Freigeben über


Konfigurieren von Richtlinien zur Verhinderung von Datenverlust für Fabric

Richtlinien zur Verhinderung von Datenverlust für Fabric helfen Organisationen beim Schutz ihrer vertraulichen Daten, indem das Hochladen vertraulicher Daten in unterstützten Elementtypen erkannt wird. Wenn ein Richtlinienverstoß auftritt, können Datenbesitzer dies sehen. Warnungen können an Datenbesitzer und Sicherheitsadministratoren gesendet werden, und Verstöße können untersucht werden. Weitere Informationen finden Sie unter Erste Schritte mit Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI.

In diesem Artikel wird beschrieben, wie Sie Richtlinien für Purview Data Loss Prevention (DLP) für Fabric konfigurieren. Complianceadministratoren, die für die Verhinderung von Datenverlust in ihrer Organisation verantwortlich sind, zählen zur Zielgruppe.

Voraussetzungen

Das Konto, das Sie zum Erstellen von DLP-Richtlinien verwenden, muss Mitglied einer dieser Rollengruppen sein:

  • Complianceadministrator
  • Compliancedatenadministrator
  • Information Protection
  • Information Protection-Administrator
  • Sicherheitsadministrator

SKU-/Abonnementlizenzierung

Bevor Sie mit DLP für Fabric und Power BI beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Dem Administratorkonto, mit dem die DLP-Regeln eingerichtet werden, muss eine der folgenden Lizenzen zugewiesen werden:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection und Governance
  • Purview-Kapazitäten

Konfigurieren einer DLP-Richtlinie für Fabric

  1. Öffnen Sie die Seite Richtlinien zur Verhinderung von Datenverlust im Microsoft Purview-Portal, und wählen Sie + Richtlinie erstellen aus.

    Screenshot der DLP-Seite zur Richtlinienerstellung.

    Hinweis

    Die Option + Richtlinie erstellen ist nur verfügbar, wenn die Voraussetzungen erfüllt werden.

  2. Wählen Sie die Kategorie Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus. Wählen Sie abschließend die Option Weiter aus.

    Screenshot der DLP-Seite zur Auswahl benutzerdefinierter Richtlinien.

    Hinweis

    Zurzeit werden keine anderen Kategorien oder Vorlagen unterstützt.

  3. Benennen Sie die Richtlinie, und geben Sie eine aussagekräftige Beschreibung an. Wählen Sie abschließend die Option Weiter aus.

    Screenshot des DLP-Abschnitts zur Benennung von Richtlinien.

  4. Wählen Sie Weiter aus, wenn Sie zur Seite „Administratoreinheiten zuweisen“ gelangen. Administratoreinheiten werden für DLP in Fabric und Power BI nicht unterstützt.

    Screenshot des DLP-Richtlinienabschnitts für Administratoreinheiten.

  5. Wählen Sie Fabric- und Power BI-Arbeitsbereiche als Speicherort für die DLP-Richtlinie aus. Alle anderen Speicherorte werden deaktiviert, da DLP-Richtlinien für Fabric und Power BI nur diesen Speicherort unterstützen.

    Screenshot der DLP-Seite zur Auswahl des Speicherorts.

    Standardmäßig gilt die Richtlinie für alle Arbeitsbereiche. Sie können jedoch bestimmte Arbeitsbereiche angeben, die in die Richtlinie eingeschlossen werden sollen, sowie Arbeitsbereiche, die von der Richtlinie ausgeschlossen werden sollen. Um bestimmte Arbeitsbereiche für Ein- oder Ausschluss anzugeben, wählen Sie Bearbeiten aus.

    Hinweis

    DLP-Aktionen werden nur für Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden.

    Nachdem Sie Fabric und Power BI als DLP-Speicherort für die Richtlinie aktiviert und ausgewählt haben, auf welche Arbeitsbereiche die Richtlinie angewendet wird, wählen Sie Weiter aus.

  6. Die Seite Richtlinieneinstellungen definieren wird angezeigt. Wählen Sie Erweiterte DLP-Regeln erstellen oder anpassen aus, um mit dem Definieren Ihrer Richtlinie zu beginnen.

    Screenshot der DLP-Seite zum Erstellen erweiterter Regeln.

    Wählen Sie abschließend die Option Weiter aus.

  7. Auf der Seite Erweiterte DLP-Regeln anpassen können Sie entweder mit dem Erstellen einer neuen Regel beginnen oder eine vorhandene Regel zur Bearbeitung auswählen. Wählen Sie Regel erstellen aus.

    Screenshot der DLP-Seite zum Erstellen von Regeln.

  8. Die Seite Regel erstellen wird angezeigt. Geben Sie auf der Seite „Regel erstellen“ einen Namen und eine Beschreibung für die Regel an, und konfigurieren Sie dann die anderen Abschnitte, die im Anschluss an die folgende Abbildung beschrieben werden.

    Screenshot des DLP-Formulars zum Erstellen von Regeln.

Bedingungen

Im Bedingungsabschnitt definieren Sie die Bedingungen, unter denen die Richtlinie auf unterstützten Elementtypen angewendet wird. Bedingungen werden in Gruppen erstellt. Gruppen ermöglichen das Erstellen komplexer Bedingungen.

  1. Öffnen Sie den Abschnitt „Bedingungen“. Wählen Sie Bedingung hinzufügen aus, wenn Sie eine einfache oder komplexe Bedingung erstellen möchten, oder Gruppe hinzufügen, wenn Sie mit dem Erstellen einer komplexen Bedingung beginnen möchten.

    Screenshot des DLP-Abschnitts zum Hinzufügen von Bedingungen „Inhalt enthält“.

    Weitere Informationen zur Verwendung des Bedingungs-Generators finden Sie unter Entwurf komplexer Regeln.

  2. Wenn Sie Bedingung hinzufügen ausgewählt haben, wählen Sie als Nächstes Inhalt enthält, dann Hinzufügen und dann entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen aus.

    Screenshot des DLP-Abschnitts zum Hinzufügen von Bedingungen.

    Wenn Sie mit Gruppe hinzufügen begonnen haben, gelangen Sie schließlich zu Bedingung hinzufügen. Danach fahren Sie wie oben beschrieben fort.

    Wenn Sie entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen auswählen, können Sie die bestimmten Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen auswählen, die in einer Liste ermittelt werden sollen, die in einer Randleiste angezeigt wird.

    Screenshot der Auswahl „Vertraulichkeitsbezeichnung“ und „Typen vertraulicher Informationen“

    Wenn Sie einen Typ vertraulicher Informationen als Bedingung auswählen, müssen Sie angeben, wie viele Instanzen dieses Typs erkannt werden müssen, damit die Bedingung als erfüllt betrachtet werden kann. Sie können 1 bis 500 Instanzen angeben. Wenn Sie 500 oder mehr eindeutige Instanzen erkennen möchten, geben Sie einen Bereich von „500“ in „Any“ ein. Sie können auch den Konfidenzgrad im übereinstimmenden Algorithmus auswählen. Klicken Sie auf die Infoschaltfläche neben des Konfidenzniveaus, um die Definition der einzelnen Ebenen anzuzeigen.

    Screenshot der Einstellung des Konfidenzniveaus für Typen vertraulicher Informationen

    Sie können der Gruppe zusätzliche Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen hinzufügen. Rechts neben dem Gruppennamen können Sie Beliebige hiervon oder Alle hiervon angeben. Dadurch wird bestimmt, ob Übereinstimmung mit allen oder nur mit einer der Elemente in der Gruppe erforderlich ist, damit die Bedingung erfüllt ist. Wenn Sie mehrere Vertraulichkeitsbezeichnungen angegeben haben, können Sie nur Ein beliebiges Element auswählen, da auf Fabric- und Power BI-Elemente nur eine Bezeichnung angewendet werden kann.

    Die Abbildung unten zeigt eine Gruppe (Standard), die zwei Bedingungen für Vertraulichkeitsbezeichnungen enthält. Die Logik „Beliebige hiervon“ bedeutet, dass eine Übereinstimmung mit einer der Vertraulichkeitsbezeichnungen in der Gruppe als TRUE ausgewertet wird.

    Screenshot des DLP-Abschnitts für Bedingungsgruppen.

    Sie können die Umschaltfläche Schnellzusammenfassung verwenden, um die Logik der in einem Satz zusammengefassten Regel abzurufen.

    Screenshot der Schnellzusammenfassung der DLP-Bedingungen.

    Sie können mehrere Gruppen erstellen und die Logik zwischen den Gruppen mit AND- oder OR-Logik steuern.

    Die Abbildung unten zeigt eine Regel, die zwei Gruppen enthält, die mit OR-Logik verbunden sind.

    Screenshot einer Regel mit zwei Gruppen.

    Dies ist die gleiche Regel, die als Schnellzusammenfassung angezeigt wird.

    Screenshot der Schnellzusammenfassung einer Regel mit zwei Gruppen.

Aktionen

Wenn Sie möchten, dass die Richtlinie den Zugriff auf Elemente einschränkt, die die Richtlinie auslösen, erweitern Sie den Abschnitt Zugriff einschränken oder Inhalte in Microsoft 365-Speicherorten verschlüsseln und wählen Sie Benutzer daran hindern, E-Mails zu empfangen oder auf freigegebene SharePoint-, OneDrive- und Teams-Dateien sowie Power BI-Elemente zuzugreifen aus. Wählen Sie dann aus, ob jeder oder nur Personen in Ihrer Organisation blockiert werden sollen.

Wenn Sie die Zugriffsbeschränkungsaktion aktivieren, werden Benutzerüberschreibungen automatisch zugelassen.

Hinweis

Die Zugriffsbeschränkungsaktion wird nur für semantische Modelle erzwungen.

Benutzerbenachrichtigungen

Sie konfigurieren Ihren Richtlinientipp im Abschnitt „Benutzerbenachrichtigungen“. Aktivieren Sie die Umschaltfläche, aktivieren Sie Benutzer im Office 365-Dienst mit einem Richtlinientipp oder E-Mail-Benachrichtigungen benachrichtigen, und aktivieren Sie dann das Kontrollkästchen Richtlinientipps. Geben Sie Ihren Richtlinientipp in das angezeigte Textfeld ein.

Screenshot des DLP-Abschnitts für Benutzerbenachrichtigungen.

Außerkraftsetzungen durch Benutzer

Wenn Sie die Benutzerbenachrichtigungen aktiviert und das Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen ausgewählt haben, können Besitzer von Elementen, bei denen Verstöße gegen die DLP-Richtlinie vorliegen (Besitzer, d. h. Benutzer mit einer Administrator- oder Mitgliedschaftsrolle in dem Arbeitsbereich, in dem sich das Element befindet), auf Verstöße im „Seitenbereich für Richtlinien zur Verhinderung von Datenverlust“ reagieren, den sie über eine Schaltfläche oder einen Link im Richtlinientipp anzeigen können. Die Auswahl der zur Verfügung stehenden Antwortoptionen hängt von den Entscheidungen ab, die Sie im Abschnitt Benutzerüberschreibungen getroffen haben.

Screenshot des DLP-Abschnitts für die Außerkraftsetzung durch Benutzer.

Die Optionen werden nachfolgend beschrieben.

  • Außerkraftsetzungen von M365-Diensten zulassen. Ermöglicht Benutzern in Power BI, Exchange, SharePoint, OneDrive und Teams das Außerkraftsetzen von Richtlinieneinschränkungen​ (automatisch ausgewählt, wenn Sie Benutzerbenachrichtigungen aktiviert und das Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen aktiviert haben): Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen.

  • Für die Außerkraftsetzung eine geschäftliche Begründung anfordern: Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen. Wenn sie sich für die Außerkraftsetzung entscheiden, müssen sie eine geschäftliche Begründung angeben.

  • Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden: Benutzer können das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden.

  • Wenn Sie sowohl Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden und Für die Außerkraftsetzung eine geschäftliche Begründung anfordern auswählen, können Benutzer das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden. Sie müssen dann aber eine geschäftliche Begründung angeben.

Das Überschreiben einer Richtlinie bedeutet, dass diese Richtlinie dieses Element von nun an nicht mehr auf vertrauliche Daten überprüft.

Das Melden eines Problems als falsch positiv bedeutet, dass der Datenbesitzer der Ansicht ist, dass die Richtlinie fälschlicherweise nicht vertrauliche Daten als vertraulich identifiziert hat. Sie können falsch positive Ergebnisse verwenden, um Ihre Regeln zu optimieren.

Jede Aktion, die der Benutzer ausführt, wird für die Berichterstellung protokolliert.

Vorfallsberichte

Weisen Sie einen Schweregrad zu, der in den aus dieser Richtlinie generierten Benachrichtigungen angezeigt wird. Aktivieren (Standard) oder deaktivieren Sie E-Mail-Benachrichtigungen für Administratoren, geben Sie Benutzer oder Gruppen für E-Mail-Benachrichtigungen an, und konfigurieren Sie Details dazu, wann die Benachrichtigung erfolgt.

Screenshot des DLP-Abschnitts für Vorfallsberichte.

Zusätzliche Optionen

Screenshot des DLP-Abschnitts für zusätzliche Optionen.

Überlegungen und Einschränkungen

  • DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option Benutzerdefinierte Richtlinie aus.
  • Fabric-DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen als Bedingungen.