Erste Schritte mit Oversharing-Popups

Wenn Sie eine geeignete richtlinie für Microsoft Purview Data Loss Prevention (DLP) konfigurieren, überprüft DLP E-Mail-Nachrichten, bevor sie auf bezeichnete oder vertrauliche Informationen gesendet werden, und wendet die in der DLP-Richtlinie definierten Aktionen an.

Das Popup "Oversharing" ist ein E5-Feature.

Wichtig

Dies ist ein hypothetisches Szenario mit hypothetischen Werten. Dies dient nur zur Veranschaulichung. Sie sollten Ihre eigenen Vertraulichen Informationstypen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer ersetzen.

Wichtig

Um die Mindestversion von Outlook zu identifizieren, die dieses Feature unterstützt, verwenden Sie die Funktionstabelle für Outlook und die Zeile Verhindern der Überteilung als DLP-Richtlinientipp.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Vorabinformationen

SKU/Abonnement-Lizenzierung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

AIP P2-Lizenz wird unterstützt

Berechtigungen

Das Konto, das Sie zum Erstellen und Bereitstellen von Richtlinien verwenden, muss Mitglied einer dieser Rollengruppen sein.

• Compliance-Administrator
• Compliancedatenadministrator
• Informationsschutz
• Information Protection-Administrator
• Sicherheitsadministrator

Wichtig

Stellen Sie sicher, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen, indem Sie verwaltungseinheiten lesen, bevor Sie beginnen.

Differenzierte Rollen und Rollengruppen

Es gibt Rollen und Rollengruppen, mit denen Sie Ihre Zugriffssteuerungen optimieren können.

Hier ist eine Liste der anwendbaren Rollen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

• DLP-Complianceverwaltung
• Information Protection-Administrator
• Information Protection-Analyst
• Information Protection-Ermittler
• Information Protection-Leser

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

• Informationsschutz
• Information Protection-Administratoren
• Information Protection-Analysten
• Information Protection-Ermittler
• Information Protection-Leser

Voraussetzungen und Annahmen

In Outlook für Microsoft 365 zeigt ein Überfreigabe-Popup ein Popup an, bevor eine Nachricht gesendet wird. Wählen Sie Richtlinientipp als Dialogfeld für den Benutzer vor dem Senden eines Richtlinientipps beim Erstellen einer DLP-Regel für den Exchange-Speicherort anzeigen aus. In diesem Szenario wird die Vertraulichkeitsbezeichnung Streng vertraulich verwendet. Daher müssen Sie Vertraulichkeitsbezeichnungen erstellt und veröffentlicht haben. Weitere Informationen finden Sie unter:

• Weitere Informationen zu Vertraulichkeitsbezeichnungen
• Erste Schritte mit Vertraulichkeitsbezeichnungen
• Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien

Bei diesem Verfahren wird eine hypothetische Unternehmensdomäne auf Contoso.com verwendet.

Richtlinienabsicht und -zuordnung

Wir müssen E-Mails an alle Empfänger blockieren, für die die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet wird, es sei denn, die Empfängerdomäne ist contoso.com. Wir möchten den Benutzer beim Senden mit einem Popupdialog benachrichtigen, und niemand kann den Block überschreiben.

Anweisung	Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir müssen E-Mails an alle Empfänger blockieren..."	- Überwachungsort: Exchange-Verwaltungsbereich- : Vollständiges Verzeichnis- Aktion: Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten > verschlüsseln Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien > Blockieren aller Benutzer
"... bei denen die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet wurde..."	- Zu überwachende Elemente: Verwenden Sie die Bedingungen der benutzerdefinierten Vorlage - für eine Übereinstimmung: Bearbeiten Sie sie, um die Vertraulichkeitsbezeichnung "Streng vertraulich " hinzuzufügen.
"... außer, wenn..."	Konfiguration der Bedingungsgruppe : Erstellen einer geschachtelten booleschen NOT-Bedingungsgruppe, die mit den ersten Bedingungen verknüpft ist, mithilfe eines booleschen AND
"... die Empfängerdomäne ist contoso.com."	Bedingung für Übereinstimmung: Empfängerdomäne ist
"... Benachrichtigen..."	Benutzerbenachrichtigungen: aktiviert
"... der Benutzer beim Senden mit einem Popupdialog..."	Richtlinientipps: Ausgewählter - Richtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen: ausgewählt
"... und niemand darf den Block außer Kraft setzen...	Außerkraftsetzungen von M365-Diensten zulassen: nicht ausgewählt

Zum Konfigurieren von Popups für die Überteilung mit Standardtext muss die DLP-Regel die folgenden Bedingungen enthalten:

• Inhalt enthält >Vertraulichkeitsbezeichnungen wählen Sie Ihre Vertraulichkeitsbezeichnung(en)> aus.

und eine empfängerbasierte Bedingung

• Empfänger lautet
• Empfänger ist Mitglied von
• Empfängerdomäne lautet

Wenn diese Bedingungen erfüllt sind, zeigt der Richtlinientipp nicht vertrauenswürdige Empfänger an, während der Benutzer die E-Mail in Outlook schreibt, bevor sie gesendet wird.

Schritte zum Konfigurieren von "Wait On Send"

Optional können Sie den dlpwaitonsendtimeout-Registrierungsschlüssel (Wert in dword) auf allen Geräten festlegen, die Sie "wait on send" für Oversharing-Popups implementieren möchten. Dieser Registrierungsschlüssel definiert die maximale Zeitspanne für die E-Mail, wenn der Benutzer Senden auswählt. Dadurch kann die DLP-Richtlinienauswertung für bezeichnete oder vertrauliche Inhalte abgeschlossen werden. Sie befindet sich unter:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Sie können diesen RegKey über eine Gruppenrichtlinie (Wartezeit zum Auswerten vertraulicher Inhalte angeben), ein Skript oder einen anderen Mechanismus zum Konfigurieren von Registrierungsschlüsseln festlegen.

Wenn Sie Gruppenrichtlinie verwenden, stellen Sie sicher, dass Sie die neueste Version von Gruppenrichtlinie administrativen Vorlagendateien für Microsoft 365 Apps for Enterprise heruntergeladen haben, und navigieren Sie unter Benutzerkonfiguration >> Administrative Vorlagen >> Microsoft Office 2016 >> Security zu dieser Einstellung. Einstellungen. Wenn Sie den Cloudrichtliniendienst für Microsoft 365 verwenden, suchen Sie nach der Einstellung anhand des Namens, um ihn zu konfigurieren.

Wenn dieser Wert festgelegt und die DLP-Richtlinie konfiguriert ist, werden E-Mail-Nachrichten vor dem Senden auf vertrauliche Informationen überprüft. Wenn die Nachricht eine Übereinstimmung mit den in der Richtlinie definierten Bedingungen enthält, wird eine Richtlinientippbenachrichtigung angezeigt, bevor der Benutzer auf Senden klickt.

Mit diesem RegKey können Sie das Verhalten "Wait on Send" auf Ihren Outlook-Clients angeben. Hier sehen Sie, was jede der Einstellungen bedeutet.

Nicht konfiguriert oder Deaktiviert: Dies ist die Standardeinstellung. Wenn dlpwaitonsendtimeout nicht konfiguriert ist, wird die Nachricht nicht überprüft, bevor der Benutzer sie sendet. Die E-Mail-Nachricht wird ohne Pause gesendet, wenn auf Senden geklickt wird. Der DLP-Datenklassifizierungsdienst wertet die Nachricht aus und wendet die in der DLP-Richtlinie definierten Aktionen an.

Aktiviert: Die E-Mail-Nachricht wird aktiviert, wenn auf Senden geklickt wird, aber bevor die Nachricht tatsächlich gesendet wird. Sie können ein Zeitlimit festlegen, wie lange auf den Abschluss der DLP-Richtlinienauswertung gewartet werden soll (T-Wert in Sekunden). Wenn die Richtlinienauswertung nicht zum angegebenen Zeitpunkt abgeschlossen wird, wird eine Schaltfläche Trotzdem senden angezeigt, mit der der Benutzer die Vorabüberprüfung umgehen kann. Der T-Wertbereich beträgt 0 bis 9999 Sekunden.

Wichtig

Wenn der T-Wert größer als 9999 ist, wird er durch 10000 ersetzt, und die Schaltfläche Trotzdem senden wird nicht angezeigt. Dies hält die Nachricht so lange bei, bis die Richtlinienauswertung ohne Option für die Benutzerüberschreibung abgeschlossen ist. Die Dauer der Auswertung kann abhängig von Faktoren wie Internetgeschwindigkeit, Inhaltslänge und der Anzahl der definierten Richtlinien variieren. Bei einigen Benutzern werden möglicherweise häufiger Meldungen zur Richtlinienauswertung angezeigt als andere, je nachdem, welche Richtlinien in ihrem Postfach bereitgestellt werden.

Weitere Informationen zum Konfigurieren und Verwenden von Gruppenrichtlinienobjekten finden Sie unter Verwalten von Gruppenrichtlinie in einer Microsoft Entra Domain Services verwalteten Domäne.

Schritte zum Erstellen einer DLP-Richtlinie für ein Überfreigabe-Popup

Wichtig

Für diese Prozedur zur Richtlinienerstellung akzeptieren Sie die standardmäßigen Ein-/Ausschlusswerte und lassen die Richtlinie deaktiviert. Sie ändern diese, wenn Sie die Richtlinie bereitstellen.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Anmelden beim Microsoft Purview-Portal>Richtlinienzur Verhinderung von Datenverlust>

2. Wählen Sie + Richtlinie erstellen aus.

3. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert aus.

4. Wählen Sie in der Liste Vorlagen die Option Benutzerdefiniert aus.

5. Geben Sie der Richtlinie einen Namen.

   Wichtig

   Richtlinien können nicht umbenannt werden.

6. Geben Sie eine Beschreibung ein. Sie können hier die Richtlinienabsichtsanweisung verwenden.

7. Wählen Sie Weiter aus.

8. Wählen Sie unter Admin Einheitendie Option Vollständiges Verzeichnis aus.

9. Legen Sie den Exchange-E-Mail-Speicherort status auf Ein fest. Legen Sie alle anderen Speicherorte status auf Aus fest.

10. Wählen Sie Weiter aus.

11. Übernehmen Sie die Standardwerte fürInclude All (Alle einschließen = ) und ExcludeNone (Keineausschließen = ).

12. Die Option Erweiterte DLP-Regeln erstellen oder anpassen sollte bereits ausgewählt sein.

13. Wählen Sie Weiter aus.

14. Wählen Sie Regel erstellen aus. Benennen Sie die Regel, und geben Sie eine Beschreibung an.

15. Wählen Sie Bedingung> hinzufügenInhalt enthält>>Vertraulichkeitsbezeichnungen>hinzufügen Streng vertraulich aus. Wählen Sie Hinzufügen aus.

16. Wählen Sie Gruppe> hinzufügenUND>NICHT>Bedingung hinzufügen aus.

17. Wählen Sie Empfängerdomäne ist>contoso.com aus. Wählen Sie Hinzufügen aus.

    Tipp

    Sie können auch Recipient is or Recipient is a member of anstelle von Recipient domain is verwenden, um ein Popup zum Überfreigaben auszulösen.

18. Wählen Sie Aktion> hinzufügenZugriff einschränken oder Inhalte an Microsoft 365-Speicherorten verschlüsseln aus.

19. Wählen Sie Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien und Power BI-Elemente blockieren aus.

20. Wählen Sie Alle blockieren aus.

21. Legen Sie die Umschaltfläche Benutzerbenachrichtigungen auf Ein fest.

22. Wählen Sie Richtlinientipps> DenRichtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen (nur für Exchange-Workload verfügbar) aus.

23. Wenn diese Option ausgewählt ist, deaktivieren Sie die Option Außerkraftsetzung von M365-Diensten zulassen .

24. Wählen Sie *Speichern aus.

25. Ändern Sie die Umschaltfläche Status in Ein , und wählen Sie dann Weiter aus.

26. Wählen Sie auf der Seite Richtlinienmodusdie Option Richtlinie im Testmodus ausführen aus, und aktivieren Sie das Kontrollkästchen für die Option Richtlinientipps im Simulationsmodus anzeigen .

27. Wählen Sie Weiter und dann Absenden aus.

Compliance-Portal

1. Melden Sie sich bei der Microsoft Purview-Complianceportal>Lösungen>Richtlinien zur Verhinderung von>> Datenverlust+ Richtlinie erstellen an.

2. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert aus.

3. Wählen Sie in der Liste Vorlagen die Option Benutzerdefiniert aus.

4. Geben Sie der Richtlinie einen Namen.

   Wichtig

   Richtlinien können nicht umbenannt werden.

5. Geben Sie eine Beschreibung ein. Sie können hier die Richtlinienabsichtsanweisung verwenden.

6. Wählen Sie Weiter aus.

7. Wählen Sie unter Admin Einheitendie Option Vollständiges Verzeichnis aus.

8. Legen Sie den Exchange-E-Mail-Speicherort status auf Ein fest. Legen Sie alle anderen Speicherorte status auf Aus fest.

9. Wählen Sie Weiter aus.

10. Übernehmen Sie die Standardwerte fürInclude All (Alle einschließen = ) und ExcludeNone (Keineausschließen = ).

11. Die Option Erweiterte DLP-Regeln erstellen oder anpassen sollte bereits ausgewählt sein.

12. Wählen Sie Weiter aus.

13. Wählen Sie Regel erstellen aus. Benennen Sie die Regel, und geben Sie eine Beschreibung an.

14. Wählen Sie Bedingung> hinzufügenInhalt enthält>>Vertraulichkeitsbezeichnungen>hinzufügen Streng vertraulich aus. Wählen Sie Hinzufügen aus.

15. Wählen Sie Gruppe> hinzufügenUND>NICHT>Bedingung hinzufügen aus.

16. Wählen Sie Empfängerdomäne ist>contoso.com aus. Wählen Sie Hinzufügen aus.

    Tipp

    Recipient is and Recipient is a member of can be used in the previous step and will trigger a oversharing popup.

17. Wählen Sie Aktion> hinzufügenZugriff einschränken oder Inhalte an Microsoft 365-Speicherorten> verschlüsselnZugriff einschränken oder Inhalte in Microsoft 365-Speicherorten> verschlüsselnBlockieren, dass Benutzer E-Mails empfangen oder auf freigegebene SharePoint-, OneDrive- und Teams-Dateien zugreifen können.>Alle blockieren.

18. Legen Sie Benutzerbenachrichtigungen auf Ein fest.

19. Wählen Sie Richtlinientipps> DenRichtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen aus.

20. Stellen Sie sicher, dass Außerkraftsetzung von M365-Diensten zulassennicht ausgewählt ist .

21. Wählen Sie Speichern aus.

22. Wählen Sie Weiter>Ausschalten>Weiter Senden> aus.

PowerShell-Schritte zum Erstellen einer Richtlinie

DLP-Richtlinien und -Regeln können auch in PowerShell konfiguriert werden. Zum Konfigurieren von Popups mit PowerShell erstellen Sie zunächst eine DLP-Richtlinie (mithilfe von PowerShell) und fügen DLP-Regeln für jeden Warn-, Rechtfertigungs- oder Block-Popuptyp hinzu.

Sie konfigurieren und legen die DLP-Richtlinie mithilfe von New-DlpCompliancePolicy fest. Anschließend konfigurieren Sie jede Überschreitungsregel mit New-DlpComplianceRule.

Verwenden Sie diesen Codeausschnitt, um eine neue DLP-Richtlinie für das Popupszenario für das Überfreigaben zu konfigurieren:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Diese DLP-Beispielrichtlinie ist auf alle Benutzer in Ihrem organization. Legen Sie ihre DLP-Richtlinien mithilfe von -ExchangeSenderMemberOf und fest -ExchangeSenderMemberOfException.

Parameter	Konfiguration
-ContentContainsSensitiveInformation	Konfiguriert mindestens eine Vertraulichkeitsbezeichnungsbedingung. Dieses Beispiel enthält ein Beispiel. Mindestens eine Bezeichnung ist obligatorisch.
-ExceptIfRecipientDomainIs	Liste der vertrauenswürdigen Domänen.
-NotifyAllowOverride	"WithJustification" aktiviert Die Optionsfelder "OhneJustification" deaktiviert sie.
-NotifyOverrideRequirements	"WithAcknowledgement" aktiviert die neue Bestätigungsoption. Dies ist optional.

Führen Sie diesen PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Warn-Popups mithilfe vertrauenswürdiger Domänen zu konfigurieren.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Führen Sie diesen PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Popupfensters mit vertrauenswürdigen Domänen zu konfigurieren.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Führen Sie diesen PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Block-Popups mit vertrauenswürdigen Domänen zu konfigurieren.

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Verwenden Sie diese Verfahren, um auf den X-Header zur Geschäftlichen Begründung zuzugreifen.

Siehe auch

• Erste Schritte mit dem Dashboard
• Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust