Meer informatie over de on-premises scanner voor preventie van gegevensverlies van Microsoft 365
De on-premises scanner voor Microsoft preventie van gegevensverlies maakt deel uit van het Microsoft 365-programmapakket voor preventie van gegevensverlies (DLP) met functies die u kunt gebruiken voor het detecteren en beveiligen van gevoelige items in Microsoft 365-services. For more information about all of Microsoft’s DLP offerings, Zie Meer informatie over preventie van gegevensverlies voor meer informatie over alle DLP-aanbiedingen van Microsoft.
De DLP-on-premises scanner verkent on-premises data-at-rest in gedeelde bestanden en in SharePoint-documentbibliotheken en -mappen voor gevoelige items die, als deze worden gelekt, een risico vormen voor uw organisatie of een risico van schending van het compliancebeleid vormen. Dit geeft u de zichtbaarheid en controle die u nodig hebt om ervoor te zorgen dat gevoelige items goed worden gebruikt en beveiligd, en om risicogedrag te voorkomen dat dergelijke gevoelige items in gevaar kan brengen. De on-premises DLP-scanner detecteert gevoelige informatie met behulp van ingebouwdeof aangepaste gevoelige informatie -typen, gevoeligheidslabels of bestandseigenschappen. De informatie over wat gebruikers met gevoelige items doen, wordt zichtbaar in Activiteitenverkenner en u kunt acties op deze items afdwingen via DLP-beleid.
De on-premises DLP-scanner is afhankelijk van Azure Information Protection-scanner
De on-premises DLP-scanner is afhankelijk van een volledige implementatie van de Azure Information Protection (AIP)-scanner voor het controleren, labelen en beveiligen van gevoelige items. Als u niet bekend bent met de AIP-scanner, wordt het ten zeerste aangeraden u vertrouwd te maken met de scanner. Zie de volgende artikelen:
- Wat is Azure Information Protection?
- Wat is de geïntegreerde labelscanner van Azure Information Protection?
- Vereisten voor het installeren en implementeren van de geïntegreerde labelscanner van Azure Information Protection
- Handleiding: Installeren van de geïntegreerde labelscanner van Azure Information Protection (AIP)
- Configureren en installeren van de geïntegreerde labelscanner van Azure Information Protection
- Geïntegreerde labelclient van Azure Information Protection - Versiegeschiedenis en ondersteuningsbeleid
Acties van on-premises DLP-scanner
Met DLP-on-premises scanner worden bestanden gedetecteerd met een van de volgende vier methoden:
- typen gevoelige informatie
- vertrouwelijkheidslabels
- bestandsextensie
- aangepaste documenteigenschappen alleen voor Office-bestanden
Wanneer een gedetecteerd bestand een potentieel risico vormt bij lekken of een schending van het compliancebeleid, kan de on-premises DLP-scanner een van deze vier acties uitvoeren.
| Actie | Omschrijving |
|---|---|
| Blokkeren dat deze personen toegang hebben tot bestanden die zijn opgeslagen in on-premises scanner - Iedereen | Wanneer deze actie wordt afgedwongen, blokkeert deze actie de toegang tot alle accounts behalve dat van de eigenaar van de inhoud, het laatste account dat het item heeft gewijzigd en dat van de beheerder. Dit wordt gedaan door alle accounts te verwijderen van NTFS-/SharePoint-machtigingen op bestandsniveau, behalve de eigenaar van het bestand, de eigenaar van de opslagplaats (ingesteld in de Eigenaar opslagplaats instellen instelling in de inhoudsscantaak),laatste modificator (kan alleen worden geïdentificeerd in SharePoint) en beheerder. Aan het scanneraccount worden ook FC-rechten toegekend voor het bestand. |
| Blokkeren dat deze personen toegang hebben tot bestanden die zijn opgeslagen in on-premises scanner - toegang blokkeren voor de hele organisatie (openbaar) | Als deze actie wordt afgedwongen, worden de Everyone_, _NT AUTHORITY\authenticated users_, en _Domain Users SID's uit de ACL (controlelijst voor bestandstoegang) verwijderd. Alleen gebruikers en groepen die expliciet rechten hebben op het bestand of de bovenliggende map, hebben toegang tot het bestand. |
| Machtigingen voor het bestand instellen | Als dit wordt afgedwongen, wordt het bestand gedwongen de machtigingen van de bovenliggende map over te nemen. Standaard wordt deze actie alleen afgedwongen als de machtigingen voor de bovenliggende map meer beperkingen hebben dan de machtigingen die al voor het bestand staan. Als de ACL voor het bestand bijvoorbeeld is ingesteld op alleen specifieke gebruikers_ toestaan en de bovenliggende map zo is geconfigureerd om _Domain Users_ groep toe te staan, worden de machtigingen voor bovenliggende mappen niet overgenomen door het bestand. U kunt dit gedrag overschrijven door de optie _ Overnemen zelfs als bovenliggende machtigingen minder beperkend zijn, te selecteren. |
| Het bestand verwijderen van een onjuiste locatie | Als dit wordt afgedwongen, vervangt deze actie het oorspronkelijke bestand door een stubbestand met de extensie .txt en wordt een kopie van het oorspronkelijke bestand in een quarantainemap geplaatst. |
Wat is er anders in de on-premises scanner?
Er zijn enkele extra concepten waar u rekening mee moet houden voordat u de on-premises scanner gaat in gebruik nemen.
AIP-opslagplaatsen en inhoudsscantaken
U moet een AIP-inhoudsscantaak maken en de opslagplaatsen identificeren die als host dienen voor de bestanden die door de DLP-engine moeten worden geëvalueerd. Zorg ervoor dat u DLP-regels inschakelt in de gemaakte AIP-inhoudsscantaak.
Beleidstips
Beleidstips zijn niet beschikbaar in on-premises scanner.
Gebeurtenissen van DLP on-premises scanner weergeven
U bekijkt DLP-gegevens van de on-premises scanner in de activiteitenverkenner van het M365-compliancecentrum.
Volgende stappen
Nu u meer weet over de on-premises DLP-scanner, gaat u als volgt te werk: