Freigeben über

Erste Schritte mit der Microsoft Purview-Erweiterung für Chrome

  • Artikel

Verwenden Sie diese Verfahren, um die Microsoft Purview-Erweiterung für Chrome bereitzustellen.

Tipp

Beginnen Sie mit Microsoft Copilot for Security, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot for Security in Microsoft Purview.

Hinweis

Die Microsoft Purview-Erweiterung für Chrome gilt nur für Windows-Geräte. Die Erweiterung ist für die Durchsetzung der Verhinderung von Datenverlust auf macOS-Geräten nicht erforderlich.

Bevor Sie beginnen

Um die Microsoft Purview-Erweiterung für Chrome verwenden zu können, muss das Gerät in Endpoint Data Loss Prevention (DLP) integriert sein. Lesen Sie diese Artikel, wenn Sie noch nicht mit DLP oder Endpunkt-DLP vertraut sind:

SKU/Abonnement-Lizenzierung

Bevor Sie loslegen, sollten Sie Ihr Microsoft 365-Abonnement und alle Add-Ons bestätigen. Um auf die Endpunkt-DLP-Funktionalität zugreifen und diese verwenden zu können, müssen Sie über eines der folgenden Abonnements oder Add-Ons verfügen:

  • Microsoft 365 E5
  • Microsoft 365 A5 (EDU)
  • Microsoft 365 E5 Compliance
  • Microsoft 365 A5 Compliance
  • Microsoft 365 E5 Information Protection und Governance
  • Microsoft 365 A5 Information Protection und Governance

Ausführliche Informationen zur Lizenzierung finden Sie unter: Microsoft 365-Lizenzierungsrichtlinien für Sicherheit und Compliance.

  • Ihre Organisation muss für Endpunkt-DLP lizenziert sein.
  • Auf Ihren Geräten muss Windows 10 x64 (Build 1809 oder höher) ausgeführt werden.
  • Das Gerät muss über die Version 4.18.2202.x des Antischadsoftwareclients oder höher verfügen. Überprüfen Sie Ihre aktuelle Version, indem Sie die Windows-Sicherheits-App öffnen, das Symbol Einstellungen und dann Info auswählen.

Berechtigungen

Endpunkt-DLP-Daten können im Aktivitäten-Explorer angezeigt werden. Es gibt sieben Rollen, die die Berechtigung zum Anzeigen und Interagieren mit dem Aktivitäts-Explorer erteilen. Das Konto, das Sie für den Zugriff auf die Daten verwenden, muss Mitglied von mindestens einem sein.

  • Globaler Administrator
  • Compliance-Administrator
  • Sicherheitsadministrator
  • Compliancedaten-Administrator
  • Globale Leseberechtigung
  • Benutzer mit Leseberechtigung für Sicherheitsfunktionen
  • Berichtleseberechtigter

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die nur in Szenarien verwendet werden sollte, in denen eine weniger privilegierte Rolle nicht verwendet werden kann.

Rollen und Rollengruppen

Es gibt Rollen und Rollengruppen, mit denen Sie Ihre Zugriffssteuerungen optimieren können.

Hier ist eine Liste der anwendbaren Rollen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Information Protection-Administrator
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Gesamter Installationsablauf

Die Bereitstellung der Erweiterung ist ein mehrstufiger Prozess. Sie können es auf jeweils einem Computer installieren, oder Sie können Microsoft Intune oder Gruppenrichtlinien für organisationsweite Bereitstellungen verwenden.

  1. Bereiten Sie Ihre Geräte vor.
  2. Grundlegende Einrichtung Einzel Computer Selfhost
  3. Bereitstellen mithilfe von Microsoft Intune
  4. Bereitstellen über Gruppenrichtlinie
  5. Testen der ErweiterungVerwenden des Dashboards für die Warnungsverwaltung zum Anzeigen von Chrome-DLP-Warnungen
  6. Anzeigen von Chrome-DLP-Daten im Aktivitäten-Explorer

Infrastruktur vorbereiten

Wenn Sie die Erweiterung für alle überwachten Windows 10/11-Geräte einführen, sollten Sie Google Chrome aus der liste der nicht zugelassenen Apps und nicht zugelassenen Browser entfernen. Weitere Informationen finden Sie unter Unerlaubte Browser. Wenn Sie es nur auf einigen wenigen Geräten bereitstellen, können Sie Chrome im nicht zugelassenen Browser oder in der Liste der nicht zugelassenen Apps belassen. Die Erweiterung umgeht die Einschränkungen beider Listen für die Computer, auf denen sie installiert ist.

Bereiten Sie Ihre Geräte vor

  1. Verwenden Sie die Verfahren in diesen Artikeln, um das Onboarding Ihrer Geräte durchzuführen:

    1. Verhinderung von Datenverlust am Endpunkt – Erste Schritte

    2. Onboarding von Windows 10- und Windows 11-Geräten

    3. Konfigurieren von Geräteproxy- und Internetverbindungseinstellungen für Information Protection

    4. Chrome Enterprise Policy List & Management | Dokumentation zum Bereitstellen der Registrierungszeichenfolge ExtensionManifestV2Availability in schlüssel in Ihrer Organisation: Software\Policies\Google\Chrome\ExtensionManifestV2Availability

Grundlegende Einrichtung Einzel Computer Selfhost

Diese Methode wird empfohlen.

  1. Navigieren Sie zu Microsoft Purview-Erweiterung – Chrome Web Store (google.com).

  2. Installieren Sie die Erweiterung anhand der Anweisungen auf der Seite des Chrome Web Store.

Bereitstellen mithilfe von Microsoft Intune

Verwenden Sie diese Einrichtungsmethode für organisationsweite Bereitstellungen.

Installationsschritte für Microsoft Intune erzwingen

Führen Sie mithilfe des Einstellungskatalogs die folgenden Schritte aus, um Chrome-Erweiterungen zu verwalten:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Navigieren Sie zu den Konfigurationsprofilen.

  3. Wählen Sie Profil erstellen.

  4. Wählen Sie Windows 10 und höher als Plattform aus.

  5. Wählen Sie Einstellungskatalog als Profiltyp aus.

  6. Wählen Sie Benutzerdefiniert als Vorlagenname aus.

  7. Wählen Sie Erstellen aus.

  8. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine optionale Beschreibung ein , und wählen Sie Weiter aus.

  9. Wählen Sie auf der Registerkarte Konfigurationseinstellungen die Option Einstellungen hinzufügen aus.

  10. Wählen Sie Google>GoogleChrome-Erweiterungen> aus.

  11. Wählen Sie Die Liste der erzwungen installierten Apps und Erweiterungen konfigurieren aus.

  12. Ändern Sie den Umschalter in Aktiviert.

  13. Geben Sie den folgenden Wert für die Erweiterungen und App-IDs und die Update-URL ein: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx.

  14. Wählen Sie Weiter aus.

  15. Fügen Sie auf der Registerkarte Bereichstags nach Bedarf Bereichstags hinzu, oder bearbeiten Sie sie, und wählen Sie Weiter aus.

  16. Fügen Sie die erforderlichen Bereitstellungsbenutzer , Geräte und Gruppen auf der Registerkarte Zuweisungen hinzu, und wählen Sie Weiter aus.

  17. Fügen Sie nach Bedarf Anwendbarkeitsregeln auf der Registerkarte Anwendbarkeitsregeln hinzu, und wählen Sie Weiter aus.

  18. Wählen Sie Erstellen aus.

Bereitstellen über Gruppenrichtlinie

Wenn Sie Microsoft Intune nicht verwenden möchten, können Sie gruppenrichtlinien verwenden, um die Erweiterung in Ihrer Organisation bereitzustellen.

Hinzufügen der Chrome-Erweiterung zur ForceInstall-Liste

  1. Navigieren Sie im Gruppenrichtlinien-Verwaltungseditor zu Ihrer OU.

  2. Erweitern Sie den folgenden PfadComputer-/Benutzerkonfiguration>Richtlinien>Administrative Vorlagen>Klassische administrative Vorlagen>Google>Google Chrome>Erweiterungen. Dieser Pfad kann je nach Ihrer Konfiguration variieren.

  3. Wählen Sie Liste der zwangsinstallierten Erweiterungen konfigurieren.

  4. Klicken Sie mit der rechten Maustaste und wählen Sie Bearbeiten.

  5. Wählen Sie Aktiviert aus.

  6. Wählen Sie Anzeigen aus.

  7. Fügen Sie unter Wert den folgenden Eintrag hinzu: echcggldkblhodogklpincgchnpgcdco;https://clients2.google.com/service/update2/crx

  8. Wählen Sie OK und dann Anwenden.

Testen der Erweiterung

Zum Cloud-Dienst hochladen oder Zugriff durch nicht zugelassene Browser Cloud Egress

  1. Erstellen oder abrufen Sie ein vertrauliches Element, und versuchen Sie, eine Datei in eine der eingeschränkten Dienstdomänen Ihrer Organisation hochzuladen. Die vertraulichen Daten müssen einem unserer eingebauten Typen vertraulicher Informationen oder einem der Typ vertraulicher Informationen Ihrer Organisation entsprechen. Sie sollten auf dem Gerät, von dem Sie testen, eine DLP-Popupbenachrichtigung erhalten, die anzeigt, dass diese Aktion nicht zulässig ist, wenn die Datei geöffnet ist.

Simulieren anderer DLP-Szenarien in Chrome

Nachdem Sie Chrome aus der Liste der nicht zugelassenen Browser/Apps entfernt haben, können Sie folgende Simulationsszenarien ausführen, um zu bestätigen, dass das Verhalten die Anforderungen Ihrer Organisation erfüllt:

  • Daten aus einem vertraulichem Element in ein anderes Dokument über die Zwischenablage kopieren
    • Öffnen Sie zum Testen eine Datei, die gegen Aktionen von Kopieren in die Zwischenablage geschützt ist, im Chrome-Browser und versuchen Sie, Daten aus der Datei zu kopieren.
    • Erwartetes Ergebnis: Eine DLP-Popupbenachrichtigung, die anzeigt, dass diese Aktion nicht zulässig ist, wenn die Datei geöffnet ist.
  • Drucken eines Dokuments
    • Öffnen Sie zum Testen eine Datei, die gegen Druckaktionen geschützt ist, im Chrome-Browser und versuchen Sie, die Datei zu drucken.
    • Erwartetes Ergebnis: Eine DLP-Popupbenachrichtigung, die anzeigt, dass diese Aktion nicht zulässig ist, wenn die Datei geöffnet ist.
  • Auf USB-Wechselmedien kopieren
    • Versuchen Sie zum Testen, die Datei in einem Wechselmedienspeicher zu speichern.
    • Erwartetes Ergebnis: Eine DLP-Popupbenachrichtigung, die anzeigt, dass diese Aktion nicht zulässig ist, wenn die Datei geöffnet ist.
  • Auf Netzwerkfreigabe kopieren
    • Versuchen Sie zum Test, die Datei auf einer Netzwerkfreigabe zu speichern.
    • Erwartetes Ergebnis: Eine DLP-Popupbenachrichtigung, die anzeigt, dass diese Aktion nicht zulässig ist, wenn die Datei geöffnet ist.

Verwenden des Dashboards für die Warnungsverwaltung zum Anzeigen von Chrome-DLP-Warnungen

  1. Öffnen Sie die Seite Verhinderung von Datenverlust im Microsoft Purview-Complianceportal, und wählen Sie Warnungen aus.

  2. Lesen Sie die Verfahren unter Erste Schritte mit dem Dashboard "Warnungen zur Verhinderung von Datenverlust" und "Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR ", um Warnungen für Ihre Endpunkt-DLP-Richtlinien anzuzeigen.

Anzeigen von Endpunkt-DLP-Daten im Aktivitäten-Explorer

  1. Öffnen Sie die Datenklassifizierungsseite Ihrer Domäne im Microsoft Purview Complianceportal, und wählen Sie Aktivitäten-Explorer aus.

  2. Unter Erste Schritte mit dem Aktivitäten-Explorer erfahren Sie Näheres dazu, wie Sie auf alle Daten zu Ihren Endpunktgeräten zugreifen und diese filtern können.

    Aktivitäts-Explorer-Filter für Endpunktgeräte.

Bekannte Probleme und Einschränkungen

  1. Der Inkognitomodus wird nicht unterstützt und muss deaktiviert werden.

Nächste Schritte

Nachdem Sie Geräte integriert haben und die Aktivitätsdaten im Aktivitäts-Explorer anzeigen können, können Sie mit Dem nächsten Schritt fortfahren, in dem Sie DLP-Richtlinien erstellen, die Ihre vertraulichen Elemente schützen.

Siehe auch