Auf Englisch lesen

Freigeben über


Informationen zur Verhinderung von Datenverlust

Organisationen haben vertrauliche Informationen unter ihrer Kontrolle, z. B.:

  • Finanzdaten
  • proprietäre Daten
  • Guthabennummern Karte
  • Integritätsdatensätze
  • Sozialversicherungsnummern

Um diese vertraulichen Daten zu schützen und das Risiko einer übermäßigen Freigabe zu verringern, benötigen sie eine Möglichkeit, ihre Benutzer daran zu hindern, vertrauliche Daten unangemessen mit Personen zu teilen, die sie nicht besitzen sollten. Diese Vorgehensweise wird als Verhinderung von Datenverlust (Data Loss Prevention, DLP) bezeichnet.

In Microsoft Purview implementieren Sie die Verhinderung von Datenverlust, indem Sie DLP-Richtlinien definieren und anwenden. Mit einer DLP-Richtlinie können Sie vertrauliche Elemente in folgenden Punkten identifizieren, überwachen und automatisch schützen:

  • Microsoft 365-Dienste wie Teams-, Exchange-, SharePoint- und OneDrive-Konten
  • Office-Anwendungen wie Word, Excel und PowerPoint
  • Windows 10-, Windows 11- und macOS-Endpunkte (drei neueste versionen)
  • Nicht-Microsoft-Cloud-Apps
  • lokale Dateifreigaben und lokales SharePoint
  • Fabric- und Power BI-Arbeitsbereiche
  • Microsoft 365 Copilot (Vorschau)

DLP erkennt vertrauliche Elemente mithilfe einer umfassenden Inhaltsanalyse, nicht nur durch einen einfachen Textscan. Der Inhalt wird analysiert:

  • Übereinstimmungen primärer Daten mit Schlüsselwörtern
  • Durch die Auswertung von regulären Ausdrücken
  • Durch interne Funktionsüberprüfung
  • Nach sekundären Daten-Übereinstimmungen, die sich in der Nähe der primären Daten-Übereinstimmung befinden
  • DLP verwendet auch Machine Learning-Algorithmen und andere Methoden, um Inhalte zu erkennen, die Ihren DLP-Richtlinien entsprechen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Purview DLP vertraut sind, finden Sie hier eine Liste der wichtigsten Artikel, die Sie für die Implementierung von DLP benötigen:

  1. Administrative Einheiten
  2. Weitere Informationen zu Microsoft Purview Data Loss Prevention: Der Artikel, den Sie jetzt lesen, führt Sie in die Disziplin zur Verhinderung von Datenverlust und die Implementierung von DLP durch Microsoft ein.
  3. Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP): In diesem Artikel gehen Sie wie folgt vor:
    1. Identifizieren von Projektbeteiligten
    2. Beschreiben der Kategorien vertraulicher Informationen, die geschützt werden sollen
    3. Ziele und Strategie festlegen
  4. Richtlinienreferenz zur Verhinderung von Datenverlust : In diesem Artikel werden alle Komponenten einer DLP-Richtlinie vorgestellt und erläutert, wie jede komponente das Verhalten einer Richtlinie beeinflusst.
  5. Entwerfen einer DLP-Richtlinie : In diesem Artikel erfahren Sie, wie Sie eine Richtlinienabsichtsanweisung erstellen und sie einer bestimmten Richtlinienkonfiguration zuordnen.
  6. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust : In diesem Artikel werden einige allgemeine Richtlinienabsichtsszenarien vorgestellt, die Sie Den Konfigurationsoptionen zuordnen. Anschließend werden Sie durch die Konfiguration dieser Optionen beschrieben.
  7. Erfahren Sie mehr über die Untersuchung von Warnungen zur Verhinderung von Datenverlust : In diesem Artikel wird der Lebenszyklus von Warnungen von der Erstellung bis hin zur endgültigen Korrektur und Richtlinienoptimierung vorgestellt. Außerdem werden sie in die Tools eingeführt, die Sie zum Untersuchen von Warnungen verwenden.

Lizenzierung und Abonnements

Ausführliche Informationen zu den Abonnements, die DLP unterstützen, finden Sie im Microsoft 365-Leitfaden für Sicherheit & Compliance .

DLP ist Teil des größeren Microsoft Purview-Angebots

DLP ist nur eines der Microsoft Purview-Tools, mit denen Sie Ihre vertraulichen Elemente überall dort schützen können, wo sie leben oder reisen. Sie sollten die anderen Tools im Microsoft Purview-Toolsatz verstehen, wie sie miteinander ineinander übergehen und besser zusammenarbeiten. Weitere Informationen zum Information Protection-Prozess finden Sie unter Microsoft Purview-Tools .

Schutzaktionen von DLP-Richtlinien

DLP-Richtlinien dienen dazu, die Aktivitäten zu überwachen, die Benutzer mit vertraulichen ruhenden Elementen, sensiblen Elementen während der Übertragung oder verwendeten vertraulichen Elementen ausführen und dann Schutzmaßnahmen ergreifen. Wenn ein Benutzer beispielsweise eine verbotene Aktion versucht, z. B. ein vertrauliches Element an einen nicht genehmigten Ort zu kopieren oder medizinische Informationen in einer E-Mail zu teilen, kann DLP:

  • Zeigen Sie dem Benutzer einen Popup-Richtlinientipp an, der diesen warnt, dass er möglicherweise versucht, ein vertrauliches Element unangemessen freizugeben.
  • Die Freigabe blockieren und es dem Benutzer über einen Richtlinientipp ermöglichen, den Block zu überschreiben und die Begründung der Benutzer zu erfassen
  • Blockieren der Freigabe ohne die Außerkraftsetzungsoption
  • für ruhende Daten können vertrauliche Elemente gesperrt und an einen sicheren Quarantänespeicherort verschoben werden.
  • Für Teams-Chat werden die vertraulichen Informationen nicht angezeigt

Alle von DLP überwachten Aktivitäten werden standardmäßig im Microsoft 365-Überwachungsprotokoll aufgezeichnet und an den Aktivitäts-Explorer weitergeleitet.

DLP-Lebenszyklus

Eine DLP-Implementierung folgt in der Regel diesen Hauptphasen.

Plan für DLP

DLP-Überwachung und -Schutz sind nativ für die Anwendungen, die Benutzer täglich verwenden. Dies trägt dazu bei, die vertraulichen Elemente Ihrer organization vor riskanten Aktivitäten zu schützen, auch wenn Ihre Benutzer nicht mit den Überlegungen und Praktiken zur Verhinderung von Datenverlust vertraut sind. Wenn Ihre organization und Ihre Benutzer noch nicht mit Methoden zur Verhinderung von Datenverlust vertraut sind, kann die Einführung von DLP eine Änderung Ihrer Geschäftsprozesse erfordern, und es wird eine Kulturverschiebung für Ihre Benutzer geben. Mit der richtigen Planung, Prüfung und Optimierung schützen Ihre DLP-Richtlinien jedoch Ihre vertraulichen Elemente und minimieren gleichzeitig potenzielle Unterbrechungen des Geschäftsprozesses.

Technologieplanung für DLP

Beachten Sie, dass DLP als Technologie Ihre ruhenden, verwendeten und in Bewegung geschalteten Daten in Microsoft 365-Diensten, Windows 10-, Windows 11- und macOS-Geräten (drei neueste Versionen), lokalen Dateifreigaben und lokalen SharePoint-Geräten überwachen und schützen kann. Es gibt Planungsauswirkungen für die verschiedenen Standorte, den Typ der Daten, die Sie überwachen und schützen möchten, und die Aktionen, die bei einer Richtlinienüberstimmung ausgeführt werden sollen.

Geschäftsprozessplanung für DLP

DLP-Richtlinien können Verhindern, dass Benutzer verbotene Aktivitäten ausführen, z. B. die unangemessene Freigabe vertraulicher Informationen per E-Mail. Wenn Sie Ihre DLP-Richtlinien planen, müssen Sie die Geschäftsprozesse identifizieren, die Ihre vertraulichen Elemente berühren. Die Geschäftsprozessbesitzer können Ihnen helfen, geeignete Benutzerverhalten zu identifizieren, die zulässig sein sollten, und unangemessenes Benutzerverhalten, vor dem geschützt werden sollte. Sie sollten Ihre Richtlinien planen und im Simulationsmodus bereitstellen und deren Auswirkungen bewerten, bevor Sie sie in restriktiveren Modi ausführen.

Organisationskulturplanung für DLP

Eine erfolgreiche DLP-Implementierung hängt ebenso davon ab, dass Ihre Benutzer geschult und an Methoden zur Verhinderung von Datenverlust gewöhnt werden, wie von gut geplanten und optimierten Richtlinien. Da Ihre Benutzer stark involviert sind, sollten Sie auch die Schulung für sie planen. Sie können Richtlinientipps strategisch verwenden, um ihre Benutzer zu sensibilisieren, bevor Sie die Richtlinien status vom Simulationsmodus in restriktivere Modi ändern.

Vorbereiten auf DLP

Sie können DLP-Richtlinien auf ruhende Daten, verwendete Daten und daten in Bewegung an Speicherorten anwenden, z. B.:

  • Exchange Online E-Mail
  • SharePoint-Websites
  • OneDrive-Konten
  • Teams-Chat- und Teams-Kanalnachrichten
  • Instanzen: Microsoft Defender for Cloud Apps
  • Geräte: Windows 10, Windows 11 und macOS (drei neueste versionen)
  • Lokale Repositorys
  • Fabric- und Power BI-Arbeitsbereiche
  • Microsoft 365 Copilot (Vorschau)

Jede hat unterschiedliche Voraussetzungen. Vertrauliche Elemente an einigen Orten, z. B. Exchange Online, können unter den DLP-Schirm gebracht werden, indem sie einfach eine Richtlinie konfigurieren, die für sie gilt. Andere, z. B. lokale Dateirepositorys, erfordern eine Bereitstellung von Microsoft Purview Information Protection Scanner. Sie müssen Ihre Umgebung vorbereiten, Richtlinien entwerfen und diese gründlich testen, bevor Sie blockierende Aktionen aktivieren.

Bereitstellen Ihrer Richtlinien in der Produktion

Entwerfen Ihrer Richtlinien

Definieren Sie zunächst Ihre Steuerungsziele und deren Anwendung auf die jeweilige Workload. Entwerfen Sie eine Richtlinie, die Ihre Ziele verkörpert. Sie können mit jeweils einer Workload oder über alle Workloads hinweg beginnen – es gibt noch keine Auswirkungen. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

Implementieren einer Richtlinie im Simulationsmodus

Bewerten Sie die Auswirkungen der Steuerelemente, indem Sie sie mit einer DLP-Richtlinie im Simulationsmodus implementieren. In einer Richtlinie definierte Aktionen werden nicht angewendet, während sich die Richtlinie im Simulationsmodus befindet. Es ist in Ordnung, die Richtlinie auf alle Workloads im Simulationsmodus anzuwenden, damit Sie die gesamte Bandbreite der Ergebnisse erhalten, aber Sie können bei Bedarf mit einer Einzigen Workload beginnen. Weitere Informationen finden Sie unter Richtlinienbereitstellung.

Überwachen der Ergebnisse und Optimieren der Richtlinie

Überwachen Sie im Simulationsmodus die Ergebnisse der Richtlinie, und optimieren Sie sie so, dass sie Ihre Steuerungsziele erfüllt, und stellen Sie sicher, dass Sie keine negativen oder unbeabsichtigten Auswirkungen auf gültige Benutzerworkflows und die Produktivität haben. Hier sind einige Beispiele für Dinge, die Sie optimieren sollten:

  • Anpassen der Orte und Personen/Orte, die sich im oder außerhalb des Bereichs befinden
  • Optimieren der Bedingungen, die verwendet werden, um zu bestimmen, ob ein Element und was damit ausgeführt wird, mit der Richtlinie übereinstimmen
  • Definition/s vertraulicher Informationen
  • Hinzufügen neuer Steuerelemente
  • Neue Personen hinzufügen
  • Hinzufügen neuer eingeschränkter Apps
  • Hinzufügen neuer eingeschränkter Websites

Hinweis

Das Beenden der Verarbeitung weiterer Regeln funktioniert im Simulationsmodus nicht, auch wenn er aktiviert ist.

Aktivieren des Steuerelements und Optimieren Ihrer Richtlinien

Sobald die Richtlinie alle Ihre Ziele erfüllt hat, aktivieren Sie sie. Überwachen Sie weiterhin die Ergebnisse der Richtlinienanwendung, und optimieren Sie sie bei Bedarf.

Hinweis

Im Allgemeinen werden Richtlinien etwa eine Stunde nach dem Aktivieren wirksam.

Übersicht über die DLP-Richtlinienkonfiguration

Sie haben Flexibilität bei der Erstellung und Konfiguration Ihrer DLP-Richtlinien. Sie können mit nur wenigen Klicks mit einer vordefinierten Vorlage beginnen und eine Richtlinie erstellen, oder Sie können Ihre eigene Richtlinie von Grund auf entwerfen. Unabhängig davon, was Sie auswählen, benötigen alle DLP-Richtlinien die gleichen Informationen von Ihnen.

  1. Wählen Sie aus, was Sie überwachen möchten : DLP enthält viele vordefinierte Richtlinienvorlagen, die Ihnen den Einstieg erleichtern, oder Sie können eine benutzerdefinierte Richtlinie erstellen.

  2. Administrative Bereich auswählen : DLP unterstützt das Zuweisen von Verwaltungseinheiten zu Richtlinien. Administratoren, die einer Verwaltungseinheit zugewiesen sind, können nur Richtlinien für die Benutzer, Gruppen, Verteilergruppen und Konten erstellen und verwalten, denen sie zugewiesen sind. Daher können Richtlinien von einem uneingeschränkten Administrator auf alle Benutzer und Gruppen angewendet werden, oder sie können auf Verwaltungseinheiten beschränkt werden. Weitere DLP-spezifische Details finden Sie unter Richtlinienbereich . Weitere Informationen zu verwaltungstechnischen Einheiten in Microsoft Purview Information Protection finden Sie unter Administrative Einheiten.

  3. Wählen Sie aus, wo Sie überwachen möchten : Sie wählen mindestens einen Speicherort aus, den DLP auf vertrauliche Informationen überwachen soll. Sie können Folgendes überwachen:

    Speicherort einschließen/ausschließen nach
    Exchange-E-Mail Verteilergruppen
    Microsoft Office SharePoint Online-Websites Websites
    OneDrive-Konten Konten oder Verteilergruppen
    Teams-Chat- und Teams-Kanalnachrichten Konto oder Verteilergruppe
    Windows 10-, Windows 11- und macOS-Geräte (drei neueste versionen) Benutzer oder Gruppe
    Microsoft Cloud App Security Instanz
    Lokale Repositorys Repositorydateipfad
    Fabric und Power BI Arbeitsbereiche
    Microsoft 365 Copilot (Vorschau) Konto oder Verteilergruppe
  4. Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden kann . Sie können vorkonfigurierte Bedingungen akzeptieren oder benutzerdefinierte Bedingungen definieren. Einige Beispiele:

    • item enthält bestimmte Typen vertraulicher Informationen, die in einem bestimmten Kontext verwendet werden. Beispielsweise werden 95 Sozialversicherungsnummern per E-Mail an Empfänger außerhalb Ihrer Organisation gesendet.
    • Element verfügt über eine angegebene Vertraulichkeitsbezeichnung
    • Element mit vertraulichen Informationen wird entweder intern oder extern freigegeben
  5. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind : Die Aktionen hängen vom Ort ab, an dem die Aktivität stattfindet. Einige Beispiele:

    • SharePoint/Exchange/OneDrive: Blockieren Sie Personen, die sich außerhalb Ihrer organization befinden, den Zugriff auf die Inhalte. Zeigen Sie dem Benutzer einen Tipp an, und senden Sie ihnen eine E-Mail-Benachrichtigung, dass sie eine Aktion durchführen, die durch die DLP-Richtlinie verboten ist.
    • Teams-Chat und -Kanal: Blockieren Sie die Freigabe vertraulicher Informationen im Chat oder Kanal.
    • Windows 10, Windows 11 und macOS (drei neueste Versionen) Geräte: Überwachen oder Einschränken des Kopierens eines vertraulichen Elements auf ein USB-Wechselmedium.
    • Office-Apps: Zeigen Sie ein Popup an, das den Benutzer darüber informiert, dass sie ein riskantes Verhalten haben, und blockieren oder blockieren, aber die Außerkraftsetzung zulassen.
    • Lokale Dateifreigaben: Verschieben Sie die Datei aus dem Speicherort in einen Quarantäneordner.

    Hinweis

    Die Bedingungen und die auszuführenden Aktionen werden in einem Objekt definiert, das als Regel bezeichnet wird.

Erstellen und Bereitstellen einer DLP-Richtlinie

Alle DLP-Richtlinien werden im Microsoft Purview-Complianceportal erstellt und verwaltet. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust .

Nachdem Sie eine DLP-Richtlinie im Complianceportal erstellt haben, wird sie in einem zentralen Richtlinienspeicher gespeichert und dann mit den verschiedenen Inhaltsquellen synchronisiert, einschließlich:

  • Exchange und von dort zu Outlook im Web und Outlook
  • OneDrive
  • SharePoint-Websites
  • Office-Desktopprogrammen (Excel, PowerPoint und Word)
  • Microsoft Teams-Kanälen und Chatnachrichten

Nachdem die Richtlinie mit den richtigen Speicherorten synchronisiert wurde, beginnt sie, Inhalte auszuwerten und Aktionen zu erzwingen.

Anzeigen der Ergebnisse der Richtlinienanwendung

DLP meldet eine große Menge von Informationen an Microsoft Purview, von Überwachungsrichtlinienübereinstimmungen und -aktionen bis hin zu Benutzeraktivitäten. Sie müssen diese Informationen nutzen und darauf reagieren, um Ihre Richtlinien und Selektierungsaktionen für vertrauliche Elemente zu optimieren. Die Telemetriedaten fließen zuerst in die Microsoft 365-Überwachungsprotokolle ein, werden verarbeitet und gelangen zu verschiedenen Berichtstools. Jedes Berichterstellungstool hat einen anderen Zweck.

Große Menge vertraulicher Informationen, die extern freigegeben oder gespeichert werden

Microsoft 365 bietet Ihnen Einblick in riskante Benutzeraktivitäten außerhalb von DLP-Richtlinien. Die große Menge vertraulicher Informationen, die extern Karte auf der DLP-Startseite freigegeben oder gespeichert wurden, zeigt die Anzahl vertraulicher Elemente an, über die Benutzer verfügen:

  • in die verdächtigen Domänen hochgeladen
  • Zugriff mit einer verdächtigen Anwendung
  • Auf einen Wechseldatenträger kopiert

Microsoft 365 scannt die Überwachungsprotokolle auf riskante Aktivitäten und führt sie über eine Korrelations-Engine aus, um Aktivitäten zu finden, die in einer hohen Menge auftreten. Es sind keine DLP-Richtlinien erforderlich.

Wenn Sie weitere Details zu den Elementen abrufen möchten, die Benutzer außerhalb Ihrer organization kopieren oder verschieben (als Ausgangsaktivitäten oder Exfiltration bezeichnet), wählen Sie den Link Weitere Informationen auf der Karte aus, um einen Detailbereich zu öffnen. Sie können Incidents für Microsoft Purview Data Loss Prevention (DLP) über das Microsoft Defender Portal Incidents & Alerts>Incidents untersuchen. Weitere Informationen finden Sie unter Untersuchen von Datenverlustvorfällen mit Microsoft Defender XDR und Untersuchen von Warnungen in Microsoft Defender XDR.

DLP-Warnungen

DLP generiert eine Warnung, wenn ein Benutzer eine Aktion ausführt, die die Kriterien einer DLP-Richtlinie erfüllt, und Sie Incidentberichte zum Generieren von Warnungen konfiguriert haben. DLP stellt die Warnung zur Untersuchung im Dashboard DLP-Warnungen bereit. Verwenden Sie die DLP-warnungs-Dashboard, um Warnungen anzuzeigen, zu selektieren, status festzulegen und die Auflösung nachzuverfolgen. Warnungen werden auch an Microsoft Defender Portal weitergeleitet, wo Sie alle Warnungen Dashboard Aufgaben und mehr ausführen können.

Tipp

DLP-Warnungen sind sechs Monate lang im Microsoft Defender-Portal verfügbar. Sie sind nur in den Microsoft Purview DLP-Warnungen verfügbar, die 30 Tage lang Dashboard.

Hinweis

Wenn Sie ein Administrator mit eingeschränkten Verwaltungseinheiten sind, werden nur die DLP-Warnungen für Ihre Verwaltungseinheit angezeigt.

Hier sehen Sie ein Beispiel für Warnungen, die von Richtlinien-Übereinstimmungen und Aktivitäten von Windows 10 Geräten generiert werden.

Warnungsinformationen.

Sie können auch Details zum zugeordneten Ereignis mit umfangreichen Metadaten im gleichen Dashboard anzeigen.

Ereignisinformationen.

Hinweis

Warnungen werden für E-Mails anders generiert als für SharePoint- oder OneDrive-Elemente. In SharePoint und OneDrive überprüft DLP sowohl vorhandene als auch neue Elemente und generiert eine Warnung, wenn eine Übereinstimmung gefunden wird. In Exchange werden neue E-Mail-Nachrichten überprüft, und es wird eine Warnung generiert, wenn eine Richtlinien-Übereinstimmung vorliegt. DLP überprüft oder stimmt nicht mit zuvor vorhandenen E-Mail-Elementen überein, die in einem Postfach oder Archiv gespeichert sind.

Weitere Informationen zu Warnungen finden Sie unter:

DLP-Aktivitäts-Explorer und -Berichte

Die Registerkarte Aktivitäts-Explorer auf der DLP-Seite enthält mehrere Filter, die Sie zum Anzeigen von DLP-Ereignissen verwenden können. Verwenden Sie dieses Tool, um Aktivitäten im Zusammenhang mit Inhalten zu überprüfen, die vertrauliche Informationen enthalten oder bezeichnungen angewendet wurden, z. B. welche Bezeichnungen geändert wurden, welche Dateien geändert wurden und mit einer Regel übereinstimmen.

Sie können die DLP-Informationen der letzten 30 Tage in Activity Explorer mithilfe dieser vorkonfigurierten Filter anzeigen:

  • Endpunkt-DLP-Aktivitäten
  • Dateien, die Typen vertraulicher Informationen enthalten
  • Ausgehende Aktivitäten
  • DLP-Richtlinien, die Aktivitäten erkannt haben
  • DLP-Richtlinienregeln, die Aktivitäten erkannt haben
So zeigen Sie diese Informationen an Wählen Sie diese Aktivität aus.
Benutzeraußerkraftsetzungen DLP-Regel rückgängig
Elemente, die einer DLP-Regel entsprechen DLP-Regel abgeglichen

Sie können auch über diese Cmdlets in der PowerShell security & Compliance auf den DLP-Bericht zugreifen.

  1. Verbinden Sie sich mit Security & Compliance PowerShell

Verwenden Sie die folgenden Cmdlets:

DLP-Berichte müssen jedoch Daten aus microsoft 365 pullen, einschließlich Exchange. Aus diesem Grund sind die folgenden Cmdlets für DLP-Berichte in Exchange PowerShell verfügbar. Führen Sie die folgenden Schritte aus, um die Cmdlets für diese DLP-Berichte zu verwenden:

  1. Herstellen einer Verbindung mit Exchange PowerShell

Verwenden Sie die folgenden Cmdlets:

Kontextzusammenfassung

Sie können den Text sehen, der den übereinstimmende Inhalt umgibt, z. B. eine Gutschrift Karte Zahl in einem DLPRuleMatch-Ereignis im Aktivitäts-Explorer.

DLPRuleMatch-Ereignisse werden mit ausgehenden Benutzeraktivitäten wie "CopyToClipboard" oder "CloudEgress" gekoppelt. Sie sollten sich im Aktivitäts-Explorer direkt aneinander (oder zumindest sehr nahe) befinden. Sie sollten sich beides ansehen, da die Benutzeraktivität Details zur übereinstimmenden Richtlinie enthält und das DLPRuleMatch-Ereignis die Details zu dem Text enthält, der den übereinstimmenden Inhalt umgibt.

Stellen Sie als Endpunkt sicher, dass Sie KB5016688 für Windows 10 Geräte und KB5016691 für Windows 11 Geräte oder höher angewendet haben.

Weitere Informationen finden Sie unter Erste Schritte mit dem Aktivitäts-Explorer.

Weitere Informationen zu Microsoft Purview DLP finden Sie unter:

Informationen zur Verhinderung von Datenverlust zur Einhaltung von Datenschutzbestimmungen finden Sie unter Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft Purview (aka.ms/m365dataprivacy).