Freigeben über

Beheben von Problemen, die sich auf DLP-Richtlinientipps auswirken

  • Artikel
  • Gilt für::
    Microsoft Purview Data Loss Prevention

Wenn ein Problem auftritt, das sich auf Richtlinientipps zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) von Microsoft Purview bezieht, führen Sie eine automatisierte Diagnose für DLP-Richtlinientipps im Microsoft 365 Admin Center aus. Die Diagnose analysiert die DLP-Richtlinie und Regelkonfiguration für Richtlinientipps, identifiziert Alle Probleme und schlägt Lösungen vor.

Ausführen der Diagnose für DLP-Richtlinientipps

Notiz

Zum Ausführen der Diagnose müssen Sie ein globaler Microsoft 365-Administrator sein.

Führen Sie die folgenden Schritte aus, um die Diagnose auszuführen:

  1. Wählen Sie die folgende Schaltfläche aus, um die Diagnose im Microsoft 365 Admin Center zu öffnen.

    Ausführen von Tests: TIPPS für DLP-Richtlinien

  2. Geben Sie die folgenden Informationen ein:

    • Benutzerprinzipalname (UPN) oder E-Mail-Adresse des Benutzers
    • DLP-Regelname oder GUID
    • Outlook oder OWA (Outlook im Web)

  3. Wählen Sie " Tests ausführen" aus.

Wenn Sie die Diagnose ausgeführt haben, ihr Problem aber nicht behoben ist, lesen Sie die folgenden Abschnitte dieses Artikels.

DLP-Richtlinien in Exchange Online

DLP-Richtlinientippeinstellungen sind in DLP-Richtlinien konfiguriert. Wenn Sie DLP-Richtlinien in Exchange Online erstellt haben, empfiehlt es sich, diese in den Microsoft Purview-Complianceportal zu migrieren, da die Verhinderung von Datenverlust im Exchange Online-Legacy-Center im Exchange Admin Center veraltet ist. Bei Richtlinien, die nicht migriert werden, werden möglicherweise unerwartete Ergebnisse angezeigt, z. B. keine Anzeige von Richtlinientipps.

Weitere Informationen finden Sie unter Richtlinientipps im Exchange Admin Center im Vergleich zum Microsoft Purview-Complianceportal.

Richtlinienkonfigurationsfehler

Die Richtlinie wird mithilfe von Benutzerbenachrichtigungen konfiguriert, aber der Status der Richtlinie stimmt nicht mit den Einstellungen in der Regel überein. Hier ist ein Beispiel, in dem die Richtlinie aktiviert ist, aber der Richtlinienstatus zeigt zuerst "Testen" an.

Screenshot von Benutzerbenachrichtigungen.

Screenshot des Fensters

Ein Richtlinienkonfigurationsfehler kann auch auftreten, wenn die Richtlinie mithilfe von zwei oder mehr Regeln konfiguriert wird, die dieselben vertraulichen Datentypen erkennen, die denselben Instanzenanzahlswert und Vertrauenswürdigkeitsgrad aufweisen.

Screenshot der SSN-Regel, die für die Erkennung basierend auf vertraulichen Informationstypen konfiguriert ist.

Screenshot der SSN-Inhaltsregel, die für die Erkennung basierend auf vertraulichen Informationstypen konfiguriert ist.

Diese Art von Setup ist unnötig und problematisch. Es ist nur eine Regel erforderlich.

Lösung

Erstellen Sie für diese Szenarien nur eine Regel, und verwenden Sie die Erkennung von Parametern, die auf denselben vertraulichen Datentypen basieren.

Richtlinienkonfigurationen werden in Outlook 2013 und höheren Versionen nicht unterstützt

Siehe Outlook 2013 und höher unterstützt das Anzeigen von Richtlinientipps nur für einige Bedingungen und Ausnahmen.

Nicht alle Richtlinienbedingungen sind erfüllt.

Dieses Szenario tritt in erster Linie auf, wenn Richtlinientipps in SharePoint in Microsoft 365 und Microsoft OneDrive für Arbeit oder Schule nicht wie erwartet funktionieren, da es eine bedingung für die externe Freigabe gibt, die in einer Richtlinie konfiguriert ist.

Screenshot zeigt, dass eine bedingung für die externe Freigabe in einer Richtlinie konfiguriert ist.

Notiz

Derzeit werden Inhalte erst extern als freigegeben indiziert, bis eine externe Partei, die sich außerhalb der Organisation befindet, zum ersten Mal auf den Inhalt zugreift.

E-Mail-Infos sind nicht aktiviert (nur Outlook 2013- und höher-Versionsclients)

Stellen Sie für Outlook 2013- und höher-Versionsclients sicher, dass E-Mail-Infos aktiviert sind. Um E-Mail-Infos in Outlook zu aktivieren, stellen Sie zuerst sicher, dass Richtlinientipps aktiviert sind. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie in Outlook "E-Mail" "Dateioptionen>" aus.>

  2. Scrollen Sie zum Abschnitt "E-MailTips ", und wählen Sie dann "E-Mail-Infooptionen" aus.

  3. Vergewissern Sie sich, dass im Dialogfeld "E-Mail-Info auswählen" die Option "Richtlinientippbenachrichtigung" ausgewählt ist.

  4. Stellen Sie unter den Anzeigeoptionen der E-Mail-Infoleiste sicher, dass die Option "Automatisch anzeigen" aktiviert ist, wenn E-Mail-Infos angewendet werden.

  5. Wählen Sie zweimal OK aus, um das Dateifenster zu schließen.

  6. Starten Sie Outlook neu.

    Screenshot der Schritte zum Aktivieren von E-Mail-Infos in Outlook.

GetDLPPolicyTip-Aufruf wurde in der Fiddler-Ablaufverfolgung nicht gefunden

Wenn DLP-Richtlinientipps nicht wie erwartet funktionieren, verwenden Sie eine Fiddler-Ablaufverfolgung, um Probleme mit DLP-Richtlinientipps zu beheben.

  1. Sammeln Sie die Fiddler-Ablaufverfolgungsdatei, wenn Sie das Problem reproduzieren. Hier ist ein Beispiel, in dem der DLP-Richtlinientipp erwartungsgemäß ausgelöst wird.

    Screenshot eines DLP-Richtlinientipps, der beim Senden einer E-Mail-Nachricht funktioniert.

  2. Überprüfen Sie in der POST-Anforderung, ob der GetDLPPolicyTip Aufruf in der Ablaufverfolgungsdatei erfolgt. Im vorherigen Beispiel wird der GetDLPPolicyTip Anruf angezeigt.

    Screenshot einer POST-Anforderung, in der der GetDLPPolicyTip-Aufruf hervorgehoben ist.

    Screenshot der POST-Anforderungsheader, in denen der GetDLPPolicyTip-Aufruf hervorgehoben ist.

  3. Überprüfen Sie in der Antwort den DetectedClassificationIds Wert. Wenn das Wertfeld nicht leer ist, gibt dies an, dass die DLP-Richtlinie der Richtlinienregel entspricht.

    Screenshot der Antwort, in der der Wert

Wenn Sie den GetDLPPolicyTip Aufruf nicht finden und das DetectedClassificationIds Wertfeld in der Antwort leer ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Überprüfen Sie, ob die DLP-Richtlinie aktiviert und ordnungsgemäß konfiguriert ist.
  2. Überprüfen Sie, ob Ihre Benutzer die richtigen vertraulichen Informationen und gültigen Empfänger oder Absender eingeben, um die Richtlinie auszulösen.

Der Client unterstützt keine E-Mail-Infos.

Es gibt mehrere Outlook-Clientlizenzen, die Keine Richtlinientipps unterstützen. Outlook-Lizenzanforderungen für Exchange-Features enthalten die Outlook-Clientlizenzen, die DLP-Richtlinientipps unterstützen.

Notiz

Richtlinientipps werden derzeit für Outlook für Mac iOS-Clients nicht unterstützt. Als Problemumgehung können Sie der NDR-Antwort für Ihre DLP-Richtlinienregel Text hinzufügen, der Benutzern angibt, ihre Nachrichten im OWA-Client neu zu erstellen, wenn sie die Nachricht ursprünglich mithilfe von Outlook für Mac übermittelt haben. Verwenden Sie den OWA-Client, um die Richtlinientipps-Funktionen benutzern zur Verfügung zu stellen und ihnen das Außerkraftsetzen, Melden eines falsch positiven Ergebnisses oder Eingeben einer geschäftlichen Begründung zu ermöglichen (abhängig von der aktion "Benachrichtigen", die in der DLP-Richtlinienregel angegeben ist). Benutzer können dann Nachrichten zur Zustellung senden.

Dateisystemkonfiguration nicht unterstützt

Es wird kein Richtlinientipp angezeigt, wenn die folgenden Bedingungen erfüllt sind:

  • Sie führen Outlook 2013- oder höher-Versionsclients unter Windows 7 aus.
  • Sie versuchen, eine Datei, die als Adobe PDF Version 10 oder höher formatiert ist, an eine E-Mail-Nachricht anzufügen, die einen DLP-Richtlinientipp auslösen sollte.

Lösung

Um dieses Problem zu beheben, befolgen Sie sorgfältig die Schritte im Abschnitt "Lösung" von Outlook zeigt keine DLP-Richtlinientipps für PDF-Anlagen in Windows 7 an.

Ungültige Testdaten

Wenn Sie die Instanzenanzahl und das Konfidenzniveau der DLP-Richtlinienregel auswerten, sind die verwendeten Testdaten basierend auf Entitätsdefinitionen für vertrauliche Informationstypen nicht gültig. Stellen Sie sicher, dass die von Ihnen verwendeten Testdaten gültig sind.

Screenshot eines Ungültigen Instanzanzahlswerts.