Freigeben über


Erste Schritte mit Oversharing-Popups

Wenn Sie eine geeignete richtlinie für Microsoft Purview Data Loss Prevention (DLP) konfigurieren, überprüft DLP E-Mail-Nachrichten, bevor sie auf bezeichnete oder vertrauliche Informationen gesendet werden, und wendet die in der DLP-Richtlinie definierten Aktionen an. Dieses Feature erfordert ein Microsoft 365 E5-Abonnement sowie eine Version von Outlook, die es unterstützt. Um die erforderliche Mindestversion von Outlook zu ermitteln, verwenden Sie die Funktionstabelle für Outlook, und suchen Sie in der Zeile Verhindern der Überteilung als DLP-Richtlinientipp .

Wichtig

Es folgt ein hypothetisches Szenario mit hypothetischen Werten. Dies dient nur zur Veranschaulichung. Sie sollten ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer ersetzen, wenn Sie dieses Feature implementieren.

Tipp

Beginnen Sie mit Microsoft Copilot für Sicherheit, um neue Möglichkeiten zu erkunden, um intelligenter und schneller mit der Leistungsfähigkeit von KI zu arbeiten. Erfahren Sie mehr über Microsoft Copilot für Sicherheit in Microsoft Purview.

Vorabinformationen

SKU/Abonnement-Lizenzierung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Berechtigungen

Das Konto, das Sie zum Erstellen und Bereitstellen von Richtlinien verwenden, muss Mitglied einer der folgenden Rollengruppen sein:

  • Compliance-Administrator
  • Compliancedatenadministrator
  • Informationsschutz
  • Information Protection-Administrator
  • Sicherheitsadministrator

Wichtig

Lesen Sie Verwaltungseinheiten , bevor Sie beginnen, um sicherzustellen, dass Sie den Unterschied zwischen einem uneingeschränkten Administrator und einem Administrator mit eingeschränkten Verwaltungseinheiten verstehen.

Differenzierte Rollen und Rollengruppen

Es gibt mehrere Rollen und Rollengruppen, mit denen Sie Ihre Zugriffssteuerungen optimieren können.

Hier ist eine Liste der anwendbaren Rollen. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • DLP-Complianceverwaltung
  • Information Protection-Administrator
  • Information Protection-Analyst
  • Information Protection-Ermittler
  • Information Protection-Leser

Hier finden Sie eine Liste der anwendbaren Rollengruppen. Weitere Informationen hierzu finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

  • Informationsschutz
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Voraussetzungen und Annahmen

In Outlook für Microsoft 365 zeigt ein Popupfenster zum Überfreigaben ein Popupfenster an, bevor eine Nachricht gesendet wird. Um diese Popups zu aktivieren, legen Sie zuerst den Bereich Ihrer Richtlinie auf den Exchange-Speicherort fest, und wählen Sie dann die Option Richtlinientipp als Dialogfeld für den Benutzer vor dem Senden anzeigen im Richtlinientipp aus, wenn Sie eine DLP-Regel für diese Richtlinie erstellen.

In unserem Beispielszenario wird die Vertraulichkeitsbezeichnung Streng vertraulich verwendet. Daher müssen Sie Vertraulichkeitsbezeichnungen erstellt und veröffentlicht haben. Weitere Informationen finden Sie unter:

In diesem Verfahren wird contoso.com verwendet. eine hypothetische Unternehmensdomäne.

Richtlinienabsicht und -zuordnung

In diesem Beispiel lautet die Richtlinienabsichtsanweisung wie folgt:

Wir müssen E-Mails an alle Empfänger mit der Vertraulichkeitsbezeichnung "streng vertraulich" blockieren, es sei denn, die Empfängerdomäne ist contoso.com. Wir möchten den Benutzer mit einem Popupdialog benachrichtigen, wenn er die E-Mail sendet. Es kann keinem Benutzer gestattet werden, den Block außer Kraft zu setzen.

Anweisung Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir müssen E-Mails an alle Empfänger blockieren..." - Überwachungsort: Exchange-Verwaltungsbereich-
: Vollständiges Verzeichnis-
Aktion: Zugriff einschränken oder Inhalte an Microsoft 365-Speicherorten > verschlüsseln Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien > Blockieren aller Benutzer
"... bei denen die Vertraulichkeitsbezeichnung "streng vertraulich" angewendet wurde..." - Zu überwachende Elemente: Verwenden Sie die Bedingungen der benutzerdefinierten Vorlage
- für eine Übereinstimmung: Bearbeiten Sie sie, um die Vertraulichkeitsbezeichnung "Streng vertraulich " hinzuzufügen.
"... es sei denn..." Konfiguration der Bedingungsgruppe : Erstellen einer geschachtelten booleschen NOT-Bedingungsgruppe, die mit den ersten Bedingungen verknüpft ist, mithilfe eines booleschen AND
"... die Empfängerdomäne ist contoso.com." Bedingung für Übereinstimmung: Empfängerdomäne ist
"... Benachrichtigen..." Benutzerbenachrichtigungen: aktiviert
"... der Benutzer mit einem Popupdialog, wenn er sendet..." Richtlinientipps: Ausgewählter
- Richtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen: ausgewählt
"... Es kann keinem Benutzer gestattet werden, den Block außer Kraft zu setzen... Außerkraftsetzungen von M365-Diensten zulassen: nicht ausgewählt

Zum Konfigurieren von Popups für die Überteilung mit Standardtext muss die DLP-Regel die folgenden Bedingungen enthalten:

  • Inhalt enthält>Vertraulichkeitsbezeichnungen>Wählen Sie Ihre Vertraulichkeitsbezeichnung(en) aus.

und mindestens eine der folgenden empfängerbasierten Bedingungen

  • Empfänger lautet
  • Empfänger ist Mitglied von
  • Empfängerdomäne lautet

Wenn diese Bedingungen erfüllt sind, zeigt der Richtlinientipp nicht vertrauenswürdige Empfänger an, während der Benutzer die E-Mail in Outlook schreibt, bevor er sie sendet.

Schritte zum Konfigurieren von "Wait On Send"

Optional können Sie den dlpwaitonsendtimeout-Registrierungsschlüssel (Wert in dword) auf allen Geräten festlegen, auf denen Sie "wait on send" für Oversharing-Popups implementieren möchten. Dieser Registrierungsschlüssel (RegKey) definiert die maximale Zeitspanne für die E-Mail, wenn ein Benutzer Senden auswählt. Dadurch kann das System die DLP-Richtlinienauswertung für bezeichnete oder vertrauliche Inhalte abschließen. Sie finden diesen RegKey unter:

*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*

Sie können diesen RegKey über eine Gruppenrichtlinie (Wartezeit zum Auswerten vertraulicher Inhalte angeben), ein Skript oder einen anderen Mechanismus zum Konfigurieren von Registrierungsschlüsseln festlegen.

Wenn Sie Gruppenrichtlinie verwenden, stellen Sie sicher, dass Sie die neueste Version der Gruppenrichtlinie administrativen Vorlagendateien für Microsoft 365 Apps for Enterprise heruntergeladen haben, und navigieren Sie dann unter Benutzerkonfiguration >> Administrative Vorlagen >> Microsoft Office 2016 >> zu dieser Einstellung. Sicherheitseinstellungen. Wenn Sie den Cloudrichtliniendienst für Microsoft 365 verwenden, suchen Sie nach der Einstellung anhand des Namens, um ihn zu konfigurieren.

Wenn dieser Wert festgelegt und die DLP-Richtlinie konfiguriert ist, werden E-Mail-Nachrichten vor dem Senden auf vertrauliche Informationen überprüft. Wenn eine Nachricht eine Übereinstimmung mit den in der Richtlinie definierten Bedingungen enthält, wird eine Richtlinientippbenachrichtigung angezeigt, bevor der Benutzer auf Senden klickt.

Mit diesem RegKey-Schlüssel können Sie das Wait-on-Send-Verhalten für Ihre Outlook-Clients angeben.

Die einzelnen Einstellungen bedeuten Folgendes:

Nicht konfiguriert oder Deaktiviert: Dies ist die Standardeinstellung. Wenn dlpwaitonsendtimeout nicht konfiguriert ist, wird die Nachricht nicht überprüft, bevor der Benutzer sie sendet. Die E-Mail-Nachricht wird sofort nach dem Klicken auf Senden gesendet. Der DLP-Datenklassifizierungsdienst wertet die Nachricht aus und wendet die in der DLP-Richtlinie definierten Aktionen an.

Aktiviert: Die E-Mail-Nachricht wird aktiviert, wenn auf Senden geklickt wird, aber bevor die Nachricht tatsächlich gesendet wird. Sie können ein Zeitlimit festlegen, wie lange auf den Abschluss der DLP-Richtlinienauswertung gewartet werden soll (T-Wert in Sekunden). Wenn die Richtlinienauswertung nicht in der angegebenen Zeit abgeschlossen wird, wird eine Schaltfläche Trotzdem senden angezeigt, mit der der Benutzer die Überprüfung vor dem Senden umgehen kann. Der T-Wertbereich beträgt 0 bis 9999 Sekunden.

Wichtig

Wenn der T-Wert größer als 9999 ist, wird er durch 10000 ersetzt, und die Schaltfläche Trotzdem senden wird nicht angezeigt. Dies hält die Nachricht bei, bis die Richtlinienauswertung abgeschlossen ist, und stellt dem Benutzer keine Außerkraftsetzungsoption zur Verfügung. Die Dauer der Auswertung kann abhängig von Faktoren wie Internetgeschwindigkeit, Inhaltslänge und der Anzahl der definierten Richtlinien variieren. Je nach den Richtlinien, die in ihrem Postfach bereitgestellt werden, werden einige Benutzer möglicherweise häufiger auf Richtlinienauswertungsnachrichten stoßen als andere.

Weitere Informationen zum Konfigurieren und Verwenden von Gruppenrichtlinienobjekten finden Sie unter Verwalten von Gruppenrichtlinie in einer Microsoft Entra Domain Services verwalteten Domäne.

Schritte zum Erstellen einer DLP-Richtlinie für ein Überfreigabe-Popup

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Anmelden beim Microsoft Purview-Portal>Richtlinienzur Verhinderung von Datenverlust>

  2. Wählen Sie + Richtlinie erstellen aus.

  3. Wählen Sie in der Liste Kategorien die Option Benutzerdefiniert aus.

  4. Wählen Sie in der Liste Vorschriften die Option Benutzerdefiniert aus.

  5. Geben Sie der Richtlinie einen Namen.

    Wichtig

    Richtlinien können nicht umbenannt werden.

  6. Geben Sie eine Beschreibung ein. Sie können hier die Richtlinienabsichtsanweisung verwenden.

  7. Wählen Sie Weiter aus.

  8. Wählen Sie unter Admin Einheitendie Option Vollständiges Verzeichnis aus.

  9. Wählen Sie nur den Exchange-E-Mail-Speicherort aus.

  10. Wählen Sie Weiter aus.

  11. Wählen Sie auf der Seite Richtlinieneinstellungen definieren die Option Erweiterte DLP-Regeln erstellen oder anpassen aus.

  12. Die Option Erweiterte DLP-Regeln erstellen oder anpassen sollte bereits ausgewählt sein.

  13. Wählen Sie Weiter aus.

  14. Wählen Sie Regel erstellen aus. Benennen Sie die Regel, und geben Sie eine Beschreibung an.

  15. Wählen Sie Bedingung> hinzufügenInhalt enthält>>Vertraulichkeitsbezeichnungen>hinzufügen Streng vertraulich aus. Wählen Sie Hinzufügen aus.

  16. Wählen Sie Gruppe> hinzufügenUND>NICHT>Bedingung hinzufügen aus.

  17. Wählen Sie Empfängerdomäne ist>contoso.com aus. Wählen Sie Hinzufügen aus.

    Tipp

    Sie können auch Empfänger ist oder Empfänger ist Mitglied von anstelle vonEmpfängerdomäne ist verwenden, um ein Popupfenster für die Überteilung auszulösen.

  18. Wählen Sie Aktion> hinzufügenZugriff einschränken oder Inhalte an Microsoft 365-Speicherorten verschlüsseln aus.

  19. Wählen Sie Benutzer am Empfangen von E-Mails oder zugriff auf freigegebene SharePoint-, OneDrive- und Teams-Dateien und Power BI-Elemente blockieren aus.

  20. Wählen Sie Alle blockieren aus.

  21. Legen Sie die Umschaltfläche Benutzerbenachrichtigungen auf Ein fest.

  22. Wählen Sie Richtlinientipps> DenRichtlinientipp als Dialogfeld für den Endbenutzer vor dem Senden anzeigen (nur für Exchange-Workload verfügbar) aus.

  23. Wenn bereits ausgewählt, deaktivieren Sie die Option Außerkraftsetzung von M365-Diensten zulassen .

  24. Wählen Sie Speichern aus.

  25. Ändern Sie die Umschaltfläche Status in Ein , und wählen Sie dann Weiter aus.

  26. Wählen Sie auf der Seite Richtlinienmodusdie Option Richtlinie im Testmodus ausführen aus, und aktivieren Sie das Kontrollkästchen für die Option Richtlinientipps im Simulationsmodus anzeigen .

  27. Wählen Sie Weiter und dann Absenden aus.

  28. Klicken Sie auf Fertig.

PowerShell-Schritte zum Erstellen einer Richtlinie

DLP-Richtlinien und -Regeln können auch in PowerShell konfiguriert werden. Zum Konfigurieren von Popups mit PowerShell erstellen Sie zuerst eine DLP-Richtlinie (mithilfe von PowerShell) und fügen DLP-Regeln für jeden Warn-, Rechtfertigungs- oder Block-Popuptyp hinzu.

Sie konfigurieren und legen die DLP-Richtlinie mithilfe von New-DlpCompliancePolicy fest. Anschließend konfigurieren Sie jede Überschreitungsregel mit New-DlpComplianceRule.

Verwenden Sie den folgenden Codeausschnitt, um eine neue DLP-Richtlinie für das Popupszenario "Oversharing" zu konfigurieren:

PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All

Diese DLP-Beispielrichtlinie ist auf alle Benutzer in Ihrem organization. Legen Sie ihre DLP-Richtlinien mithilfe von -ExchangeSenderMemberOf und fest -ExchangeSenderMemberOfException.

Parameter Konfiguration
-ContentContainsSensitiveInformation Konfiguriert mindestens eine Vertraulichkeitsbezeichnungsbedingung. Dieses Beispiel enthält ein Beispiel. Mindestens eine Bezeichnung ist obligatorisch.
-ExceptIfRecipientDomainIs Liste der vertrauenswürdigen Domänen.
-NotifyAllowOverride "WithJustification" aktiviert Die Optionsfelder "OhneJustification" deaktiviert sie.
-NotifyOverrideRequirements "WithAcknowledgement" aktiviert die neue Bestätigungsoption. Dies ist optional.

Führen Sie den folgenden PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Warn-Popupfensters mit vertrauenswürdigen Domänen zu konfigurieren:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Führen Sie den folgenden PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Popupfensters mit vertrauenswürdigen Domänen zu konfigurieren:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"

Führen Sie den folgenden PowerShell-Code aus, um eine neue DLP-Regel zum Generieren eines Block-Popups mithilfe vertrauenswürdiger Domänen zu konfigurieren:

PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")

Verwenden Sie diese Verfahren, um auf den X-Header zur Geschäftlichen Begründung zuzugreifen.

Siehe auch