Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren

Zentral konfigurierte Einstellungen steuern viele Aspekte des Dlp-Verhaltens (Data Loss Prevention, Verhinderung von Datenverlust) von Endpunkten. Diese Einstellungen gelten für alle DLP-Richtlinien für Geräte. Verwenden Sie diese Einstellungen, um die folgenden Verhaltensweisen zu steuern:

  • Einschränkungen des Cloud-Ausgangs
  • Verschiedene Arten von restriktiven Aktionen für Benutzeraktivitäten pro Anwendung
  • Dateipfadausschlüsse für Windows- und macOS-Geräte
  • Browser- und Domäneneinschränkungen:
  • Darstellung geschäftlicher Begründungen für das Überschreiben von Richtlinien in Richtlinientipps
  • Ob Aktionen, die für Office-, PDF- und CSV-Dateien ausgeführt werden, automatisch überwacht werden

Um auf diese Einstellungen zuzugreifen, wechseln Sie im Microsoft Purview-Portal zu Verhinderung von> DatenverlustÜbersicht> Einstellungenzur Verhinderung von> DatenverlustEndpunkteinstellungen.

Tipp

Beginnen Sie mit Microsoft Security Copilot, um neue Wege zu erkunden, um mithilfe der Leistungsfähigkeit von KI intelligenter und schneller zu arbeiten. Erfahren Sie mehr über Microsoft Security Copilot in Microsoft Purview.

Wichtig

Informationen zu den Adobe-Anforderungen für die Verwendung von Microsoft Purview Data Loss Prevention (DLP)-Features mit PDF-Dateien finden Sie in diesem Artikel von Adobe: Microsoft Purview Information Protection Support in Acrobat.

Erweiterte Klassifizierungsüberprüfung und -schutz

Wenn Sie die erweiterte Klassifizierungsüberprüfung und den Schutz aktivieren, kann der cloudbasierte Datenklassifizierungsdienst von Microsoft Purview Elemente überprüfen, klassifizieren und die Ergebnisse an den lokalen Computer zurückgeben. Aus diesem Grund können Sie Klassifizierungstechniken wie die Klassifizierung exakter Daten,trainierbare Klassifizierer, Anmeldeinformationsklassifizierer und benannte Entitäten in Ihren DLP-Richtlinien nutzen.

Hinweis

Die Aktion In Browser einfügen unterstützt keine erweiterte Klassifizierung.

Wenn Sie die erweiterte Klassifizierung aktivieren, sendet das lokale Gerät Inhalte zur Überprüfung und Klassifizierung an die Clouddienste. Wenn die Bandbreitennutzung ein Problem darstellt, können Sie einen Grenzwert für die Bandbreite festlegen, die in einem rollierenden 24-Stunden-Zeitraum verwendet werden kann. Sie konfigurieren den Grenzwert in den Endpunkt-DLP-Einstellungen und gilt pro Gerät. Wenn Sie ein Bandbreitennutzungslimit festlegen und dieses Nutzungslimit überschritten wird, sendet DLP die Benutzerinhalte nicht mehr an die Cloud. An diesem Punkt wird die Datenklassifizierung lokal auf dem Gerät fortgesetzt, aber die Klassifizierung mit exakter Datenkonsensierung, benannten Entitäten, trainierbaren Klassifizierern und Anmeldeinformationsklassifizierern ist nicht verfügbar. Wenn die kumulierte Bandbreitennutzung unter das rollierende 24-Stunden-Limit fällt, wird die Kommunikation mit den Clouddiensten fortgesetzt.

Wenn die Bandbreitennutzung kein Problem ist, wählen Sie Bandbreite nicht einschränken aus. Unbegrenzt , um unbegrenzte Bandbreitennutzung zu ermöglichen.

Erweiterte Größenbeschränkungen für die Dateiüberprüfung der Klassifizierung

Auch wenn Sie Die Bandbreite nicht einschränken aktivieren. Unbegrenzt für erweiterte Klassifizierung, gibt es weiterhin Grenzwerte für die Größe einzelner Dateien, die das System scannen kann.

  • Für Textdateien gilt ein Grenzwert von 64 MB.
  • Für Bilddateien gilt ein Grenzwert von 50 MB, wenn die optische Zeichenerkennung (Optical Character Recognition, OCR) aktiviert ist.

Die erweiterte Klassifizierung funktioniert nicht für Textdateien, die größer als 64 MB sind, auch wenn Sie das Bandbreitenlimit nicht auf Bandbreite begrenzen festlegen . Unbegrenzt.

Die folgenden Windows-Versionen (und höhere Versionen) unterstützen erweiterte Klassifizierungsüberprüfung und -schutz.

  • Alle Windows 11 Versionen
  • Windows 10 Version 20H1/21H1 oder höher (KB 5006738)
  • Windows 10 RS5 (KB 5006744)

Hinweis

  • Unterstützung für die erweiterte Klassifizierung ist für Office- (Word, Excel, PowerPoint) und PDF-Dateitypen verfügbar.

  • Die DLP-Richtlinienauswertung erfolgt immer in der Cloud, auch wenn Benutzerinhalte nicht gesendet werden.

Tipp

Um die erweiterte Klassifizierung für Windows 10 Geräte verwenden zu können, müssen Sie KB5016688 installieren. Um die erweiterte Klassifizierung für Windows 11 Geräte verwenden zu können, müssen Sie KB5016691 auf diesen Windows 11 Geräten installieren. Darüber hinaus müssen Sie die erweiterte Klassifizierung aktivieren, bevor der Aktivitäts-Explorer Kontexttext für ereignisse anzeigt, die mit DLP-Regeln übereinstimmen. Weitere Informationen zu kontextbezogenem Text finden Sie unter Kontextzusammenfassung.

Erweiterter bezeichnungsbasierter Schutz für alle Dateien auf Geräten

Wenn Sie dieses Feature aktivieren, können Benutzer an Dateien arbeiten , einschließlich anderer Dateien als Office- und PDF-Dateien, deren Vertraulichkeitsbezeichnungen die Zugriffssteuerungseinstellungen unverschlüsselt auf ihren Geräten anwenden. Endpunkt-DLP überwacht und erzwingt weiterhin Zugriffssteuerung und bezeichnungsbasierten Schutz für diese Dateien auch in einem unverschlüsselten Zustand. Sie werden automatisch verschlüsselt, bevor sie vom Gerät eines Benutzers nach außen übertragen werden. Weitere Informationen zu diesem Feature finden Sie unter Informationen zum erweiterten bezeichnungsbasierten Schutz.

Hinweis

Dieses Feature wird nur auf integrierten Windows-Geräten unterstützt.

Ausschluss von Dateipfaden

Um bestimmte Pfade von der DLP-Überwachung, DLP-Warnungen und DLP-Richtlinienerzwingung auf Ihren Geräten auszuschließen, richten Sie Dateipfadausschlüsse ein, um diese Konfigurationseinstellungen zu deaktivieren. Files an ausgeschlossenen Standorten werden nicht überwacht. Dateien, die Sie an diesen Speicherorten erstellen oder ändern, unterliegen nicht der DLP-Richtlinienerzwingung. Um Pfadausschlüsse in DLP-Einstellungen zu konfigurieren, wechseln Sie zum Microsoft Purview-Portal>Verhinderung von> DatenverlustÜbersicht>Einstellungen> zur Verhinderung von DatenverlustEndpunkteinstellungen>Dateipfadausschlüsse für Windows.

Dateipfadausschlüsse für Windows

Verwenden Sie die folgende Logik, um Ihre Ausschlusspfade für Windows 10- und Windows 11-Geräte zu erstellen:

  • Ein gültiger Dateipfad, der mit \ endet, schließt nur Dateien direkt unter dem angegebenen Ordner aus.
    Beispiel: C:\Temp\

  • Ein gültiger Dateipfad, der mit \* endet, schließt nur Dateien in Unterordnern des angegebenen Ordners aus. Files direkt unter dem angegebenen Ordner sind nicht ausgeschlossen.
    Beispiel: C:\Temp\*

  • Ein gültiger Dateipfad, der ohne \ oder \* ausschließt, alle Dateien direkt unter dem angegebenen Ordner und allen zugehörigen Unterordnern.
    Beispiel: C:\Temp

  • Ein Pfad mit einem Wildcard zwischen \ jeder Seite.
    Beispiel: C:\Users\*\Desktop\

  • Ein Pfad mit einem Platzhalter zwischen \ jeder Seite und mit (number) , um die genaue Anzahl der auszuschließenden Unterordner anzugeben.
    Beispiel: C:\Users\*(1)\Downloads\

  • Ein Pfad mit SYSTEM-Umgebungsvariablen.
    Beispiel: %SystemDrive%\Test\*

  • Eine Mischung aller hier beschriebenen Muster.
    Beispiel: %SystemDrive%\Users\*\Documents\*(2)\Sub\

Standardmäßig ausgeschlossene Windows-Dateipfade

  • %SystemDrive%\\Users\\*(1)\\AppData\\Roaming
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Temp
  • %SystemDrive%\\Users\\*(1)\\AppData\\Local\\Microsoft\\Windows\\INetCache

Dateipfadausschlüsse für Mac

Sie können auch eigene Ausschlüsse für macOS-Geräte hinzufügen.

  • Bei Dateipfaddefinitionen wird die Groß-/Kleinschreibung nicht beachtet. User ist also identisch mit user.

  • Platzhalterwerte werden unterstützt. Daher kann eine Pfaddefinition ein Sternchen (*) in der Mitte des Pfads oder am Ende des Pfads enthalten.
    Beispiel: /Users/*/Library/Application Support/Microsoft/Teams/*

macOS-Dateipfade standardmäßig ausgeschlossen

/System

Aus Leistungsgründen enthält Endpunkt-DLP eine Liste empfohlener Dateipfadausschlüsse für macOS-Geräte. Wenn Sie die Umschaltfläche Empfohlene Dateipfadausschlüsse einschließen für Mac auf Ein festlegen, werden auch die folgenden Pfade ausgeschlossen:

  • /Applications
  • /usr
  • /Library
  • /private
  • /opt
  • /Users/*/Library/Logs
  • /Users/*/Library/Containers
  • /Users/*/Library/Application Support
  • /Users/*/Library/Group Containers
  • /Users/*/Library/Caches
  • /Users/*/Library/Developer

Lassen Sie diesen Umschalter auf Ein festgelegt. Sie können jedoch das Ausschließen dieser Pfade beenden, indem Sie die Umschaltfläche auf Aus festlegen.

Einrichten der Beweissammlung für Dateiaktivitäten auf Geräten

Wenn DLP Elemente identifiziert, die Richtlinien auf Geräten entsprechen, kann sie in ein Azure Speicherkonto kopiert werden. Dieses Feature ist nützlich für die Überwachung von Richtlinienaktivitäten und die Problembehandlung bestimmter Übereinstimmungen. Verwenden Sie diesen Abschnitt, um den Namen und die URL des Speicherkontos hinzuzufügen.

Hinweis

Bevor Sie dieses Feature aktivieren, erstellen Sie ein Azure Speicherkonto und einen Container in diesem Speicherkonto. Sie müssen auch Berechtigungen für das Konto konfigurieren. Beachten Sie beim Einrichten Ihres Azure Speicherkontos, dass Sie wahrscheinlich ein Speicherkonto verwenden möchten, das sich in derselben Azure Region oder geopolitischen Grenze wie Ihr Mandant befindet. Außerdem sollten Sie Azure Speicherkonto-Zugriffsebenen und Azure Speicherkontopreise konfigurieren.

Netzwerkfreigabeabdeckung und -ausschlüsse

Die Abdeckung und Ausschlüsse von Netzwerkfreigaben erweitert DLP-Richtlinien und -Aktionen für Endpunkte auf neue und bearbeitete Dateien auf Netzwerkfreigaben und zugeordneten Netzlaufwerken. Wenn der Just-in-Time-Schutz ebenfalls aktiviert ist, werden die Just-in-Time-Schutzabdeckung und -ausschlüsse auf Netzwerkfreigaben und zugeordnete Laufwerke erweitert. Um einen bestimmten Netzwerkpfad für alle überwachten Geräte auszuschließen, fügen Sie den Pfadwert unter Diese Netzwerkfreigabepfade ausschließen hinzu.

Wichtig

Um netzwerkfreigabeabdeckung und -ausschlüsse verwenden zu können, müssen auf Geräte die folgenden Updates angewendet werden:

Diese Tabelle enthält die Standardeinstellungen für die Abdeckung und Ausschlüsse von Netzwerkfreigaben.

Netzwerkfreigabeabdeckung und -ausschlüsse Just-in-Time-Schutz Resultierendes Verhalten
Aktiviert Deaktiviert – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät eine Verbindung herstellt. Unterstützte Aktionen: Geräte
Deaktiviert Aktiviert – Just-in-Time-Schutz wird nur auf die Dateien auf Speichergeräten angewendet, die lokal auf dem Endpunkt sind.
Aktiviert Aktiviert – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät eine Verbindung herstellt. Unterstützte Aktionen: Geräte
– Just-In-Time-Schutz wird auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät eine Verbindung herstellt.

Netzwerkfreigabeabdeckung und -ausschlüsse ergänzen lokale DLP-Repositoryaktionen. Diese Tabelle zeigt die Ausschlusseinstellungen und das resultierende Verhalten, je nachdem, ob DLP für lokale Repositorys aktiviert oder deaktiviert ist.

Netzwerkfreigabeabdeckung und -ausschlüsse Lokale DLP-Repositorys Resultierendes Verhalten
Aktiviert Deaktiviert – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät eine Verbindung herstellt. Unterstützte Aktionen: Geräte
Deaktiviert Aktiviert - Richtlinien, die auf lokale Repositorys festgelegt sind, können Schutzaktionen für lokale Daten im Ruhezustand in Dateifreigaben und SharePoint-Dokumentbibliotheken und -Ordnern erzwingen. Aktionen für lokale DLP-Repositorys
Aktiviert Aktiviert – DLP-Richtlinien, die auf Geräte festgelegt sind, werden auf alle Netzwerkfreigaben und zugeordneten Laufwerke angewendet, mit denen das Gerät eine Verbindung herstellt. Unterstützte Aktionen: Geräte
- Richtlinien, die auf lokale Repositorys festgelegt sind, können Schutzaktionen für lokale Daten im Ruhezustand in Dateifreigaben und SharePoint-Dokumentbibliotheken und -Ordnern erzwingen. Aktionen für lokale DLP-Repositorys

Eingeschränkte Apps und App-Gruppen

Eingeschränkte Apps

Die Liste eingeschränkter Apps ist eine benutzerdefinierte Liste von Anwendungen, die Sie erstellen. Sie konfigurieren, welche Aktionen DLP ausführt, wenn jemand eine App in der Liste verwendet, um auf eine DLP-geschützte Datei auf einem Gerät zuzugreifen . Die Liste eingeschränkter Apps ist für Windows 10/11- und macOS-Geräte verfügbar, auf denen eine der drei neuesten macOS-Versionen ausgeführt wird.

Einige Apps verfügen zusätzlich zu einer lokal installierten Version der Anwendung über eine webbasierte Schnittstelle. Wenn Sie in der Vorschau eine App hinzufügen, auf die Benutzer sowohl lokal als auch über eine webbasierte Schnittstelle zu einer Eingeschränkten App-Gruppe oder als eingeschränkte App zugreifen können, erzwingt DLP alle Richtlinien, die für den Zugriff auf eine geschützte Datei über Microsoft Edge für die Browser-App-Schnittstelle und auf dem Gerät für die anwendungsbasierte Schnittstelle gelten.

Wichtig

  • Geben Sie nicht den Pfad zur ausführbaren Datei für Windows-Geräte an. Schließen Sie nur den Namen der ausführbaren Datei ein, z browser.exe. B. .

  • Die Aktion (audit, block with overrideoder block), die Sie für Apps in der Liste der eingeschränkten Apps definieren, gilt nur, wenn ein Benutzer versucht, auf ein geschütztes Element zuzugreifen .

Wenn Sie zugriff durch eingeschränkte Apps in einer Richtlinie auswählen und ein Benutzer eine App in der Liste der eingeschränkten Apps verwendet, um auf eine geschützte Datei zuzugreifen, lautet auditeddie Aktivität , blockedoder blocked with override, je nachdem, wie Sie die Liste eingeschränkte Apps konfiguriert haben. Wenn eine App in der Liste Eingeschränkte Apps auch Mitglied einer Eingeschränkten App-Gruppe ist, setzen die Aktionen, die Sie für Aktivitäten in der Gruppe Eingeschränkte Apps konfigurieren, die Aktionen außer Kraft, die Sie für die Liste Eingeschränkte Apps konfigurieren. Alle Aktivitäten werden überwacht und stehen im Aktivitäts-Explorer zur Überprüfung zur Verfügung.

Wichtig

Endpunkt-DLP-Schutz wird ausgelöst, wenn eine eingeschränkte App versucht, auf eine Datei zuzugreifen, entweder durch einen Benutzer oder durch die Anwendung selbst. Um einen Pfad von der Erzwingung auszuschließen, fügen Sie ihn der Ausschlussliste hinzu. In diesem Pfad befinden sich die in Activity Explorer identifizierten Dateien.

Eingeschränkte App-Gruppen

Eingeschränkte App-Gruppen sind Sammlungen von Apps, die Sie in den DLP-Einstellungen erstellen und dann zu einer Regel in einer Richtlinie hinzufügen. Wenn Sie einer Richtlinie eine eingeschränkte App-Gruppe hinzufügen, können Sie die in der folgenden Tabelle definierten Aktionen ausführen.

Eingeschränkte App-Gruppenoption Was es Ihnen ermöglicht
Dateiaktivität nicht einschränken Weist DLP an, Benutzern den Zugriff auf DLP-geschützte Elemente mithilfe von Apps in der App-Gruppe zu ermöglichen, ohne Maßnahmen zu ergreifen, wenn der Benutzer versucht, in die Zwischenablage zu kopieren, auf ein USB-Wechsellaufwerk kopieren, auf ein Netzlaufwerk kopieren oder aus der App drucken .
Anwenden einer Einschränkung auf alle Aktivitäten Weist DLP an Audit only, Block with overrideoder Block an, wenn ein Benutzer versucht, mithilfe einer App, die sich in der entsprechenden App-Gruppe befindet, auf ein DLP-geschütztes Element zuzugreifen.
Einschränkungen auf eine bestimmte Aktivität anwenden Diese Einstellung ermöglicht einem Benutzer den Zugriff auf ein DLP-geschütztes Element mithilfe einer App, die sich in der App-Gruppe befindet. Außerdem können Sie eine Standardaktion (Audit only, oder Block with override) für DLP auswählen, Blockdie ausgeführt werden soll, wenn ein Benutzer versucht, in die Zwischenablage zu kopieren, auf ein USB-Wechsellaufwerk kopieren, auf ein Netzlaufwerk kopieren und drucken.

Sie können maximal 50 Apps zu einer einzelnen Gruppe hinzufügen und maximal 10 Gruppen erstellen. Dadurch stehen maximal 500 Apps zur Verfügung, denen die Richtlinienaktionen zugewiesen werden können.

Wichtig

Einstellungen in einer eingeschränkten App-Gruppe setzen alle Einschränkungen außer Kraft, die in der Liste der eingeschränkten Apps festgelegt sind, wenn sie sich in derselben Regel befinden. Wenn sich also eine App in der Liste der eingeschränkten Apps befindet und auch Mitglied einer Gruppe eingeschränkter Apps ist, werden die Einstellungen der Gruppe der eingeschränkten Apps angewendet.

Blockieren aller Apps mit Ausnahme einer Liste zulässiger Apps

Sie können eine Liste der zulässigen Anwendungen erstellen und alle anderen blockieren. Auf diese Weise müssen Sie keine umfassende Liste nicht vertrauenswürdiger Anwendungen erstellen und verwalten. Dieses Feature vereinfacht die Richtlinienverwaltung und verbessert die Kontrolle über App-basierte Dateiaktivitäten.

Hinweis

Gängige Hintergrundanwendungen wie teamsupdate.exe oder svchost.exe sind vorkonfiguriert, um die Erzwingung zu umgehen, um unbeabsichtigte Störungen bei wesentlichen Vorgängen zu verhindern.

In diesem Verfahren wenden Sie die Einschränkungsstufe Zulassen an, um Aktivitäten explizit für eine definierte App-Gruppe zuzulassen, und blockieren dann alle Apps, die nicht in dieser Liste enthalten sind. Daher werden Apps, für die keine Einschränkungsstufe definiert ist, effektiv blockiert, und Apps, deren Einschränkungsstufe als Zulassen definiert ist, werden explizit zugelassen. Sie definieren eine eingeschränkte App-Gruppe, um diese App-Gruppe zuzulassen, aber Sie tun dies, um alle Apps zu blockieren, die keine definierten Einschränkungen haben.

  1. Wechseln Sie zu Den DLP-Einstellungen für Endpunkte.
  2. Definieren Sie zulässige oder sanktionierte Apps in der Liste Eingeschränkte Apps und App-Gruppen .
  3. Suchen Sie in Ihrer vorhandenen oder neuen ENDPUNKT-DLP-Richtlinie die Einstellung Dateiaktivitäten für Apps in eingeschränkten App-Gruppen .
  4. Fügen Sie die gewünschte eingeschränkte App-Gruppe hinzu.
  5. Wählen Sie Einschränkung auf alle/bestimmte Aktivitäten anwenden und dann Zulassen aus.
  6. Legen Sie für alle anderen Apps die Einstellung Zugriff nach Apps, die sich nicht in der Liste "Nicht zulässige Apps" befinden, auf Blockieren fest.

Wie DLP Einschränkungen auf Aktivitäten anwendet

Interaktionen zwischen Dateiaktivitäten für Apps in eingeschränkten App-Gruppen, Dateiaktivitäten für alle Apps und der Liste Eingeschränkte App-Aktivitäten sind auf dieselbe Regel beschränkt.

Außerkraftsetzungen von eingeschränkten App-Gruppen

Konfigurationen, die in Dateiaktivitäten für Apps in eingeschränkten App-Gruppen definiert sind, setzen Konfigurationen in der Liste Eingeschränkte App-Aktivitäten und Dateiaktivitäten für alle Apps in derselben Regel außer Kraft.

Eingeschränkte App-Aktivitäten und Dateiaktivitäten für alle Apps

Die Konfigurationen der Eingeschränkten App-Aktivitäten und der Dateiaktivitäten für alle Apps arbeiten zusammen, wenn die für die Eingeschränkten App-Aktivitäten definierte Aktion entweder Audit only oder Block with override in derselben Regel ist. Warum? Aktionen, die für eingeschränkte App-Aktivitäten definiert sind, gelten nur, wenn ein Benutzer mithilfe einer App in der Liste auf eine Datei zugreift. Sobald der Benutzer Zugriff hat, gelten die Aktionen die für Aktivitäten in Dateiaktivitäten für alle Apps definiert sind.

Sie fügen z. B. eingeschränkten Apps Notepad.exe hinzu und konfigurieren Dateiaktivitäten für alle Apps , um Einschränkungen auf bestimmte Aktivitäten anzuwenden. Sie konfigurieren beide wie in der folgenden Tabelle gezeigt:

Einstellung der Richtlinie App-Name Benutzeraktivität Auszuführende DLP-Aktion
Eingeschränkte App-Aktivitäten Editor Zugreifen auf ein DLP-geschütztes Element Nur Überwachung
Dateiaktivitäten für alle Apps Alle Apps In Zwischenablage kopieren Nur Überwachung
Dateiaktivitäten für alle Apps Alle Apps Auf ein USB-Gerät kopieren Blockieren
Dateiaktivitäten für alle Apps Alle Apps Auf eine Netzwerkfreigabe kopieren Nur Überwachung
Dateiaktivitäten für alle Apps Alle Apps Drucken Blockieren
Dateiaktivitäten für alle Apps Alle Apps Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App Gesperrt
Dateiaktivitäten für alle Apps Alle Apps Remotedesktopdienste Blockieren mit Außerkraftsetzung

Wenn Benutzer A eine DLP-geschützte Datei im Editor öffnet, lässt DLP den Zugriff zu und überwacht die Aktivität. Während er sich noch im Editor befindet, versucht Benutzer A dann, Inhalt aus dem geschützten Element in die Zwischenablage zu kopieren. Diese Aktion ist erfolgreich, und DLP überwacht die Aktivität. Benutzer A versucht dann, das geschützte Element aus Editor zu drucken, und die Aktivität wird blockiert.

Hinweis

Wenn die in Eingeschränkte App-Aktivitäten auszuführende DLP-Aktion auf blockfestgelegt ist, wird der gesamte Zugriff blockiert, und der Benutzer kann keine Aktivitäten für die Datei ausführen.

Dateiaktivitäten nur für alle Apps

Wenn sich eine App nicht in der Liste Dateiaktivitäten für Apps in eingeschränkten App-Gruppen oder in der Liste Eingeschränkte App-Aktivitätenbefindet oder sich in der Liste Eingeschränkte App-Aktivitäten mit einer Aktion von Audit onlyoder Block with overridebefindet, werden alle einschränkungen, die in den Dateiaktivitäten für alle Apps definiert sind, in derselben Regel angewendet.

macOS-Geräte

Sie können auch verhindern, dass macOS-Apps auf vertrauliche Daten zugreifen, indem Sie sie der Liste Eingeschränkte App-Aktivitäten hinzufügen.

Hinweis

Geben Sie plattformübergreifende Apps mit ihren eindeutigen Pfaden für das Betriebssystem ein, auf dem sie ausgeführt werden.

So finden Sie den vollständigen Pfad von Mac-Apps:

  1. Öffnen Sie auf dem macOS-Gerät den Aktivitätsmonitor. Suchen Sie den Prozess, den Sie einschränken möchten, und doppelklicken Sie darauf.

  2. Wählen Sie die Registerkarte Files und Ports öffnen aus.

  3. Notieren Sie sich den vollständigen Pfadnamen, einschließlich des Namens der App. Beispiel:

  • /System/Applications/TextEdit.app/Contents/MacOS/TextEdit

Automatische Quarantäne

Um zu verhindern, dass vertrauliche Elemente durch Cloudsynchronisierungs-Apps wie onedrive.exemit der Cloud synchronisiert werden, fügen Sie die Cloudsynchronisierungs-App der Liste Eingeschränkte Apps mit automatischer Quarantäne hinzu.

Wenn diese Option aktiviert ist, wird autoquarantine ausgelöst, wenn eine eingeschränkte App versucht, auf ein durch DLP geschütztes vertrauliches Element zuzugreifen. Die automatische Quarantäne verschiebt das vertrauliche Element in einen vom Administrator konfigurierten Ordner. Wenn dies konfiguriert ist, kann autoquarantine eine Platzhalterdatei (.txt) anstelle des Originals belassen. Sie können den Text in der Platzhalterdatei so konfigurieren, dass benutzer über den neuen Speicherort des Elements und andere relevante Informationen informiert werden.

Verwenden Sie das Autoquarantine-Feature, wenn eine nicht zugelassene Cloudsynchronisierungs-App versucht, auf ein Element zuzugreifen, das durch eine blockierende DLP-Richtlinie geschützt ist. DLP generiert möglicherweise wiederholte Benachrichtigungen. Sie können diese wiederholten Benachrichtigungen vermeiden, indem Sie die automatische Quarantäne aktivieren.

Sie können autoquarantine auch verwenden, um eine endlose Kette von DLP-Benachrichtigungen für Benutzer und Administratoren zu verhindern. Weitere Informationen finden Sie unter Verhindern der Offenlegung vertraulicher Dateien durch Konfigurieren der automatischen Quarantäne für OneDrive-Synchronisation

Nicht unterstützte Dateierweiterungsausschlüsse

Verwenden Sie die Bedingung Dokument konnte nicht gescannt werden zusammen mit Einschränkungen auf nicht unterstützte Dateierweiterungen anwenden in Ihren DLP-Richtlinien, um Aktivitäten mit Dateien mit Erweiterungen einzuschränken, die von Endpunkt-DLP nicht unterstützt werden. Da diese Bedingung möglicherweise viele nicht unterstützte Dateierweiterungen enthalten kann, verfeinern Sie die Erkennung, indem Sie nicht unterstützte Erweiterungen hinzufügen, die ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Schützen von Dateien, die von Endpoint Data Loss Prevention nicht überprüft werden, und Schutz vor der Freigabe eines definierten Satzes nicht unterstützter Dateien.

Hinweis

Fügen Sie keine hinzu . , wenn Sie eine Erweiterung hinzufügen. Verwenden Sie die neueste Antischadsoftware-Clientversion.

Wichtig

Wenn Sie Aktionen> Aktivitätenüberwachen oder einschränken für die Geräteregelkonfiguration auswählen, wird die Option Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden angezeigt. Die Konfigurationsoption Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden unterstützt die Bereichsdefinition nach Gerät und Gerätegruppen in der Richtlinienspeicherorteinstellung nicht.

Das Blockieren bestimmter Dateierweiterungen in DLP-Richtlinien kann zu unerwartetem Verhalten führen, wenn eine Anwendung, die als nicht zulässig gekennzeichnet ist, im Rahmen ihres normalen Vorgangs auf Dateien mit diesen Erweiterungen zugreifen muss. Beispielsweise können bestimmte Apps Dateien wie .dll, .json.tmp lesen oder vorübergehend öffnen, während Routineprozesse wie Rendern, Zwischenspeichern oder Überprüfen von Inhalten ausgeführt werden. Wenn Sie diese Erweiterungen blockieren, funktioniert die App möglicherweise nicht ordnungsgemäß, was zu Fehlern, unvollständigen Workflows oder Erzwingungspopups führt, die nicht mit der Benutzerabsicht zusammenhängen. Stellen Sie vor dem Implementieren erweiterungsbasierter Einschränkungen sicher, dass Sie wissen, welche Apps bei Standardvorgängen mit diesen Dateitypen interagieren und ob alternative Steuerelemente wie App-Einschränkungen oder Kontextregeln das Sicherheitsziel erreichen können, ohne die Funktionalität zu unterbrechen.

Nicht zugelassene Bluetooth-Apps

Um zu verhindern, dass Benutzer Dateien, die durch Ihre Richtlinien geschützt sind, über bestimmte Bluetooth-Apps übertragen, fügen Sie diese Apps der Liste Nicht zugelassene Bluetooth-Apps in den Endpunkt-DLP-Einstellungen hinzu.

Browser- und Domäneneinschränkungen auf vertrauliche Daten

Schränken Sie die Freigabe sensibler Dateien, die Ihren Richtlinien entsprechen, für uneingeschränkte Clouddienstdomänen ein.

Nicht zulässige Browser

Bei Windows-Geräten können Sie die Verwendung von angegebenen Webbrowsern anhand der namen der ausführbaren Dateien einschränken. Die angegebenen Browser können nicht auf Dateien zugreifen, die den Bedingungen einer erzwungenen DLP-Richtlinie entsprechen, bei der die Upload-in-Cloud-Diensteinschränkung auf block oder block overridefestgelegt ist. Wenn diese Browser am Zugriff auf eine Datei gehindert werden, wird den Endbenutzern eine Popupbenachrichtigung angezeigt, in der sie aufgefordert werden, die Datei über Microsoft Edge zu öffnen.

Für macOS-Geräte müssen Sie den vollständigen Dateipfad hinzufügen. So finden Sie den vollständigen Pfad von Mac-Apps:

  1. Öffnen Sie auf dem macOS-Gerät den Aktivitätsmonitor. Suchen Sie den Prozess, den Sie einschränken möchten, und doppelklicken Sie darauf.

  2. Wählen Sie die Registerkarte Files und Ports öffnen aus.

  3. Notieren Sie sich unbedingt den vollständigen Pfadnamen, einschließlich des Namens der App.

Dienstdomänen

Die Einstellung Dienstdomänen funktioniert mit der Einstellung Aktivitäten auf Geräten überwachen oder einschränken im Workflow zum Erstellen einer Regel innerhalb einer DLP-Richtlinie.

Wenn Sie eine Regel erstellen, verwenden Sie Aktionen, um Ihre Inhalte zu schützen, wenn bestimmte Bedingungen erfüllt sind. Wählen Sie beim Erstellen von Regeln für Endpunktgeräte die Option Aktivitäten auf Geräten überwachen oder einschränken aus, und wählen Sie eine der folgenden Optionen aus:

  • Nur Überwachung
  • Blockieren mit Außerkraftsetzung
  • Blockieren

Um zu steuern, ob vertrauliche Dateien, die ihre Richtlinien schützen, in bestimmte Dienstdomänen hochgeladen werden können, wechseln Sie zu Endpunkt-DLP-Einstellungen>Browser- und Domäneneinschränkungen zu vertrauliche Daten und wählen Sie aus, ob Dienstdomänen standardmäßig blockiert oder zugelassen werden sollen.

Hinweis

Die Einstellung Dienstdomänen gilt nur für Dateien, die mit Microsoft Edge oder mithilfe von Instanzen von Google Chrome oder Mozilla Firefox hochgeladen wurden, auf denen die Microsoft Purview Chrome-Erweiterung installiert ist.

Blockieren

Wenn Sie die Liste Dienstdomänen auf Blockieren festlegen, verwenden Sie die Option Clouddienstdomäne hinzufügen , um Domänen anzugeben, die Sie blockieren möchten. Alle anderen Dienstdomänen sind zulässig. In diesem Fall gelten DLP-Richtlinieneinschränkungen nur, wenn ein Benutzer versucht, eine vertrauliche Datei in eine der Domänen in der Liste hochzuladen.

Betrachten Sie beispielsweise die folgenden Konfigurationen:

  • Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Nur überwachen festgelegt.
  • Die Einstellung Dienstdomänen ist auf Blockieren festgelegt.
  • contoso.com IST NICHT in der Liste enthalten.
  • wingtiptoys.com IS in der Liste.

Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und es wird ein Überwachungsereignis generiert, aber keine Warnung ausgelöst.

Wenn ein Benutzer dagegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, kann die Benutzeraktivität – der Upload – ebenfalls abgeschlossen werden, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.

Betrachten Sie als weiteres Beispiel die folgende Konfiguration:

  • Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Blockieren festgelegt.
  • Die Einstellung Dienstdomänen ist auf Blockieren festgelegt.
  • contoso.com IST NICHT in der Liste enthalten.
  • wingtiptoys.com IS in der Liste.

Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und es wird ein Überwachungsereignis generiert, aber keine Warnung ausgelöst.

Wenn ein Benutzer hingegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, wird die Benutzeraktivität – der Upload – blockiert, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.

Zulassen

Wenn Sie die Liste Dienstdomänen auf Zulassen festlegen, verwenden Sie die Option Clouddienstdomäne hinzufügen , um zulässige Domänen anzugeben. Für alle anderen Dienstdomänen werden DLP-Richtlinieneinschränkungen erzwungen. In diesem Fall gelten DLP-Richtlinien nur, wenn ein Benutzer versucht, eine vertrauliche Datei in eine der aufgeführten Domänen hochzuladen.

Im Folgenden finden Sie beispielsweise zwei Startkonfigurationen:

  • Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die Guthaben Karte Nummern enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Blockieren mit Außerkraftsetzung festgelegt.
  • Die Einstellung Dienstdomänen ist auf Zulassen festgelegt.
  • contoso.com IST NICHT in der Zulassungsliste enthalten.
  • wingtiptoys.com IS in der Zulassungsliste .

Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in contoso.com hochzuladen, wird der Upload blockiert. Daraufhin wird eine Warnung angezeigt, die dem Benutzer die Möglichkeit gibt, den Block zu überschreiben. Wenn der Benutzer den Block außer Kraft setzt, wird ein Überwachungsereignis generiert und eine Warnung ausgelöst.

Wenn ein Benutzer jedoch versucht, eine vertrauliche Datei mit Guthaben Karte Nummern in wingtiptoys.com hochzuladen, wird die Richtlinieneinschränkung nicht angewendet. Der Upload kann abgeschlossen werden, und es wird ein Überwachungsereignis generiert, aber es wird keine Warnung ausgelöst.

  • Eine DLP-Richtlinie ist so konfiguriert, dass vertrauliche Elemente erkannt werden, die physische Adressen enthalten, und die Option Aktivitäten auf Geräten überwachen oder einschränken ist auf Nur überwachen festgelegt.
  • Die Einstellung Dienstdomänen ist auf Zulassen festgelegt.
  • contoso.com IST NICHT in der Liste enthalten.
  • wingtiptoys.com IS in der Liste.

Wenn ein Benutzer in diesem Fall versucht, eine vertrauliche Datei mit physischen Adressen in contoso.com hochzuladen, kann der Upload abgeschlossen werden, und sowohl ein Überwachungsereignis als auch eine Warnung werden generiert.

Wenn ein Benutzer hingegen versucht, eine vertrauliche Datei mit Guthaben Karte Zahlen in wingtiptoys.com hochzuladen, ist die Benutzeraktivität - der Upload - ebenfalls zulässig, wird ein Überwachungsereignis generiert, aber keine Warnung wird ausgelöst.

Wichtig

Wenn Sie den Diensteinschränkungsmodus auf Zulassen festlegen, müssen Sie mindestens eine Dienstdomäne konfigurieren, bevor das System Einschränkungen erzwingt.

Zusammenfassungstabelle: Zulassen oder Blockieren des Verhaltens

Die folgende Tabelle zeigt, wie sich das System abhängig von den aufgeführten Einstellungen verhält.

Endpunkt-DLP-Dienstdomäneneinstellung DLP-Richtlinienregel Einstellung überwachen oder einschränken von Aktivitäten auf Geräten Benutzer wechselt zu einer aufgelisteten Website Benutzer wechselt zu einer Website, die NICHT aufgeführt ist
Zulassen Nur Überwachung – Benutzeraktivität wird überwacht
– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.		 – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Überwachungsmodus angewendet.
Zulassen Blockieren mit Außerkraftsetzung – Benutzeraktivität wird überwacht
– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.		 – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Außerkraftsetzungsmodus blockieren angewendet.
Zulassen Blockieren – Benutzeraktivität wird überwacht
– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.		 – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Blockierungsmodus angewendet.
Blockieren Nur Überwachung – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Überwachungsmodus angewendet.		 – Benutzeraktivität wird überwacht
– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.
Blockieren Blockieren mit Außerkraftsetzung – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Außerkraftsetzungsmodus blockieren angewendet.		 – Benutzeraktivität wird überwacht– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.
Blockieren Blockieren – Benutzeraktivität wird überwacht
– Eine Warnung wird generiert.
– DLP-Richtlinien werden im Blockierungsmodus angewendet.		 – Benutzeraktivität wird überwacht
– Es wird keine Warnung generiert.
– Es werden keine DLP-Richtlinien angewendet.

Wenn Sie der Liste eine Domäne hinzufügen, verwenden Sie das FQDN-Format der Dienstdomäne ohne den Endzeitraum (.). Verwenden Sie *. als Platzhalter, um alle Domänen oder Unterdomänen anzugeben. Schließen Sie das Protokoll (vor //) aus der Domäne aus. Schließen Sie nur den Hostnamen ohne Unterwebsites ein.

Beispiel:

Input URL-Abgleichverhalten
contoso.com Entspricht dem angegebenen Domänennamen und allen Unterwebsites:

://contoso.com

://contoso.com/

://contoso.com/anysubsite1

://contoso.com/anysubsite1/anysubsite2 (usw.)

Entspricht nicht Unterdomänen oder nicht angegebenen Domänen:

://anysubdomain.contoso.com

://anysubdomain.contoso.com.AU
* .contoso.com Entspricht dem angegebenen Domänennamen, einer beliebigen Unterdomäne und einer beliebigen Website:

://contoso.com

://contoso.com/anysubsite

://contoso.com/anysubsite1/anysubsite2

://anysubdomain.contoso.com/

://anysubdomain.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite/

://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2 (usw.)

Stimmt nicht mit nicht angegebenen Domänen überein

://anysubdomain.contoso.com.AU/
www.contoso.com Entspricht dem angegebenen Domänennamen:

www.contoso.com

Entspricht nicht unspezifizierten Domänen oder Unterdomänen

://anysubdomain.contoso.com/. In diesem Fall müssen Sie den FQDN-Domänennamen selbst einfügen. www.contoso.com

Sie können bis zu 50 Domänen unter Sensible Dienstdomänen konfigurieren.

Hinweis

Die Einstellung Dienstdomänenliste gilt nur für Dateiuploads auf Websites. Aktionen wie das Einfügen in einen Browser folgen nicht der Dienstdomänenliste.

Domänengruppen für vertrauliche Dienste

Wenn Sie eine Website zu Sensiblen Dienstdomänen hinzufügen, können Sie die Richtlinie auf audit, block with overrideoder vollständige block Benutzeraktivität festlegen, wenn Benutzer versuchen, eine der folgenden Aktionen auszuführen:

  • Drucken von einer Website
  • Kopieren von Daten von einer Website
  • Speichern einer Website als lokale Dateien
  • Hochladen oder Ziehen/Ablegen einer vertraulichen Datei auf eine ausgeschlossene Website
  • Einfügen vertrauliche Daten in eine ausgeschlossene Website

Die folgende Tabelle zeigt, welche Browser diese Features unterstützen:

Browser Unterstützte Funktion
Microsoft Edge - Drucken der Website
– Kopieren von Daten von der Website
– Speichern der Website als lokale Dateien (Speichern unter)
– Einfügen in unterstützte Browser
: Hochladen in eine eingeschränkte Clouddienstdomäne
Google Chrome (mit der Microsoft Purview-Erweiterung) – Einfügen in unterstützte Browser
– Hochladen in eine eingeschränkte Clouddienstdomäne
Mozilla Firefox (mit der Microsoft Purview-Erweiterung) – Hochladen in einen eingeschränkten Clouddienst
– Einfügen in unterstützte Browser

Bei der Aktion In unterstützte Browser einfügen kann es eine kurze Verzögerung zwischen dem Versuch des Benutzers, Text in eine Webseite einzufügen, und dem Zeitpunkt, zu dem das System die Klassifizierung abgeschlossen hat und antwortet, liegen. Wenn diese Klassifizierungslatenz auftritt, werden möglicherweise sowohl Benachrichtigungen zur Richtlinienauswertung als auch Benachrichtigungen zur Überprüfung abgeschlossen in Microsoft Edge oder in Chrome und Firefox angezeigt. Hier sind einige Tipps zum Minimieren der Anzahl von Benachrichtigungen:

  1. Benachrichtigungen werden ausgelöst, wenn eine Richtlinie für die Zielwebsite für Blockieren oder Blockieren konfiguriert ist, indem das Einfügen in unterstützte Browser für diesen Benutzer außer Kraft gesetzt wird. Sie können die Gesamtaktion auf Überwachen konfigurieren und dann die Ausnahmen verwenden, um die Zielwebsites zu blockieren . Alternativ können Sie die Gesamtaktion auf Blockieren festlegen und dann die Ausnahmen verwenden, um die sicheren Websites zu überwachen .
  2. Verwenden Sie die neueste Antimalware-Clientversion.
  3. Stellen Sie sicher, dass Ihre Version von Microsoft Edge 120 oder höher ist.
  4. Installieren Sie diese Windows-KBs:
    1. Windows 10: KB5032278, KB5023773
    2. Windows 11 21H2: KB5023774
    3. Win 11 22H2: KB5032288, KB5023778
  5. Stellen Sie unter macOS sicher, dass ihre Antischadsoftware-Clientversion 101.25022.0003 oder höher ist.

Die Aktion In unterstützte Browser einfügen folgt nicht dem in der Liste Dienstdomäne definierten Verhalten. Wenn jedoch Domänengruppen für sensible Dienste für die Regel für In Browser einfügen konfiguriert sind, berücksichtigt das System diese Gruppen.

Hinweis

Die Einstellung Dienstdomänen gilt nur für Dateien, die mit Microsoft Edge oder einem instance von Google Chrome oder Mozilla Firefox hochgeladen wurden, auf dem die Microsoft Purview Chrome-Erweiterung installiert ist. Die Gruppe Generative KI-Websites enthält diese unterstützten Websites. Die Gruppe wird für Standardrichtlinien in Datensicherheitsstatus-Management für KI verwendet und kann nicht bearbeitet oder gelöscht werden.

Für Geräte müssen Sie die Liste vertraulicher Dienstdomänen so konfigurieren, dass die Aktion In eine eingeschränkte Clouddienstdomäne hochladen in einer DLP-Richtlinie verwendet wird. Sie können auch Websitegruppen definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Websitegruppenaktionen unterscheiden. Sie können maximal 100 Websites zu einer einzelnen Gruppe hinzufügen und maximal 150 Gruppen erstellen. Diese Konfiguration bietet maximal 15.000 Websites, denen die Richtlinienaktionen zugewiesen werden können. Weitere Informationen finden Sie unter Verhindern riskanter Benutzeraktivitäten durch Überwachen oder Einschränken des Zugriffs auf vertrauliche Dienstdomänen.

Wichtig

Bezüglich der Aktion In unterstützter Browser einfügen . Wenn "Originaldatei als Beweis für alle ausgewählten Dateiaktivitäten am Endpunkt sammeln" für die Regel für dieses Feature aktiviert ist, werden möglicherweise Garbage Characters im Quelltext angezeigt, wenn auf dem Windows-Gerät des Benutzers nicht die Antimalware-Clientversion 4.18.23110 oder höher installiert ist. Wählen Sie Aktionen>Herunterladen aus, um den tatsächlichen Inhalt anzuzeigen.

Weitere Informationen finden Sie unter Verhindern von Offenlegungen vertraulicher Inhalte durch Einschränken von Einfügeaktionen in Browsern.

Unterstützte Syntax zum Festlegen von Websites in einer Websitegruppe

Wenn Sie URLs zum Identifizieren von Websites verwenden, schließen Sie das Netzwerkprotokoll nicht als Teil der URL ein (für instance, https:// oder file://). Verwenden Sie stattdessen eine flexible Syntax, um Domänen, Unterdomänen, Websites und Unterwebsites in Ihre Websitegruppen einzuschließen und auszuschließen. Beispiel:

  • Verwenden Sie *. als Platzhalter, um alle Domänen oder alle Unterdomänen anzugeben.
  • Verwenden Sie / als Abschlusszeichen am Ende einer URL, um den Bereich nur auf diese bestimmte Website zu beschränken.

Wenn Sie eine URL ohne einen abschließenden Schrägstrich ( /) hinzufügen, wird diese URL auf diese Website und alle Unterwebsites festgelegt. Sie können nur am Anfang einer Domäne hinzufügen *. . Das / Abschlusszeichen wird nur am Ende einer Domäne unterstützt.

Diese Syntax gilt für alle HTTP/HTTPS-Websites. Hier sind einige Beispiele:

DER Websitegruppe hinzugefügte URL URL-Übereinstimmungen URL stimmt nicht überein
contoso.com http:// contoso.com
https:// contoso.com
https:// contoso.com/
https:// contoso.com/allsubsites1
https:// contoso.com/allsubsites1/allsubsites2		 https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com.au
https:// www.contoso.com
contoso.com/ http:// contoso.com
https:// contoso.com
https:// contoso.com/		 https:// contoso.com/allsubsites1
https:// contoso.com/allsubsites1/allsubsites2
https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com/au
https:// www.contoso.com
*.contoso.com http:// contoso.com
https:// contoso.com
https:// www.contoso.com
https:// www.contoso.com/allsubsites
https:// contoso.com/allsubsites1/allsubsites2
https:// allsubdomains.contoso.com
https:// allsubdomains.contoso.com/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/allsubsites1/allsubsites2		 https:// allsubdomains.contoso.com.au
*.contoso.com/xyz http:// contoso.com/xyz/
https:// contoso.com/xyz/ https:// contoso.com/xyz/allsubsites/

https:// allsubdomains.contoso.com/xyz/
https:// allsubdomains.contoso.com/xyz/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2		 https:// contoso.com/xyz
https:// allsubdomains.contoso.com/xyz
*.contoso.com/xyz/ http:// contoso.com/xyz
https:// contoso.com/xyz
https:// contoso.com/xyz/
https:// allsubdomains.contoso.com/xyz
https:// allsubdomains.contoso.com/xyz/		 https:// contoso.com
https:// contoso.com/xyz/allsubsites/
https:// allsubdomains.contoso.com/xyz/allsubsites/
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites/
https:// allsubdomains1.allsubdomains2.contoso.com/xyz/allsubsites1/allsubsites2

Unterstützte Syntax zum Festlegen von IP-Bereichen oder IP-Adressen (Vorschau)

In der Vorschauversion unterstützt DLP die Verwendung von IP-Adressen und Adressbereichen zum Identifizieren von Websites. Legen Sie den Übereinstimmungstyp auf IP-Adresse oder IP-Adressbereich fest, und geben Sie dann eine bestimmte IP-Adresse oder einen IP-Bereich in das Feld Domäne des vertraulichen Diensts ein. Wählen Sie Website hinzufügen aus, um die Auswahl der Domänengruppe Vertraulicher Dienst hinzuzufügen.

Beispiele für unterstützte Syntax:

  • 1.1.1.1
  • 1.1.1.1-2.2.2.2
  • 2001:0db8:85a3:0000:0000:8a2e:0370:7334
  • 2001:0db8:85a3:0000:0000:8a2e:0370:7320-2001:0db8:85a3:0000:0000:8a2e:0370:7334

Wichtig

URLs unterstützen diese Aktionen:

  • Drucken der Website
  • Kopieren von Daten vom Standort
  • Speichern der Website als lokale Dateien (Speichern unter)
  • Einfügen in unterstützte Browser
  • Hochladen in eine eingeschränkte Clouddienstdomäne

Ip-Adresse und IP-Adressbereich unterstützen diese Aktionen:

  • Drucken der Website
  • Kopieren von Daten vom Standort
  • Speichern der Website als lokale Dateien (Speichern unter)
  • Hochladen in eine eingeschränkte Clouddienstdomäne (nur Windows)

Vertrauliche Dienstdomänengruppen enthalten eine vorkonfigurierte Gruppe für Websites der generativen KI. Eine Liste aller Websites in dieser Gruppe finden Sie unter Liste der von Microsoft Purview Datensicherheitsstatus-Management für KI unterstützten KI-Websites.

Zusätzliche Einstellungen für Endpunkt-DLP

Geschäftliche Begründung in Richtlinientipps

Unter Optionen zum Konfigurieren von Richtlinientipps können Sie steuern, wie Benutzer mit der Option "Geschäftliche Begründung" interagieren. Diese Option erscheint, wenn ein Benutzer eine Aktivität durchführt, die durch die Einstellung Sperren mit Überschreiben in einer DLP-Richtlinie geschützt ist. Diese Einstellung ist global. Wählen Sie eine der folgenden Optionen aus:

  • Standardoptionen und benutzerdefiniertes Textfeld anzeigen: Standardmäßig können Benutzer entweder eine integrierte Begründung auswählen oder ihren eigenen Text eingeben.
  • Nur Standardoptionen anzeigen: Benutzer können nur aus einer Liste integrierter Begründungen auswählen.
  • Nur benutzerdefiniertes Textfeld anzeigen: Benutzer können nur eine benutzerdefinierte Begründung eingeben. Das Textfeld wird in der Benachrichtigung zum Endbenutzer-Richtlinientipp ohne eine Liste von Optionen angezeigt.

Anpassen der Optionen im Dropdownmenü

Sie können bis zu fünf benutzerdefinierte Optionen erstellen, die angezeigt werden, wenn Benutzer mit dem Richtlinienbenachrichtigungs-Tipp interagieren, indem Sie das Dropdownmenü Optionen anpassen auswählen.

Option Standardtext
Option 1 Dies ist Teil eines etablierten Geschäftsworkflows oder der Eingabe von benutzerdefiniertem Text.
Option 2 Mein Vorgesetzter hat diese Aktion genehmigt oder benutzerdefinierten Text eingegeben.
Option 3 Dringender Zugang erforderlich; Ich werde meinen Vorgesetzten separat benachrichtigen oder benutzerdefinierten Text eingeben
Option „Falsch positives Ergebnis“ anzeigen Die Informationen in diesen Dateien sind nicht vertraulich oder geben benutzerdefinierten Text ein.
Option 5 Anderer text oder benutzerdefinierten Text eingeben

Aktivieren der automatischen Diagnoseprotokollierung für Endpunkt-DLP

Das Feature Microsoft Purview Always-On Diagnose zeichnet automatisch umfassende Ablaufverfolgungsprotokolle auf, wodurch Sie Zeit sparen und eine schnellere Problembehandlung ermöglichen. Weitere Informationen finden Sie unter Always-On-Diagnose für Endpunkt-DLP.

Aktivieren von Endpunkt-DLP für Windows Server

Endpunkt-DLP unterstützt die folgenden Versionen von Windows Server:

Nachdem Sie ein Windows Server integriert haben, aktivieren Sie die Endpunkt-DLP-Unterstützung, um Endpoint Protection anzuwenden.

So arbeiten Sie mit der DLP-Warnungsverwaltung Dashboard:

  1. Navigieren Sie im Microsoft Purview-Portal zu Übersicht zur Verhinderung von> Datenverlust.
  2. Wählen Sie in der oberen rechten Ecke Einstellungen aus.
  3. Wählen Sie unter Einstellungendie Option Endpunkteinstellungen aus, und erweitern Sie Endpunkt-DLP-Unterstützung für integrierte Server.
  4. Legen Sie den Umschalter auf Ein fest.

Dateiaktivitäten für Geräte immer überwachen

Wenn Sie Geräte integrieren, überwacht das System standardmäßig automatisch Aktivitäten für Office-, PDF- und CSV-Dateien. Sie können diese Aktivität im Aktivitäts-Explorer überprüfen. Deaktivieren Sie dieses Feature, wenn Sie diese Aktivität nur dann überwachen möchten, wenn integrierte Geräte in einer aktiven Richtlinie enthalten sind. Die Einstellung Dateiaktivität für Geräte immer überwachen ermöglicht die Überwachung von Dateiaktivitäten für Dokumente, bei denen eine DLP-Regel nicht übereinstimmt: Datei erstellt, Datei geändert, Datei umbenannt, Datei auf Wechselmedien erstellt und Auf Netzwerkfreigabe erstellte Datei.

Das System überwacht immer die Dateiaktivität für integrierte Geräte, unabhängig davon, ob sie in einer aktiven Richtlinie enthalten sind.

Druckergruppen

Verwenden Sie diese Einstellung, um Gruppen von Druckern zu definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Druckaktionen unterscheiden.

Der häufigste Anwendungsfall für das Erstellen von Druckergruppen besteht darin, sie zu verwenden, um das Drucken von Verträgen auf diese Drucker in der Rechtsabteilung eines organization zu beschränken. Nachdem Sie hier eine Druckergruppe definiert haben, können Sie sie in allen Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Erstellen einer Richtlinie zum Verwalten des Druckerzugriffs mithilfe von Autorisierungsgruppen.

Sie können maximal 20 Druckergruppen erstellen. Jede Gruppe kann maximal 50 Drucker enthalten.

Hinweis

Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:

Hier ist ein Beispiel. Angenommen, Sie möchten, dass Ihre DLP-Richtlinie das Drucken von Verträgen an alle Drucker mit Ausnahme von Druckern in der Rechtsabteilung blockiert.

  1. Verwenden Sie die folgenden Parameter, um drucker in jeder Gruppe zuzuweisen.

    • Name des benutzerfreundlichen Druckers : Der Name des Anzeigedruckers ist der Wert, der auf der Benutzeroberfläche angezeigt wird, wenn Sie den Drucker auswählen.

    • USB-Drucker : Ein Drucker, der über den USB-Anschluss eines Computers verbunden ist. Wählen Sie diese Option aus, wenn Sie einen USB-Drucker erzwingen möchten, während die USB-Produkt-ID und die USB-Anbieter-ID deaktiviert bleiben. Sie können auch einen bestimmten USB-Drucker zuweisen, indem Sie die USB-Produkt-ID und die USB-Anbieter-ID angeben.

    • USB-Produkt-ID : Ruft den Wert des Geräteinstanzpfads aus den Eigenschaftendetails des Druckergeräts im Geräte-Manager ab. Konvertieren Sie diesen Wert in das Format Produkt-ID und Anbieter-ID. Weitere Informationen finden Sie unter Standard USB-Bezeichner.

    • USB-Hersteller-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Eigenschaftendetails des Druckergeräts im Geräte-Manager ab. Konvertieren Sie diesen Wert in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard USB-Bezeichner.

    • IP-Bereich

    • In Datei drucken : Microsoft Print in PDF oder Microsoft XPS Document Writer. Wenn Sie Microsoft Print nur in PDF erzwingen möchten, sollten Sie den Druckernamen "Benutzerfreundlich" mit "Microsoft Print to PDF" verwenden.

    • Auf einem Drucker bereitgestellter universeller Druck : Weitere Informationen zu universellen Druckern finden Sie unter Einrichten des universellen Druckens.

    • Unternehmensdrucker : Ist eine Druckwarteschlange, die über den lokalen Windows-Druckserver in Ihrer Domäne freigegeben wird. Der Pfad kann wie folgt aussehen: \print-server\contoso.com\legal_printer_001.

    • Drucken auf lokaler Ebene : Jeder Drucker, der über den Microsoft-Druckanschluss verbunden ist, aber keinen der oben genannten Typen. Beispiel: Drucken über Remotedesktop oder Umleiten des Druckers.

Hinweis

Sie sollten nicht mehrere Parameter wie USB-Drucker, IP-Adressbereich, In Datei drucken, Universelles Drucken auf einem Drucker, Unternehmensdrucker und Lokales Drucken verwenden.

  1. Weisen Sie jedem Drucker in der Gruppe einen Anzeigenamen zu. Diese Namen werden nur in der Microsoft Purview-Konsole angezeigt.

  2. Erstellen Sie eine Druckergruppe mit dem Namen Legal printers (Legal printers), und fügen Sie einzelne Drucker (mit einem Alias) anhand ihres Anzeigenamens hinzu. für instance: legal_printer_001, legal_printer_002und legal_color_printer. (Sie können mehrere Parameter gleichzeitig auswählen, damit Sie einen bestimmten Drucker eindeutig identifizieren können.)

  3. Weisen Sie die Richtlinienaktionen der Gruppe in einer DLP-Richtlinie zu:

    • Allow (Überwachung ohne Benutzerbenachrichtigungen oder Warnungen)

    • Audit only (Sie können Benachrichtigungen und Warnungen hinzufügen)

    • Block with override (blockiert die Aktion, aber der Benutzer kann überschreiben)

    • Vorschau: Eine Korrektur zur Behebung der unnötigen erneuten Übermittlung, um den Druckauftrag nach der ersten Außerkraftsetzung in die Warteschlange zu stellen, wurde implementiert.

    • Block (Blöcke, egal was)

Erstellen einer Druckergruppe

  1. Öffnen Sie das Microsoft Purview-Portal , und wechseln Sie zu Data Loss Prevention>Overview> settings zahnradsymbol in der oberen rechten Ecke >Data Loss Prevention>Endpoint DLP settings>Druckergruppen.
  2. Wählen Sie + Druckergruppe erstellen aus.
  3. Geben Sie einen Namen für die Gruppe ein.
  4. Wählen Sie Drucker hinzufügen aus.
  5. Geben Sie einen Anzeigenamen für den Drucker ein. Stellen Sie sicher, dass der Name mit dem Wert aus den Geräteeigenschaftsdetails des Druckers in Geräte-Manager übereinstimmt.
  6. Wählen Sie die Parameter aus, und geben Sie die Werte an, um den jeweiligen Drucker eindeutig zu identifizieren.
  7. Klicken Sie auf Hinzufügen.
  8. Fügen Sie nach Bedarf weitere Drucker hinzu.
  9. Wählen Sie Speichern und dann Schließen aus.

Dateierweiterungsgruppen

Verwenden Sie diese Einstellung, um Gruppen von Dateierweiterungen zu definieren, denen Sie Richtlinienaktionen zuweisen möchten. Beispielsweise können Sie eine Richtlinie Datei konnte nicht überprüft werden nur auf Dateierweiterungen in den erstellten Gruppen anwenden.

Hinweis

Fügen Sie keine hinzu . , wenn Sie eine Erweiterung hinzufügen.

Deaktivieren der Klassifizierung

Verwenden Sie diese Einstellung, um bestimmte Dateierweiterungen aus der Endpunkt-DLP-Klassifizierung auszuschließen.

Für Dateien, die sich in der Liste Überwachte Dateien befinden , können Sie die Klassifizierung über diese Einstellung deaktivieren. Wenn Sie dieser Einstellung eine Dateierweiterung hinzufügen, überprüft Endpunkt-DLP keine Inhalte in Dateien mit dieser Erweiterung. Daher führt Endpunkt-DLP keine Richtlinienauswertung basierend auf dem Inhalt dieser Dateien durch. Für die Durchführung von Untersuchungen werden keine Inhaltsinformationen angezeigt.

Hinweis

Fügen Sie keine hinzu . , wenn Sie eine Erweiterung hinzufügen.

Usb-Wechselgerätegruppen

Verwenden Sie diese Einstellung, um Gruppen von Wechseldatenträgern zu definieren, z. B. USB-Sticks, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den globalen Druckaktionen unterscheiden. Angenommen, Sie möchten, dass Ihre DLP-Richtlinie verhindert, dass Elemente mit technischen Spezifikationen auf Wechselmedien kopiert werden, mit Ausnahme von bestimmten usb-verbundenen Festplatten, die zum Sichern von Daten für offsite-Speicher verwendet werden.

Sie können bis zu 20 Gruppen mit bis zu 50 Wechselmedien in jeder Gruppe erstellen.

Hinweis

Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:

  • Windows 10 und höher (21H1, 21H2) mit KB-5018482
  • Windows 11 21H2, 22H2 mit KB-5018483
  • Windows 10 RS5 (KB 5006744) und Windows Server 2022

Verwenden Sie die folgenden Parameter, um Ihre Wechseldatenträger zu definieren.

  • Anzeigename des Speichergeräts : Ruft den Wert anzeigename aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte (*) werden unterstützt.

  • USB-Produkt-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Details der USB-Geräteeigenschaft im Geräte-Manager ab. Konvertieren Sie es in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard USB-Bezeichner.

  • USB-Anbieter-ID : Rufen Sie den Wert des Geräteinstanzpfads aus den Details der USB-Geräteeigenschaft im Geräte-Manager ab. Konvertieren Sie es in das Format "Produkt-ID" und "Anbieter-ID". Weitere Informationen finden Sie unter Standard USB-Bezeichner.

  • Seriennummern-ID : Ruft den Wert der Seriennummern-ID aus den Details der Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte (*) werden unterstützt.

  • Geräte-ID : Ruft den Wert der Geräte-ID aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte (*) werden unterstützt.

  • Instanzpfad-ID : Ruft den Wert der Geräte-ID aus den Details zur Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte (*) werden unterstützt.

  • Hardware-ID : Ruft den Hardware-ID-Wert aus den Details der Speichergeräteeigenschaft im Geräte-Manager ab. Platzhalterwerte (*) werden unterstützt.

Sie weisen jedem Wechseldatenträger in der Gruppe einen Alias zu. Der Alias ist ein Anzeigename, der nur in der Microsoft Purview-Konsole angezeigt wird. Wenn Sie also mit dem Beispiel fortfahren, erstellen Sie eine Wechselspeichergerätegruppe mit dem Namen Backup und fügen einzelne Geräte (mit einem Alias) anhand ihres Anzeigenamens wie backup_drive_001, und backup_drive_002hinzu.

Sie können die Parameter mehrfach auswählen, und dann enthält die Druckergruppe alle Geräte, die diese Parameter erfüllen.

Sie können der Gruppe in einer DLP-Richtlinie diese Richtlinienaktionen zuweisen:

  • Allow (Überwachung ohne Benutzerbenachrichtigungen oder Warnungen)
  • Audit only (Sie können Benachrichtigungen und Warnungen hinzufügen)
  • Block with außer Kraft setzen (blockiert die Aktion, aber der Benutzer kann überschreiben)
  • Block (Blöcke, egal was)

Erstellen einer USB-Wechselgerätegruppe

  1. Öffnen Sie das Microsoft Purview-Portal , und wechseln Sie zu Data Loss Prevention>Übersicht> Einstellungen Zahnradsymbol in der oberen rechten Ecke >Data Loss Prevention>Endpoint DLP-Einstellungen>Wechselbare USB-Gerätegruppen.
  2. Wählen Sie + Wechselspeichergerätegruppe erstellen aus.
  3. Geben Sie einen Gruppennamen ein.
  4. Wählen Sie Wechselmedien hinzufügen aus.
  5. Geben Sie einen Alias ein.
  6. Wählen Sie die Parameter aus, und geben Sie die Werte ein, um das jeweilige Gerät eindeutig zu identifizieren.
  7. Klicken Sie auf Hinzufügen.
  8. Fügen Sie der Gruppe nach Bedarf weitere Geräte hinzu.
  9. Wählen Sie Speichern und dann Schließen aus.

Der häufigste Anwendungsfall zum Erstellen von Wechselspeichergruppen besteht darin, anzugeben, auf welche Wechselmedien Benutzer Dateien kopieren können. Im Allgemeinen ist das Kopieren nur für Geräte in einer bestimmten Sicherungsgruppe zulässig.

Nachdem Sie eine Wechselspeichergerätegruppe definiert haben, können Sie diese in allen Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Erstellen einer Richtlinie zum Verwalten des Druckerzugriffs mithilfe von Autorisierungsgruppen.

Netzwerkfreigabegruppen

Verwenden Sie diese Einstellung, um Gruppen von Netzwerkfreigabepfaden zu definieren, denen Sie Richtlinienaktionen zuweisen möchten, die sich von den Aktionen des globalen Netzwerkfreigabepfads unterscheiden. Angenommen, Ihre DLP-Richtlinie soll verhindern, dass Benutzer geschützte Dateien in Netzwerkfreigaben mit Ausnahme der Netzwerkfreigaben in einer bestimmten Gruppe speichern oder kopieren können.

Hinweis

Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Windows-Versionen ausgeführt wird:

  • Windows 10 und höher (21H1, 21H2) mit KB-5018482
  • Windows 11 21H2, 22H2 mit KB-5018483
  • Windows 10 RS5 (KB 5006744) und Windows Server 2022

Um Netzwerkfreigabepfade in eine Gruppe einzuschließen, definieren Sie das Präfix, mit dem alle Freigaben beginnen. Zum Beispiel:

  • "\Library" entspricht:

    • \Library-Ordner und alle zugehörigen Unterordner.

  • Sie können Wildcards verwenden, z. B. Übereinstimmungen mit "\Users*\Desktop":

    • '\Users\user1\Desktop'
    • '\Users\user1\user2\Desktop'
    • '\Users*\Desktop'

  • Sie können auch Umgebungsvariablen verwenden, z. B.:

    • %AppData%\app123

  • Platzhalterwerte werden unterstützt. Daher kann eine Pfaddefinition ein Sternchen (*) in der Mitte des Pfads oder am Ende des Pfads enthalten.
    Beispiel: \\Lib* Cover \\Libray

Sie können der Gruppe in einer DLP-Richtlinie die folgenden Richtlinienaktionen zuweisen:

  • Allow (Überwachung ohne Benutzerbenachrichtigungen oder Warnungen)
  • Audit only (Sie können Benachrichtigungen und Warnungen hinzufügen)
  • Block with override (blockiert die Aktion, aber der Benutzer kann überschreiben)
  • Block (Blöcke, egal was)

Nachdem Sie eine Netzwerkfreigabegruppe definiert haben, können Sie sie in allen DLP-Richtlinien verwenden, die auf Geräte festgelegt sind. Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Autorisierungsgruppen finden Sie unter Erstellen einer Richtlinie zum Verwalten des Druckerzugriffs mithilfe von Autorisierungsgruppen.

Erstellen einer Netzwerkfreigabegruppe

  1. Öffnen Sie das Microsoft Purview-Portal, und wechseln Sie inder oberen rechten Ecke > zum > Zahnradsymbol">Data Loss Prevention>Endpoint DLP settings>Network share groups".
  2. Wählen Sie + Netzwerkfreigabegruppe erstellen aus.
  3. Geben Sie einen Gruppennamen ein.
  4. Fügen Sie der Freigabe den Dateipfad hinzu.
  5. Klicken Sie auf Hinzufügen.
  6. Fügen Sie der Gruppe nach Bedarf weitere Freigabepfade hinzu.
  7. Wählen Sie Speichern und dann Schließen aus.

VPN-Einstellungen

Verwenden Sie die VPN-Liste, um nur die Aktionen zu steuern, die über dieses VPN ausgeführt werden.

Hinweis

Dieses Feature ist für Geräte verfügbar, auf denen eine der folgenden Versionen von Windows ausgeführt wird:

  • Windows 10 und höher (21H1, 21H2) mit KB-5018482
  • Windows 11 21H2, 22H2 mit KB-5018483
  • Windows 10 RS5 (KB 5006744)

Wenn Sie ein VPN in den VPN-Einstellungen auflisten, können Sie ihm die folgenden Richtlinienaktionen zuweisen:

  • Allow (Überwachung ohne Benutzerbenachrichtigungen oder Warnungen)
  • Audit only (Sie können Benachrichtigungen und Warnungen hinzufügen)
  • Block with override (blockiert die Aktion, aber der Benutzer kann überschreiben)
  • Block (Blöcke, egal was)

Sie können diese Aktionen einzeln oder gemeinsam auf die folgenden Benutzeraktivitäten anwenden:

  • In Zwischenablage kopieren
  • Kopieren auf ein USB-Wechselmedium
  • Auf eine Netzwerkfreigabe kopieren
  • Print
  • Kopieren oder Verschieben mithilfe einer nicht zugelassenen (eingeschränkten) Bluetooth-App
  • Kopieren oder Verschieben mithilfe von RDP

Wenn Sie eine DLP-Richtlinie konfigurieren, um Aktivitäten auf Geräten einzuschränken, können Sie steuern, was mit den einzelnen Aktivitäten geschieht, die ausgeführt werden, wenn Benutzer mit Ihrem organization in einem der aufgeführten VPNs verbunden sind.

Verwenden Sie die Parameter Serveradresse oder Netzwerkadresse , um das zulässige VPN zu definieren.

Abrufen der Serveradresse oder Netzwerkadresse

  1. Öffnen Sie auf einem von DLP überwachten Windows-Gerät ein Windows PowerShell Fenster als Administrator.
  2. Führen Sie das folgende Cmdlet aus. Es werden mehrere Felder und Werte zurückgegeben.
Get-VpnConnection
  1. Suchen Sie unter den Ergebnissen des Cmdlets das Feld ServerAddress , und notieren Sie diesen Wert. Verwenden Sie serverAddress , wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.
  2. Suchen Sie das Feld Name , und notieren Sie diesen Wert. Das Feld Name wird dem Feld Netzwerkadresse zugeordnet, wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.

Hinzufügen eines VPN

  1. Öffnen Sie das Microsoft Purview-Portal, und wechseln Sie inder oberen rechten Ecke > zum > Zahnradsymbol">Data Loss Prevention>Endpoint DLP settings>VPN settings".
  2. Wählen Sie VPN-Adressen hinzufügen oder bearbeiten aus.
  3. Geben Sie entweder die Serveradresse oder die Netzwerkadresse ein, die Sie nach dem Ausführen Get-VpnConnectionvon notiert haben.
  4. Klicken Sie auf Speichern.
  5. Schließen Sie das Element.

Wichtig

Unter der Einstellung Netzwerkeinschränkungen sehen Sie auch Unternehmensnetzwerk als Option. Unternehmensnetzwerkverbindungen sind alle Verbindungen mit den Ressourcen Ihrer organization. Sie können feststellen, ob ein Gerät ein Unternehmensnetzwerk verwendet, indem Sie das Get-NetConnectionProfile Cmdlet als Administrator ausführen. Wenn der NetworkCategoryId in der Ausgabe ist DomainAuthenticated, bedeutet dies, dass der Computer mit dem Unternehmensnetzwerk verbunden ist. Wenn die Ausgabe etwas anderes ist, ist der Computer nicht. In einigen Fällen kann ein Computer sowohl mit einem VPN als auch mit dem Unternehmensnetzwerk verbunden sein. Wenn beide unter Netzwerkeinschränkungen ausgewählt sind, wendet Endpunkt-DLP die Aktion basierend auf der Reihenfolge an. Wenn die Aktion für vpn die angewendete sein soll, verschieben Sie den VPN-Eintrag über Unternehmensnetzwerk , damit er eine höhere Priorität hat als die Aktion für Unternehmensnetzwerk.

Weitere Informationen zum Konfigurieren von Richtlinienaktionen für die Verwendung von Netzwerkausnahmen finden Sie unter Erstellen einer Richtlinie zum Verwalten von Dateiaktivitäten durch Implementieren von Netzwerkausnahmen .

Siehe auch

  • Last updated on