Freigeben über

Integration in Microsoft Purview zum Schutz von Informationen

  • Artikel

Microsoft Defender for Cloud Apps können Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview automatisch anwenden. Diese Bezeichnungen werden als Dateirichtliniengovernanceaktion auf Dateien angewendet und können je nach Bezeichnungskonfiguration die Verschlüsselung für zusätzlichen Schutz anwenden. Sie können Dateien auch untersuchen, indem Sie im Defender for Cloud Apps Portal nach der angewendeten Vertraulichkeitsbezeichnung filtern. Die Verwendung von Bezeichnungen ermöglicht eine bessere Sichtbarkeit und Kontrolle ihrer vertraulichen Daten in der Cloud. Die Integration von Microsoft Purview in Defender for Cloud Apps ist so einfach wie das Aktivieren eines einzelnen Kontrollkästchens.

Durch die Integration von Microsoft Purview in Defender for Cloud Apps können Sie die volle Leistungsfähigkeit sowohl von Diensten als auch von sicheren Dateien in Ihrer Cloud nutzen, einschließlich:

  • Die Möglichkeit, Vertraulichkeitsbezeichnungen als Governanceaktion auf Dateien anzuwenden, die bestimmten Richtlinien entsprechen
  • Die Möglichkeit, alle klassifizierten Dateien an einem zentralen Speicherort anzuzeigen
  • Die Möglichkeit, gemäß der Klassifizierungsebene zu untersuchen und die Offenlegung vertraulicher Daten über Ihre Cloudanwendungen zu quantifizieren
  • Die Möglichkeit, Richtlinien zu erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werden

Voraussetzungen

Hinweis

Um dieses Feature zu aktivieren, benötigen Sie sowohl eine Defender for Cloud Apps-Lizenz als auch eine Lizenz für Microsoft Purview. Sobald beide Lizenzen vorhanden sind, synchronisiert Defender for Cloud Apps die Bezeichnungen der organization aus Microsoft Purview.

Damit Defender for Cloud Apps Vertraulichkeitsbezeichnungen anwenden können, müssen sie als Teil einer Vertraulichkeitsbezeichnungsrichtlinie in Microsoft Purview veröffentlicht werden.

Defender for Cloud Apps unterstützt derzeit das Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview für die folgenden Dateitypen:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Hinweis

    Für PDF müssen Sie einheitliche Bezeichnungen verwenden.

Dieses Feature ist derzeit für Dateien verfügbar, die in Box, Google Workspace, SharePoint Online und OneDrive gespeichert sind. In zukünftigen Versionen werden weitere Cloud-Apps unterstützt.

So funktioniert es

Sie können die Vertraulichkeitsbezeichnungen von Microsoft Purview in Defender for Cloud Apps sehen. Sobald Sie Defender for Cloud Apps in Microsoft Purview integrieren, überprüft Defender for Cloud Apps Dateien wie folgt:

  1. Defender for Cloud Apps ruft die Liste aller Vertraulichkeitsbezeichnungen ab, die in Ihrem Mandanten verwendet werden. Diese Aktion wird stündlich ausgeführt, um die Liste auf dem neuesten Stand zu halten.

  2. Defender for Cloud Apps scannt dann die Dateien wie folgt auf Vertraulichkeitsbezeichnungen:

    • Wenn Sie die automatische Überprüfung aktiviert haben, werden alle neuen oder geänderten Dateien der Überprüfungswarteschlange hinzugefügt, und alle vorhandenen Dateien und Repositorys werden überprüft.
    • Wenn Sie eine Dateirichtlinie festlegen, um nach Vertraulichkeitsbezeichnungen zu suchen, werden diese Dateien der Überprüfungswarteschlange für Vertraulichkeitsbezeichnungen hinzugefügt.

  3. Wie bereits erwähnt, gelten diese Überprüfungen für die Vertraulichkeitsbezeichnungen, die bei der ersten Überprüfung erkannt wurden, Defender for Cloud Apps um zu sehen, welche Vertraulichkeitsbezeichnungen in Ihrem Mandanten verwendet werden. Externe Bezeichnungen, Klassifizierungsbezeichnungen, die von einer person außerhalb Ihres Mandanten festgelegt wurden, werden der Liste der Klassifizierungsbezeichnungen hinzugefügt. Wenn Sie diese Nichtüberprüfung durchführen möchten, aktivieren Sie das Kontrollkästchen Nur Dateien für Microsoft Information Protection Vertraulichkeitsbezeichnungen und Inhaltsüberprüfungswarnungen von diesem Mandanten überprüfen.

  4. Nachdem Sie Microsoft Purview auf Defender for Cloud Apps aktiviert haben, werden alle neuen Dateien, die Ihren verbundenen Cloud-Apps hinzugefügt werden, auf Vertraulichkeitsbezeichnungen überprüft.

  5. Sie können neue Richtlinien in Defender for Cloud Apps erstellen, die Ihre Vertraulichkeitsbezeichnungen automatisch anwenden.

Integrationsgrenzwerte

Beachten Sie die folgenden Grenzwerte, wenn Sie Microsoft Purview-Bezeichnungen mit Defender for Cloud Apps verwenden.

Grenzwert Beschreibung
Dateien mit Bezeichnungen oder Schutz, die außerhalb von Defender for Cloud Apps Ungeschützte Bezeichnungen, die außerhalb von Defender for Cloud Apps angewendet werden, können von Defender for Cloud Apps überschrieben, aber nicht entfernt werden.

Defender for Cloud Apps können keine Bezeichnungen mit Schutz aus Dateien entfernen, die außerhalb von Defender for Cloud Apps beschriftet wurden.

Um Dateien mit Schutz zu überprüfen, der außerhalb von Defender für Cloud-Apps angewendet wird, erteilen Sie Berechtigungen zum Überprüfen von Inhalten auf geschützte Dateien.
Mit Defender for Cloud Apps bezeichnete Dateien Defender for Cloud Apps überschreibt keine Bezeichnungen für Dateien, die bereits von Defender for Cloud Apps bezeichnet wurden.
Kennwortgeschützte Dateien Defender for Cloud Apps können keine Bezeichnungen für kennwortgeschützte Dateien lesen.
Leere Dateien Leere Dateien werden nicht durch Defender for Cloud Apps bezeichnet.
Bibliotheken, die auschecken müssen Defender for Cloud Apps können Dateien, die sich in Bibliotheken befinden, die so konfiguriert sind, dass sie auschecken müssen, nicht beschriften.
Bereichsanforderungen Damit Defender for Cloud Apps eine Vertraulichkeitsbezeichnung erkennen können, muss der Bezeichnungsbereich in Purview für mindestens Dateien und E-Mails konfiguriert werden.

Hinweis

Microsoft Purview ist die wichtigste Lösung von Microsoft für Bezeichnungsdienste. Weitere Informationen finden Sie in der Microsoft Purview-Dokumentation.

Integrieren von Microsoft Purview in Defender for Cloud Apps

Aktivieren von Microsoft Purview

Sie müssen nur ein einzelnes Kontrollkästchen aktivieren, um Microsoft Purview in Defender for Cloud Apps zu integrieren. Indem Sie die automatische Überprüfung aktivieren, aktivieren Sie die Suche nach Vertraulichkeitsbezeichnungen aus Microsoft Purview für Ihre Microsoft 365-Dateien, ohne dass Sie eine Richtlinie erstellen müssen. Wenn Sie nach der Aktivierung dateien in Ihrer Cloudumgebung haben, die mit Vertraulichkeitsbezeichnungen aus Microsoft Purview gekennzeichnet sind, werden diese in Defender for Cloud Apps angezeigt.

So aktivieren Sie Defender for Cloud Apps das Überprüfen von Dateien mit aktivierter Inhaltsüberprüfung für Vertraulichkeitsbezeichnungen:

Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wechseln Sie dann zu Information Protection ->Microsoft Information Protection.

  1. Wählen Sie unter Microsoft Information Protection-Einstellungen die Option Neue Dateien automatisch auf Vertraulichkeitsbezeichnungen von Microsoft Information Protection und Inhaltsüberprüfungswarnungen überprüfen aus.

    Screenshot: Aktivieren von Microsoft Purview

Nach dem Aktivieren von Microsoft Purview können Sie Dateien mit Vertraulichkeitsbezeichnungen anzeigen und nach Bezeichnungen in Defender for Cloud Apps filtern. Nachdem Defender for Cloud Apps mit der Cloud-App verbunden ist, können Sie die Microsoft Purview-Integrationsfeatures verwenden, um Vertraulichkeitsbezeichnungen von Microsoft Purview (mit oder ohne Verschlüsselung) im Defender for Cloud Apps durch direktes Hinzufügen zu Dateien oder durch Konfigurieren einer Dateirichtlinie, um Vertraulichkeitsbezeichnungen automatisch als Governanceaktion anzuwenden.

Hinweis

Bei der automatischen Überprüfung werden vorhandene Dateien erst überprüft, wenn sie erneut geändert werden. Um vorhandene Dateien auf Vertraulichkeitsbezeichnungen aus Microsoft Purview zu überprüfen, benötigen Sie mindestens eine Dateirichtlinie , die die Inhaltsüberprüfung umfasst. Wenn sie keine haben, erstellen Sie eine neue Dateirichtlinie, löschen Sie alle voreingestellten Filter, und wählen Sie unter Inspektionsmethodedie Option Integrierte DLP aus. Wählen Sie im Feld Inhaltsuntersuchungdie Option Dateien einschließen aus, die einem voreingestellten Ausdruck entsprechen , wählen Sie einen beliebigen vordefinierten Wert aus, und speichern Sie die Richtlinie. Dies ermöglicht die Inhaltsüberprüfung, die automatisch Vertraulichkeitsbezeichnungen von Microsoft Purview erkennt.

Festlegen interner und externer Bezeichnungen

Standardmäßig überprüft Defender for Cloud Apps Vertraulichkeitsbezeichnungen, die in Ihrem organization definiert wurden, und externe Bezeichnungen, die von anderen Organisationen definiert wurden.

Um Vertraulichkeitsbezeichnungen zu ignorieren, die extern für Ihre organization festgelegt sind, wechseln Sie zum Microsoft Defender Portal, und wählen Sie Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Information Protectiondie Option Microsoft Information Protection aus. Wählen Sie dann Nur Dateien nach Microsoft Information Protection Vertraulichkeitsbezeichnungen und Inhaltsüberprüfungswarnungen aus diesem Mandanten aus.

Bezeichnungen ignorieren.

Direktes Anwenden von Bezeichnungen auf Dateien

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Dateien aus. Wählen Sie dann die Datei aus, die Sie schützen möchten. Wählen Sie die drei Punkte am Ende der Zeile der Datei aus, und wählen Sie dann Vertraulichkeitsbezeichnung anwenden aus.

    Wenden Sie die Vertraulichkeitsbezeichnung an.

    Hinweis

    Defender for Cloud Apps können Microsoft Purview auf Dateien bis zu 30 MB anwenden.

  2. Wählen Sie eine der Vertraulichkeitsbezeichnungen Ihrer organization aus, die auf die Datei angewendet werden soll, und wählen Sie Übernehmen aus.

    Vertraulichkeitsbezeichnung für Schutz.

  3. Nachdem Sie eine Vertraulichkeitsbezeichnung ausgewählt und Anwenden ausgewählt haben, wenden Defender for Cloud Apps die Vertraulichkeitsbezeichnung auf die ursprüngliche Datei an.

  4. Sie können Vertraulichkeitsbezeichnungen auch entfernen, indem Sie die Option Vertraulichkeitsbezeichnung entfernen auswählen.

Weitere Informationen zur Zusammenarbeit von Defender for Cloud Apps und Microsoft Purview finden Sie unter Automatisches Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview.

Dateien automatisch bezeichnen

Sie können Vertraulichkeitsbezeichnungen automatisch auf Dateien anwenden, indem Sie eine Dateirichtlinie erstellen und Vertraulichkeitsbezeichnung anwenden als Governanceaktion festlegen.

Befolgen Sie diese Anweisungen, um die Dateirichtlinie zu erstellen:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie die Richtlinie so fest, dass sie den Dateityp enthält, den Sie erkennen möchten. Wählen Sie z. B. alle Dateien aus, bei denen Zugriffsebene nicht auf Intern festgelegt ist und bei denen die Organisationseinheit "Besitzer " ihrem Finanzteam entspricht.

  3. Wählen Sie unter Governanceaktionen für die relevante App die Option Vertraulichkeitsbezeichnung anwenden und dann den Bezeichnungstyp aus.

    Bezeichnung anwenden.

Hinweis

  • Die Möglichkeit, eine Vertraulichkeitsbezeichnung anzuwenden, ist eine leistungsstarke Funktion. Um Kunden vor dem versehentlichen Anwenden einer Bezeichnung auf eine große Anzahl von Dateien zu schützen, gilt als Sicherheitsvorkehrung ein tägliches Limit von 100 Bezeichnungsaktionen pro App und Mandant anwenden. Nachdem das Tageslimit erreicht wurde, wird die Aktion Bezeichnung anwenden vorübergehend angehalten und am nächsten Tag (nach 12:00 UTC) automatisch fortgesetzt.
  • Wenn eine Richtlinie deaktiviert ist, werden alle ausstehenden Bezeichnungsaufgaben für diese Richtlinie angehalten.
  • In der Bezeichnungskonfiguration müssen allen authentifizierten Benutzern oder allen Benutzern in Ihrer organization Berechtigungen zugewiesen werden, damit Defender for Cloud Apps Bezeichnungsinformationen lesen können.

Steuern der Dateiexposition

  1. Angenommen, Sie haben das folgende Dokument mit einer Microsoft Purview-Vertraulichkeitsbezeichnung versehen:

    Microsoft Purview-Beispielbildschirm.

  2. Sie können dieses Dokument in Defender for Cloud Apps anzeigen, indem Sie auf der Seite Dateien nach der Vertraulichkeitsbezeichnung für Microsoft Purview filtern.

    Defender for Cloud Apps im Vergleich zu Microsoft Purview.

  3. Weitere Informationen zu diesen Dateien und ihren Vertraulichkeitsbezeichnungen finden Sie in der Dateischublade. Wählen Sie einfach die relevante Datei auf der Seite Dateien aus, und überprüfen Sie, ob sie über eine Vertraulichkeitsbezeichnung verfügt.

    Dateischublade.

  4. Anschließend können Sie Dateirichtlinien in Defender for Cloud Apps erstellen, um Dateien zu steuern, die nicht ordnungsgemäß freigegeben werden, und Dateien zu finden, die mit bezeichnungen versehen sind und kürzlich geändert wurden.

  • Sie können eine Richtlinie erstellen, die automatisch eine Vertraulichkeitsbezeichnung auf bestimmte Dateien anwendet.
  • Sie können auch Warnungen zu Aktivitäten im Zusammenhang mit der Dateiklassifizierung auslösen.

Hinweis

Wenn Vertraulichkeitsbezeichnungen für eine Datei deaktiviert sind, werden die deaktivierten Bezeichnungen in Defender for Cloud Apps als deaktiviert angezeigt. Gelöschte Bezeichnungen werden nicht angezeigt.

Beispielrichtlinie – vertrauliche Daten, die extern in Box freigegeben werden:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.

  3. Fügen Sie die folgenden Filter hinzu, um alle vertraulichen Daten zu finden, die extern in Box freigegeben werden:

    Vertraulichkeitsrichtlinie.

Beispielrichtlinie : Eingeschränkte Daten, die kürzlich außerhalb des Ordners "Kundendaten" in SharePoint geändert wurden:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.

  3. Fügen Sie die folgenden Filter hinzu, um alle zuletzt geänderten eingeschränkten Dateien zu finden, während der Ordner "Kundendaten" in der Option "Ordnerauswahl" ausgeschlossen wird:

    Richtlinie für eingeschränkte Daten.

Sie können auch Warnungen und Benutzerbenachrichtigungen festlegen oder sofortige Maßnahmen für diese Richtlinien ergreifen. Erfahren Sie mehr über Governanceaktionen.

Erfahren Sie mehr über Microsoft Purview.

Nächste Schritte

Steuerung von Cloud-Apps mit Richtlinien

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.