Teilen über


Verhinderung von Datenverlust (DLP) und Microsoft Teams.

Wenn Ihr organization über Microsoft Purview Data Loss Prevention (DLP) verfügt, können Sie Richtlinien definieren, die verhindern, dass Personen vertrauliche Informationen in einem Microsoft Teams-Kanal oder einer Chatsitzung freigeben. Im Folgenden finden Sie einige Beispiele für die Funktionsweise dieses Schutzes:

  • Schützen vertraulicher Informationen in Nachrichten. Angenommen, jemand versucht, vertrauliche Informationen in einem Teams-Chat oder -Kanal mit Gästen (externen Benutzern) zu teilen. Wenn Sie eine DLP-Richtlinie definiert haben, um dies zu verhindern, werden Nachrichten mit vertraulichen Informationen, die an externe Benutzer gesendet werden, gelöscht. Dies geschieht automatisch und innerhalb von Sekunden, je nachdem, wie Ihre DLP-Richtlinie konfiguriert ist.

Hinweis

DLP für Microsoft Teams blockiert vertrauliche Inhalte, wenn sie für Microsoft Teams-Benutzer freigegeben werden, die folgendes haben:

DLP für externe Chatsitzungen funktioniert nur, wenn sich sowohl der Absender als auch der Empfänger im Modus "Nur Teams" befinden und den nativen Microsoft Teams-Verbund verwenden. DLP für Teams blockiert keine Nachrichten in Interop mit Skype oder nicht nativen Verbundchatsitzungen.

  • Schützen vertraulicher Informationen in Dokumenten. Angenommen, jemand versucht, ein Dokument für Gäste in einem Microsoft Teams-Kanal oder -Chat freizugeben, und das Dokument enthält vertrauliche Informationen. Wenn Sie eine DLP-Richtlinie definiert haben, um dies zu verhindern, wird das Dokument für diese Benutzer nicht geöffnet. Ihre DLP-Richtlinie muss SharePoint und OneDrive enthalten, damit der Schutz erzwungen wird. Dies ist ein Beispiel für DLP für SharePoint, das in Microsoft Teams angezeigt wird und daher erfordert, dass Benutzer für Office 365 DLP (enthalten in Office 365 E3) lizenziert sind, aber nicht, dass Benutzer für Office 365 Advanced Compliance lizenziert werden.

  • Schutz der Kommunikation in freigegebenen Teams-Kanälen. Für freigegebene Kanäle wird die DLP-Richtlinie des Teams-Hostteams angewendet. Angenommen, es gibt einen freigegebenen Kanal im Besitz von Team A von Contoso. Team A verfügt über eine DLP-Richtlinie P1. Es gibt drei Möglichkeiten, einen Kanal zu teilen:

    • Für Mitglied freigeben: Sie laden User1 von Contoso ein, dem freigegebenen Kanal beizutreten, ohne sie als Mitglied von Team A zu machen. Jeder In diesem freigegebenen Kanal, einschließlich User1, wird von P1 abgedeckt.
    • Für Team freigeben (intern): Sie teilen den Kanal mit einem anderen Team innerhalb von Contoso, Team B. Dieses andere Team hat möglicherweise eine andere DLP-Richtlinie, aber das spielt keine Rolle. P1 gilt für alle Benutzer dieses freigegebenen Kanals, einschließlich Team A- und Team B-Benutzer.
    • Mit Team teilen (mandantenübergreifend):Sie teilen den Kanal mit einem Team , Team F, in Fabrikam. Fabrikam verfügt möglicherweise über eine eigene DLP-Richtlinie, aber das spielt keine Rolle. P1 gilt für alle Benutzer in diesem freigegebenen Kanal, einschließlich Der Benutzer von Team A (Contoso) und Team F (Fabrikam).
  • Schutz der Kommunikation beim Chatten mit externen Benutzern in Microsoft Teams. Personen von verschiedenen Microsoft 365-Organisationen, die alle das Feature für den externen Zugriff verwenden, können an derselben Chatsitzung teilnehmen. Jeder Benutzer unterliegt den DLP-Richtlinien seiner eigenen organization. Nehmen sie für instance an, dass sich UserA, UserB und UserC, alle von Contoso und UserX, UserY und UserZ, alle von Fabrikam, im gleichen Teams-Chat befinden. Die DLP-Richtlinien von Contoso zum Freigeben von Informationen in Teams gelten für UserA, UserB und UserC, während die DLP-Richtlinien von Fabrikam für UserX, UserY und UserZ gelten. Weitere Informationen zur Verwendung von Microsoft Teams zum Chatten mit Personen außerhalb Ihrer organization finden Sie unter Verwalten externer Besprechungen und Chatten mit Personen und Organisationen, die Microsoft-Identitäten verwenden.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

DLP-Lizenzierung für Microsoft Teams

Zu den Funktionen zur Verhinderung von Datenverlust gehören Microsoft Teams-Chat- und Kanalnachrichten, einschließlich privater Kanalnachrichten für:

  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 Information Protection und Governance
  • Microsoft 365 E5/A5/G5/F5 Compliance und F5 Security & Compliance

Office 365 und Microsoft 365 E3 umfassen DLP-Schutz für SharePoint, OneDrive und Exchange. Dies schließt auch Dateien ein, die über Teams freigegeben werden, da Teams SharePoint und OneDrive zum Freigeben von Dateien verwendet.

Für die Unterstützung des DLP-Schutzes in Teams Chat ist eine E5-Lizenz erforderlich.

Umfang des DLP-Schutzes

DLP-Schutz wird anders auf Teams-Entitäten angewendet, wie in der folgenden Tabelle beschrieben.

Wenn Sie eine DLP Teams-Richtlinie auf alle Chattypen festlegen möchten, legen Sie entweder die Richtlinie auf Alle Speicherorte fest, oder stellen Sie sicher, dass sich jeder Teams-Benutzer sowohl in einer Microsoft 365-Gruppe als auch in einer Sicherheitsgruppe oder Verteilergruppe befindet, die auf die Richtlinie festgelegt ist. Weitere Informationen finden Sie unter Weitere Informationen zum Synchronisieren von Mitgliedschaften.

Richtlinienbereich Teams-Entitäten DLP-Schutz
Einzelne Benutzerkonten - 1:1/n Chats
– Standard und freigegebene Kanalnachrichten
– Private Kanalnachrichten
-Ja
-Nein
-Ja
Sicherheitsgruppen/Verteilergruppe/Nicht-E-Mail-aktivierte Sicherheitsgruppe - 1:1/n Chats
– Standard und freigegebene Kanalnachrichten
– Private Kanalnachrichten
-Ja
-Nein
-Ja
Microsoft 365-Gruppen - 1:1/n Chats
– Standard und freigegebene Kanalnachrichten
– Private Kanalnachrichten
-Ja
-Ja
-Nein

Hinweis

Wenn eine DLP-Richtlinie auf Microsoft 365-Gruppen beschränkt ist, gilt der DLP-Schutz für Gruppenmitglieder, die die Standard- und freigegebenen Kanäle verwenden, die allen Microsoft 365-Gruppen zugeordnet sind, zu denen sie gehören, und alle 1:1/n-Chats gelten auch für die Gruppenmitglieder, außer wenn die optische Zeichenerkennung für Teams-Chat- und Kanalnachrichten konfiguriert ist.

Richtlinientipps helfen, Benutzer zu schulen

Ähnlich wie DLP-Richtlinientipps in (Exchange, Outlook, SharePoint, OneDrive und auf Windows-Geräten) funktionieren, werden Richtlinientipps in Teams angezeigt, wenn eine Aktion mit einer DLP-Richtlinie ausgelöst wird. Hier sehen Sie ein Beispiel für einen Richtlinientipp:

Benachrichtigung über blockierte Nachrichten in Teams.

Hier hat der Absender versucht, eine Sozialversicherungsnummer in einem Microsoft Teams-Kanal zu teilen. Der Link Was kann ich tun? öffnet ein Dialogfeld, das Optionen für den Absender enthält, um das Problem zu beheben. Beachten Sie, dass der Absender die Richtlinie außer Kraft setzen oder einen Administrator benachrichtigen kann, um das Problem zu überprüfen und zu beheben.

Optionen zum Auflösen blockierter Nachrichten.

Sie können festlegen, dass Benutzer in Ihrem organization eine DLP-Richtlinie außer Kraft setzen können. Wenn Sie Ihre DLP-Richtlinien konfigurieren, können Sie die Standardrichtlinientipps verwenden oder Richtlinientipps für Ihre organization anpassen.

Kehren wir zu unserem Beispiel zurück: Wenn ein Absender eine Sozialversicherungsnummer in einem Teams-Kanal teilt, sieht der Empfänger Folgendes:

Nachricht blockiert.

DLP-Schutz wird auf die tatsächlichen Nachrichten im Chat- oder Kanalthread angewendet. Nachrichteninformationen werden auch in der kurzen Vorschau unter Aktivitätsbenachrichtigungen angezeigt, die aus Chat- oder Kanalnachrichten erstellt werden. Wenn eine Übereinstimmung mit einer DLP-Richtlinie vorliegt, wird die entsprechende Vorschau ausgeblendet, und anstelle der blockierten Vorschau wird die Meldung "Vorschau nicht verfügbar" angezeigt. Ein Aktivitätseintrag wird auch für den Absender generiert, wenn die gesendete Nachricht mit einer DLP-Richtlinie übereinstimmt. Gekennzeichnete und blockierte Nachrichten, Aktivitäten werden mit der Meldung "Ihre Nachricht wurde blockiert" erstellt.

Anpassen von Richtlinientipps

Um diese Aufgabe ausführen zu können, muss Ihnen eine Rolle zugewiesen sein, die über Berechtigungen zum Bearbeiten von DLP-Richtlinien verfügt. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal> anRichtlinien zur Verhinderung von> Datenverlust.

  2. Wählen Sie eine Richtlinie und dann Richtlinie bearbeiten (Stiftsymbol) aus.

  3. Navigieren Sie durch das Tool, bis Sie zum Bildschirm Erweiterte DLP-Regeln anpassen gelangen.

  4. Erstellen Sie entweder eine neue Regel, oder bearbeiten Sie eine vorhandene Regel für die Richtlinie.

  5. Scrollen Sie nach unten zu Benutzerbenachrichtigungen , und legen Sie die Umschaltfläche Benachrichtigungen verwenden, um Ihre Benutzer zu informieren und sie über die richtige Verwendung vertraulicher Informationen zu informieren auf Ein fest.

  6. Wählen Sie unter Microsoft 365-Dienstedie Option Benutzer in Office 365 Dienst mit einem Richtlinientipp benachrichtigen aus.

  7. Wählen Sie unter Richtlinientippsdie Option Richtlinientipptext anpassen aus.

  8. Geben Sie den Text an, den Sie für den Richtlinientipp verwenden möchten.

  9. Wenn der Richtlinientipp für Benutzeraktivitäten in Microsoft Exchange gilt und Sie möchten, dass ein Dialogfeld den Tipp anzeigt, bevor eine E-Mail gesendet wird, wählen Sie Richtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen aus.

  10. Wählen Sie Speichern und dann Weiter aus.

  11. Aktivieren Sie auf der Seite Richtlinienmodus das Kontrollkästchen neben Richtlinientipps anzeigen im Simulationsmodus , falls gewünscht.

  12. Wählen Sie Weiter, dann Absenden und fertig aus.

Hinzufügen von Microsoft Teams als Speicherort zu bestehenden DLP-Richtlinien

Um diese Aufgabe ausführen zu können, muss Ihnen eine Rolle zugewiesen sein, die über Berechtigungen zum Bearbeiten von DLP-Richtlinien verfügt. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.md#permissions).

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal> anRichtlinien zur Verhinderung von> Datenverlust.

  2. Wählen Sie eine Richtlinie und dann Richtlinie bearbeiten (Stiftsymbol) aus.

  3. Navigieren Sie durch das Tool, bis Sie zur Seite Speicherorte zum Anwenden der Richtlinie auswählen gelangen.

  4. Wählen Sie Teams-Chat- und Kanalnachrichten aus.

  5. Wählen Sie Weiter aus, und arbeiten Sie sich bis zum Ende des Prozesses durch.

  6. Wählen Sie Übermitteln aus.

Warten Sie ungefähr eine Stunde, bis Ihre Änderungen in Ihrem Rechenzentrum durchlaufen und mit Benutzerkonten synchronisiert werden.

Definieren einer neuen DLP-Richtlinie für Microsoft Teams

Informationen zum Erstellen und Implementieren einer neuen DLP-Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Verhindern des externen Zugriffs auf vertrauliche Dokumente

Sie können sicherstellen, dass Dokumente geschützt sind, bis DLP sie überprüft und als sicher für die Freigabe markiert, indem Sie neue Dateien standardmäßig als vertraulich markieren.

  • Bedingungen

  • Inhalt enthält einen der folgenden Typen vertraulicher Informationen: [Alle zutreffenden Auswählen]

    • Inhalte werden von Microsoft 365> freigegebenmit Personen außerhalb meiner organization

    Screenshot: DLP-Bedingungen zum Erkennen der externen Freigabe vertraulicher Inhalte.

  • Aktionen

    • Hinzufügen einer Aktion

    • Einschränken des Zugriffs oder Verschlüsseln des Inhalts an Microsoft 365-Speicherorten>Nur Personen außerhalb Ihrer organization blockieren

      > [!div class="mx-imgBorder"]
      

      DLP-Aktion zum Blockieren der externen Freigabe vertraulicher Inhalte.

      • Verwenden von Benachrichtigungen, um Ihre Benutzer zu informieren und sie über die ordnungsgemäße Verwendung vertraulicher Informationen> zu informierenBenachrichtigen von Benutzern in Office 365 mit einem Richtlinientipp

      • Diese Personen benachrichtigen [Alle zutreffenden Auswählen]

    • Richtlinientipps [Alle zutreffenden Auswählen]

      > [!div class="mx-imgBorder"]
      

      Screenshot der DLP-Aktion zum Aktivieren von Benutzerbenachrichtigungen.

Hinweis

Die Absenderadresse für Incidentberichte lautet jetzt no-reply-MicrosoftInformationProtectionOnline@microsoft.com.