Dokumentfingerabdrücke

Das Dokumentfingerabdruck ist ein Microsoft Purview DLP-Feature (Data Loss Prevention), das ein Standardformular in einen Vertraulichen Informationstyp (SIT) konvertiert, den Sie in den Regeln Ihrer DLP-Richtlinien verwenden können.

Die Dokumentfingerabdrücke erleichtern Es Ihnen, vertrauliche Informationen zu schützen, indem Standardformulare identifiziert werden, die in Ihrer gesamten Organisation verwendet werden. In diesem Artikel werden die Konzepte des Dokumentfingerabdrucks und das Erstellen eines Dokumentfingerabdrucks über die Benutzeroberfläche oder mithilfe von PowerShell beschrieben.

Die Dokumentfingerabdrücke umfassen die folgenden Vorteile:

• DLP kann den Dokumentfingerabdruck als Erkennungsmethode in Exchange, SharePoint, OneDrive, Teams und Geräten verwenden.
• Dokumentfingerabdrücke können über die Microsoft Purview-Benutzeroberfläche verwaltet werden.
• Partielle Übereinstimmungen werden unterstützt.
• Der genaue Abgleich wird unterstützt.
• Verbesserte Erkennungsgenauigkeit
• Unterstützung für die Erkennung in mehreren Sprachen, einschließlich Dual-Byte-Sprachen wie Chinesisch, Japanisch und Koreanisch.

Wichtig

Wenn Sie ein E5-Kunde sind, empfehlen wir, Ihre vorhandenen Fingerabdrücke zu aktualisieren, um die Vorteile des vollständigen Dokumentfingerabdrucks-Features zu nutzen. Wenn Sie ein E3-Kunde sind, empfehlen wir, ein Upgrade auf eine E5-Lizenz durchzuführen. Wenn Sie dies nicht möchten, können Sie nach April 2023 keine vorhandenen Fingerabdrücke mehr ändern oder neue erstellen.

Grundlegendes Szenario für die Dokumentfingerabdrücke

Wie bereits erwähnt, konvertiert das Dokumentfingerabdruck-Feature eine Standardform von Informationen in einen vertraulichen Informationstyp (SIT), den Sie in den Regeln Ihrer DLP-Richtlinien verwenden können. Sie können z. B. einen Dokumentfingerabdruck basierend auf einer leeren Patentvorlage erstellen und dann eine DLP-Richtlinie erstellen, die alle ausgehenden Patentvorlagen mit ausgefüllten vertraulichen Inhalten erkennt und blockiert. Optional können Sie Richtlinientipps einrichten, um Absender zu benachrichtigen, dass sie möglicherweise vertrauliche Informationen senden, und dass der Absender überprüfen sollte, ob die Empfänger für den Empfang der Patente qualifiziert sind. Dieser Prozess funktioniert mit allen textbasierten Formularen, die in Ihrer Organisation verwendet werden. Weitere Beispiele für Formulare, die Sie hochladen können, sind:

• Regierungsformulare
• HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare
• Formulare mit Mitarbeiterinformationen für die Personalabteilung
• Speziell für Ihre Organisation erstellte benutzerdefinierte Formulare

Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe. Um die Erkennung zu aktivieren, laden Sie ein leeres Formular hoch, das in einen Dokumentfingerabdruck konvertiert werden soll. Richten Sie als Nächstes eine entsprechende Richtlinie ein. Nachdem Sie diese Schritte ausgeführt haben, erkennt DLP alle Dokumente in ausgehenden E-Mails, die diesem Fingerabdruck entsprechen.

Funktionsweise des Dokumentfingerabdrucks

Sie haben wahrscheinlich bereits erraten, dass Dokumente keine tatsächlichen Fingerabdrücke haben, aber der Name hilft, das Feature zu erklären. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur. Wenn Sie eine Datei hochladen, identifiziert DLP das eindeutige Wortmuster im Dokument, erstellt basierend auf diesem Muster einen Dokumentfingerabdruck und verwendet diesen Dokumentfingerabdruck, um ausgehende Dokumente zu erkennen, die dasselbe Muster enthalten. Aus diesem Grund werden die effektivsten Dokumentfingerabdrücke durch Hochladen von Formularen oder Vorlagen erstellt. Jeder, der ein Formular ausfüllt, verwendet denselben Ursprünglichen Satz von Wörtern und fügt dem Dokument dann eigene Wörter hinzu. Wenn das ausgehende Dokument nicht kennwortsicher ist und den gesamten Text aus dem originalen Formular enthält, kann DLP bestimmen, ob das Dokument mit dem Dokumentfingerabdruck übereinstimmt.

Die Patentvorlage enthält die leeren Felder "Patenttitel", "Erfinder" und "Beschreibung" sowie Beschreibungen für jedes dieser Felder – das ist das Wortmuster. Wenn Sie die ursprüngliche Patentvorlage hochladen, befindet sie sich in einem der unterstützten Dateitypen und im Nur-Text-Format. DLP konvertiert dieses Wortmuster in einen Dokumentfingerabdruck, bei dem es sich um eine kleine Unicode-XML-Datei handelt, die einen eindeutigen Hashwert enthält, der den ursprünglichen Text darstellt. Der Fingerabdruck wird als Datenklassifizierung in Active Directory gespeichert. (Aus Sicherheitsgründen wird das ursprüngliche Dokument selbst nicht im Dienst gespeichert, es wird nur der Hashwert gespeichert. Das originale Dokument kann nicht aus dem Hashwert rekonstruiert werden.) Der Patentfingerabdruck wird dann zu einem SIT, den Sie einer DLP-Richtlinie zuordnen können. Nachdem Sie den Fingerabdruck einer DLP-Richtlinie zugeordnet haben, erkennt DLP alle ausgehenden E-Mails mit Inhalten, die dem Patentfingerabdruck entsprechen, und behandelt ihn gemäß der Richtlinie Ihrer Organisation.

Wenn Sie beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden, verwendet DLP den Patentfingerabdruck, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung die Möglichkeit geben, Patente an andere Organisationen zu senden, da dies von Unternehmen benötigt wird. Damit bestimmte Abteilungen vertrauliche Informationen senden können, erstellen Sie Ausnahmen für diese Abteilungen in Ihrer DLP-Richtlinie. Alternativ können Sie zulassen, dass sie einen Richtlinientipp mit einer geschäftlichen Begründung überschreiben.

Wichtig

Text in eingebetteten Dokumenten wird für die Erstellung von Fingerabdrücken nicht berücksichtigt. Sie müssen Beispielvorlagendateien bereitstellen, die keine eingebetteten Dokumente enthalten.

Unterstützte Dateitypen

Der Dokumentfingerabdruck unterstützt dieselben Dateitypen, die in Nachrichtenflussregeln (auch als Transportregeln bezeichnet) unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsprüfung von Mailflow-Regeln. Eine kurze Anmerkung zu Dateitypen: Weder Nachrichtenflussregeln noch Dokumentfingerabdrücke unterstützen den .dotx-Dateityp , bei dem es sich um eine Vorlagendatei in Microsoft Word handelt. Wenn das Wort "Vorlage" in diesem und anderen Dokumentfingerabdruckartikeln angezeigt wird, bezieht sich dies auf ein Dokument, das Sie als Standardformular eingerichtet haben, nicht auf den Vorlagendateityp.

Einschränkungen der Funktion "Dokumentfingerabdruck"

Der Dokumentfingerabdruck erkennt in den folgenden Fällen keine vertraulichen Informationen:

• Kennwortgeschützte Dateien
• Dateien, die nur Bilder enthalten
• Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurde
• Dateien, die größer als 4 MB sind

Hinweis

Um den Dokumentfingerabdruck mit Geräten verwenden zu können, muss die erweiterte Klassifizierungsüberprüfung und der Schutz aktiviert sein.

Fingerabdrücke werden in einem separaten Regelpaket gespeichert. Dieses Regelpaket hat eine maximale Größe von 1 von 150 KB. Mit diesem Grenzwert können Sie ungefähr 50 Fingerabdrücke pro Mandant erstellen.

Die folgenden Beispiele zeigen, was geschieht, wenn Sie einen Dokumentfingerabdruck basierend auf einer Patentvorlage erstellen. Sie können jedoch jedes beliebige Formular als Grundlage für die Erstellung eines Dokumentfingerabdrucks verwenden.

Beispiel: Erstellen eines Patentdokuments, das dem Dokumentfingerabdruck einer Patentvorlage entspricht

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Navigieren Sie im Microsoft Purview-Portal zu Data Loss Prevention>Klassifizierer>Vertrauliche Informationstypen.
2. Wählen Sie auf der Seite Typen vertraulicher Informationendie Option + Fingerabdruckbasiertes SIT erstellen aus.
3. Geben Sie einen Namen und eine Beschreibung für Ihr neues SIT ein.
4. Laden Sie die Datei hoch, die Sie als Fingerabdruckvorlage verwenden möchten.
5. OPTIONAL: Passen Sie die Anforderungen für die einzelnen Konfidenzstufen an. (Weitere Informationen finden Sie unter Partieller Abgleich und Exakter Abgleich.)
6. Wählen Sie Weiter aus.
7. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus.
8. Wenn die Bestätigungsseite angezeigt wird, wählen Sie Fertig aus.

Compliance-Portal

1. Wählen Sie im Complianceportal die Option Datenklassifizierung und dann Klassifizierer aus.
2. Wählen Sie auf der Seite Klassifiziererdie Option Typen vertraulicher> InformationenFingerabdruckbasiertes SIT erstellen aus.
3. Geben Sie einen Namen und eine Beschreibung für Ihr neues SIT ein.
4. Laden Sie die Datei hoch, die Sie als Fingerabdruckvorlage verwenden möchten.
5. OPTIONAL: Passen Sie die Anforderungen für die einzelnen Konfidenzstufen an. (Weitere Informationen finden Sie unter Partieller Abgleich und Exakter Abgleich.)
6. Wählen Sie Weiter aus.
7. Überprüfen Sie Ihre Einstellungen >Erstellen.
8. Wenn die Bestätigungsseite angezeigt wird, wählen Sie Fertig aus.

PowerShell-Beispiel für ein Patentdokument, das einem Dokumentfingerabdruck einer Patentvorlage entspricht

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Partieller Abgleich

Zum Konfigurieren des teilweisen Abgleichs eines Dokumentfingerabdrucks wählen Sie beim Konfigurieren des Konfidenzniveaus Niedrig, Mittel oder Hoch aus, und legen Sie fest, wie viel text in der Datei mit dem Fingerabdruck in Bezug auf einen Prozentsatz zwischen 30 % und 90 % übereinstimmen muss.

Ein hohes Konfidenzniveau gibt die wenigsten falsch positiven Ergebnisse zurück, kann jedoch zu mehr falsch negativen Ergebnissen führen. Niedrige oder mittlere Konfidenzstufen geben mehr falsch positive Ergebnisse zurück, aber nur wenige bis null falsch negative Ergebnisse.

• niedrige Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch negativen, aber die meisten falsch positiven Ergebnisse. Niedrige Konfidenz gibt alle Übereinstimmungen mit niedriger, mittlerer und hoher Konfidenz zurück.
• Mittlere Zuverlässigkeit: Übereinstimmend elemente enthalten eine durchschnittliche Anzahl falsch positiver und falsch negativer Ergebnisse. Mittlere Konfidenz gibt alle Übereinstimmungen mit mittlerem und hohem Konfidenz zurück.
• hohe Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch positiven Ergebnisse, aber die meisten falsch negativen Ergebnisse.

Exakter Abgleich

Um den genauen Abgleich eines Dokumentfingerabdrucks zu konfigurieren, wählen Sie Exakt als Wert für den hohen Konfidenzgrad aus. Wenn Sie die hohe Konfidenzstufe auf Exact festlegen, werden nur Dateien erkannt, die genau denselben Text wie der Fingerabdruck aufweisen. Wenn die Datei auch nur eine kleine Abweichung vom Fingerabdruck aufweist, wird sie nicht erkannt.

Verwenden Sie bereits Fingerabdruck-SITs?

Ihre vorhandenen Fingerabdrücke und Richtlinien/Regeln für diese Fingerabdrücke sollten weiterhin funktionieren. Wenn Sie nicht die neuesten Fingerabdruckfunktionen verwenden möchten, müssen Sie nichts tun.

Wenn Sie über eine E5-Lizenz verfügen und die neuesten Fingerabdruckfeatures verwenden möchten, können Sie entweder einen neuen Fingerabdruck erstellen oder eine Richtlinie zur neueren Version migrieren.

Hinweis

Das Erstellen neuer Fingerabdrücke mithilfe der Vorlagen, für die bereits ein Fingerabdruck vorhanden ist, wird nicht unterstützt.

Erstellen einer neuen Richtlinie mit Ihrem Sit-Fingerabdruck mithilfe von Microsoft Purview

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie im Microsoft Purview-Complianceportal.

Microsoft Purview-Portal

1. Navigieren Sie im Microsoft Purview-Complianceportal zuRichtlinienzur Verhinderung von> Datenverlust, und wählen Sie + Richtlinie erstellen aus.
2. Wählen Sie unter Kategorie die Option Benutzerdefiniert und für Vorschriften die Option Benutzerdefinierte Richtlinie aus.
3. Wählen Sie Weiter aus.
4. Benennen Sie Ihre Richtlinie, und geben Sie eine Beschreibung >an Weiter.
5. Wählen Sie auf der Seite Administratoreinheiten zuweisen die Option Weiter aus.
6. Wählen Sie die Speicherorte aus, an denen Sie die Richtlinie anwenden möchten, und wählen Sie dann Weiter aus.
7. Wählen Sie auf der Seite Richtlinieneinstellungen definieren die Option Erweiterte DLP-Regeln erstellen oder anpassen aus, und wählen Sie Weiter aus.
8. Wählen Sie + Regel erstellen aus.
9. Geben Sie Ihrer Regel einen Namen und eine Beschreibung.
10. Wählen Sie unter Bedingungendie Option Bedingung> hinzufügenInhalt enthält aus.
11. Geben Sie Ihrem neuen Satz von DLP-Regeln den Gruppennamen>Add Sensitive information types (Typen vertraulicher Informationenhinzufügen>) an.
12. Suchen Sie nach dem Namen Ihres Fingerabdrucks SIT > Add, und wählen Sie den Namen aus.
13. Arbeiten Sie den Rest des Tools zum Erstellen von Regeln durch, um Ihre Regel zu konfigurieren.
14. Wählen Sie Speichern aus.
15. Wählen Sie Weiter aus.
16. Wählen Sie Richtlinie im Simulationsmodus ausführen und dann Weiter aus.
17. Wählen Sie Absenden und dann Fertig aus.

Compliance-Portal

1. Navigieren Sie im Microsoft Purview-Complianceportal zuRichtlinienzur Verhinderung von> Datenverlust, und wählen Sie + Richtlinie erstellen aus.
2. Wählen Sie unter Kategorie die Option Benutzerdefiniert und für Vorschriften die Option Benutzerdefinierte Richtlinie aus.
3. Wählen Sie Weiter aus.
4. Benennen Sie Ihre Richtlinie, und geben Sie eine Beschreibung >an Weiter.
5. Wählen Sie auf der Seite Administratoreinheiten zuweisen die Option Weiter aus.
6. Wählen Sie die Speicherorte aus, an denen Sie die Richtlinie anwenden möchten, und wählen Sie dann Weiter aus.
7. Wählen Sie auf der Seite Richtlinieneinstellungen definieren die Option Erweiterte DLP-Regeln erstellen oder anpassen aus, und wählen Sie Weiter aus.
8. Wählen Sie + Regel erstellen aus.
9. Geben Sie Ihrer Regel einen Namen und eine Beschreibung.
10. Wählen Sie unter Bedingungendie Option Bedingung> hinzufügenInhalt enthält aus.
11. Geben Sie Ihrem neuen Satz von DLP-Regeln den Gruppennamen>Add Sensitive information types (Typen vertraulicher Informationenhinzufügen>) an.
12. Suchen Sie nach dem Namen Ihres Fingerabdrucks SIT > Add, und wählen Sie den Namen aus.
13. Wählen Sie Speichern aus.
14. Wählen Sie Weiter aus.
15. Wählen Sie Richtlinie im Simulationsmodus ausführen und dann Weiter aus.
16. Wählen Sie Absenden und dann Fertig aus.

Erstellen eines benutzerdefinierten vertraulichen Informationstyps basierend auf Dokumentfingerabdrücken mithilfe von PowerShell

Derzeit können Sie einen Dokumentfingerabdruck nur in Security & Compliance PowerShell erstellen.

DLP verwendet vertrauliche Informationstypen (Sensitive Information Types, SIT), um vertrauliche Inhalte zu erkennen. Um eine benutzerdefinierte SIT basierend auf einem Dokumentfingerabdruck zu erstellen, verwenden Sie das Cmdlet New-DlpSensitiveInformationType . Im folgenden Beispiel wird ein neuer Dokumentfingerabdruck namens "Contoso Customer Confidential" basierend auf der Datei C:\Meine Dokumente\Contoso Customer Form.docx erstellt.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Fügen Sie abschließend den vertraulichen Informationstyp "Contoso Customer Confidential" zu einer DLP-Richtlinie im Microsoft Purview-Complianceportal hinzu. In diesem Beispiel wird einer vorhandenen DLP-Richtlinie mit dem Namen "ConfidentialPolicy" eine Regel hinzugefügt.

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Sie können den Fingerabdruck SIT auch in Nachrichtenflussregeln in Exchange verwenden, wie im folgenden Beispiel gezeigt. Um diesen Befehl auszuführen, müssen Sie zunächst eine Verbindung mit Exchange PowerShell herstellen. Beachten Sie außerdem, dass es eine Zeit dauert, bis die SITs mit dem Exchange Admin Center synchronisiert werden.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP erkennt jetzt Dokumente, die dem Fingerabdruck des Contoso-Kunden Form.docx Dokuments entsprechen.

Syntax- und Parameterinformationen finden Sie unter:

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

Bearbeiten, Testen oder Löschen eines Dokumentfingerabdrucks

Öffnen Sie dazu über die Benutzeroberfläche den Fingerabdruck SIT, den Sie bearbeiten, testen oder löschen möchten, und wählen Sie das entsprechende Symbol aus.

Führen Sie dazu die folgenden Befehle über PowerShell aus.

Bearbeiten eines Dokumentfingerabdrucks

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testen eines Dokumentfingerabdrucks

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Löschen eines Dokumentfingerabdrucks

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrieren einer neuen Richtlinie mit Ihrem Sit-Fingerabdruck über die Benutzeroberfläche

1. Navigieren Sie zu Datenklassifizierung>Klassifizierer>Typen vertraulicher Informationen.
2. Öffnen Sie die SIT mit dem Fingerabdruck, den Sie migrieren möchten.
3. Wählen Sie Bearbeiten aus.
4. Laden Sie dieselbe Fingerabdruckdatei erneut hoch.
5. Überprüfen Sie die Fingerabdruckeinstellungen >Fertig.

Migrieren eines Fingerabdrucks mithilfe von PowerShell

Geben Sie den folgenden Befehl ein:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"