Freigeben über

Konfigurieren von Richtlinien zur Verhinderung von Datenverlust für Fabric

  • Artikel

Richtlinien zur Verhinderung von Datenverlust für Fabric helfen Organisationen beim Schutz ihrer vertraulichen Daten, indem sie das Hochladen vertraulicher Daten in unterstützten Elementtypen erkennen. Wenn ein Richtlinienverstoß auftritt, können Datenbesitzer dies sehen, und Warnungen können an Datenbesitzer und Sicherheitsadministratoren gesendet werden, und Verstöße können untersucht werden. Weitere Informationen finden Sie unter Übersicht über Richtlinien zur Verhinderung von Datenverlust für Fabric.

In diesem Artikel wird beschrieben, wie Purview-Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) für Fabric konfiguriert werden. Die Zielgruppe ist Complianceadministratoren, die für die Verhinderung von Datenverlust in ihrer Organisation verantwortlich sind.

Voraussetzungen

Das Konto, das Sie zum Erstellen von DLP-Richtlinien verwenden, muss Mitglied einer dieser Rollengruppen sein.

  • Complianceadministrator
  • Compliancedatenadministrator
  • Information Protection
  • Information Protection-Administrator
  • Sicherheitsadministrator

SKU-/Abonnementlizenzierung

Bevor Sie mit DLP für Fabric und Power BI beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Dem Administratorkonto, mit dem die DLP-Regeln eingerichtet werden, muss eine der folgenden Lizenzen zugewiesen werden:

  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 E5 Information Protection und Governance
  • Purview-Kapazitäten

Konfigurieren einer DLP-Richtlinie für Fabric

  1. Öffnen Sie die Seite " Richtlinien zur Verhinderung von Datenverlust" im Microsoft Purview-Portal, und wählen Sie "+Richtlinie erstellen" aus.

    Screenshot der DLP-Seite zur Richtlinienerstellung.

    Hinweis

    Die Option "Richtlinie erstellen" ist nur verfügbar, wenn die Vorabanforderung erfüllt wurde.

  2. Wählen Sie die Kategorie Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus. Wählen Sie abschließend die Option Weiter aus.

    Screenshot der DLP-Seite zur Auswahl benutzerdefinierter Richtlinien.

    Hinweis

    Zurzeit werden keine anderen Kategorien oder Vorlagen unterstützt.

  3. Benennen Sie die Richtlinie, und geben Sie eine aussagekräftige Beschreibung an. Wählen Sie abschließend die Option Weiter aus.

    Screenshot des DLP-Abschnitts zur Benennung von Richtlinien.

  4. Wählen Sie Weiter aus, wenn Sie zur Seite „Administratoreinheiten zuweisen“ gelangen. Administratoreinheiten werden für DLP in Fabric und Power BI nicht unterstützt.

    Screenshot des DLP-Richtlinienabschnitts für Administratoreinheiten.

  5. Wählen Sie Fabric- und Power BI-Arbeitsbereiche als Speicherort für die DLP-Richtlinie aus. Alle anderen Speicherorte werden deaktiviert, da DLP-Richtlinien für Fabric und Power BI diesen Speicherort nur unterstützen.

    Screenshot der DLP-Seite zur Auswahl des Speicherorts.

    Standardmäßig gilt die Richtlinie für alle Arbeitsbereiche. Sie können jedoch bestimmte Arbeitsbereiche angeben, die in die Richtlinie eingeschlossen werden sollen, sowie Arbeitsbereiche, die von der Richtlinie ausgeschlossen werden sollen. Um bestimmte Arbeitsbereiche für Ein- oder Ausschluss anzugeben, wählen Sie "Bearbeiten" aus.

    Hinweis

    DLP-Aktionen werden nur für Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden.

    Nachdem Sie Fabric und Power BI als DLP-Speicherort für die Richtlinie aktiviert und ausgewählt haben, auf welche Arbeitsbereiche die Richtlinie angewendet wird, wählen Sie "Weiter" aus.

  6. Die Seite Richtlinieneinstellungen definieren wird angezeigt. Wählen Sie Erweiterte DLP-Regeln erstellen oder anpassen aus, um mit dem Definieren Ihrer Richtlinie zu beginnen.

    Screenshot der DLP-Seite zum Erstellen erweiterter Regeln.

    Wählen Sie abschließend die Option Weiter aus.

  7. Auf der Seite Erweiterte DLP-Regeln anpassen können Sie entweder mit dem Erstellen einer neuen Regel beginnen oder eine vorhandene Regel zur Bearbeitung auswählen. Wählen Sie Regel erstellen aus.

    Screenshot der DLP-Seite zum Erstellen von Regeln.

  8. Die Seite Regel erstellen wird angezeigt. Geben Sie auf der Seite „Regel erstellen“ einen Namen und eine Beschreibung für die Regel an, und konfigurieren Sie dann die anderen Abschnitte, die im Anschluss an die folgende Abbildung beschrieben werden.

    Screenshot des DLP-Formulars zum Erstellen von Regeln.

Bedingungen

Im Bedingungsabschnitt definieren Sie die Bedingungen, unter denen die Richtlinie auf unterstützte Elementtypen angewendet wird. Bedingungen werden in Gruppen erstellt. Gruppen ermöglichen das Erstellen komplexer Bedingungen.

  1. Öffnen Sie den Abschnitt „Bedingungen“. Wählen Sie Bedingung hinzufügen aus, wenn Sie eine einfache oder komplexe Bedingung erstellen möchten, oder Gruppe hinzufügen, wenn Sie mit dem Erstellen einer komplexen Bedingung beginnen möchten.

    Screenshot des DLP-Abschnitts zum Hinzufügen von Bedingungen „Inhalt enthält“.

    Weitere Informationen zur Verwendung des Bedingungs-Generators finden Sie unter Entwurf komplexer Regeln.

  2. Wenn Sie Bedingung hinzufügen ausgewählt haben, wählen Sie als Nächstes Inhalt enthält, dann Hinzufügen und dann entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen aus.

    Screenshot des DLP-Abschnitts zum Hinzufügen von Bedingungen.

    Wenn Sie mit Gruppe hinzufügen begonnen haben, gelangen Sie schließlich zu Bedingung hinzufügen. Danach fahren Sie wie oben beschrieben fort.

    Wenn Sie entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen auswählen, können Sie die bestimmten Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen auswählen, die in einer Liste ermittelt werden sollen, die in einer Randleiste angezeigt wird.

    Screenshot der Auswahl „Vertraulichkeitsbezeichnung“ und „Typen vertraulicher Informationen“

    Wenn Sie einen Typ vertraulicher Informationen als Bedingung auswählen, müssen Sie angeben, wie viele Instanzen dieses Typs erkannt werden müssen, damit die Bedingung als erfüllt betrachtet werden kann. Sie können 1 bis 500 Instanzen angeben. Wenn Sie 500 oder mehr eindeutige Instanzen erkennen möchten, geben Sie einen Bereich von „500“ in „Any“ ein. Sie können auch den Konfidenzgrad im übereinstimmenden Algorithmus auswählen. Klicken Sie auf die Infoschaltfläche neben des Konfidenzniveaus, um die Definition der einzelnen Ebenen anzuzeigen.

    Screenshot der Einstellung des Konfidenzniveaus für Typen vertraulicher Informationen

    Sie können der Gruppe zusätzliche Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen hinzufügen. Rechts neben dem Gruppennamen können Sie Beliebige hiervon oder Alle hiervon angeben. Dadurch wird bestimmt, ob Übereinstimmung mit allen oder nur mit einer der Elemente in der Gruppe erforderlich ist, damit die Bedingung erfüllt ist. Wenn Sie mehrere Vertraulichkeitsbezeichnungen angegeben haben, können Sie nur eine dieser Bezeichnungen auswählen, da Fabric- und Power BI-Elemente nicht mehr als eine Bezeichnung angewendet werden können.

    Die Abbildung unten zeigt eine Gruppe (Standard), die zwei Bedingungen für Vertraulichkeitsbezeichnungen enthält. Die Logik „Beliebige hiervon“ bedeutet, dass eine Übereinstimmung mit einer der Vertraulichkeitsbezeichnungen in der Gruppe als TRUE ausgewertet wird.

    Screenshot des DLP-Abschnitts für Bedingungsgruppen.

    Sie können die Umschaltfläche "Schnellzusammenfassung " verwenden, um die Logik der in einem Satz zusammengefassten Regel abzurufen.

    Screenshot der Schnellzusammenfassung der DLP-Bedingungen.

    Sie können mehrere Gruppen erstellen und die Logik zwischen den Gruppen mit AND- oder OR-Logik steuern.

    Die Abbildung unten zeigt eine Regel, die zwei Gruppen enthält, die mit OR-Logik verbunden sind.

    Screenshot einer Regel mit zwei Gruppen.

    Dies ist die gleiche Regel, die als Schnellzusammenfassung angezeigt wird.

    Screenshot der Schnellzusammenfassung einer Regel mit zwei Gruppen.

Aktionen

Schutzaktionen sind für Fabric- und Power BI-DLP-Richtlinien nicht verfügbar.

Screenshot des Abschnitts

Benutzerbenachrichtigungen

Sie konfigurieren Ihren Richtlinientipp im Abschnitt „Benutzerbenachrichtigungen“. Aktivieren Sie die Umschaltfläche, aktivieren Sie das Kontrollkästchen "Benutzer in Office 365-Dienst benachrichtigen" mit einem Richtlinientipp oder E-Mail-Benachrichtigungen , und aktivieren Sie dann das Kontrollkästchen "Richtlinientipps ". Schreiben Sie Ihren Richtlinientipp in das angezeigte Textfeld.

Screenshot des DLP-Abschnitts für Benutzerbenachrichtigungen.

Außerkraftsetzungen durch Benutzer

Wenn Sie Benutzerbenachrichtigungen aktiviert und den Dienst "Benutzer in Office 365 benachrichtigen" mit einem Richtlinientipp-Kontrollkästchen ausgewählt haben, können Besitzer von Elementen mit DLP-Richtlinienverstößen (Besitzer – d. a. Benutzer mit einer Administrator- oder Mitgliedsrolle im Arbeitsbereich, in dem sich das Element befindet) auf Verstöße im Seitenbereich der Richtlinien zur Verhinderung von Datenverlust reagieren, die sie über eine Schaltfläche oder einen Link auf dem Richtlinientipp anzeigen können. Die Auswahl der Antwortoptionen, die sie haben, hängt von den Im Abschnitt "Benutzerüberschreibungen" getroffenen Optionen ab.

Screenshot des DLP-Abschnitts für die Außerkraftsetzung durch Benutzer.

Die Optionen werden nachfolgend beschrieben.

  • Außerkraftsetzungen von M365-Diensten zulassen. Ermöglicht Benutzern in Power BI, Exchange, SharePoint, OneDrive und Teams das Außerkraftsetzen von Richtlinieneinschränkungen​ (automatisch ausgewählt, wenn Sie Benutzerbenachrichtigungen aktiviert und das Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen aktiviert haben): Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen.

  • Für die Außerkraftsetzung eine geschäftliche Begründung anfordern: Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen. Wenn sie sich für die Außerkraftsetzung entscheiden, müssen sie eine geschäftliche Begründung angeben.

  • Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden: Benutzer können das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden.

  • Wenn Sie sowohl Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden und Für die Außerkraftsetzung eine geschäftliche Begründung anfordern auswählen, können Benutzer das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden. Sie müssen dann aber eine geschäftliche Begründung angeben.

Das Überschreiben einer Richtlinie bedeutet, dass das Element von jetzt an nicht mehr auf vertrauliche Daten überprüft wird.

Das Melden eines Problems als falsch positiv bedeutet, dass der Datenbesitzer der Ansicht ist, dass die Richtlinie fälschlicherweise nicht vertrauliche Daten als vertraulich identifiziert hat. Sie können falsch positive Ergebnisse verwenden, um Ihre Regeln zu optimieren.

Jede Aktion, die der Benutzer ausführt, wird für die Berichterstellung protokolliert.

Vorfallsberichte

Weisen Sie einen Schweregrad zu, der in den aus dieser Richtlinie generierten Benachrichtigungen angezeigt wird. Aktivieren (Standard) oder deaktivieren Sie E-Mail-Benachrichtigungen für Administratoren, geben Sie Benutzer oder Gruppen für E-Mail-Benachrichtigungen an, und konfigurieren Sie Details dazu, wann die Benachrichtigung erfolgt.

Screenshot des DLP-Abschnitts für Vorfallsberichte.

Zusätzliche Optionen

Screenshot des DLP-Abschnitts für zusätzliche Optionen.

Überlegungen und Einschränkungen

  • DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die benutzerdefinierte Richtlinienoption aus.
  • Fabric-DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen als Bedingungen.

Zugehöriger Inhalt