Beispiel für einen Richtlinientipp:Here's an example of a policy tip:

Benachrichtigung über blockierte Nachrichten in Teams

Hier hat der Absender versucht, eine Sozialversicherungsnummer in einem Microsoft Teams Kanal freizugeben.Here, the sender attempted to share a social security number in a Microsoft Teams channel. Über den Link "Was kann ich tun?" wird ein Dialogfeld geöffnet, das Optionen für den Absender zur Behebung des Problems bereitstellt.The What can I do? link opens a dialog box that provides options for the sender to resolve the issue. Beachten Sie, dass der Absender die Richtlinie außer Kraft setzen oder einen Administrator benachrichtigen kann, die Richtlinie zu überprüfen und zu beheben.Notice that, the sender can opt to override the policy, or notify an admin to review and resolve it.

Optionen zum Auflösen blockierter Nachrichten

In Ihrer Organisation können Sie festlegen, dass Benutzer eine DLP-Richtlinie außer Kraft setzen können.In your organization, you can choose to allow users to override a DLP policy. Wenn Sie Ihre DLP-Richtlinien konfigurieren, können Sie die Standardrichtlinientipps verwenden oder Richtlinientipps für Ihre Organisation anpassen.When you configure your DLP policies, you can use the default policy tips, or customize policy tips for your organization.

Wenn Sie zu unserem Beispiel zurückkehren, bei dem ein Absender eine Sozialversicherungsnummer in einem Teams Kanal freigegeben hat, sieht der Empfänger Folgendes:Returning to our example, where a sender shared a social security number in a Teams channel, here's what the recipient saw:

Nachricht blockiertMessage blocked

Anpassen von RichtlinientippsTo customize policy tips

Um diese Aufgabe ausführen zu können, muss Ihnen eine Rolle zugewiesen sein, die über Berechtigungen zum Bearbeiten von DLP-Richtlinien verfügt.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Weitere Informationen hierzu finden Sie unter Berechtigungen.To learn more, see Permissions.

  1. Wechseln Sie zum Compliance Center ( https://compliance.microsoft.com ), und melden Sie sich an.Go to the Compliance Center (https://compliance.microsoft.com) and sign in.

  2. Klicken Sie auf die Verhinderung von Datenverlust- > Richtlinie.Choose Data loss prevention > Policy.

  3. Wählen Sie eine Richtlinie aus, und wählen Sie neben den Richtlinieneinstellungen "Bearbeiten" aus.Select a policy, and next to Policy settings, choose Edit.

  4. Erstellen Sie entweder eine neue Regel, oder bearbeiten Sie eine vorhandene Regel für die Richtlinie.Either create a new rule, or edit an existing rule for the policy.

    Bearbeiten einer Regel für eine RichtlinieEditing a rule for a policy

  5. Wählen Sie auf der Registerkarte "Benutzerbenachrichtigungen" die Option "E-Mail-Text anpassen" und/oder "Richtlinientipp-Textoptionen anpassen" aus.On the User notifications tab, select Customize the email text and/or Customize the policy tip text options.

    Anpassen von Benutzerbenachrichtigungen und RichtlinientippsCustomize user notifications and policy tips

  6. Geben Sie den Text an, den Sie für E-Mail-Benachrichtigungen und/oder Richtlinientipps verwenden möchten, und wählen Sie dann Speichern aus.Specify the text you want to use for email notifications and/or policy tips, and then choose Save.

  7. Wählen Sie auf der Registerkarte "Richtlinieneinstellungen" die Option "Speichern" aus.On the Policy settings tab, choose Save.

Lassen Sie ungefähr eine Stunde zu, bis Ihre Änderungen sich in Ihrem Rechenzentrum befinden und mit Benutzerkonten synchronisiert werden.Allow approximately one hour for your changes to work their way through your data center and sync to user accounts.

Hinzufügen von Microsoft Teams als Speicherort zu bestehenden DLP-RichtlinienAdd Microsoft Teams as a location to existing DLP policies

Um diese Aufgabe ausführen zu können, muss Ihnen eine Rolle zugewiesen sein, die über Berechtigungen zum Bearbeiten von DLP-Richtlinien verfügt.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Weitere Informationen hierzu finden Sie unter Berechtigungen.To learn more, see Permissions.

  1. Wechseln Sie zum Compliance Center ( https://compliance.microsoft.com ), und melden Sie sich an.Go to the Compliance Center (https://compliance.microsoft.com) and sign in.

  2. Klicken Sie auf die Verhinderung von Datenverlust- > Richtlinie.Choose Data loss prevention > Policy.

  3. Wählen Sie eine Richtlinie aus, und sehen Sie sich die Werte unter Speicherorte an.Select a policy, and look at the values under Locations. Wenn Teams Chat- und Kanalnachrichten angezeigt werden, sind Sie alle festgelegt.If you see Teams chat and channel messages, you're all set. Wenn Dies nicht der Fall ist, klicken Sie auf "Bearbeiten".If you don't, click Edit.

    Speicherorte für vorhandene RichtlinienLocations for existing policy

  4. Aktivieren Sie in der Spalte "Status" die Richtlinie für Teams Chat- und Kanalnachrichten.In the Status column, turn the policy on for Teams chat and channel messages.

    DLP für Teams Chats und KanäleDLP for Teams chats and channels

  5. Behalten Sie auf der Registerkarte "Speicherorte auswählen" die Standardeinstellung aller Konten bei, oder wählen Sie "Bestimmte Speicherorte auswählen" aus.On the Choose locations tab, keep the default setting of all accounts, or select Let me choose specific locations. Sie können Folgendes angeben:You can specify:

    1. bis zu 1.000 einzelne Konten, die ein- oder ausgeschlossen werden sollenup to 1000 individual accounts to include or exclude
    2. Verteilerlisten und Sicherheitsgruppen, die eingeschlossen oder ausgeschlossen werden sollen.distribution lists and security groups to include or exclude.
  6. Wählen Sie dann Weiter aus.Then choose Next.

  7. Klicken Sie auf Speichern.Click Save.

Lassen Sie ungefähr eine Stunde zu, bis Ihre Änderungen sich in Ihrem Rechenzentrum befinden und mit Benutzerkonten synchronisiert werden.Allow approximately one hour for your changes to work their way through your data center and sync to user accounts.

Definieren einer neuen DLP-Richtlinie für Microsoft TeamsDefine a new DLP policy for Microsoft Teams

Um diese Aufgabe ausführen zu können, muss Ihnen eine Rolle zugewiesen sein, die über Berechtigungen zum Bearbeiten von DLP-Richtlinien verfügt.To perform this task, you must be assigned a role that has permissions to edit DLP policies. Weitere Informationen hierzu finden Sie unter Berechtigungen.To learn more, see Permissions.

  1. Wechseln Sie zum Compliance Center ( https://compliance.microsoft.com ), und melden Sie sich an.Go to the Compliance Center (https://compliance.microsoft.com) and sign in.

  2. Klicken Sie auf Verhinderung von Datenverlust > Richtlinie > + Erstellen einer Richtlinie.Choose Data loss prevention > Policy > + Create a policy.

  3. Wählen Sie eine Vorlageaus, und klicken Sie dann auf "Weiter".Choose a template, and then choose Next.

    In unserem Beispiel haben wir die Vorlage für personenbezogene Informationen in den USA ausgewählt.In our example, we chose the U.S. Personally Identifiable Information Data template.

    Datenschutzvorlage für DLP-RichtliniePrivacy template for DLP policy

  4. Geben Sie auf der Registerkarte "Name Ihrer Richtlinie" einen Namen und eine Beschreibung für die Richtlinie an, und wählen Sie dann "Weiter" aus.On the Name your policy tab, specify a name and description for the policy, and then choose Next.

  5. Behalten Sie auf der Registerkarte "Speicherorte auswählen" die Standardeinstellung aller Konten bei, oder wählen Sie "Bestimmte Speicherorte auswählen" aus.On the Choose locations tab, keep the default setting of all accounts, or select Let me choose specific locations. Sie können Folgendes angeben:You can specify:

    1. bis zu 1.000 einzelne Konten, die ein- oder ausgeschlossen werden sollenup to 1000 individual accounts to include or exclude
    2. Verteilerlisten und Sicherheitsgruppen, die eingeschlossen oder ausgeschlossen werden sollen.distribution lists and security groups to include or exclude. Dies ist eine öffentliche Vorschaufunktion.This is a public preview feature.

    DLP-Richtlinienspeicherorte

    Hinweis

    Wenn Sie sicherstellen möchten, dass Dokumente, die vertrauliche Informationen enthalten, nicht unangemessen in Teams freigegeben werden, stellen Sie sicher, dass SharePoint Websites und OneDrive Konten sowie Teams Chat- und Kanalnachrichten aktiviert sind.If you want to make sure documents that contain sensitive information are not shared inappropriately in Teams, make sure SharePoint sites and OneDrive accounts are turned on, along with Teams chat and channel messages.

  6. On the Policy settings tab, under Customize the type of content you want to protect, keep the default simple settings, or choose Use advanced settings, and then choose Next.On the Policy settings tab, under Customize the type of content you want to protect, keep the default simple settings, or choose Use advanced settings, and then choose Next. Wenn Sie erweiterte Einstellungen auswählen, können Sie Regeln für Ihre Richtlinie erstellen oder bearbeiten.If you choose advanced settings, you can create or edit rules for your policy. Hilfe hierzu finden Sie unter "Einfache Einstellungen" im Vergleich zu erweiterten Einstellungen.To get help with this, see Simple settings vs. advanced settings.

  7. Überprüfen Sie auf der Registerkarte "Richtlinieneinstellungen" unter "Was möchten Sie tun, wenn vertrauliche Informationen erkannt werden?" die Einstellungen.On the Policy settings tab, under What do you want to do if we detect sensitive info?, review the settings. Hier können Sie auswählen, ob Sie standardmäßige Richtlinientipps und E-Mail-Benachrichtigungenbeibehalten oder anpassen möchten.Here's where you can choose to keep default policy tips and email notifications, or customize them.

    DLP-Richtlinieneinstellungen mit Tipps und BenachrichtigungenDLP policy settings with tips and notifications

    Wenn Sie die Überprüfung oder Bearbeitung der Einstellungen abgeschlossen haben, wählen Sie Weiter.When you're finished reviewing or editing settings, choose Next.

  8. Wählen Sie auf der Registerkarte "Richtlinieneinstellungen" unter Möchten Sie die Richtlinie aktivieren oder zuerst testen? aus, ob Sie die Richtlinie aktivieren, zuerst testenoder vorerst deaktiviert lassen möchten, und klicken Sie dann auf "Weiter".On the Policy settings tab, under Do you want to turn on the policy or test things out first?, choose whether to turn the policy on, test it first, or keep it turned off for now, and then choose Next.

    Angeben, ob die Richtlinie aktiviert werden sollSpecify whether to turn the policy on

  9. Überprüfen Sie auf der Registerkarte "Einstellungen überprüfen" die Einstellungen für Ihre neue Richtlinie.On the Review your settings tab, review the settings for your new policy. Wählen Sie "Bearbeiten" aus, um Änderungen vorzunehmen.Choose Edit to make changes. Wenn Sie fertig sind, wählen Sie Erstellen aus.When you're finished, choose Create.

Lassen Sie ungefähr eine Stunde zu, bis ihre neue Richtlinie sich in Ihrem Rechenzentrum durcharbeiten und mit Benutzerkonten synchronisieren kann.Allow approximately one hour for your new policy to work its way through your data center and sync to user accounts.

Verhindern des externen Zugriffs auf vertrauliche DokumentePrevent external access to sensitive documents

Um sicherzustellen, dass SharePoint Dokumente, die vertrauliche Informationen enthalten, nicht standardmäßig von externen Gästen über SharePoint oder Teams aufgerufen werden können, wählen Sie Folgendes aus:To ensure that SharePoint documents that contain sensitive information cannot be accessed by external guests either from SharePoint or Teams by default, select the following:

  • Sie können sicherstellen, dass Dokumente geschützt sind, bis DLP-Scans ausgeführt werden, und sie als sicher für die Freigabe kennzeichnen, indem Sie neue Dateien standardmäßig als vertraulich markieren.You can ensure that documents are protected until DLP scans and marks them as safe to share by marking new files as sensitive by default.

  • Empfohlene DLP-RichtlinienstrukturRecommended DLP policy structure

    • Bedingungen:Conditions

      • Der Inhalt enthält einen der folgenden vertraulichen Informationstypen: [Alle zutreffenden Auswählen]Content contains any of these sensitive information types: [Select all that apply]

      • Inhalte werden von Microsoft 365 für Personen außerhalb meiner Organisation freigegeben.Content is shared from Microsoft 365 with people outside my organization

        DLP-Bedingungen zum Erkennen der externen Freigabe vertraulicher InhalteDLP conditions to detect external sharing of sensitive content

    • AktionenActions

      • Zugriff auf den Inhalt für externe Benutzer einschränkenRestrict access to the content for external users

      • Benutzer per E-Mail und mit Richtlinientipps benachrichtigenNotify users with email and policy tips

      • Vorfallberichte an den Administrator sendenSend incident reports to the Administrator

      DLP-Aktion zum Blockieren der externen Freigabe vertraulicher InhalteDLP action to block external sharing of sensitive content

DLP-Richtlinie in Aktion beim Versuch, ein Dokument in SharePoint freizugeben, das vertrauliche Informationen für einen externen Gast enthält:DLP policy in action when attempting to share a document in SharePoint that contains sensitive information with an external guest:

Externe Freigabe blockiertExternal sharing blocked

DLP-Richtlinie in Aktion, wenn Gast versucht, ein Dokument in Teams mit externen Blockierung zu öffnen:DLP policy in action when guest attempts to open a document in Teams with block external:

Externer Zugriff blockiertExternal access blocked