Freigeben über


Verhindern des Gastzugriffs auf Dateien, während DLP-Regeln angewendet werden

Wenn neue Dateien zu SharePoint oder OneDrive in Microsoft 365 hinzugefügt werden, dauert es eine Weile, bis die Microsoft Purview-Dlp-Richtlinie (Data Loss Prevention, Verhinderung von Datenverlust) den Inhalt überprüft und Regeln zum Schutz vertraulicher Inhalte angewendet hat. Wenn die externe Freigabe aktiviert ist, können vertrauliche Inhalte freigegeben und von Gästen aufgerufen werden, bevor die Verarbeitung der DLP-Regel abgeschlossen ist.

Anstatt die externe Freigabe vollständig zu deaktivieren, können Sie die Dateien in Ihrer Organisation standardmäßig als vertraulich kennzeichnen. Dadurch wird der Gastzugriff auf neue Inhalte blockiert, bis er auf vertrauliche Inhalte überprüft wird und DLP-Richtlinien angewendet werden, die inhaltsbasierte Bedingungen enthalten. Gäste werden benachrichtigt, dass die Datei gescannt wird, wenn sie versuchen, während dieser Zeit darauf zuzugreifen.

Sobald eine Datei durchforstet wurde und kein Inhalt erkannt wird, der die Freigabe gemäß DLP-Regeln blockieren würde, können Gäste auf die Datei zugreifen. Wenn die Richtlinie vertrauliche Inhalte im Dokument identifiziert, die DLP-Regeln entsprechen, wird das normale Verhalten angewendet, das von diesen DLP-Regeln definiert wird.

Dieses Feature blockiert den Zugriff auf eine Datei nicht, wenn:

  • der Inhalt wurde bereits durchforstet, und es wurden keine vertraulichen Inhalte gefunden, die den Bedingungen in DLP-Regeln entsprechen.
  • oder , wenn die Datei Über Eigenschaften verfügt, die Ausnahmen in DLP-Regeln entsprechen, die die Freigabe ermöglichen.

Dieses Feature gilt für neu hinzugefügte Dateien in SharePoint und OneDrive. Es blockiert die Freigabe nicht, wenn eine vorhandene Datei geändert wird.

DLP-Regeln sind erforderlich, damit Inhalte für Gäste freigegeben werden können.

Wenn dieses Feature aktiviert ist, wird der externe Zugriff auf Alle Inhalte, die nicht explizit in einer DLP-Richtlinie eingecheckt sind, blockiert. Anders ausgedrückt: Damit Inhalte extern freigegeben werden können, müssen sie sich an einem Speicherort befinden, der von einer DLP-Richtlinie abgedeckt ist, und die Richtlinien für diesen Speicherort müssen nach dem Durchforsten und Identifizieren von Inhalten bestimmen, dass die Datei keinen Regeln entspricht, die die Freigabe verhindern würden. Dies verhindert, dass Benutzer vertrauliche Dateien kompromittieren, indem sie an einem Speicherort platziert werden, der nicht von DLP-Richtlinien abgedeckt ist.

Wenn Sie nach dem Prinzip arbeiten möchten, dass nur von DLP explizit überprüfte Standorte extern freigegeben werden können, ist keine weitere Aktion erforderlich.

Wenn Sie die externe Freigabe an Orten aktivieren möchten, die derzeit nicht durch DLP-Richtlinien abgedeckt sind, können Sie eine DLP-Regel erstellen, die alle SharePoint- und OneDrive-Speicherorte enthält, die mindestens eine Regel mit der Bedingung "Inhalt enthält" (für alle Inhalte) enthalten und keine Aktion ausführt (z. B. einschränken oder blockieren), Warnungen auslösen. oder generiert Benachrichtigungen oder Berichte. Diese Richtlinie muss an den Anfang der Liste verschoben werden und darf nicht die Option Verarbeitung weiterer Regeln beenden festlegen. Daher ist sie nur für Inhalte wirksam, die keiner anderen DLP-Regel entsprechen. Als Ergebnis einer solchen Regel wird jede Datei an einem Beliebigen Speicherort, der nicht mit anderen DLP-Regeln übereinstimmt, für die externe Freigabe zugelassen.

Informationen zum Erstellen einer DLP-Regel finden Sie unter Erstellen und Aktivieren einer DLP-Richtlinie.

Dateien standardmäßig als vertraulich markieren

Dieses Feature wird mithilfe von PowerShell konfiguriert.

  1. Neueste Microsoft Office SharePoint Online-Verwaltungsshell herunterladen.

    Hinweis

    Wenn Sie eine frühere Version der Microsoft Office SharePoint Online-Verwaltungsshell installiert haben, gehen Sie zu Programme hinzufügen oder entfernen und deinstallieren Sie "SharePoint Online-Verwaltungsshell".

  2. Stellen Sie eine Verbindung mit SharePoint als SharePoint-Administrator oder höher in Microsoft 365 her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

  3. Führen Sie den folgenden Befehl aus:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing 
    

    Zum Deaktivieren dieses Features führen Sie den folgenden Befehl aus:

    Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
    

Hinweis

Es kann bis zu 60 Minuten dauern, bis diese neue Einstellung wirksam wird.