Konfigurieren von Richtlinien zur Verhinderung von Datenverlust für Fabric
Richtlinien zur Verhinderung von Datenverlust für Fabric helfen Organisationen beim Schutz ihrer vertraulichen Daten, indem das Hochladen vertraulicher Daten in unterstützten Elementtypen erkannt wird. Wenn ein Richtlinienverstoß auftritt, können Datenbesitzer dies sehen. Warnungen können an Datenbesitzer und Sicherheitsadministratoren gesendet werden, und Verstöße können untersucht werden. Weitere Informationen finden Sie unter Erste Schritte mit Richtlinien zur Verhinderung von Datenverlust für Fabric und Power BI.
In diesem Artikel wird beschrieben, wie Sie Richtlinien für Purview Data Loss Prevention (DLP) für Fabric konfigurieren. Complianceadministratoren, die für die Verhinderung von Datenverlust in ihrer Organisation verantwortlich sind, zählen zur Zielgruppe.
Voraussetzungen
Das Konto, das Sie zum Erstellen von DLP-Richtlinien verwenden, muss Mitglied einer dieser Rollengruppen sein:
- Complianceadministrator
- Compliancedatenadministrator
- Information Protection
- Information Protection-Administrator
- Sicherheitsadministrator
SKU-/Abonnementlizenzierung
Bevor Sie mit DLP für Fabric und Power BI beginnen, sollten Sie Ihr Microsoft 365-Abonnement bestätigen. Dem Administratorkonto, mit dem die DLP-Regeln eingerichtet werden, muss eine der folgenden Lizenzen zugewiesen werden:
- Microsoft 365 E5
- Microsoft 365 E5 Compliance
- Microsoft 365 E5 Information Protection und Governance
- Purview-Kapazitäten
Konfigurieren einer DLP-Richtlinie für Fabric
Öffnen Sie die Seite Richtlinien zur Verhinderung von Datenverlust im Microsoft Purview-Portal, und wählen Sie + Richtlinie erstellen aus.
Hinweis
Die Option + Richtlinie erstellen ist nur verfügbar, wenn die Voraussetzungen erfüllt werden.
Wählen Sie die Kategorie Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus. Wählen Sie abschließend die Option Weiter aus.
Hinweis
Zurzeit werden keine anderen Kategorien oder Vorlagen unterstützt.
Benennen Sie die Richtlinie, und geben Sie eine aussagekräftige Beschreibung an. Wählen Sie abschließend die Option Weiter aus.
Wählen Sie Weiter aus, wenn Sie zur Seite „Administratoreinheiten zuweisen“ gelangen. Administratoreinheiten werden für DLP in Fabric und Power BI nicht unterstützt.
Wählen Sie Fabric- und Power BI-Arbeitsbereiche als Speicherort für die DLP-Richtlinie aus. Alle anderen Speicherorte werden deaktiviert, da DLP-Richtlinien für Fabric und Power BI nur diesen Speicherort unterstützen.
Standardmäßig gilt die Richtlinie für alle Arbeitsbereiche. Sie können jedoch bestimmte Arbeitsbereiche angeben, die in die Richtlinie eingeschlossen werden sollen, sowie Arbeitsbereiche, die von der Richtlinie ausgeschlossen werden sollen. Um bestimmte Arbeitsbereiche für Ein- oder Ausschluss anzugeben, wählen Sie Bearbeiten aus.
Hinweis
DLP-Aktionen werden nur für Arbeitsbereiche unterstützt, die in Fabric- oder Premium-Kapazitäten gehostet werden.
Nachdem Sie Fabric und Power BI als DLP-Speicherort für die Richtlinie aktiviert und ausgewählt haben, auf welche Arbeitsbereiche die Richtlinie angewendet wird, wählen Sie Weiter aus.
Die Seite Richtlinieneinstellungen definieren wird angezeigt. Wählen Sie Erweiterte DLP-Regeln erstellen oder anpassen aus, um mit dem Definieren Ihrer Richtlinie zu beginnen.
Wählen Sie abschließend die Option Weiter aus.
Auf der Seite Erweiterte DLP-Regeln anpassen können Sie entweder mit dem Erstellen einer neuen Regel beginnen oder eine vorhandene Regel zur Bearbeitung auswählen. Wählen Sie Regel erstellen aus.
Die Seite Regel erstellen wird angezeigt. Geben Sie auf der Seite „Regel erstellen“ einen Namen und eine Beschreibung für die Regel an, und konfigurieren Sie dann die anderen Abschnitte, die im Anschluss an die folgende Abbildung beschrieben werden.
Bedingungen
Im Bedingungsabschnitt definieren Sie die Bedingungen, unter denen die Richtlinie auf unterstützten Elementtypen angewendet wird. Bedingungen werden in Gruppen erstellt. Gruppen ermöglichen das Erstellen komplexer Bedingungen.
Öffnen Sie den Abschnitt „Bedingungen“. Wählen Sie Bedingung hinzufügen aus, wenn Sie eine einfache oder komplexe Bedingung erstellen möchten, oder Gruppe hinzufügen, wenn Sie mit dem Erstellen einer komplexen Bedingung beginnen möchten.
Weitere Informationen zur Verwendung des Bedingungs-Generators finden Sie unter Entwurf komplexer Regeln.
Wenn Sie Bedingung hinzufügen ausgewählt haben, wählen Sie als Nächstes Inhalt enthält, dann Hinzufügen und dann entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen aus.
Wenn Sie mit Gruppe hinzufügen begonnen haben, gelangen Sie schließlich zu Bedingung hinzufügen. Danach fahren Sie wie oben beschrieben fort.
Wenn Sie entweder Typen vertraulicher Informationen oder Vertraulichkeitsbezeichnungen auswählen, können Sie die bestimmten Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen auswählen, die in einer Liste ermittelt werden sollen, die in einer Randleiste angezeigt wird.
Wenn Sie einen Typ vertraulicher Informationen als Bedingung auswählen, müssen Sie angeben, wie viele Instanzen dieses Typs erkannt werden müssen, damit die Bedingung als erfüllt betrachtet werden kann. Sie können 1 bis 500 Instanzen angeben. Wenn Sie 500 oder mehr eindeutige Instanzen erkennen möchten, geben Sie einen Bereich von „500“ in „Any“ ein. Sie können auch den Konfidenzgrad im übereinstimmenden Algorithmus auswählen. Klicken Sie auf die Infoschaltfläche neben des Konfidenzniveaus, um die Definition der einzelnen Ebenen anzuzeigen.
Sie können der Gruppe zusätzliche Vertraulichkeitsbezeichnungen oder Typen vertraulicher Informationen hinzufügen. Rechts neben dem Gruppennamen können Sie Beliebige hiervon oder Alle hiervon angeben. Dadurch wird bestimmt, ob Übereinstimmung mit allen oder nur mit einer der Elemente in der Gruppe erforderlich ist, damit die Bedingung erfüllt ist. Wenn Sie mehrere Vertraulichkeitsbezeichnungen angegeben haben, können Sie nur Ein beliebiges Element auswählen, da auf Fabric- und Power BI-Elemente nur eine Bezeichnung angewendet werden kann.
Die Abbildung unten zeigt eine Gruppe (Standard), die zwei Bedingungen für Vertraulichkeitsbezeichnungen enthält. Die Logik „Beliebige hiervon“ bedeutet, dass eine Übereinstimmung mit einer der Vertraulichkeitsbezeichnungen in der Gruppe als TRUE ausgewertet wird.
Sie können die Umschaltfläche Schnellzusammenfassung verwenden, um die Logik der in einem Satz zusammengefassten Regel abzurufen.
Sie können mehrere Gruppen erstellen und die Logik zwischen den Gruppen mit AND- oder OR-Logik steuern.
Die Abbildung unten zeigt eine Regel, die zwei Gruppen enthält, die mit OR-Logik verbunden sind.
Dies ist die gleiche Regel, die als Schnellzusammenfassung angezeigt wird.
Aktionen
Wenn Sie möchten, dass die Richtlinie den Zugriff auf Elemente einschränkt, die die Richtlinie auslösen, erweitern Sie den Abschnitt Zugriff einschränken oder Inhalte in Microsoft 365-Speicherorten verschlüsseln und wählen Sie Benutzer daran hindern, E-Mails zu empfangen oder auf freigegebene SharePoint-, OneDrive- und Teams-Dateien sowie Power BI-Elemente zuzugreifen aus. Wählen Sie dann aus, ob jeder oder nur Personen in Ihrer Organisation blockiert werden sollen.
Wenn Sie die Zugriffsbeschränkungsaktion aktivieren, werden Benutzerüberschreibungen automatisch zugelassen.
Hinweis
Die Zugriffsbeschränkungsaktion wird nur für semantische Modelle erzwungen.
Benutzerbenachrichtigungen
Sie konfigurieren Ihren Richtlinientipp im Abschnitt „Benutzerbenachrichtigungen“. Aktivieren Sie die Umschaltfläche, aktivieren Sie Benutzer im Office 365-Dienst mit einem Richtlinientipp oder E-Mail-Benachrichtigungen benachrichtigen, und aktivieren Sie dann das Kontrollkästchen Richtlinientipps. Geben Sie Ihren Richtlinientipp in das angezeigte Textfeld ein.
Außerkraftsetzungen durch Benutzer
Wenn Sie die Benutzerbenachrichtigungen aktiviert und das Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen ausgewählt haben, können Besitzer von Elementen, bei denen Verstöße gegen die DLP-Richtlinie vorliegen (Besitzer, d. h. Benutzer mit einer Administrator- oder Mitgliedschaftsrolle in dem Arbeitsbereich, in dem sich das Element befindet), auf Verstöße im „Seitenbereich für Richtlinien zur Verhinderung von Datenverlust“ reagieren, den sie über eine Schaltfläche oder einen Link im Richtlinientipp anzeigen können. Die Auswahl der zur Verfügung stehenden Antwortoptionen hängt von den Entscheidungen ab, die Sie im Abschnitt Benutzerüberschreibungen getroffen haben.
Die Optionen werden nachfolgend beschrieben.
Außerkraftsetzungen von M365-Diensten zulassen. Ermöglicht Benutzern in Power BI, Exchange, SharePoint, OneDrive und Teams das Außerkraftsetzen von Richtlinieneinschränkungen (automatisch ausgewählt, wenn Sie Benutzerbenachrichtigungen aktiviert und das Kontrollkästchen Benutzer im Office 365-Dienst mit einem Richtlinientipp benachrichtigen aktiviert haben): Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen.
Für die Außerkraftsetzung eine geschäftliche Begründung anfordern: Benutzer können das Problem entweder als falsch positiv melden oder die Richtlinie außer Kraft setzen. Wenn sie sich für die Außerkraftsetzung entscheiden, müssen sie eine geschäftliche Begründung angeben.
Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden: Benutzer können das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden.
Wenn Sie sowohl Regel automatisch außer Kraft setzen, wenn sie dies als falsch positiv melden und Für die Außerkraftsetzung eine geschäftliche Begründung anfordern auswählen, können Benutzer das Problem als falsch positiv melden und die Richtlinie automatisch außer Kraft setzen, oder sie können nur die Richtlinie außer Kraft setzen, ohne sie als falsch positiv zu melden. Sie müssen dann aber eine geschäftliche Begründung angeben.
Das Überschreiben einer Richtlinie bedeutet, dass diese Richtlinie dieses Element von nun an nicht mehr auf vertrauliche Daten überprüft.
Das Melden eines Problems als falsch positiv bedeutet, dass der Datenbesitzer der Ansicht ist, dass die Richtlinie fälschlicherweise nicht vertrauliche Daten als vertraulich identifiziert hat. Sie können falsch positive Ergebnisse verwenden, um Ihre Regeln zu optimieren.
Jede Aktion, die der Benutzer ausführt, wird für die Berichterstellung protokolliert.
Vorfallsberichte
Weisen Sie einen Schweregrad zu, der in den aus dieser Richtlinie generierten Benachrichtigungen angezeigt wird. Aktivieren (Standard) oder deaktivieren Sie E-Mail-Benachrichtigungen für Administratoren, geben Sie Benutzer oder Gruppen für E-Mail-Benachrichtigungen an, und konfigurieren Sie Details dazu, wann die Benachrichtigung erfolgt.
Zusätzliche Optionen
Überlegungen und Einschränkungen
- DLP-Richtlinienvorlagen werden für Fabric-DLP-Richtlinien noch nicht unterstützt. Wählen Sie beim Erstellen einer DLP-Richtlinie für Fabric die Option Benutzerdefinierte Richtlinie aus.
- Fabric-DLP-Richtlinienregeln unterstützen derzeit Vertraulichkeitsbezeichnungen und Typen vertraulicher Informationen als Bedingungen.