Erstellen einer DLP-Richtlinie zum Schützen von Dokumenten mit FCI oder anderen Eigenschaften
Microsoft Purview Data Loss Prevention-Richtlinien (DLP) können Klassifizierungseigenschaften oder Elementeigenschaften verwenden, um vertrauliche Elemente zu identifizieren. Sie können beispielsweise Folgendes verwenden:
- Eigenschaften der Windows Server-Dateiklassifizierungsinfrastruktur (FCI)
- SharePoint-Dokumenteigenschaften
- Eigenschaften von Drittanbieter-Systemdokumenten
Ihr organization kann beispielsweise windows Server FCI verwenden, um Elemente mit personenbezogenen Daten wie Sozialversicherungsnummern zu identifizieren und diese Dokumente dann zu klassifizieren, indem die Eigenschaft Personenbezogene Informationen auf Hoch, Mittel, Niedrig, Öffentlich oder Nicht PII basierend auf dem Typ und der Anzahl der vorkommenden personenbezogenen Daten in jedem Dokument festgelegt wird.
In Microsoft 365 können Sie eine DLP-Richtlinie erstellen, die Dokumente identifiziert, für die diese Eigenschaft auf bestimmte Werte wie Hoch und Mittel festgelegt ist, und dann eine Aktion wie das Blockieren des Zugriffs auf diese Dateien ausführt. Die gleiche Richtlinie kann eine andere Regel enthalten, die eine andere Aktion ausführt, wenn die Eigenschaft auf Niedrig festgelegt ist und z. B. eine E-Mail-Benachrichtigung sendet. Auf diese Weise lässt sich DLP in Windows Server FCI integrieren und kann dazu beitragen, Office-Dokumente zu schützen, die von Windows Server-basierten Dateiservern in Microsoft 365 hochgeladen oder freigegeben wurden.
Eine DLP-Richtlinie sucht einfach nach einem bestimmten Eigenschafts-Name-Wert-Paar. Eine beliebige Dokumenteigenschaft kann verwendet werden, solange die Eigenschaft über eine entsprechende verwaltete Eigenschaft für die SharePoint-Suche verfügt. Eine SharePoint-Websitesammlung verwendet z. B. möglicherweise einen Inhaltstyp namens Reisebericht mit einem erforderlichen Feld namens Kunde. Wenn eine Person einen Reisebericht erstellt, muss sie den Namen des Kunden eingeben. Dieses Eigenschaftsname-Wert-Paar kann auch in einer DLP-Richtlinie verwendet werden, z. B. wenn Sie eine Regel wünschen, die den Zugriff auf das Dokument für Gäste blockiert, wenn das Feld "Kunde " Contoso enthält.
Wenn Sie Ihre DLP-Richtlinie auf Inhalte mit bestimmten Microsoft 365-Bezeichnungen anwenden möchten, führen Sie die hier beschriebenen Schritte nicht aus. Lesen Sie stattdessen Erstellenund Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Bevor Sie die DLP-Richtlinie erstellen
Bevor Sie eine Windows Server-FCI-Eigenschaft oder eine andere Eigenschaft in einer DLP-Richtlinie verwenden können, müssen Sie eine verwaltete Eigenschaft im SharePoint Admin Center erstellen. Hier ist der Grund.
In SharePoint und OneDrive wird der Suchindex erstellt, indem der Inhalt auf Ihren Websites durchforstet wird. Der Crawler übernimmt Inhalte und Metadaten aus den Dokumenten in Form von durchforsteten Eigenschaften. Das Suchschema hilft dem Crawler bei der Entscheidung, welche Inhalte und Metadaten erfasst werden sollen. (Beispiele für Metadaten sind der Autor und der Titel eines Dokuments.) Um jedoch den Inhalt und die Metadaten aus den Dokumenten in den Suchindex abzurufen, müssen die durchforsteten Eigenschaften verwalteten Eigenschaften zugeordnet werden. Nur verwaltete Eigenschaften werden im Index beibehalten. Beispielsweise wird eine durchforstete Eigenschaft, die sich auf den Autor bezieht, einer verwalteten Eigenschaft zugeordnet, die sich auf den Autor bezieht.
Hinweis
Achten Sie darauf, beim Erstellen von DLP-Regeln mit der ContentPropertyContainsWords Bedingung einen Namen einer verwalteten Eigenschaft und keinen durchforsteten Eigenschaftsnamen zu verwenden. Dies ist wichtig, da DLP den Suchcrawler verwendet, um vertrauliche Informationen auf Ihren Websites zu identifizieren und zu klassifizieren, und speichert diese vertraulichen Informationen dann in einem sicheren Teil des Suchindexes. Wenn Sie ein Dokument in Office 365 hochladen, erstellt SharePoint automatisch durchforstete Eigenschaften auf Grundlage der Dokumenteigenschaften. Um jedoch eine FCI oder eine andere Eigenschaft in einer DLP-Richtlinie zu verwenden, muss diese durchforstete Eigenschaft einer verwalteten Eigenschaft zugeordnet werden, damit der Inhalt mit dieser Eigenschaft im Index beibehalten wird.
Weitere Informationen zu Sucheigenschaften und verwalteten Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint Online.
Schritt 1: Hochladen eines Dokuments mit der erforderlichen Eigenschaft in Office 365
Zunächst müssen Sie ein Dokument mit der Eigenschaft hochladen, auf die Sie in Ihrer DLP-Richtlinie verweisen möchten. Microsoft 365 erkennt die Eigenschaft und erstellt automatisch eine durchforstete Eigenschaft. Im nächsten Schritt erstellen Sie eine verwaltete Eigenschaft und ordnen die verwaltete Eigenschaft dieser durchforsteten Eigenschaft zu.
Schritt 2: Erstellen einer verwalteten Eigenschaft
Melden Sie sich beim Microsoft 365 Admin Center an.
Wählen Sie im linken Navigationsbereich Admin SharePoint zentrieren> aus. Sie sind jetzt im SharePoint Admin Center.
Wählen Sie im linken Navigationsbereich suchen aus. Wählen Sie auf der Seite "Suchverwaltung " die Option Suchschema verwalten aus.
Auf der Seite >Verwaltete EigenschaftenNeue verwaltete Eigenschaft.
Geben Sie einen Namen und eine Beschreibung für die Eigenschaft ein. Dieser Name wird in den DLP-Richtlinien angezeigt.
Wählen Sie für TypText.
Wählen Sie unter HaupteigenschaftenAbfragbar und Abrufbar.
Wählen Sie unter Zuordnungen zu durchforsteten Eigenschaften die Option Zuordnung hinzufügen aus.
Suchen Sie im Dialogfeld auswahl der durchforsteten Eigenschaft die durchforstete Eigenschaft, die der Windows Server-FCI-Eigenschaft oder einer anderen Eigenschaft entspricht, die Sie in Ihrer DLP-Richtlinie verwenden werden, und wählen Sie sie aus, und wählen Sie dann OK aus.
Wählen Sie unten auf der Seite OK aus.
Erstellen einer DLP-Richtlinie, die eine FCI-Eigenschaft oder eine andere Eigenschaft verwendet
In diesem Beispiel verwendet ein organization FCI auf seinen Windows Server-basierten Dateiservern. Insbesondere wird die FCI-Klassifizierungseigenschaft "Persönlich identifizierbare Informationen" mit möglichen Werten wie "Hoch", "Mittel", "Niedrig", "Öffentlich" und "Nicht PII" verwendet. Jetzt möchten sie ihre vorhandene FCI-Klassifizierung in ihren DLP-Richtlinien in Office 365 verwenden.
Zunächst führen sie die obigen Schritte aus, um eine verwaltete Eigenschaft in SharePoint Online zu erstellen, die der durchforsteten Eigenschaft zugeordnet ist, die automatisch aus der FCI-Eigenschaft erstellt wird.
Als Nächstes erstellen sie eine DLP-Richtlinie mit zwei Regeln, die beide die Bedingung Dokumenteigenschaften verwenden, die einen der folgenden Werte enthalten:
FCI PII-Inhalt – Hoch, Mittel Die erste Regel schränkt den Zugriff auf das Dokument ein, wenn die FCI-Klassifizierungseigenschaft Personenbezogene Informationen gleich Hoch oder Mittel ist und das Dokument für Personen außerhalb des organization freigegeben wird.
FCI PII-Inhalt – Niedrig Die zweite Regel sendet eine Benachrichtigung an den Dokumentbesitzer, wenn die FCI-Klassifizierungseigenschaft Persönlich identifizierbare Informationen den Wert Niedrig aufweist und das Dokument für Personen außerhalb des organization freigegeben wird.
Nachdem Sie die DLP-Richtlinie erstellt haben
Wenn Sie die Schritte in den vorherigen Abschnitten ausführen, wird eine DLP-Richtlinie erstellt, die Inhalte mit dieser Eigenschaft schnell erkennt, aber nur, wenn dieser Inhalt neu hochgeladen wird (damit der Inhalt indiziert wird), oder wenn dieser Inhalt alt, aber nur bearbeitet wurde (damit der Inhalt neu indiziert wird).
Um Inhalte mit dieser Eigenschaft überall zu erkennen, müssen Sie Ihre Bibliothek, Website oder Websitesammlung neu indizieren lassen, damit die DLP-Richtlinie alle Inhalte mit dieser Eigenschaft kennt. In SharePoint werden Inhalte automatisch durchforstet, wenn Inhalte bearbeitet werden. Bestimmte SharePoint-Websites können nicht manuell neu indiziert werden.
Achtung
Das erneute Indizieren einer Website für DLP-Szenarien ist nicht möglich.
Weitere Informationen finden Sie unter Manuelles Anfordern des Durchforstens und des erneuten Indizierens einer Website, Bibliothek oder Liste.
Erneutes Indizieren einer Website (optional)
Wählen Sie auf der Website Einstellungen (Zahnradsymbol oben rechts) >Websiteeinstellungen aus.
Wählen Sie unter Suchedie Option Suchen und Offlineverfügbarkeit>Website neu indizieren aus.
Weitere Informationen
- Informationen zur Verhinderung von Datenverlust
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust
- Senden von Benachrichtigungen und Anzeigen von Richtlinientipps für DLP-Richtlinien
- Bestandteile von DLP-Richtlinienvorlagen
- Entitätsdefinitionen für Typen vertraulicher Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für