Dokumentfingerabdrücke

Das Dokumentfingerabdruck ist ein Microsoft Purview-Feature, das ein von Ihnen bereitgestelltes Standardformular annimmt und auf der Grundlage dieses Formulars einen vertraulichen Informationstyp (Sit) erstellt. Der Dokumentenfingerabdruck erleichtert Es Ihnen, vertrauliche Informationen zu schützen, indem Standardformulare identifiziert werden, die im gesamten organization verwendet werden. In diesem Artikel werden die Konzepte des Dokumentfingerabdrucks und das Erstellen eines Dokumentfingerabdrucks über die Benutzeroberfläche oder mithilfe von PowerShell beschrieben.

Die Dokumentfingerabdrücke umfassen die folgenden Vorteile:

• SITs, die anhand des Dokumentfingerabdrucks erstellt wurden, können als Erkennungsmethode in DLP-Richtlinien verwendet werden, die auf Exchange, SharePoint, OneDrive, Teams und Geräte festgelegt sind.
• Die automatische MIP-Bezeichnung kann den Dokumentfingerabdruck als Erkennungsmethode in Exchange, SharePoint und OneDrive verwenden.
• Dokumentfingerabdrücke können über die Microsoft Purview-Benutzeroberfläche verwaltet werden.
• Partielle Übereinstimmungen werden unterstützt.
• Der genaue Abgleich wird unterstützt.
• Verbesserte Erkennungsgenauigkeit
• Unterstützung für die Erkennung in mehreren Sprachen, einschließlich Dual-Byte-Sprachen wie Chinesisch, Japanisch und Koreanisch.

Wichtig

Wenn Sie ein E5-Kunde sind, empfehlen wir, Ihre vorhandenen Fingerabdrücke zu aktualisieren, um die Vorteile des vollständigen Dokumentfingerabdrucks-Features zu nutzen. Wenn Sie ein E3-Kunde sind, empfehlen wir, ein Upgrade auf eine E5-Lizenz durchzuführen. Wenn Sie dies nicht möchten, können Sie nach April 2023 keine vorhandenen Fingerabdrücke mehr ändern oder neue erstellen.

Grundlegendes Szenario für die Dokumentfingerabdrücke

Wie bereits erwähnt, konvertiert das Dokumentfingerabdruck-Feature eine Standardform von Informationen in einen vertraulichen Informationstyp (SIT), den Sie in den Regeln Ihrer DLP-Richtlinien verwenden können. Sie können z. B. einen Dokumentfingerabdruck basierend auf einer leeren Patentvorlage erstellen und dann eine DLP-Richtlinie erstellen, die alle ausgehenden Patentvorlagen mit ausgefüllten vertraulichen Inhalten erkennt und blockiert. Optional können Sie Richtlinientipps einrichten, um Absender zu benachrichtigen, dass sie möglicherweise vertrauliche Informationen senden, und dass der Absender überprüfen sollte, ob die Empfänger für den Empfang der Patente qualifiziert sind. Dieser Prozess funktioniert mit allen textbasierten Formularen, die in Ihrer organization verwendet werden. Weitere Beispiele für Formulare, die Sie hochladen können, sind:

• Regierungsformulare
• HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare
• Formulare mit Mitarbeiterinformationen für die Personalabteilung
• Speziell für Ihre Organisation erstellte benutzerdefinierte Formulare

Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe. Um die Erkennung zu aktivieren, laden Sie ein leeres Formular hoch, das in einen Dokumentfingerabdruck konvertiert werden soll. Richten Sie als Nächstes eine entsprechende Richtlinie ein. Nachdem Sie diese Schritte ausgeführt haben, erkennt DLP alle Dokumente in ausgehenden E-Mails, die diesem Fingerabdruck entsprechen.

Weitere Informationen zum Entwerfen einer DLP-Richtlinie finden Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust.

Weitere Informationen zum Erstellen und Bereitstellen einer DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Funktionsweise des Dokumentfingerabdrucks

Sie wissen, dass Dokumente keine tatsächlichen Fingerabdrücke haben, aber der Name hilft ihnen, das Feature zu erklären. Auf die gleiche Weise wie fingerabdrücke einer Person eindeutige Muster aufweisen, können häufig verwendete Formulare (Vorlagen) Muster von Wörtern aufweisen, die für sie eindeutig sind. Sie können die SIT verwenden, die auf diesem Muster basiert, um Dateien zu erkennen, die mit derselben Vorlage erstellt wurden. Aus diesem Grund wird durch das Hochladen eines Formulars oder einer Vorlage der effektivste Typ von Dokumentfingerabdruck erstellt. Jeder, der ein Formular ausfüllt, verwendet denselben Ursprünglichen Satz von Wörtern und fügt dem Dokument dann eigene Wörter hinzu. Dokumente, die gescannt werden sollen, können nicht mit einem Kennwort geschützt werden und müssen den gesamten Text aus dem originalen Formular enthalten.

Die Patentvorlage enthält die leeren Felder Patenttitel, Erfinder und Beschreibung sowie Beschreibungen für jedes dieser Felder – das ist das Wortmuster. Wenn Sie die ursprüngliche Patentvorlage hochladen, befindet sie sich in einem der unterstützten Dateitypen und im Nur-Text-Format. MIcrosoft Purview konvertiert dieses Wortmuster in einen Dokumentfingerabdruck, bei dem es sich um eine kleine Unicode-XML-Datei handelt, die einen eindeutigen Hashwert enthält, der den ursprünglichen Text darstellt. Aus Sicherheitsgründen wird das Originaldokument selbst nicht gespeichert. nur der Hashwert gespeichert wird. Das ursprüngliche Dokument kann nicht aus dem Hashwert rekonstruiert werden. Der Patentfingerabdruck wird in einer SIT dargestellt, die Sie als Bedingung in einer DLP-Richtlinie verwenden können.

Wenn Sie beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden, verwendet DLP den Patentfingerabdruck SIT, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung die Möglichkeit geben, Patente an andere Organisationen zu senden, da dies von Unternehmen benötigt wird. Damit bestimmte Abteilungen vertrauliche Informationen senden können, erstellen Sie Ausnahmen für diese Abteilungen in Ihrer DLP-Richtlinie. Alternativ können Sie zulassen, dass sie einen Richtlinientipp mit einer geschäftlichen Begründung überschreiben.

Wichtig

Text in eingebetteten Dokumenten wird für die Erstellung von Fingerabdrücken nicht berücksichtigt. Sie müssen Beispielvorlagendateien bereitstellen, die keine eingebetteten Dokumente enthalten.

Einschränkungen der Funktion "Dokumentfingerabdruck"

Der Dokumentfingerabdruck erkennt in den folgenden Fällen keine vertraulichen Informationen:

• Kennwortgeschützte Dateien
• Dateien, die nur Bilder enthalten
• Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurde
• Dateien, die größer als 4 MB sind

Hinweis

Um den Dokumentfingerabdruck mit Geräten verwenden zu können, muss die erweiterte Klassifizierungsüberprüfung und der Schutz aktiviert sein.

Fingerabdrücke werden in einem separaten Regelpaket gespeichert. Dieses Regelpaket hat eine maximale Größe von 150 KB. Mit diesem Grenzwert können Sie ungefähr 50 Fingerabdrücke pro Mandant erstellen.

Hinweis

Die Vorlage, die zum Erstellen eines Fingerabdrucks verwendet wird, sollte mindestens 4.096 Zeichen umfassen. Die unterstützte extrahierte Textlänge für die Fingerabdruckvorlage muss zwischen 4.096 und 204.800 Zeichen betragen.

Die folgenden Beispiele zeigen, was geschieht, wenn Sie einen Dokumentfingerabdruck basierend auf einer Patentvorlage erstellen. Sie können jedoch jedes beliebige Formular als Grundlage für die Erstellung eines Dokumentfingerabdrucks verwenden.

Beispiel: Erstellen eines Patentdokuments, das dem Dokumentfingerabdruck einer Patentvorlage entspricht

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Abhängig von Ihrem Microsoft 365-Plan wird die Microsoft Purview-Complianceportal eingestellt oder wird bald eingestellt.

Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Navigieren Sie im Microsoft Purview-Portal zu Verhinderung von Datenverlust oder Information Protection>Klassifizierer>Vertrauliche Informationstypen.
2. Wählen Sie auf der Seite Typen vertraulicher Informationendie Option + Fingerabdruckbasiertes SIT erstellen aus.
3. Geben Sie einen Namen und eine Beschreibung für Ihr neues SIT ein.
4. Laden Sie die Datei hoch, die Sie als Fingerabdruckvorlage verwenden möchten.
5. OPTIONAL: Passen Sie die Anforderungen für die einzelnen Konfidenzstufen an. (Weitere Informationen finden Sie unter Partieller Abgleich und Exakter Abgleich.)
6. Wählen Sie Weiter aus.
7. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus.
8. Wenn die Bestätigungsseite angezeigt wird, wählen Sie Fertig aus.

Compliance-Portal

1. Wählen Sie im Complianceportal die Option Datenklassifizierung und dann Klassifizierer aus.
2. Wählen Sie auf der Seite Klassifiziererdie Option Typen vertraulicher> InformationenFingerabdruckbasiertes SIT erstellen aus.
3. Geben Sie einen Namen und eine Beschreibung für Ihr neues SIT ein.
4. Laden Sie die Datei hoch, die Sie als Fingerabdruckvorlage verwenden möchten.
5. OPTIONAL: Passen Sie die Anforderungen für die einzelnen Konfidenzstufen an. (Weitere Informationen finden Sie unter Partieller Abgleich und Exakter Abgleich.)
6. Wählen Sie Weiter aus.
7. Überprüfen Sie Ihre Einstellungen >Erstellen.
8. Wenn die Bestätigungsseite angezeigt wird, wählen Sie Fertig aus.

PowerShell-Beispiel für ein Patentdokument, das einem Dokumentfingerabdruck einer Patentvorlage entspricht

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Partieller Abgleich

Zum Konfigurieren des teilweisen Abgleichs eines Dokumentfingerabdrucks legen Sie beim Festlegen der Konfigurationsoptionen während des Vorlagenuploads den Konfidenzgrad fest, wählen Sie Niedrig, Mittel oder Hoch aus, und legen Sie fest, wie viel Text in der Datei mit dem Fingerabdruck in Bezug auf einen Prozentsatz zwischen 30 % und 90 % übereinstimmen muss.

Ein hohes Konfidenzniveau gibt die wenigsten falsch positiven Ergebnisse zurück, kann jedoch zu mehr falsch negativen Ergebnissen führen. Niedrige oder mittlere Konfidenzstufen geben mehr falsch positive Ergebnisse zurück, aber nur wenige bis null falsch negative Ergebnisse.

• niedrige Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch negativen, aber die meisten falsch positiven Ergebnisse. Niedrige Konfidenz gibt alle Übereinstimmungen mit niedriger, mittlerer und hoher Konfidenz zurück.
• Mittlere Zuverlässigkeit: Übereinstimmend elemente enthalten eine durchschnittliche Anzahl falsch positiver und falsch negativer Ergebnisse. Mittlere Konfidenz gibt alle Übereinstimmungen mit mittlerem und hohem Konfidenz zurück.
• hohe Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch positiven Ergebnisse, aber die meisten falsch negativen Ergebnisse.

Exakter Abgleich

Um den genauen Abgleich eines Dokumentfingerabdrucks zu konfigurieren, wählen Sie Exakt als Wert für den hohen Konfidenzgrad aus. Wenn Sie die hohe Konfidenzstufe auf Exact festlegen, werden nur Dateien erkannt, die genau denselben Text wie der Fingerabdruck aufweisen. Wenn die Datei auch nur eine kleine Abweichung vom Fingerabdruck aufweist, wird sie nicht erkannt.

Verwenden Sie bereits Fingerabdruck-SITs?

Ihre vorhandenen Fingerabdrücke und Richtlinien/Regeln für diese Fingerabdrücke sollten weiterhin funktionieren. Wenn Sie nicht die neuesten Fingerabdruckfunktionen verwenden möchten, müssen Sie nichts tun.

Wenn Sie über eine E5-Lizenz verfügen und die neuesten Fingerabdruckfunktionen verwenden möchten, haben Sie zwei Möglichkeiten:

• Erstellen Sie einen neuen Fingerabdruck.
• migrieren Sie eine Richtlinie zur neueren Version.

Hinweis

Das Erstellen neuer Fingerabdrücke mithilfe der Vorlagen, für die bereits ein Fingerabdruck vorhanden ist, wird nicht unterstützt.

Erstellen eines benutzerdefinierten vertraulichen Informationstyps basierend auf Dokumentfingerabdrücken mithilfe von PowerShell

Derzeit können Sie einen Dokumentfingerabdruck nur in Security & Compliance PowerShell erstellen.

Um eine benutzerdefinierte SIT basierend auf einem Dokumentfingerabdruck zu erstellen, verwenden Sie das Cmdlet New-DlpSensitiveInformationType . Im folgenden Beispiel wird ein neuer Dokumentfingerabdruck namens "Contoso Customer Confidential" basierend auf der Datei C:\Meine Dokumente\Contoso Customer Form.docx erstellt.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Fügen Sie abschließend den vertraulichen Informationstyp "Contoso Customer Confidential" zu einer DLP-Richtlinie im Microsoft Purview-Complianceportal hinzu. In diesem Beispiel wird einer vorhandenen DLP-Richtlinie mit dem Namen "ConfidentialPolicy" eine Regel hinzugefügt.

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Sie können den Fingerabdruck SIT auch in Nachrichtenflussregeln in Exchange verwenden, wie im folgenden Beispiel gezeigt. Um diesen Befehl auszuführen, müssen Sie zunächst eine Verbindung mit Exchange PowerShell herstellen. Beachten Sie außerdem, dass es eine Zeit dauert, bis die SITs mit dem Exchange Admin Center synchronisiert werden.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP kann jetzt Dokumente erkennen, die dem Fingerabdruck des Contoso-Kunden Form.docx Dokuments entsprechen.

Syntax- und Parameterinformationen finden Sie unter:

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

Bearbeiten, Testen oder Löschen eines Dokumentfingerabdrucks

Öffnen Sie dazu im Microsoft Purview-Portal den Sit-Fingerabdruck, den Sie bearbeiten, testen oder löschen möchten, und wählen Sie das entsprechende Symbol aus.

Führen Sie dazu die folgenden Befehle über PowerShell aus:

Bearbeiten eines Dokumentfingerabdrucks

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testen eines Dokumentfingerabdrucks

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Löschen eines Dokumentfingerabdrucks

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrieren eines vorhandenen Sit-Fingerabdrucks zu einem über das Microsoft Purview-Portal

1. Öffnen Sie das Microsoft Purview-Portal >Information Protection>Klassifizierer>Vertrauliche Informationstypen.
2. Öffnen Sie die SIT mit dem Fingerabdruck, den Sie migrieren möchten.
3. Wählen Sie Bearbeiten aus.
4. Laden Sie dieselbe Fingerabdruckdatei erneut hoch.
5. Überprüfen Sie die Fingerabdruckeinstellungen >Fertig.

Migrieren eines Fingerabdrucks mithilfe von PowerShell

Geben Sie den folgenden Befehl ein:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"