Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren
Viele Aspekte des Dlp-Verhaltens (Endpoint Data Loss Prevention) werden durch zentral konfigurierte Einstellungen gesteuert, die auf alle DLP-Richtlinien für Geräte angewendet werden. Verwenden Sie diese Einstellungen, um die folgenden Verhaltensweisen zu steuern:
- Einschränkungen des Cloud-Ausgangs
- Verschiedene Arten von restriktiven Aktionen für Benutzeraktivitäten pro Anwendung
- Dateipfadausschlüsse für Windows- und macOS-Geräte
- Browser- und Domäneneinschränkungen:
- Darstellung geschäftlicher Begründungen für das Überschreiben von Richtlinien in Richtlinientipps
- Ob Aktionen, die für Office-, PDF- und CSV-Dateien ausgeführt werden, automatisch überwacht werden
Um auf diese Einstellungen zuzugreifen, navigieren Sie im Microsoft Purview-Complianceportal zu Verhinderung von> DatenverlustÜbersicht>Einstellungen> zur Verhinderung von DatenverlustEndpunkteinstellungen.
Tipp
Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.
Wichtig
Informationen zu den Adobe-Anforderungen für die Verwendung von Microsoft Purview Data Loss Prevention (DLP)-Features mit PDF-Dateien finden Sie in diesem Artikel von Adobe: Microsoft Purview Information Protection Support in Acrobat.
Endpunkt-DLP Windows 10/11 und macOS-Einstellungen
Endpunkt-DLP ermöglicht ihnen auch das Onboarding von Geräten, auf denen die folgenden Versionen von Windows Server ausgeführt werden:
Windows Server 2019 (14. November 2023 – KB5032196 (BS-Build 17763.5122) – Microsoft-Support)
Windows Server 2022 (14. November 2023 Sicherheitsupdate (KB5032198) – Microsoft-Support)
Hinweis
Durch die Installation der unterstützten Windows Server-KBs wird das Klassifizierungsfeature auf dem Server deaktiviert. Dies bedeutet, dass Endpunkt-DLP dateien auf dem Server nicht klassifizieren wird. Endpunkt-DLP schützt jedoch weiterhin die Dateien auf dem Server, die klassifiziert wurden, bevor diese KBs auf dem Server installiert wurden. Um diesen Schutz sicherzustellen, installieren Sie Microsoft Defender Version 4.18.23100 (Oktober 2023) oder höher.
Standardmäßig ist Endpunkt-DLP für Windows-Server beim ersten Onboarding nicht aktiviert. Bevor Sie Endpunkt-DLP-Ereignisse für Ihre Server in Activity Explorer anzeigen können, müssen Sie zuerst Endpunkt-DLP für Windows Server aktivieren.
Nach der ordnungsgemäßen Konfiguration können die gleichen Richtlinien zum Schutz vor Datenverlust automatisch sowohl auf Windows-PCs als auch auf Windows-Server angewendet werden.
Einstellung | Untereinstellung | Windows 10, 1809 und höher, Windows 11, Windows Server 2019, Windows Server 2022 (ab 21H2) für Endpunkte (X64) | macOS (drei neueste versionen) | Hinweise |
---|---|---|---|---|
Erweiterte Klassifizierungsüberprüfung und -schutz | Grenzwerte für zugewiesene Bandbreite | Unterstützt | Unterstützt | Die erweiterte Klassifizierung ermöglicht diese Features für macOS: - Dokumentfingerabdrücke Genaue Datenübereinstimmung basierende Typen - vertraulicher Informationen Trainierbare Klassifizierer - Erfahren Sie mehr über benannte Entitäten.- |
Dateipfadausschlüsse für Windows | n/v | Unterstützt | n/v | |
Dateipfadausschlüsse für Mac | n/v | n/v | Unterstützt | macOS enthält eine empfohlene Liste von Ausschlüssen, die standardmäßig aktiviert sind. |
Einrichten der Beweissammlung für Dateiaktivitäten auf Geräten | Festlegen des Beweiscaches auf dem Gerät | Unterstützt | Nicht unterstützt | |
Netzwerkfreigabeabdeckung und -ausschlüsse | n/v | Unterstützt | Nicht unterstützt | |
Eingeschränkte Apps und App-Gruppen | Eingeschränkte App-Gruppen | Unterstützt | Unterstützt | |
Eingeschränkte Apps und App-Gruppen | Eingeschränkte Apps | Unterstützt | Unterstützt | |
Eingeschränkte Apps und App-Gruppen | Einstellungen für automatische Quarantäne | Unterstützt | Unterstützt | |
Nicht zugelassene Bluetooth-Apps | n/v | Unterstützt | Unterstützt | |
Browser- und Domäneneinschränkungen auf vertrauliche Daten | Nicht zulässige Browser | Unterstützt | Unterstützt | |
Browser- und Domäneneinschränkungen auf vertrauliche Daten | Dienstdomänen | Unterstützt | Unterstützt | |
Browser- und Domäneneinschränkungen auf vertrauliche Daten | Domänengruppen für vertrauliche Dienste | Unterstützt | Unterstützt | |
Zusätzliche Einstellungen für Endpunkt-DLP | Geschäftliche Begründung in Richtlinientipps | Unterstützt | Unterstützt | |
Dateiaktivitäten für Geräte immer überwachen | n/v | Unterstützt | Unterstützt | |
Druckergruppen | n/v | Unterstützt | Unterstützt | |
Usb-Wechselgerätegruppen | n/v | Unterstützt | Unterstützt | |
Netzwerkfreigabegruppen | n/v | Unterstützt | Unterstützt | |
VPN-Einstellungen | n/v | Unterstützt | Nicht unterstützt |
Weitere Einstellungen
Einstellung | Windows 10/11, Windows 10, 1809 und höher, Windows 11 | Windows Server 2019, Windows Server 2022 (ab 21H2) für Endpunkte (X64) | macOS (drei neueste versionen) |
---|---|---|---|
Archivdatei | Unterstützt | Unterstützt | Unterstützt |
Dateityp und Dateierweiterung | Unterstützt | Unterstützt | Unterstützt |
Aktivieren von Endpunkt-DLP für Windows Server | Nicht unterstützt | Unterstützt | Nicht unterstützt |
Aktivieren von Endpunkt-DLP für Windows Server
Endpunkt-DLP unterstützt die folgenden Versionen von Windows Server:
Windows Server 2019 (14. November 2023 – KB5032196 (BS-Build 17763.5122) – Microsoft-Support)
Windows Server 2022 (14. November 2023 Sicherheitsupdate (KB5032198) – Microsoft-Support)
Nach dem Onboarding eines Windows-Servers müssen Sie die Endpunkt-DLP-Unterstützung aktivieren, bevor Endpoint Protection angewendet wird.
So arbeiten Sie mit der DLP-Warnungsverwaltung Dashboard:
- Navigieren Sie im Microsoft Purview-Portal zu Übersicht zur Verhinderung von> Datenverlust.
- Wählen Sie in der oberen rechten Ecke Einstellungen aus.
- Wählen Sie auf der Seite Einstellungen die Option Endpunkteinstellungen aus, und erweitern Sie Endpunkt-DLP-Unterstützung für integrierte Server.
- Legen Sie den Umschalter auf Ein fest.
Erweiterte Klassifizierungsüberprüfung und -schutz
Erweiterte Klassifizierungsüberprüfungen und -schutz ermöglichen es dem cloudbasierten Datenklassifizierungsdienst von Microsoft Purview, Elemente zu überprüfen, zu klassifizieren und die Ergebnisse an den lokalen Computer zurückzugeben. Aus diesem Grund können Sie Klassifizierungstechniken wie die Klassifizierung exakter Daten,trainierbare Klassifizierer, Anmeldeinformationsklassifizierer und benannte Entitäten in Ihren DLP-Richtlinien nutzen.
Hinweis
Die Aktion In Browser einfügen unterstützt keine erweiterte Klassifizierung.
Wenn die erweiterte Klassifizierung aktiviert ist, werden Inhalte vom lokalen Gerät zum Scannen und Klassifizieren an die Clouddienste gesendet. Wenn die Bandbreitennutzung ein Problem darstellt, können Sie einen Grenzwert für die Bandbreite festlegen, die in einem rollierenden 24-Stunden-Zeitraum verwendet werden kann. Der Grenzwert wird in den Endpunkteinstellungen konfiguriert und pro Gerät angewendet. Wenn Sie ein Bandbreitennutzungslimit festlegen und dieses Nutzungslimit überschritten wird, sendet DLP die Benutzerinhalte nicht mehr an die Cloud. An diesem Punkt wird die Datenklassifizierung lokal auf dem Gerät fortgesetzt, aber die Klassifizierung mit exakter Dateneinstimmung, benannten Entitäten, trainierbaren Klassifizierern und Anmeldeinformationsklassifizierern sind nicht verfügbar. Wenn die kumulierte Bandbreitennutzung unter das rollierende 24-Stunden-Limit fällt, wird die Kommunikation mit den Clouddiensten fortgesetzt.
Wenn die Bandbreitennutzung kein Problem darstellt, wählen Sie Kein Limit aus, um eine unbegrenzte Bandbreitennutzung zuzulassen.
Erweiterte Größenbeschränkungen für die Dateiüberprüfung der Klassifizierung
Auch wenn kein Limit für die erweiterte Klassifizierung aktiviert ist, gibt es weiterhin Grenzwerte für die Größe einzelner Dateien, die gescannt werden können.
- Für Textdateien gilt ein Grenzwert von 64 MB.
- Für Bilddateien gilt ein Grenzwert von 50 MB, wenn die optische Zeichenerkennung (Optical Character Recognition, OCR) aktiviert ist.
Die erweiterte Klassifizierung funktioniert nicht für Textdateien, die größer als 64 MB sind, auch wenn das Bandbreitenlimit auf No limit (Kein Grenzwert) festgelegt ist.
Die folgenden Windows-Versionen (und höher) unterstützen erweiterte Klassifizierungsüberprüfung und -schutz.
- alle Windows 11 Versionen
- Windows 10 Version 20H1/21H1 oder höher (KB 5006738)
- Windows 10 RS5 (KB 5006744)
Hinweis
Unterstützung für die erweiterte Klassifizierung ist für Office- (Word, Excel, PowerPoint) und PDF-Dateitypen verfügbar.
Die Auswertung von DLP-Richtlinien erfolgt immer in der Cloud, auch wenn keine Benutzerinhalte gesendet werden.
Tipp
Um die erweiterte Klassifizierung für Windows 10 Geräte verwenden zu können, müssen Sie KB5016688 installieren. Um die erweiterte Klassifizierung für Windows 11 Geräte verwenden zu können, müssen KB5016691 auf diesen Windows 11 Geräten installiert sein. Darüber hinaus müssen Sie die erweiterte Klassifizierung aktivieren, bevor der Aktivitäts-Explorer Kontexttext für Ereignisse anzeigt, die mit DLP-Regeln übereinstimmen. Weitere Informationen zu kontextbezogenem Text finden Sie unter Kontextzusammenfassung.
Ausschluss von Dateipfaden
Wenn Sie bestimmte Pfade von der DLP-Überwachung, VON DLP-Warnungen und der Erzwingung von DLP-Richtlinien auf Ihren Geräten ausschließen möchten, können Sie diese Konfigurationseinstellungen deaktivieren, indem Sie Dateipfadausschlüsse einrichten. Dateien an ausgeschlossenen Speicherorten werden nicht überwacht, und dateien, die an diesen Speicherorten erstellt oder geändert werden, unterliegen nicht der DLP-Richtlinienerzwingung. Navigieren Sie zum Konfigurieren von Pfadausschlüssen in DLP-Einstellungen zu Microsoft Purview-Complianceportal>Datenverlustprävention>Übersicht> Einstellungen >zur Verhinderung von DatenverlustEndpunkteinstellungen>Dateipfadausschlüsse für Windows.
Windows 10/11-Geräte
Sie können die folgende Logik verwenden, um Ihre Ausschlusspfade für Windows 10/11-Geräte zu erstellen:
Ein gültiger Dateipfad, der mit
\
endet, bedeutet, dass nur Dateien direkt unter dem angegebenen Ordner ausgeschlossen werden.
Beispiel:C:\Temp\
Ein gültiger Dateipfad, der mit
\*
endet, bedeutet, dass nur Dateien in Unterordnern des angegebenen Ordners ausgeschlossen werden. Dateien direkt unter dem angegebenen Ordner selbst sind nicht ausgeschlossen.
Beispiel:C:\Temp\*
Ein gültiger Dateipfad, der ohne
\
oder\*
endet, bedeutet, dass alle Dateien direkt unter dem angegebenen Ordner und alle zugehörigen Unterordner ausgeschlossen sind.
Beispiel:C:\Temp
Ein Pfad mit Platzhalter zwischen
\
von jeder Seite.
Beispiel:C:\Users\*\Desktop\
Ein Pfad mit Platzhalterzeichen zwischen
\
jeder Seite und mit(number)
, um die genaue Anzahl der auszuschließenden Unterordner anzugeben.
Beispiel:C:\Users\*(1)\Downloads\
Ein Pfad mit SYSTEM-Umgebungsvariablen.
Beispiel:%SystemDrive%\Test\*
Eine Mischung aller hier beschriebenen Muster.
Beispiel:%SystemDrive%\Users\*\Documents\*(2)\Sub\
Standardmäßig ausgeschlossene Windows-Dateipfade
%SystemDrive%\\Users\\*(1)\\AppData\\Roaming
%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
%%SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache
macOS-Geräte
Sie können auch eigene Ausschlüsse für macOS-Geräte hinzufügen.
Bei Dateipfaddefinitionen wird die Groß-/Kleinschreibung nicht beachtet.
User
user
Platzhalterwerte werden unterstützt. Daher kann eine Pfaddefinition ein Sternchen (
*
) in der Mitte des Pfads oder am Ende des Pfads enthalten.
Beispiel:/Users/*/Library/Application Support/Microsoft/Teams/*
macOS-Dateipfade standardmäßig ausgeschlossen
/System
Empfohlene Dateipfadausschlüsse für macOS
Aus Leistungsgründen enthält Endpunkt-DLP eine Liste empfohlener Dateipfadausschlüsse für macOS-Geräte. Wenn die Umschaltfläche Empfohlene Dateipfadausschlüsse einschließen für Mac auf Ein festgelegt ist, werden auch die folgenden Pfade ausgeschlossen:
/Applications
/usr
/Library
/private
/opt
/Users/*/Library/Logs
/Users/*/Library/Containers
/Users/*/Library/Application Support
/Users/*/Library/Group Containers
/Users/*/Library/Caches
/Users/*/Library/Developer
Es wird empfohlen, diesen Umschalter auf Ein festzulegen. Sie können jedoch das Ausschließen dieser Pfade beenden, indem Sie die Umschaltfläche auf Aus festlegen.
Einrichten der Beweissammlung für Dateiaktivitäten auf Geräten
Wenn Elemente identifiziert werden, die richtlinien auf Geräten entsprechen, kann DLP diese in ein Azure-Speicherkonto kopieren. Dieses Feature ist nützlich für die Überwachung von Richtlinienaktivitäten und die Problembehandlung bestimmter Übereinstimmungen. Verwenden Sie diesen Abschnitt, um den Namen und die URL des Speicherkontos hinzuzufügen.
Hinweis
Bevor Sie dieses Feature aktivieren, müssen Sie ein Azure-Speicherkonto und einen Container in diesem Speicherkonto erstellen. Sie müssen auch Berechtigungen für das Konto konfigurieren. Denken Sie beim Einrichten Ihres Azure-Speicherkontos daran, dass Sie wahrscheinlich ein Speicherkonto verwenden möchten, das sich in derselben Azure-Region bzw. derselben geopolitischen Grenze wie Ihr Mandant befindet. Sie sollten auch die Azure-Speicherkonto-Zugriffsebenen und die Preise für Azure-Speicherkonten konfigurieren.
- Weitere Informationen zu diesem Feature finden Sie unter Informationen zum Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.
- Weitere Informationen zum Konfigurieren dieses Features finden Sie unter Erste Schritte mit dem Sammeln von Dateien, die den Richtlinien zur Verhinderung von Datenverlust von Geräten entsprechen.
Netzwerkfreigabeabdeckung und -ausschlüsse
Die Abdeckung und Ausschlüsse von Netzwerkfreigaben erweitert DLP-Richtlinien und -Aktionen für Endpunkte auf neue und bearbeitete Dateien auf Netzwerkfreigaben und zugeordneten Netzlaufwerken. Wenn der Just-in-Time-Schutz ebenfalls aktiviert ist, werden die Just-in-Time-Schutzabdeckung und -ausschlüsse auf Netzwerkfreigaben und zugeordnete Laufwerke erweitert. Wenn Sie einen bestimmten Netzwerkpfad für alle überwachten Geräte ausschließen möchten, fügen Sie den Pfadwert unter Diese Netzwerkfreigabepfade ausschließen hinzu.
Wichtig
Um netzwerkfreigabeabdeckung und -ausschlüsse verwenden zu können, müssen auf Geräte die folgenden Updates angewendet werden:
- Windows 10 – 21. März 2023 – KB5023773 (BS-Builds 19042.2788, 19044.2788 und 19045.2788) Vorschau, 28. März 2023 – KB5023774 (BS-Build 22000.1761) Vorschau
- Windows 11 – 28. März 2023 – KB5023778 (BS-Build 22621.1485) Vorschau
- Microsoft Defender April-2023 (Plattform: 4.18.2304.8 | Modul: 1.1.20300.3)
Diese Tabelle enthält die Standardeinstellungen für die Abdeckung und Ausschlüsse von Netzwerkfreigaben.
Netzwerkfreigabeabdeckung und -ausschlüsse | Just-in-Time-Schutz | Resultierendes Verhalten |
---|---|---|
Aktiviert | Deaktiviert | – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät verbunden ist. Unterstützte Aktionen: Geräte |
Deaktiviert | Aktiviert | – Just-in-Time-Schutz wird nur auf die Dateien auf Speichergeräten angewendet, die lokal auf dem Endpunkt sind. |
Aktiviert | Aktiviert | – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät verbunden ist.
Unterstützte Aktionen: Geräte – Just-In-Time-Schutz wird auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät verbunden ist. |
Netzwerkfreigabeabdeckung und -ausschlüsse ergänzen lokale DLP-Repositoryaktionen. Diese Tabelle zeigt die Ausschlusseinstellungen und das resultierende Verhalten, je nachdem, ob DLP für lokale Repositorys aktiviert oder deaktiviert ist.
Netzwerkfreigabeabdeckung und -ausschlüsse | Lokale DLP-Repositorys | Resultierendes Verhalten |
---|---|---|
Aktiviert | Deaktiviert | – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät verbunden ist. Unterstützte Aktionen: Geräte |
Deaktiviert | Aktiviert | - Richtlinien, die auf lokale Repositorys festgelegt sind, können Schutzaktionen für lokale Daten im Ruhezustand in Dateifreigaben und SharePoint-Dokumentbibliotheken und -Ordnern erzwingen. Aktionen für lokale DLP-Repositorys |
Aktiviert | Aktiviert | – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät verbunden ist.
Unterstützte Aktionen: Geräte - Richtlinien, die auf lokale Repositorys festgelegt sind, können Schutzaktionen für lokale Daten im Ruhezustand in Dateifreigaben und SharePoint-Dokumentbibliotheken und -Ordnern erzwingen. Aktionen für lokale DLP-Repositorys |
Eingeschränkte Apps und App-Gruppen
Eingeschränkte Apps
Die Liste eingeschränkter Apps (zuvor als Nicht zulässige Apps bezeichnet) ist eine benutzerdefinierte Liste von Anwendungen, die Sie erstellen. Sie konfigurieren, welche Aktionen DLP ausführt, wenn jemand eine App in der Liste verwendet, um auf eine DLP-geschützte Datei auf einem Gerät zuzugreifen . Die Liste eingeschränkter Apps ist für Windows 10/11- und macOS-Geräte verfügbar, auf denen eine der drei neuesten macOS-Versionen ausgeführt wird.
Wichtig
Geben Sie nicht den Pfad zur ausführbaren Datei an. Geben Sie nur den Namen der ausführbaren Datei an (z. B. browser.exe).
Die aktion (
audit
,block with override
oder ), dieblock
für Apps definiert ist, die in der Liste der eingeschränkten Apps enthalten sind, gilt nur, wenn ein Benutzer versucht, auf ein geschütztes Element zuzugreifen .
Wenn Access by restricted apps (Zugriff durch eingeschränkte Apps) in einer Richtlinie ausgewählt ist und ein Benutzer eine App verwendet, die sich in der Liste der eingeschränkten Apps befindet, um auf eine geschützte Datei zuzugreifen, lautet audited
die Aktivität , blocked
oder blocked with override
, je nachdem, wie Sie die Liste eingeschränkter Apps konfiguriert haben. AUSNAHME: Wenn eine App in der Liste Eingeschränkte Apps auch Mitglied einer Eingeschränkten App-Gruppe ist, setzen die aktionen, die für Aktivitäten in der Gruppe Eingeschränkte App konfiguriert sind, die für die Liste Eingeschränkte Apps konfigurierten Aktionen außer Kraft. Alle Aktivitäten werden überwacht und stehen im Aktivitäts-Explorer zur Überprüfung zur Verfügung.
Eingeschränkte App-Gruppen (Vorschau)
Eingeschränkte App-Gruppen sind Sammlungen von Apps, die Sie in den DLP-Einstellungen erstellen und dann zu einer Regel in einer Richtlinie hinzufügen. Wenn Sie einer Richtlinie eine eingeschränkte App-Gruppe hinzufügen, können Sie die in der folgenden Tabelle definierten Aktionen ausführen.
Eingeschränkte App-Gruppenoption | Was es Ihnen ermöglicht |
---|---|
Dateiaktivität nicht einschränken | Weist DLP an, Benutzern den Zugriff auf DLP-geschützte Elemente mithilfe von Apps in der App-Gruppe zu ermöglichen, ohne Maßnahmen zu ergreifen, wenn der Benutzer versucht, in die Zwischenablage zu kopieren, auf ein USB-Wechsellaufwerk kopieren, auf ein Netzlaufwerk kopieren oder aus der App drucken . |
Anwenden einer Einschränkung auf alle Aktivitäten | Weist DLP an Audit only , Block with override oder Block an, wenn ein Benutzer versucht, mithilfe einer App, die sich in der entsprechenden App-Gruppe befindet, auf ein DLP-geschütztes Element zuzugreifen. |
Einschränkungen auf eine bestimmte Aktivität anwenden | Diese Einstellung ermöglicht einem Benutzer den Zugriff auf ein DLP-geschütztes Element mithilfe einer App, die sich in der App-Gruppe befindet. Außerdem können Sie eine Standardaktion (Audit only , oder Block with override ) für DLP auswählen, Block die ausgeführt werden soll, wenn ein Benutzer versucht, in die Zwischenablage zu kopieren, auf ein USB-Wechsellaufwerk kopieren, auf ein Netzlaufwerk kopieren und drucken. |
Wichtig
Einstellungen in einer eingeschränkten App-Gruppe setzen alle Einschränkungen außer Kraft, die in der Liste der eingeschränkten Apps festgelegt sind, wenn sie sich in derselben Regel befinden. Wenn sich also eine App in der Liste der eingeschränkten Apps befindet und auch Mitglied einer Gruppe eingeschränkter Apps ist, werden die Einstellungen der Gruppe der eingeschränkten Apps angewendet.
Wie DLP Einschränkungen auf Aktivitäten anwendet
Interaktionen zwischen Dateiaktivitäten für Apps in eingeschränkten App-Gruppen, Dateiaktivitäten für alle Apps und der Liste Eingeschränkte App-Aktivitäten sind auf dieselbe Regel beschränkt.
Außerkraftsetzungen von eingeschränkten App-Gruppen
Konfigurationen, die in Dateiaktivitäten für Apps in eingeschränkten App-Gruppen definiert sind, setzen Konfigurationen in der Liste Eingeschränkte App-Aktivitäten und Dateiaktivitäten für alle Apps in derselben Regel außer Kraft.
Eingeschränkte App-Aktivitäten und Dateiaktivitäten für alle Apps
Die Konfigurationen der Eingeschränkten App-Aktivitäten und der Dateiaktivitäten für alle Apps arbeiten zusammen, wenn die für die Eingeschränkten App-Aktivitäten definierte Aktion entweder Audit only
oder Block with override
in derselben Regel ist. Warum? Aktionen, die für eingeschränkte App-Aktivitäten definiert sind, gelten nur, wenn ein Benutzer mithilfe einer App in der Liste auf eine Datei zugreift. Sobald der Benutzer Zugriff hat, gelten die Aktionen die für Aktivitäten in Dateiaktivitäten für alle Apps definiert sind.
Für instance verwenden Sie das folgende Beispiel. Angenommen, Notepad.exe zu Eingeschränkten Apps und Dateiaktivitäten für alle Apps so konfiguriert sind, dass Einschränkungen auf bestimmte Aktivitäten angewendet werden, und beide sind wie in dieser Tabelle angegeben konfiguriert:
Einstellung der Richtlinie | App-Name | Benutzeraktivität | Auszuführende DLP-Aktion |
---|---|---|---|
Eingeschränkte App-Aktivitäten | Editor | Zugreifen auf ein DLP-geschütztes Element | Nur Überwachung |
Dateiaktivitäten für alle Apps | Alle Apps | In Zwischenablage kopieren | Nur Überwachung |
Dateiaktivitäten für alle Apps | Alle Apps | Auf ein USB-Gerät kopieren | Blockieren |
Dateiaktivitäten für alle Apps | Alle Apps | Auf eine Netzwerkfreigabe kopieren | Nur Überwachung |
Dateiaktivitäten für alle Apps | Alle Apps | Blockieren | |
Dateiaktivitäten für alle Apps | Alle Apps | Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App | Gesperrt |
Dateiaktivitäten für alle Apps | Alle Apps | Remotedesktopdienste | Blockieren mit Außerkraftsetzung |
Wenn Benutzer A eine DLP-geschützte Datei im Editor öffnet, lässt DLP den Zugriff zu und überwacht die Aktivität. Während er sich noch im Editor befindet, versucht Benutzer A dann, Inhalt aus dem geschützten Element in die Zwischenablage zu kopieren. Diese Aktion ist erfolgreich, und DLP überwacht die Aktivität. Benutzer A versucht dann, das geschützte Element aus Editor zu drucken, und die Aktivität wird blockiert.
Hinweis
Wenn die DLP-Aktion für Eingeschränkte App-Aktivitäten auf block
festgelegt ist, wird der gesamte Zugriff blockiert und der Benutzer kann keine Aktivitäten an der Datei durchführen.
Dateiaktivitäten nur für alle Apps
Wenn sich eine App nicht in der Liste Dateiaktivitäten für Apps in eingeschränkten App-Gruppen oder in der Liste Eingeschränkte App-Aktivitätenbefindet oder sich in der Liste Eingeschränkte App-Aktivitäten mit einer Aktion von Audit only
oder Block with override
befindet, werden alle einschränkungen, die in den Dateiaktivitäten für alle Apps definiert sind, in derselben Regel angewendet.
macOS-Geräte
Sie können auch verhindern, dass macOS-Apps auf vertrauliche Daten zugreifen, indem Sie sie in der Liste Eingeschränkte App-Aktivitäten definieren.
Hinweis
Plattformübergreifende Apps müssen mit ihren eindeutigen Pfaden für das Betriebssystem eingegeben werden, das sie ausführen.
So finden Sie den vollständigen Pfad von Mac-Apps:
Öffnen Sie auf dem macOS-Gerät den Aktivitätsmonitor. Suchen Sie den Prozess, den Sie einschränken möchten, und doppelklicken Sie darauf.
Wählen Sie die Registerkarte Dateien und Ports öffnen aus.
Notieren Sie sich den vollständigen Pfadnamen, einschließlich des Namens der App.
Automatische Quarantäne
Um zu verhindern, dass vertrauliche Elemente durch Cloudsynchronisierungs-Apps wie onedrive.exemit der Cloud synchronisiert werden, fügen Sie die Cloudsynchronisierungs-App der Liste eingeschränkter Apps mit automatischer Quarantäne hinzu.
Wenn diese Option aktiviert ist, wird die automatische Quarantäne ausgelöst, wenn eine eingeschränkte App versucht, auf ein durch DLP geschütztes vertrauliches Element zuzugreifen. Die automatische Quarantäne verschiebt das vertrauliche Element in einen vom Administrator konfigurierten Ordner. Wenn dies konfiguriert ist, kann die automatische Quarrantine eine Platzhalterdatei (.txt
) anstelle des Originals belassen. Sie können den Text in der Platzhalterdatei so konfigurieren, dass benutzer über den neuen Speicherort des Elements und andere relevante Informationen informiert werden.
Verwenden Sie das Feature für die automatische Quarantäne, wenn eine nicht zugelassene Cloudsynchronisierungs-App versucht, auf ein Element zuzugreifen, das durch eine blockierende DLP-Richtlinie geschützt ist. DLP generiert möglicherweise wiederholte Benachrichtigungen. Sie können diese wiederholten Benachrichtigungen vermeiden, indem Sie die automatische Quarantäne aktivieren.
Sie können auch die automatische Quarantäne verwenden, um eine endlose Kette von DLP-Benachrichtigungen für Benutzer und Administratoren zu verhindern. Weitere Informationen finden Sie unter Szenario 4: Vermeiden von Schleifen von DLP-Benachrichtigungen von Cloudsynchronisierungs-Apps mit automatischer Quarantäne.
Nicht zugelassene (eingeschränkte) Bluetooth-Apps
Um zu verhindern, dass Benutzer Dateien, die durch Ihre Richtlinien geschützt sind, über bestimmte Bluetooth-Apps übertragen, fügen Sie diese Apps der Liste Nicht zugelassene Bluetooth-Apps in den Endpunkt-DLP-Einstellungen hinzu.
Browser- und Domäneneinschränkungen auf vertrauliche Daten
Schränken Sie die Freigabe sensibler Dateien, die Ihren Richtlinien entsprechen, für uneingeschränkte Clouddienstdomänen ein.
Nicht zulässige Browser
Für Windows-Geräte können Sie die Verwendung von angegebenen Webbrowsern einschränken, die durch die Namen der ausführbaren Dateien identifiziert werden. Die angegebenen Browser werden für den Zugriff auf Dateien blockiert, die den Bedingungen einer erzwungenen DLP-Richtlinie entsprechen, bei der die Einschränkung für Upload-in-Clouddienste auf block
oder block override
festgelegt ist. Wenn diese Browser am Zugriff auf eine Datei gehindert werden, wird den Endbenutzern eine Popupbenachrichtigung angezeigt, in der sie aufgefordert werden, die Datei über Microsoft Edge zu öffnen.
Für macOS-Geräte müssen Sie den vollständigen Dateipfad hinzufügen. So finden Sie den vollständigen Pfad von Mac-Apps:
Öffnen Sie auf dem macOS-Gerät den Aktivitätsmonitor. Suchen Sie den Prozess, den Sie einschränken möchten, und doppelklicken Sie darauf.
Wählen Sie die Registerkarte Dateien und Ports öffnen aus.
Notieren Sie sich unbedingt den vollständigen Pfadnamen, einschließlich des Namens der App.
Dienstdomänen
Die Dienstdomänen arbeiten hier mit der Einstellung Aktivitäten auf Geräten überwachen oder einschränken zusammen , die im Workflow zum Erstellen einer Regel innerhalb einer DLP-Richtlinie zu finden ist.
Wenn Sie eine Regel erstellen, verwenden Sie Aktionen, um Ihre Inhalte zu schützen, wenn bestimmte Bedingungen erfüllt sind. Beim Erstellen von Regeln für Endpunktgeräte müssen Sie die Option Aktivitäten auf Geräten überwachen oder einschränken auswählen und eine der folgenden Optionen auswählen:
- Nur Überwachung
- Blockieren mit Außerkraftsetzung
- Blockieren
Um zu steuern, ob vertrauliche Dateien, die durch Ihre Richtlinien geschützt sind, in bestimmte Dienstdomänen hochgeladen werden können, müssen Sie als Nächstes zu Endpunkt-DLP-Einstellungen>Browser und Domäneneinschränkungen für vertrauliche Daten navigieren und auswählen, ob Dienstdomänen standardmäßig blockiert oder zugelassen werden sollen.
Hinweis
Die Einstellung Dienstdomänen gilt nur für Dateien, die mit Microsoft Edge hochgeladen wurden, oder für Instanzen von Google Chrome oder Mozilla Firefox, auf denen die Microsoft Purview Chrome-Erweiterung installiert ist.
Blockieren
Wenn die Liste Dienstdomänen auf Blockieren festgelegt ist, verwenden Sie die Option Clouddienstdomäne hinzufügen , um Domänen anzugeben, die blockiert werden sollen. Alle anderen Dienstdomänen sind zulässig. In diesem Fall werden DLP-Richtlinien nur angewendet, wenn ein Benutzer versucht, eine vertrauliche Datei in eine der Domänen hochzuladen, die nicht in der Liste enthalten sind.
Betrachten Sie beispielsweise die folgenden Konfigurationen:
- Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Nur überwachen festgelegt.
- Die Einstellung Dienstdomänen ist auf Blockieren festgelegt.
- contoso.com IST NICHT IN der Liste enthalten.
- wingtiptoys.com ist in der Liste enthalten.
Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und es wird ein Überwachungsereignis generiert, aber keine Warnung ausgelöst.
Wenn ein Benutzer dagegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, kann die Benutzeraktivität - der Upload - ebenfalls abgeschlossen werden, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.
Betrachten Sie als weiteres Beispiel die folgende Konfiguration:
- Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Blockieren festgelegt.
- Die Einstellung Dienstdomänen ist auf Blockieren festgelegt.
- contoso.com IST NICHT IN der Liste enthalten.
- wingtiptoys.com ist in der Liste enthalten.
Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und ein Überwachungsereignis wird ausgelöst, es wird ein Überwachungsereignis generiert, aber keine Warnung ausgelöst.
Wenn ein Benutzer hingegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, wird die Benutzeraktivität blockiert, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.
Zulassen
Wenn die Liste Dienstdomänen auf Zulassen festgelegt ist, verwenden Sie die Option Clouddienstdomäne hinzufügen , um zulässige Domänen anzugeben. Alle anderen Dienstdomänen werden blockiert. In diesem Fall werden DLP-Richtlinien nur angewendet, wenn ein Benutzer versucht, eine vertrauliche Datei in eine der aufgeführten Domänen hochzuladen.
Im Folgenden finden Sie beispielsweise zwei Startkonfigurationen:
- Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die Guthaben Karte Nummern enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Blockieren mit Außerkraftsetzung festgelegt.
- Die Einstellung Dienstdomänen ist auf Zulassen festgelegt.
- contoso.com IST NICHT IN der Zulassungsliste enthalten.
- wingtiptoys.com ist in der Zulassungsliste enthalten.
Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in contoso.com hochzuladen, wird der Upload blockiert. Daraufhin wird eine Warnung angezeigt, die dem Benutzer die Möglichkeit gibt, den Block zu überschreiben. Wenn der Benutzer den Block außer Kraft setzt, wird ein Überwachungsereignis generiert und eine Warnung ausgelöst.
Wenn ein Benutzer jedoch versucht, eine vertrauliche Datei mit Guthaben Karte Nummern in wingtiptoys.com hochzuladen, wird die Richtlinie nicht angewendet. Der Upload kann abgeschlossen werden, und es wird ein Überwachungsereignis generiert, aber es wird keine Warnung ausgelöst.
- Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Nur überwachen festgelegt.
- Die Einstellung Dienstdomänen ist auf Zulassen festgelegt.
- contoso.com ist NICHT in der Liste enthalten.
- wingtiptoys.com IS in der Liste.
Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.
Wenn ein Benutzer hingegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, ist die Benutzeraktivität - der Upload - ebenfalls zulässig, wird ein Überwachungsereignis generiert, aber keine Warnung wird ausgelöst.
Wichtig
Wenn der Diensteinschränkungsmodus auf Zulassen festgelegt ist, muss mindestens eine Dienstdomäne konfiguriert sein, bevor Einschränkungen erzwungen werden.
Zusammenfassungstabelle: Allow/Block-Verhalten
Die folgende Tabelle zeigt, wie sich das System abhängig von den aufgeführten Einstellungen verhält.
Endpunkt-DLP-Dienstdomäneneinstellung | DLP-Richtlinienregel Einstellung überwachen oder einschränken von Aktivitäten auf Geräten | Benutzer wechselt zu einer aufgelisteten Website | Benutzer wechselt zu einer Website, die NICHT aufgeführt ist |
---|---|---|---|
Zulassen | Nur Überwachung | – Benutzeraktivität wird überwacht – Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
– Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Überwachungsmodus angewendet. |
Zulassen | Blockieren mit Außerkraftsetzung | – Benutzeraktivität wird überwacht – Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
– Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Außerkraftsetzungsmodus blockieren angewendet. |
Zulassen | Blockieren | – Benutzeraktivität wird überwacht – Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
– Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Blockierungsmodus angewendet. |
Blockieren | Nur Überwachung | – Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Überwachungsmodus angewendet. |
– Benutzeraktivität wird überwacht – Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
Blockieren | Blockieren mit Außerkraftsetzung | – Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Außerkraftsetzungsmodus blockieren angewendet. |
– Benutzeraktivität wird überwacht– Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
Blockieren | Blockieren | – Benutzeraktivität wird überwacht – Eine Warnung wird generiert. – DLP-Richtlinien werden im Blockierungsmodus angewendet. |
– Benutzeraktivität wird überwacht – Es wird keine Warnung generiert. – Es werden keine DLP-Richtlinien angewendet. |
Verwenden Sie beim Hinzufügen einer Domäne zur Liste das FQDN-Format der Dienstdomäne ohne den Endzeitraum (.
).
Beispiel:
Input | URL-Abgleichverhalten |
---|---|
CONTOSO.COM |
Entspricht dem angegebenen Domänennamen und allen Unterwebsites: ://contoso.com ://contoso.com/ ://contoso.com/anysubsite1 ://contoso.com/anysubsite1/anysubsite2 (usw.) Entspricht nicht Unterdomänen oder nicht angegebenen Domänen: ://anysubdomain.contoso.com ://anysubdomain.contoso.com.AU |
* .CONTOSO.COM |
Entspricht dem angegebenen Domänennamen, einer beliebigen Unterdomäne und einer beliebigen Website: ://contoso.com ://contoso.com/anysubsite ://contoso.com/anysubsite1/anysubsite2 ://anysubdomain.contoso.com/ ://anysubdomain.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (usw.) Stimmt nicht mit nicht angegebenen Domänen überein ://anysubdomain.contoso.com.AU/ |
www.contoso.com |
Entspricht dem angegebenen Domänennamen:
Entspricht nicht unspezifizierten Domänen oder Unterdomänen *://anysubdomain.contoso.com/, in diesem Fall müssen Sie den FQDN-Domänennamen selbst eingeben |
Sie können bis zu 50 Domänen unter Sensible Dienstdomänen konfigurieren.
Domänengruppen für vertrauliche Dienste
Wenn Sie eine Website in Sensible Dienstdomänen auflisten, können audit
Sie , block with override
oder vollständig block
Benutzeraktivitäten ausführen, wenn Benutzer versuchen, eine der folgenden Aktionen auszuführen:
- Drucken von einer Website
- Kopieren von Daten von einer Website
- Speichern einer Website als lokale Dateien
- Hochladen oder Ziehen/Ablegen einer vertraulichen Datei auf eine ausgeschlossene Website
- Einfügen vertraulicher Daten in eine ausgeschlossene Website
Die folgende Tabelle zeigt, welche Browser diese Features unterstützen:
Browser | Unterstützte Funktion |
---|---|
Microsoft Edge | - Drucken der Website – Kopieren von Daten von der Website – Speichern der Website als lokale Dateien (Speichern unter) – Einfügen in unterstützte Browser : Hochladen in eine eingeschränkte Clouddienstdomäne |
Google Chrome (mit der Microsoft Purview-Erweiterung) | – Einfügen in unterstützte Browser – Hochladen in eine eingeschränkte Clouddienstdomäne |
Mozilla Firefox (mit der Microsoft Purview-Erweiterung) | – Hochladen in einen eingeschränkten Clouddienst – Einfügen in unterstützte Browser |
Bei der Aktion In unterstützte Browser einfügen kann es eine kurze Verzögerung zwischen dem Versuch des Benutzers, Text in eine Webseite einzufügen, und dem Zeitpunkt, an dem das System die Klassifizierung abgeschlossen hat und antwortet, liegen. Wenn diese Klassifizierungslatenz auftritt, werden möglicherweise sowohl Richtlinienauswertungs- als auch Check-Complete-Benachrichtigungen im Edge- oder Richtlinienauswertungs-Popup in Chrome und Firefox angezeigt. Hier sind einige Tipps zum Minimieren der Anzahl von Benachrichtigungen:
- Benachrichtigungen werden ausgelöst, wenn eine Richtlinie für die Zielwebsite für Blockieren oder Blockieren konfiguriert ist, indem das Einfügen in unterstützte Browser für diesen Benutzer außer Kraft gesetzt wird. Sie können die Gesamtaktion auf Überwachen konfigurieren und dann die Ausnahmen Blockieren der Zielwebsites verwenden. Alternativ können Sie die Gesamtaktion auf Blockieren festlegen und dann die Ausnahmen Überwachen der sicheren Websites verwenden.
- Verwenden Sie die neueste Antimalware-Clientversion.
- Stellen Sie sicher, dass Ihre Version von Microsoft Edge 120 oder höher ist.
- Installieren Sie diese Windows-KBs:
Hinweis
Die Einstellung Dienstdomänen gilt nur für Dateien, die mit Microsoft Edge oder einem instance von Google Chrome oder Mozilla Firefox hochgeladen wurden, auf dem die Microsoft Purview Chrome-Erweiterung installiert ist.
Für Geräte müssen Sie die Liste Sensible Dienstdomänen so konfigurieren, dass die Aktion In eine eingeschränkte Clouddienstdomäne hochladen in einer DLP-Richtlinie verwendet wird. Sie können auch Websitegruppen definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Websitegruppenaktionen unterscheiden. Sie können maximal 100 Websites zu einer einzelnen Gruppe hinzufügen und maximal 150 Gruppen erstellen. Weitere Informationen finden Sie unter Szenario 6: Überwachen oder Einschränken von Benutzeraktivitäten in sensiblen Dienstdomänen.
Wichtig
Bezüglich der Aktion In unterstützter Browser einfügen . Wenn "Originaldatei als Beweis für alle ausgewählten Dateiaktivitäten am Endpunkt sammeln" für die Regel für dieses Feature aktiviert ist, werden möglicherweise Garbage Characters im Quelltext angezeigt, wenn auf dem Windows-Gerät des Benutzers nicht die Antimalware-Clientversion 4.18.23110 oder höher installiert ist. Wählen Sie Aktionen>Herunterladen aus, um den tatsächlichen Inhalt anzuzeigen.
Weitere Informationen finden Sie unter Szenario 7: Einschränken des Einfügens vertraulicher Inhalte in einen Browser.
Unterstützte Syntax zum Festlegen von Websites in einer Websitegruppe
Wenn Sie URLs zum Identifizieren von Websites verwenden, schließen Sie das Netzwerkprotokoll nicht als Teil der URL ein (für instance, https:// oder file://). Verwenden Sie stattdessen eine flexible Syntax, um Domänen, Unterdomänen, Websites und Unterwebsites in Ihre Websitegruppen einzuschließen und auszuschließen. Beispiel:
- Verwenden Sie
*
als Platzhalter, um alle Domänen oder alle Unterdomänen anzugeben. - Verwenden Sie
/
als Abschlusszeichen am Ende einer URL, um den Bereich nur auf diese bestimmte Website zu beschränken.
Wenn Sie eine URL ohne einen abschließenden Schrägstrich ( /
) hinzufügen, wird diese URL auf diese Website und alle Unterwebsites festgelegt.
Diese Syntax gilt für alle HTTP/HTTPS-Websites. Hier sind einige Beispiele:
DER Websitegruppe hinzugefügte URL | Die URL stimmt überein. | URL stimmt nicht überein |
---|---|---|
contoso.com |
//
// contoso.com contoso.com/ // contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 // |
//
// allsubdomains.contoso.com allsubdomains.contoso.com.au |
contoso.com/ |
//
// contoso.com contoso.com/ |
//
// contoso.com/allsubsites1 contoso.com/allsubsites1/allsubsites2 // allsubdomains.contoso.com allsubdomains.contoso.com/au // |
*.contoso.com |
//
//contoso.com contoso.com/allsubsites // contoso.com/allsubsites1/allsubsites2 // allsubdomains.contoso.com // allsubdomains.contoso.com/allsubsites //allsubdomains1/allsubdomains2/contoso.com/allsubsites1/allsubsites2 |
// allsubdomains.contoso.com.au |
*.contoso.com/xyz |
//
// contoso.com contoso.com/xyz //contoso.com/xyz/allsubsites/ //allsubdomains.contoso.com/xyz // allsubdomains.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 // // |
//
// contoso.com/xyz/ allsubdomains.contoso.com/xyz/ |
*.contoso.com/xyz/ |
//
// contoso.com/xyz allsubdomains.contoso.com/xyz |
//
// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2 contoso.com // // contoso.com/xyz/allsubsites/ allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/ allsubdomains.contoso.com/xyz/allsubsites/ // |
Wichtig
URLs unterstützen diese Aktionen:
- Drucken der Website
- Kopieren von Daten vom Standort
- Speichern der Website als lokale Dateien (Speichern unter)
- Einfügen in unterstützte Browser
- Hochladen in eine eingeschränkte Clouddienstdomäne
Ip-Adresse und IP-Adressbereich unterstützen diese Aktionen:
- Drucken der Website
- Kopieren von Daten vom Standort
- Speichern der Website als lokale Dateien (Speichern unter)
Zusätzliche Einstellungen für Endpunkt-DLP
Geschäftliche Begründung in Richtlinientipps
Unter Optionen zum Konfigurieren von Richtlinientipps können Sie steuern, wie Benutzer mit der Option "Geschäftliche Begründung" interagieren. Diese Option erscheint, wenn ein Benutzer eine Aktivität durchführt, die durch die Einstellung Sperren mit Überschreiben in einer DLP-Richtlinie geschützt ist. Dies ist eine globale Einstellung. Sie können eine der folgenden Optionen auswählen:
- Standardoptionen und benutzerdefiniertes Textfeld anzeigen: Standardmäßig können Benutzer entweder eine integrierte Begründung auswählen oder ihren eigenen Text eingeben.
- Nur Standardoptionen anzeigen: Benutzer sind auf die Auswahl aus einer Liste integrierter Begründungen beschränkt.
- Nur benutzerdefiniertes Textfeld anzeigen: Benutzer sind auf die Eingabe einer benutzerdefinierten Begründung beschränkt. Das Textfeld wird in der Benachrichtigung zum Endbenutzer-Richtlinientipp ohne eine Liste von Optionen angezeigt.
Anpassen der Optionen im Dropdownmenü
Sie können bis zu fünf benutzerdefinierte Optionen erstellen, die angezeigt werden, wenn Benutzer mit dem Richtlinienbenachrichtigungstipp interagieren, indem Sie das Dropdownmenü Optionen anpassen auswählen.
Option | Standardtext |
---|---|
Option 1 | Dies ist Teil eines etablierten Geschäftsworkflows , oder Sie können benutzerdefinierten Text eingeben. |
Option 2 | Mein Vorgesetzter hat diese Aktion genehmigt, oder Sie können angepassten Text eingeben. |
Option 3 | Dringender Zugriff erforderlich, Ich werde meinen Vorgesetzten separat benachrichtigen, oder Sie können angepassten Text eingeben. |
Option „Falsch positives Ergebnis“ anzeigen | Die Informationen in diesen Dateien sind nicht vertraulich, oder Sie können angepassten Text eingeben. |
Option 5 | Andere, oder Sie können angepassten Text eingeben. |
Dateiaktivitäten für Geräte immer überwachen
Standardmäßig werden beim Einbinden von Geräten die Aktivitäten für Office-, PDF- und CSV-Dateien automatisch geprüft und stehen zur Überprüfung im Aktivitäten-Explorer zur Verfügung. Deaktivieren Sie dieses Feature, wenn diese Aktivität nur dann überwacht werden soll, wenn integrierte Geräte in einer aktiven Richtlinie enthalten sind.
Die Dateiaktivität wird für integrierte Geräte immer überwacht, unabhängig davon, ob sie in einer aktiven Richtlinie enthalten sind.
Druckergruppen
Verwenden Sie diese Einstellung, um Gruppen von Druckern zu definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Druckaktionen unterscheiden.
Der häufigste Anwendungsfall für das Erstellen von Druckergruppen besteht darin, sie zu verwenden, um das Drucken von Verträgen auf diese Drucker in der Rechtsabteilung eines organization zu beschränken. Nachdem Sie hier eine Druckergruppe definiert haben, können Sie sie in allen Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Szenario 8 Autorisierungsgruppen .
Sie können maximal 20 Druckergruppen erstellen. Jede Gruppe kann maximal 50 Drucker enthalten.
Wichtig
Benutzern von macOS 15/Sequoia wird möglicherweise dieses Dialogfeld "com.microsoft.dlp.daemon" angezeigt, um Geräte in Ihren lokalen Netzwerken zu finden. Administratoren können ihren Benutzer anweisen, Zulassen auszuwählen, um zuzulassen, dass Endpunkt-DLP den Druckerschutz ordnungsgemäß ausführt.
Hinweis
Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:
- Windows 10 und höher (21H1, 21H2 und höher) – KB5020030
- Win 11 21H2 – KB5019157
- Win 11 22H2 – KB5020044
- Windows Server 2022 – KB5020032
Hier ist ein Beispiel. Angenommen, Sie möchten, dass Ihre DLP-Richtlinie das Drucken von Verträgen an alle Drucker mit Ausnahme von Druckern in der Rechtsabteilung blockiert.
Verwenden Sie die folgenden Parameter, um drucker in jeder Gruppe zuzuweisen.
- Anzeigedruckername : Ruft den Wert des Anzeigedruckernamens aus den Eigenschaftendetails des Druckergeräts im Geräte-Manager ab.
- USB-Drucker : Ein Drucker, der über den USB-Anschluss eines Computers verbunden ist. Wählen Sie diese Option aus, wenn Sie einen USB-Drucker erzwingen möchten, während die USB-Produkt-ID und die USB-Anbieter-ID deaktiviert bleiben. Sie können auch einen bestimmten USB-Drucker zuweisen, indem Sie die USB-Produkt-ID und die USB-Anbieter-ID angeben.
- USB-Produkt-ID : Ruft den Wert des Geräteinstanzpfads aus den Eigenschaftendetails des Druckergeräts im Geräte-Manager ab. Konvertieren Sie diesen Wert in das Format Produkt-ID und Anbieter-ID. Weitere Informationen finden Sie unter Standard-USB-Bezeichner.
- USB-Hersteller-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Eigenschaftendetails des Druckergeräts im Geräte-Manager ab. Konvertieren Sie diesen Wert in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard-USB-Bezeichner.
- IP-Bereich
- In Datei drucken : Microsoft Print in PDF oder Microsoft XPS Document Writer. Wenn Sie Microsoft Print nur in PDF erzwingen möchten, sollten Sie den Druckernamen "Benutzerfreundlich" mit "Microsoft Print to PDF" verwenden.
- Auf einem Drucker bereitgestellter universeller Druck : Weitere Informationen zu universellen Druckern finden Sie unter Einrichten des universellen Druckens.
- Unternehmensdrucker : Ist eine Druckwarteschlange, die über den lokalen Windows-Druckserver in Ihrer Domäne freigegeben wird. Der Pfad kann wie folgt aussehen: \print-server\contoso.com\legal_printer_001.
- Drucken auf lokaler Ebene : Jeder Drucker, der über den Microsoft-Druckanschluss verbunden ist, aber keinen der oben genannten Typen. Beispiel: Drucken über Remotedesktop oder Umleiten des Druckers.
Hinweis
Sie sollten nicht mehrere Parameter wie USB-Drucker, IP-Adressbereich, In Datei drucken, Universelles Drucken auf einem Drucker, Unternehmensdrucker und Lokales Drucken verwenden.
Weisen Sie jedem Drucker in der Gruppe einen Anzeigenamen zu. Diese Namen werden nur in der Microsoft Purview-Konsole angezeigt.
Erstellen Sie eine Druckergruppe mit dem Namen Legal printers (Legal printers), und fügen Sie einzelne Drucker (mit einem Alias) anhand ihres Anzeigenamens hinzu. für instance:
legal_printer_001
,legal_printer_002
undlegal_color_printer
. (Sie können mehrere Parameter gleichzeitig auswählen, damit Sie einen bestimmten Drucker eindeutig identifizieren können.)Weisen Sie die Richtlinienaktionen der Gruppe in einer DLP-Richtlinie zu:
-
Allow
(Überwachung ohne Benutzerbenachrichtigungen oder Warnungen) -
Audit only
(Sie können Benachrichtigungen und Warnungen hinzufügen) -
Block with override
(blockiert die Aktion, aber der Benutzer kann überschreiben) -
Block
(Blöcke, egal was)
-
Erstellen einer Druckergruppe
- Öffnen Sie Microsoft Purview-Complianceportal, und navigieren Sie zu ÜbersichtZur>Verhinderung von> DatenverlustEinstellungen>Endpunkteinstellungen>Druckergruppen.
- Wählen Sie Druckergruppe erstellen aus.
- Geben Sie der Gruppe einen Namen.
- Wählen Sie Drucker hinzufügen aus.
- Geben Sie dem Drucker einen Anzeigenamen. Der von Ihnen ausgewählte Name wird nur hier angezeigt.
- Wählen Sie die Parameter aus, und geben Sie die Werte an, um den jeweiligen Drucker eindeutig zu identifizieren.
- Klicken Sie auf Hinzufügen.
- Fügen Sie nach Bedarf weitere Drucker hinzu.
- Wählen Sie Speichern und dann Schließen aus.
Usb-Wechselgerätegruppen
Verwenden Sie diese Einstellung, um Gruppen von Wechseldatenträgern zu definieren, z. B. USB-Sticks, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Druckaktionen unterscheiden. Angenommen, Sie möchten, dass Ihre DLP-Richtlinie verhindert, dass Elemente mit technischen Spezifikationen auf Wechselmedien kopiert werden, mit Ausnahme von bestimmten usb-verbundenen Festplatten, die zum Sichern von Daten für offsite-Speicher verwendet werden.
Sie können maximal 20 Gruppen mit maximal 50 Wechselmedien in jeder Gruppe erstellen.
Hinweis
Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:
- Windows 10 und höher (21H1, 21H2) mit KB-5018482
- Win 11 21H2, 22H2 mit KB 5018483
- Windows 10 RS5 (KB 5006744) und Windows Server 2022
Verwenden Sie die folgenden Parameter, um Ihre Wechseldatenträger zu definieren.
- Anzeigename des Speichergeräts : Ruft den Wert anzeigename aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte werden unterstützt.
- USB-Produkt-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Details der USB-Geräteeigenschaft im Geräte-Manager ab. Konvertieren Sie es in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard-USB-Bezeichner.
- USB-Anbieter-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Details der USB-Geräteeigenschaft im Geräte-Manager ab. Konvertieren Sie es in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard-USB-Bezeichner.
- Seriennummern-ID : Ruft den Wert der Seriennummern-ID aus den Details der Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte werden unterstützt.
- Geräte-ID : Ruft den Wert der Geräte-ID aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte werden unterstützt.
- Instanzpfad-ID : Ruft den Wert der Geräte-ID aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte werden unterstützt.
- Hardware-ID : Ruft den Hardware-ID-Wert aus den Details der Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte werden unterstützt.
Sie weisen jedem Wechseldatenträger in der Gruppe einen Alias zu. Der Alias ist ein Anzeigename, der nur in der Microsoft Purview-Konsole angezeigt wird. Wenn Sie also mit dem Beispiel fortfahren, erstellen Sie eine Wechseldatenträgergruppe mit dem Namen Backup und fügen einzelne Geräte (mit einem Alias) mit ihrem Anzeigenamen wie backup_drive_001
, und backup_drive_002
hinzu.
Sie können die Parameter mehrfach auswählen, und dann enthält die Druckergruppe alle Geräte, die diese Parameter erfüllen.
Sie können der Gruppe in einer DLP-Richtlinie diese Richtlinienaktionen zuweisen:
-
Allow
(Überwachung ohne Benutzerbenachrichtigungen oder Warnungen) -
Audit only
(Sie können Benachrichtigungen und Warnungen hinzufügen) -
Block with
außer Kraft setzen (blockiert die Aktion, aber der Benutzer kann überschreiben) -
Block
(Blöcke, egal was)
Erstellen einer USB-Wechselgerätegruppe
- Öffnen Sie Microsoft Purview-Complianceportal>Datenverlustprävention>Übersicht> Einstellungen >zur Verhinderung von DatenverlustEndpunkteinstellungen>Wechselspeichergerätegruppen.
- Wählen Sie Create wechselable storage device group (Wechselmediengruppe erstellen) aus.
- Geben Sie einen Gruppennamen an.
- Wählen Sie Wechselmedien hinzufügen aus.
- Geben Sie einen Alias an.
- Wählen Sie die Parameter aus, und geben Sie die Werte an, um das bestimmte Gerät eindeutig zu identifizieren.
- Klicken Sie auf Hinzufügen.
- Fügen Sie der Gruppe nach Bedarf weitere Geräte hinzu.
- Wählen Sie Speichern und dann Schließen aus.
Der häufigste Anwendungsfall zum Erstellen von Wechselspeichergruppen besteht darin, diese zu verwenden, um anzugeben, auf welche Wechselmedien Benutzer Dateien kopieren können. Im Allgemeinen ist das Kopieren nur für Geräte in einer bestimmten Sicherungsgruppe zulässig.
Nachdem Sie eine Wechselspeichergerätegruppe definiert haben, können Sie diese in allen Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Szenario 8: Autorisierungsgruppen .
Netzwerkfreigabegruppen
Verwenden Sie diese Einstellung, um Gruppen von Netzwerkfreigabepfaden zu definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den Aktionen des globalen Netzwerkfreigabepfads unterscheiden. Angenommen, Ihre DLP-Richtlinie soll verhindern, dass Benutzer geschützte Dateien in Netzwerkfreigaben mit Ausnahme der Netzwerkfreigaben in einer bestimmten Gruppe speichern oder kopieren können.
Hinweis
Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:
- Windows 10 und höher (21H1, 21H2) mit KB-5018482
- Win 11 21H2, 22H2 mit KB 5018483
- Windows 10 RS5 (KB 5006744) und Windows Server 2022
Um Netzwerkfreigabepfade in eine Gruppe einzuschließen, definieren Sie das Präfix, mit dem alle Freigaben beginnen. Zum Beispiel:
"\Library" entspricht:
- \Library-Ordner und alle zugehörigen Unterordner.
Sie können Wildcards verwenden, z. B. "\Users*\Desktop":
- '\Users\user1\Desktop'
- '\Users\user1\user2\Desktop'
- '\Users*\Desktop'
Sie können auch Umgebungsvariablen verwenden, z. B.:
- %AppData%\app123
Sie können der Gruppe in einer DLP-Richtlinie die folgenden Richtlinienaktionen zuweisen:
-
Allow
(Überwachung ohne Benutzerbenachrichtigungen oder Warnungen) -
Audit only
(Sie können Benachrichtigungen und Warnungen hinzufügen) -
Block with override
(blockiert die Aktion, aber der Benutzer kann überschreiben) -
Block
(Blöcke, egal was)
Nachdem Sie eine Netzwerkfreigabegruppe definiert haben, können Sie sie in allen DLP-Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Szenario 8 Autorisierungsgruppen.
Erstellen einer Netzwerkfreigabegruppe
- Öffnen Sie Microsoft Purview-Complianceportal>Datenverlustprävention>Übersicht> Einstellungen >zur Verhinderung von DatenverlustEndpunkteinstellungen>Netzwerkfreigabegruppen. 1.Wählen Sie Netzwerkfreigabegruppe erstellen aus.
- Geben Sie einen Gruppennamen an.
- Fügen Sie der Freigabe den Dateipfad hinzu.
- Klicken Sie auf Hinzufügen.
- Fügen Sie der Gruppe nach Bedarf weitere Freigabepfade hinzu.
- Wählen Sie Speichern und dann Schließen aus.
VPN-Einstellungen
Verwenden Sie die VPN-Liste, um nur die Aktionen zu steuern, die über dieses VPN ausgeführt werden.
Hinweis
Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Versionen von Windows ausgeführt wird:
- Windows 10 und höher (21H1, 21H2) mit KB-5018482
- Windows 11 21H2, 22H2 mit KB-5018483
- Windows 10 RS5 (KB 5006744)
Wenn Sie ein VPN in den VPN-Einstellungen auflisten, können Sie ihnen die folgenden Richtlinienaktionen zuweisen:
-
Allow
(Überwachung ohne Benutzerbenachrichtigungen oder Warnungen) -
Audit only
(Sie können Benachrichtigungen und Warnungen hinzufügen) -
Block with override
(blockiert die Aktion, aber der Benutzer kann überschreiben) -
Block
(Blöcke, egal was)
Diese Aktionen können einzeln oder gemeinsam auf die folgenden Benutzeraktivitäten angewendet werden:
- In Zwischenablage kopieren
- Kopieren auf ein USB-Wechselmedium
- Auf eine Netzwerkfreigabe kopieren
- Kopieren oder Verschieben mithilfe einer nicht zugelassenen (eingeschränkten) Bluetooth-App
- Kopieren oder Verschieben mithilfe von RDP
Wenn Sie eine DLP-Richtlinie zum Einschränken der Aktivität auf Geräten konfigurieren, können Sie steuern, was mit den einzelnen Aktivitäten geschieht, die ausgeführt werden, wenn Benutzer mit Ihrem organization in einem der aufgeführten VPNs verbunden sind.
Verwenden Sie die Parameter Serveradresse oder Netzwerkadresse , um das zulässige VPN zu definieren.
Abrufen der Serveradresse oder Netzwerkadresse
- Öffnen Sie auf einem von DLP überwachten Windows-Gerät ein Windows PowerShell Fenster als Administrator.
- Führen Sie das folgende Cmdlet aus, das mehrere Felder und Werte zurückgibt.
Get-VpnConnection
- Suchen Sie unter den Ergebnissen des Cmdlets das Feld ServerAddress , und notieren Sie diesen Wert. Sie verwenden serverAddress , wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.
- Suchen Sie das Feld Name , und notieren Sie diesen Wert. Das Feld Name wird dem Feld Netzwerkadresse zugeordnet, wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.
Hinzufügen eines VPN
- Öffnen Sie Microsoft Purview-Complianceportal>Datenverlustprävention>Übersicht>Einstellungen zur Verhinderung von> DatenverlustEndpunkteinstellungen>VPN-Einstellungen.
- Wählen Sie VPN-Adressen hinzufügen oder bearbeiten aus.
- Geben Sie entweder die Serveradresse oder die Netzwerkadresse an, die Sie nach dem Ausführen
Get-VpnConnection
von notiert haben. - Klicken Sie auf Speichern.
- Schließen Sie das Element.
Wichtig
Unter der Einstellung Netzwerkeinschränkungen sehen Sie auch Unternehmensnetzwerk als Option.
Unternehmensnetzwerkverbindungen sind alle Verbindungen mit Ressourcen Ihrer Organisation. Sie können sehen, ob das Gerät ein Unternehmensnetzwerk verwendet, indem Sie das Get-NetConnectionProfile
Cmdlet als Administrator ausführen. Wenn der NetworkCategoryId
in der Ausgabe ist DomainAuthenticated
, bedeutet dies, dass der Computer mit dem Unternehmensnetzwerk verbunden ist. Wenn die Ausgabe etwas anderes ist, ist der Computer nicht .
In einigen Fällen kann ein Computer sowohl mit einem VPN als auch mit dem Unternehmensnetzwerk verbunden sein. Wenn beide unter den Netzwerkeinschränkungen ausgewählt sind, wendet Endpunkt-DLP die Aktion basierend auf der Reihenfolge an. Wenn die Aktion für vpn die angewendete sein soll, verschieben Sie den VPN-Eintrag über Unternehmensnetzwerk, damit er eine höhere Priorität hat als die Aktion für Unternehmensnetzwerk.
Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Netzwerkausnahmen finden Sie unter Szenario 9: Netzwerkausnahmen .
Siehe auch
- Informationen zu Endpunkt-DLP
- Endpunkt-DLP – Erste Schritte
- Informationen zur Verhinderung von Datenverlust
- Erste Schritte mit dem Aktivitäten-Explorer
- Microsoft Defender für Endpunkt
- Onboarding von Windows 10- und Windows 11-Geräten in die Microsoft Purview-Übersicht
- Microsoft 365-Abonnement
- Microsoft Entra eingebunden
- Herunterladen des auf Chromium basierenden neuen Microsoft Edge
- Erste Schritte mit der standardmäßigen DLP-Richtlinie
- Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust