Freigeben über

Beheben von Problemen, die sich auf DLP-Richtlinientipps auswirken

  • Artikel
  • Gilt für::
    Microsoft Purview Data Loss Prevention

Richtlinientippeinstellungen zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) werden in DLP-Richtlinien konfiguriert. Wenn Sie DLP-Richtlinien in Exchange Online erstellt haben, empfiehlt es sich, sie zum Microsoft Purview-Complianceportal zu migrieren. Dies liegt daran, dass legacy Exchange Online Verhinderung von Datenverlust im Exchange Admin Center veraltet ist. Für Richtlinien, die nicht migriert werden, werden möglicherweise unerwartete Ergebnisse angezeigt, z. B. keine Anzeige von Richtlinientipps.

Dieser Artikel beschreibt die folgenden gängigen Szenarien, in denen DLP-Richtlinientipps möglicherweise nicht wie erwartet funktionieren, und bietet Lösungen, die Sie ausprobieren können:

  • Fehler bei der Richtlinienkonfiguration
  • Richtlinienkonfigurationen werden nicht unterstützt (nur Client)
  • Nicht alle Richtlinienbedingungen sind erfüllt.
  • E-Mail-Infos sind nicht aktiviert (nur Client)
  • Richtlinientipps werden an mehreren Speicherorten konfiguriert.
  • GetDLPPolicyTip Der Aufruf wurde in der Fiddler-Ablaufverfolgung nicht gefunden.
  • Client unterstützt keine E-Mail-Infos (nur Mac)
  • Dateisystemkonfiguration wird nicht unterstützt (PDFs nur unter Windows 7)
  • Ungültige Testdaten

Fehler bei der Richtlinienkonfiguration

Die Richtlinie wird mithilfe von Benutzerbenachrichtigungen konfiguriert, aber die status der Richtlinie stimmt nicht mit den Einstellungen in der Regel überein. Hier sehen Sie ein Beispiel, in dem die Richtlinie aktiviert ist, in der Richtlinie aber status Zuerst testen angezeigt wird.

Screenshot: Benutzerbenachrichtigungen.

Screenshot des Fensters mit dem Titel

Ein Richtlinienkonfigurationsfehler kann auch auftreten, wenn die Richtlinie mithilfe von zwei oder mehr Regeln konfiguriert wird, die dieselben vertraulichen Datentypen erkennen, die denselben Instanzanzahlwert und denselben Konfidenzgrad aufweisen.

Screenshot der SSN-Regel, die so konfiguriert ist, dass die Erkennung auf vertraulichen Informationstypen basiert.

Screenshot der SSN-Inhaltsregel, die so konfiguriert ist, dass die Erkennung auf vertraulichen Informationstypen basiert.

Diese Art von Einrichtung ist unnötig und problematisch. Es ist nur eine Regel erforderlich.

Lösung

Erstellen Sie für diese Szenarien nur eine Regel, und verwenden Sie Erkennungsparameter, die auf denselben vertraulichen Datentypen basieren.

Richtlinienkonfigurationen werden in Outlook 2013 und höheren Versionen nicht unterstützt

Unter Outlook 2013 und höher wird das Anzeigen von Richtlinientipps nur für einige Bedingungen und Ausnahmen unterstützt.

Nicht alle Richtlinienbedingungen sind erfüllt.

Dieses Szenario tritt in erster Linie auf, wenn Richtlinientipps in SharePoint Online und OneDrive for Business nicht wie erwartet funktionieren, da eine externe Freigabebedingung in einer Richtlinie konfiguriert ist.

Screenshot: Eine externe Freigabebedingung ist in einer Richtlinie konfiguriert.

Hinweis

Derzeit werden Inhalte erst dann als extern freigegeben indiziert, wenn eine externe Partei außerhalb des organization zum ersten Mal auf den Inhalt zugreift.

E-Mail-Infos sind nicht aktiviert (nur Clients für Outlook 2013 und höhere Versionen)

Stellen Sie für Clients von Outlook 2013 und höheren Versionen sicher, dass E-Mail-Infos aktiviert sind. Um E-Mail-Infos in Outlook zu aktivieren, stellen Sie zunächst sicher, dass Richtlinientipps aktiviert sind. Gehen Sie dazu wie folgt vor:

  1. Wählen Sie in Outlook Dateioptionen>>E-Mail aus.

  2. Scrollen Sie zum Abschnitt E-MailTips , und wählen Sie dann E-Mail-Infooptionen aus.

  3. Vergewissern Sie sich, dass im Dialogfeld E-Mail-Info auswählen, die angezeigt werden sollen, dass die Option Richtlinientippbenachrichtigung aktiviert ist.

  4. Stellen Sie unter Anzeigeoptionen für die E-Mail-Infoleiste sicher, dass die Option Automatisch anzeigen, wenn E-Mail-Infos angewendet werden aktiviert ist.

  5. Wählen Sie zweimal OK aus, um das Dateifenster zu schließen.

  6. Starten Sie Outlook neu.

    Screenshot der Schritte zum Aktivieren von E-Mail-Infos in Outlook.

Richtlinientipps, die an mehreren Speicherorten konfiguriert sind

Weitere Informationen finden Sie unter Richtlinientipps im Exchange Admin Center im Vergleich zum Security & Compliance Center.

GetDLPPolicyTip Der Aufruf wurde in der Fiddler-Ablaufverfolgung nicht gefunden.

Wenn DLP-Richtlinientipps nicht wie erwartet funktionieren, ist Fiddler ein nützliches Tool, um das Problem zu diagnostizieren. Hier erfahren Sie, wie Sie eine Fiddler-Ablaufverfolgung verwenden, um Probleme mit DLP-Richtlinientipps zu beheben.

  1. Sammeln Sie die Fiddler-Ablaufverfolgungsdatei, wenn Sie das Problem reproduzieren. Hier sehen Sie ein Beispiel, in dem der DLP-Richtlinientipp wie erwartet ausgelöst wird.

    Screenshot eines Beispiels für einen DLP-Richtlinientipp, der beim Senden einer E-Mail-Nachricht funktioniert.

  2. Überprüfen Sie in der POST-Anforderung, ob der GetDLPPolicyTip Aufruf in der Ablaufverfolgungsdatei erfolgt. Im vorherigen Beispiel sehen Sie den GetDLPPolicyTip Aufruf.

    Screenshot einer POST-Anforderung, in der der Aufruf

    Screenshot: POST-Anforderungsheader, in denen der Aufruf

  3. Überprüfen Sie in der Antwort den DetectedClassificationIds Wert. Wenn das Wertfeld nicht leer ist, gibt dies an, dass die DLP-Richtlinie mit der Richtlinienregel übereinstimmt.

    Screenshot der Antwort, in der der Wert

Wenn Sie den GetDLPPolicyTip Aufruf nicht finden und das DetectedClassificationIds Wertfeld in der Antwort leer ist, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Überprüfen Sie, ob die DLP-Richtlinie aktiviert und ordnungsgemäß konfiguriert ist.
  2. Überprüfen Sie, ob Ihre Benutzer die richtigen vertraulichen Informationen und gültige Empfänger oder Absender eingeben, um die Richtlinie auszulösen.

Client unterstützt keine E-Mail-Infos

Es gibt mehrere Outlook-Clientlizenzen, die keine Richtlinientipps unterstützen. Outlook-Lizenzanforderungen für Exchange-Features listet die Outlook-Clientlizenzen auf, die DLP-Richtlinientipps unterstützen.

Hinweis

Richtlinientipps werden für Outlook für Mac iOS-Clients derzeit nicht unterstützt. Als Problemumgehung können Sie der NDR-Antwort für Ihre DLP-Richtlinienregel Text hinzufügen, der Benutzer angibt, ihre Nachrichten im OWA-Client neu zu erstellen, wenn sie die Nachricht ursprünglich mithilfe von Outlook für Mac übermittelt haben. Verwenden Sie den OWA-Client, um die Richtlinientipps-Funktionalität für Benutzer verfügbar zu machen und es ihnen zu ermöglichen, ein falsch positives Ergebnis zu überschreiben, ein falsch positives Ergebnis zu melden oder eine geschäftliche Begründung einzugeben (abhängig von der aktion "Benachrichtigen", die in der DLP-Richtlinienregel angegeben ist). Benutzer können dann Nachrichten zur Übermittlung übermitteln.

Dateisystemkonfiguration wird nicht unterstützt

Wenn die folgenden Bedingungen erfüllt sind, wird kein Richtlinientipp angezeigt:

  • Sie führen Outlook 2013- oder höher-Clients unter Windows 7 aus.
  • Sie versuchen, eine Datei, die als Adobe PDF Version 10 oder höher formatiert ist, an eine E-Mail-Nachricht anzufügen, die einen DLP-Richtlinientipp auslösen sollte.

Lösung

Um dieses Problem zu beheben, führen Sie die Schritte im Abschnitt "Lösung" von Outlook zeigt keine DLP-Richtlinientipps für PDF-Anlagen in Windows 7 an.

Ungültige Testdaten

Wenn Sie die Anzahl von Instanzen und das Konfidenzniveau der DLP-Richtlinienregel auswerten, sind die verwendeten Testdaten basierend auf Entitätsdefinitionen des Typs vertraulicher Informationen ungültig. Stellen Sie sicher, dass die verwendeten Testdaten gültig sind.

Screenshot eines ungültigen instance Count-Werts.