Freigeben über

Konfigurieren von Microsoft Purview für Zero Trust: Schützen von Daten

Der Schutz der Daten Ihrer organization bedeutet, dass verschlüsselte Inhalte sicher zu und von autorisierten Benutzern innerhalb und außerhalb Ihrer organization übertragen werden können. Falsch konfigurierte Einstellungen können die legitime Zusammenarbeit an geschützten Inhalten im Hintergrund blockieren, sodass Benutzer keine verschlüsselten Dateien oder E-Mails von externen Partnern öffnen können.

Zero Trust Sicherheitsempfehlungen

Konfigurieren sie mandantenübergreifende Zugriffseinstellungen, um verschlüsselte Inhaltsfreigaben zuzulassen

Wenn Ihre Benutzer verschlüsselte Dateien oder E-Mails für Personen außerhalb Ihrer organization freigeben oder verschlüsselte Inhalte von Partnern erhalten, müssen Microsoft Entra ID Identitäten auf beiden Seiten des Sendens und Empfangens überprüfen, um die Verschlüsselung zu erzwingen. Wenn Ihre mandantenübergreifenden Zugriffseinstellungen die Rights Management-App blockieren, sehen diese Benutzer den Fehler "Der Zugriff wird von Ihrem organization blockiert" und können den geschützten Inhalt nicht öffnen.

Lassen Sie die Microsoft Rights Management Services-App über Ihre mandantenübergreifenden Zugriffseinstellungen sowohl für eingehenden Datenverkehr (externe Benutzer öffnen Inhalte, die Sie freigeben) als auch für ausgehenden Datenverkehr (Ihre Benutzer öffnen Inhalte von Partnern) zu. Ohne dies unterbricht die verschlüsselte Inhaltsfreigabe, auch wenn die richtigen Berechtigungen zugewiesen sind.

Wartungsaktion

Azure Rights Management-Lizenzierung ist aktiviert

Azure Rights Management Service (RMS) ist die grundlegende Verschlüsselungs- und Zugriffssteuerungstechnologie, die Microsoft Purview Information Protection verwendet. Ohne dies kann Ihr organization keine Vertraulichkeitsbezeichnungen mit Verschlüsselung verwenden, E-Mails mit Microsoft Purview-Nachrichtenverschlüsselung schützen, IRM-Richtlinien auf SharePoint oder OneDrive erzwingen oder Rechteschutz über Nachrichtenflussregeln anwenden. Aktivieren Sie Azure RMS auf Mandantenebene, bevor Sie andere Information Protection-Features konfigurieren.

Wartungsaktion

Interne Rights Management-Lizenzierung ist aktiviert

Die interne RMS-Lizenzierung ermöglicht Benutzern und Diensten im organization, geschützte Inhalte für die interne Verteilung und Freigabe zu lizenzieren. Sie wird automatisch aktiviert, wenn Azure RMS aktiviert wird. Wenn diese Option deaktiviert ist, können Benutzer nicht intern an verschlüsselten E-Mails und Dateien zusammenarbeiten, und gesetzliche Aufbewahrungs-, eDiscovery- und Datenwiederherstellungsvorgänge können nicht auf verschlüsselte Inhalte zugreifen.

Wartungsaktion

Die Superbenutzermitgliedschaft ist für Microsoft Purview Information Protection konfiguriert.

Das Superuser-Feature des Azure Rights Management-Diensts gewährt bestimmten Konten die Möglichkeit, alle durch den organization geschützten Inhalte zu entschlüsseln, unabhängig von den ursprünglich zugewiesenen Berechtigungen. Superuser ermöglichen eDiscovery, Datenwiederherstellung, Konformitätsuntersuchungen und Inhaltsmigration. Ohne diese Konfiguration kann auf verschlüsselte Inhalte dauerhaft nicht zugegriffen werden, wenn Rechteinhaber nicht verfügbar sind.

Die Mitgliedschaft muss sorgfältig kontrolliert und auf Dienstkonten beschränkt werden, die von Compliancetools oder eDiscovery-Plattformen verwendet werden. Microsoft empfiehlt, das Feature standardmäßig deaktiviert zu lassen und es nur über Microsoft Entra Privileged Identity Management (PIM) für just-in-time-Zugriff zu aktivieren.

Wartungsaktion

Bedarfsgesteuerte Überprüfungen sind für die Ermittlung vertraulicher Informationen konfiguriert.

Richtlinien für automatische Bezeichnungen klassifizieren nur neue und geänderte Inhalte. Vorhandene Dateien und E-Mails bleiben nicht klassifiziert und für DLP-Richtlinien unsichtbar, die von der Bezeichnungserkennung abhängen. Bei bedarfsgesteuerten Scans können Sie die Erkennung vertraulicher Informationstypen an bestimmten Orten manuell auslösen, um historische Inhalte zu ermitteln und rückwirkend zu klassifizieren, sodass Sie eine vollständige Übersicht über Ihren Informationsschutzstatus erhalten, anstatt eine zukunftsorientierte Abdeckung zu erhalten.

Wartungsaktion

OCR ist für die Erkennung vertraulicher Informationen aktiviert.

OCR (optische Zeichenerkennung) erweitert die Erkennung vertraulicher Informationen und trainierbarer Klassifizierer auf Bilder in Exchange, SharePoint, OneDrive, Teams und Endpunktgeräten. Ohne OCR können DLP-Richtlinien und Richtlinien für automatische Bezeichnungen keine bildbasierten Inhalte, gescannten Dokumente, Screenshots und Rechnungen scannen, sodass vertrauliche Daten in Bildern nicht geschützt bleiben. OCR erfordert Azure abrechnungsbasierte Bezahlung für Microsoft Syntex und ist auf Mandantenebene konfiguriert.

Wartungsaktion

Benutzerdefinierte Typen vertraulicher Informationen sind konfiguriert

Benutzerdefinierte Typen vertraulicher Informationen (SITs) erweitern die integrierte Erkennung von Microsoft Purview, um organization spezifische Datenmuster, proprietäre Bezeichner, interne Klassifizierungsschemas, spezielle Branchencodes oder andere Formate abzudecken, die nicht mit integrierten SITs übereinstimmen. Ohne benutzerdefinierte SITs basieren Richtlinien für automatische Bezeichnungen und DLP-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) ausschließlich auf generischen Mustern und könnten vertrauliche Daten verpassen, die für Ihre organization eindeutig sind.

Wartungsaktion

Die genaue Datengleichung ist für die Erkennung vertraulicher Informationen konfiguriert.

Exact Data Match (EDM) ist ein erweiterter vertraulicher Informationstyp, der organization spezifische Daten erkennt, indem genaue Werte mit einer hochgeladenen Verweisdatenbank abgeglichen werden. Im Gegensatz zu musterbasierten Typen vertraulicher Informationen (SITs), die gängige Formate erkennen, identifiziert EDM Dinge wie Kundenlisten, Mitarbeiter-IDs oder proprietäre Codes, die für Ihre organization eindeutig sind. Ohne EDM können Richtlinien für automatische Bezeichnungen und DLP-Regeln diese proprietären Daten nicht erkennen, sodass sie gefährdet sind.

Wartungsaktion

Vertrauliche Informationstypen für benannte Entitäten werden in Richtlinien zur automatischen Bezeichnung und zur Verhinderung von Datenverlust verwendet.

Typen vertraulicher Informationen (Named Entity Sensitive Information Types, SITs) sind vordefinierte Microsoft-Klassifizierer, die häufig verwendete vertrauliche Entitäten wie Namen, physische Adressen und medizinische Terminologie erkennen. Sie erweitern den Datenschutz über den Musterabgleich hinaus auf kontextbezogene Klassifizierung und können ohne benutzerdefinierte Entwicklung in Richtlinien für automatische Bezeichnungen und DLP-Regeln verwendet werden.

Wartungsaktion

Trainierbare Klassifizierer werden in Richtlinien zur Verhinderung von Datenverlust und zur automatischen Bezeichnung verwendet.

Trainierbare Klassifizierer sind auf maschinellem Lernen basierende Klassifizierer, die Inhalte anhand von Bedeutung und Kontext anstelle von festen Mustern erkennen. Im Gegensatz zu vertraulichen Informationstypen, die vordefinierten Formaten entsprechen, können trainierbare Klassifizierer unstrukturierte Inhalte wie strategische Pläne, Finanzberichte oder Personaldokumente identifizieren. Die Verwendung trainierbarer Klassifizierer in Richtlinien für automatische Bezeichnungen und DLP-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) erweitert den Schutz auf vertrauliche Geschäftsinhalte, die von musterbasierten Regeln nicht zuverlässig erfasst werden können.

Wartungsaktion

Purview-Überwachungsprotokollierung ist aktiviert

Purview-Überwachungsprotokollierungsprotokolle, wer auf vertrauliche Daten zugegriffen hat, wann Richtlinienverstöße aufgetreten sind und welche administrativen Aktionen in Microsoft 365 ausgeführt wurden. Wenn Überwachungsprotokolle verfügbar sind, können Sicherheitsteams Incidents untersuchen, eDiscovery durchführen, Insider-Bedrohungen erkennen und Prüfern und Aufsichtsbehörden Kontrollen vorführen.

Ohne aktivierte Überwachungsprotokollierung können Bedrohungsakteure häufig unentdeckt agieren, und die Reaktion auf Vorfälle wird aufgrund fehlender Beweise unmöglich. Organisationen, die die Überwachungsprotokollierung nicht aktivieren, riskieren auch eine Nichtkonformität mit gesetzlichen Anforderungen, die die Aktivitätsprotokollierung für vertrauliche Vorgänge vorgeschrieben.

Wartungsaktion

Vertraulichkeitsbezeichnungen sind konfiguriert

Vertraulichkeitsbezeichnungen sind die Grundlage für Microsoft Purview Information Protection. Sie ermöglichen Es Organisationen, vertrauliche Daten über Microsoft 365, lokale Standorte und Nicht-Microsoft-Anwendungen hinweg zu klassifizieren und zu schützen.

Ohne Vertraulichkeitsbezeichnungen fehlt es Organisationen an einer standardisierten Methode zum Schutz vertraulicher Daten, sodass sie anfällig für unbefugten Zugriff und unbefugte Freigabe sind. Eine gut entworfene Bezeichnungstaxonomie umfasst in der Regel 3-7 Bezeichnungen der obersten Ebene – zu viele Bezeichnungen überfordern Benutzer und verringern die Effektivität.

Wartungsaktion

Die globale Veröffentlichung von zu vielen Bezeichnungen führt zu Verwirrung und Entscheidungslähmung für Benutzer, wodurch die Akzeptanz reduziert und die Fehlklassifizierung erhöht wird. Wenn Benutzer mit mehr als 25 Bezeichnungen konfrontiert sind, haben sie Schwierigkeiten, die entsprechende Klassifizierung zu identifizieren, was zu falschen Bezeichnungen führt oder das Feature vollständig vermeidet.

Microsoft empfiehlt nicht mehr als 25 Bezeichnungen in globalen Richtlinien, idealerweise als fünf übergeordnete Bezeichnungen mit jeweils bis zu fünf Untergeordneten Bezeichnungen organisiert. Verwenden Sie bereichsbezogene Richtlinien, um spezielle Bezeichnungen nur für bestimmte Benutzer, Gruppen oder Abteilungen zu veröffentlichen, wobei sich der globale Bezeichnungssatz auf gängige Szenarien konzentriert.

Wartungsaktion

Vertraulichkeitsbezeichnungen mit Verschlüsselung sind konfiguriert

Ohne Verschlüsselung klassifizieren Vertraulichkeitsbezeichnungen Inhalte nur als vertraulich, ohne nicht autorisierten Zugriff zu verhindern. Verschlüsselungsfähige Bezeichnungen wenden Azure Rights Management-Schutz an, der Zugriffssteuerungen erzwingt und sicherstellt, dass der Schutz unabhängig davon, wo Inhalte gespeichert oder freigegeben werden, erhalten bleibt. Beispielsweise können Benutzer weiterhin vertrauliche Dokumente an nicht autorisierte Empfänger weiterleiten, es sei denn, die Verschlüsselung schränkt den Dateizugriff basierend auf der Identität ein.

Organisationen, die Bezeichnungen ohne Verschlüsselung verwenden, erhalten Sichtbarkeit, aber es fehlt an technischer Durchsetzung. Verschlüsselte Bezeichnungen stellen sicher, dass nur autorisierte Benutzer Inhalte entschlüsseln können, wodurch die Datenexfiltration auch dann verhindert wird, wenn Dateien kompromittiert oder nicht ordnungsgemäß freigegeben werden. Für hochwertige Daten, die über die Klassifizierung hinaus geschützt werden müssen, sollte mindestens eine verschlüsselungsfähige Bezeichnung vorhanden sein.

Wartungsaktion

Doppelschlüsselverschlüsselungsbezeichnungen sind konfiguriert

Double Key Encryption (DKE) bietet eine zusätzliche Schutzebene für hochsensible Daten, da zwei Schlüssel zum Entschlüsseln von Inhalten erforderlich sind: einer von Microsoft und einer vom Kunden verwaltet. Dieser "Hold-Your-Own-Key"-Ansatz stellt sicher, dass Microsoft Inhalte nicht entschlüsseln kann, auch wenn es gesetzlich vorgeschrieben ist, und erfüllt strenge gesetzliche Anforderungen für die Datenhoheit.

Dke führt jedoch zu einer erheblichen Betrieblichen Komplexität, einschließlich der Infrastruktur für dedizierte Schlüsseldienste, einer geringeren Featurekompatibilität und einem höheren Supportaufwand. Organisationen sollten 1-3 Bezeichnungen verwalten, die für wirklich unternehmenskritische oder stark regulierte Daten reserviert sind, mit dokumentierter geschäftlicher Begründung für jede DKE-Bezeichnung. Verwenden Sie die Standardverschlüsselung für allgemeine Geschäftsinhalte. Übermäßige DKE-Bezeichnungen (4 oder mehr) führen zu Verwaltungsaufwand, Benutzerverwechslungen und reduzieren die Zusammenarbeit. DKE sollte niemals allgemein bereitgestellt werden, da die Nichtverfügbarkeit wichtiger Dienste den Zugriff auf unternehmenskritische Dokumente verhindert.

Wartungsaktion

Die gemeinsame Dokumenterstellung ist für verschlüsselte Dokumente aktiviert.

Wenn die gemeinsame Dokumenterstellung für Dokumente deaktiviert ist, die durch Vertraulichkeitsbezeichnungen mit Verschlüsselung geschützt sind, kann nur eine Person die Datei gleichzeitig bearbeiten. Dies zwingt Teams, in einem langsamen, schrittweisen Prozess zu arbeiten, der die Zusammenarbeit erschwert und den Projektabschluss verzögert. Diese Einschränkung ist besonders schwierig für Gruppen, die an sensiblen Projekten arbeiten, die eine Verschlüsselung für den Datenschutz erfordern, aber auch effizient zusammenarbeiten müssen.

Wenn Sie die gemeinsame Dokumenterstellung für verschlüsselte Dokumente aktivieren, können mehrere autorisierte Benutzer die Datei gleichzeitig bearbeiten. Diese Änderung beseitigt die durch die Verschlüsselung verursachte Verlangsamung und ermöglicht teams die Zusammenarbeit ohne Einbußen bei der Sicherheit.

Wartungsaktion

Containerbezeichnungen werden für Teams, Gruppen und Websites konfiguriert.

Containerbezeichnungen erweitern die Vertraulichkeitsklassifizierung über einzelne Dateien hinaus auf ganze Arbeitsbereiche für die Zusammenarbeit wie Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites. Diese Bezeichnungen steuern Einstellungen auf Arbeitsbereichsebene wie externe Freigabe, Gastzugriff, Geräteeinschränkungen und Datenschutz.

Ohne Containerbezeichnungen können Benutzer Teams mit externem Gastzugriff erstellen, auch wenn vertrauliche Informationen verarbeitet werden, wodurch Risiken für die Datenexfiltration entstehen, wenn ordnungsgemäß bezeichnete Dokumente in nicht ordnungsgemäß geschützten Arbeitsbereichen vorhanden sind. Containerbezeichnungen stellen sicher, dass die Arbeitsbereichssicherheit der Vertraulichkeit von gespeicherten Inhalten entspricht, und verhindern, dass "streng vertraulich" Dokumente in Teams gespeichert werden, die externe Freigaben ermöglichen.

Wartungsaktion

Vertraulichkeitsbezeichnungen sind in SharePoint Online aktiviert

Wenn die Integration von Vertraulichkeitsbezeichnungen in SharePoint deaktiviert ist, können Dateien in SharePoint und OneDrive nicht beschriftet werden und keine vorhandenen Bezeichnungen anzeigen. Diese Schutzlücke macht vertrauliche Dateien unklassifiziert und unverschlüsselt und anfällig für nicht autorisierten Zugriff und externe Freigabe.

Durch das Aktivieren von Vertraulichkeitsbezeichnungen in SharePoint Online können Benutzer Bezeichnungen über Office für das Web anwenden, und richtlinien für automatische Bezeichnungen können Dateien automatisch klassifizieren, wodurch Microsoft Purview Information Protection auf SharePoint und OneDrive erweitert werden.

Wartungsaktion

PDF-Bezeichnung ist in SharePoint Online aktiviert

Wenn die PDF-Bezeichnung in SharePoint deaktiviert ist, können PDF-Dateien nicht beschriftet werden oder vorhandene Bezeichnungen anzeigen, wodurch eine Schutzlücke entsteht. Im Gegensatz zu Office-Dateien können PDF-Dateien extern ohne sichtbare Klassifizierungsmarker zirkulieren, sodass Empfänger die Verarbeitungsanforderungen oder DLP-Richtlinien (Data Loss Prevention) nicht ermitteln können, um vertrauliche Inhalte zu erkennen.

Durch die Aktivierung von PDF-Bezeichnungen in SharePoint Online wird die Unterstützung von Vertraulichkeitsbezeichnungen auf PDF-Dateien erweitert, sodass Benutzer Bezeichnungen über Office für das Web anwenden und richtlinien für die automatische Bezeichnung aktivieren können, um PDF-Inhalte automatisch zu klassifizieren.

Wartungsaktion

Vertraulichkeitsbezeichnungsrichtlinien werden für Benutzer veröffentlicht.

Bezeichnungen müssen über Bezeichnungsrichtlinien veröffentlicht werden, bevor Benutzer sie auf Inhalte anwenden können. Bezeichnungsrichtlinien definieren, welche Benutzer welche Bezeichnungen erhalten, legen standardbeschriftungsverhalten fest und erzwingen obligatorische Bezeichnungsanforderungen. Ohne veröffentlichte Richtlinien bleiben Vertraulichkeitsbezeichnungen für Benutzer nicht verfügbar.

Wartungsaktion

Eine Standard-Vertraulichkeitsbezeichnung wird in Bezeichnungsrichtlinien konfiguriert.

Ohne Standardbezeichnungen müssen Benutzer aktiv eine Bezeichnung für jedes element auswählen, das sie erstellen, wodurch die Reibung und inkonsistente Bezeichnungen erhöht werden. Standardbezeichnungen bieten eine Baselineklassifizierung, die bei Bedarf überschrieben werden kann, wodurch die Entscheidungsermüdung verringert und sichergestellt wird, dass inhalte mindestens eine Mindestklassifizierung aufweisen.

Ohne Standardbezeichnungen können nicht klassifizierte Inhalte DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) umgehen, die auf der Bezeichnungserkennung basieren. Für unterschiedliche Workloads sollten jeweils entsprechende Standardbezeichnungen konfiguriert sein.

Wartungsaktion

Die obligatorische Bezeichnung ist in Vertraulichkeitsbezeichnungsrichtlinien aktiviert.

Ohne obligatorische Bezeichnung können Benutzer nicht klassifizierte Inhalte freigeben, wodurch Sicherheits- und Compliancerisiken entstehen. Bedrohungsakteure können vertrauliche Daten ohne Klassifizierungsmetadaten exfiltrieren, um Schutzrichtlinien auszulösen.

Wenn DLP-Richtlinien auf der Bezeichnungserkennung basieren, umgehen nicht klassifizierte Daten diese Steuerelemente vollständig. Organisationen sollten die obligatorische Bezeichnung für alle Workloads aktivieren, um sicherzustellen, dass Kommunikation, Dokumente und Analyseinhalte vor der Freigabe klassifiziert werden.

Wartungsaktion

Benutzer müssen eine Begründung für das Herabstufen von Vertraulichkeitsbezeichnungen angeben.

Ohne Begründungsanforderungen können Benutzer Bezeichnungen im Hintergrund herabstufen, ohne einen Überwachungspfad zu erstellen, wodurch ein Konformitätsrisiko entsteht. Wenn ein Benutzer beispielsweise eine Bezeichnung "Vertraulich" entfernt und durch "Intern" ersetzt, sollten Organisationen eine explizite Begründung anfordern.

Ohne diese Kontrolle könnten kompromittierte Konten oder ausscheidende Mitarbeiter Bezeichnungen herabstufen, um die Datenexfiltration zu ermöglichen. Die Downgrade-Begründung ist ein einfaches Steuerelement, das die Verantwortlichkeit erhöht, ohne sich auf Benutzerworkflows zu auswirken.

Wartungsaktion

Email Bezeichnungsrichtlinien erben Vertraulichkeit von Anlagen

Wenn Benutzer vertrauliche Dokumente an E-Mails anfügen, sollte die E-Mail die höchste Klassifizierung von Anlagen erben, um einen konsistenten Schutz zu gewährleisten. Wenn diese Richtlinie nicht aktiviert ist, können Benutzer E-Mails ohne Bezeichnung senden, die vertrauliche Anlagen enthalten, wodurch ein Konflikt zwischen der Klassifizierung der E-Mail und ihrem tatsächlichen Inhalt entsteht.

Email Bezeichnungsvererbung wird automatisch die Bezeichnung der Anlage oder die Bezeichnung mit der höchsten Priorität angewendet, wenn mehrere Anlagen auf die E-Mail-Nachricht vorhanden sind, um sicherzustellen, dass die Schutzebenen übereinstimmen und versehentliche Datenexposition verhindert wird.

Wartungsaktion

Standardmäßige Vertraulichkeitsbezeichnungen sind für SharePoint-Dokumentbibliotheken aktiviert.

Wenn Standard-Vertraulichkeitsbezeichnungen für SharePoint-Bibliotheken deaktiviert sind, muss jede hochgeladene Datei manuell klassifiziert werden. Dies führt häufig dazu, dass Dateien inkonsistent beschriftet oder ohne Bezeichnung gelassen werden, insbesondere während der schnellen Dateierstellung oder beim Hochladen von Dateien durch Gäste oder durch automatisierte Prozesse. Ohne automatische Bezeichnung können wichtige Dateien den Schutz umgehen und anfällig bleiben.

Durch Aktivieren von Standardmäßigen Vertraulichkeitsbezeichnungen für SharePoint-Bibliotheken können Websiteadministratoren die automatische Baselinebezeichnung für alle Dateien einrichten, die in bestimmte Bibliotheken hochgeladen wurden. Dadurch wird ein konsistenter Schutz für jede Datei sichergestellt, während die Benutzer bei Bedarf Bezeichnungen mit höherer Vertraulichkeit anwenden können.

Wartungsaktion

Richtlinien für automatische Bezeichnungen werden für alle Workloads konfiguriert.

Ohne Richtlinien für automatische Bezeichnungen verlassen sich Organisationen auf die manuelle Klassifizierung, die inkonsistent sein kann. People erkennen möglicherweise nicht immer, was als vertrauliche Daten zählt, oder vergessen möglicherweise, Informationen während ihrer täglichen Aufgaben zu bezeichnen. Dies führt zu Lücken in der Klassifizierung, sodass vertrauliche Inhalte ohne ordnungsgemäße Bezeichnungen oder Schutz durch Microsoft 365-Anwendungen verschoben werden können.

Durch das Einrichten von mindestens einer Richtlinie für automatische Bezeichnungen wird sichergestellt, dass vertrauliche Inhalte automatisch gefunden und bezeichnet werden, unabhängig davon, welche Aktionen die Personen ergreifen. Dies unterstützt Datenschutzfeatures wie DLP-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) und Zugriffseinschränkungen.

Wartungsaktion

Richtlinien für automatische Bezeichnungen befinden sich im Erzwingungsmodus

Wenn Richtlinien für automatische Bezeichnungen im Simulationsmodus verbleiben, erhalten Organisationen keinen wirklichen Schutz, da Inhalte nie tatsächlich bezeichnet werden. Vertrauliche Daten zirkulieren weiterhin ohne Klassifizierung, sodass DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) keine Informationen mit hohem Risiko erkennen und schützen können.

Um sicherzustellen, dass vertrauliche Informationen automatisch bezeichnet werden, muss mindestens eine Richtlinie für die automatische Bezeichnung aktiviert werden. Die Aktivierung von Richtlinien nach dem Simulationstest setzt Schutzmaßnahmen in Kraft und beginnt mit der Risikoreduzierung.

Wartungsaktion

Richtlinien für die automatische Bezeichnung sind für SharePoint und OneDrive aktiviert.

Wenn die automatische Bezeichnung für SharePoint und OneDrive nicht eingerichtet ist, sind Dateien, die ohne Vertraulichkeitsbezeichnungen hochgeladen wurden, für DLP-Richtlinien (Data Loss Protection), die auf Bezeichnungen basieren, möglicherweise nicht sichtbar. Daher können diese Dateien mit weniger Sicherheitsvorkehrungen durch die Umgebung verschoben werden, was das Risiko einer unangemessenen Freigabe oder des unangemessenen Zugriffs erhöhen kann.

Wenn Sie beispielsweise mindestens eine Richtlinie für automatische Bezeichnungen im Erzwingungsmodus für SharePoint und OneDrive aktivieren, können Sie vertrauliche Dateien klassifizieren, wenn Benutzer sie erstellen oder bearbeiten. Die Automatische Bezeichnungsklassifizierung unterstützt nachgeschaltete Schutzmaßnahmen, z. B. DLP-Richtlinien, sodass sie basierend auf der Vertraulichkeit der Datei reagieren und das Risiko der Datengefährdung verringern können.

Wartungsaktion

Microsoft Purview-Nachrichtenverschlüsselung wird mit vereinfachtem Clientzugriff konfiguriert

Die Einstellung SimplifiedClientAccessEnabled steuert, ob die Schaltfläche Schützen in Outlook im Web angezeigt wird. Mit dieser Schaltfläche können Benutzer ihren E-Mails schnell Verschlüsselung hinzufügen. Wenn die Einstellung nicht aktiviert ist, können Benutzer die Schaltfläche Schützen nicht verwenden und müssen andere Möglichkeiten finden, ihre Nachrichten zu verschlüsseln.

Um diese Einstellung zu aktivieren, muss azureRMSLicensingEnabled ebenfalls aktiv sein. Azure Rights Management Service (Azure RMS) stellt die Verschlüsselungstechnologie bereit, die erforderlich ist, damit die Schaltfläche Schützen funktioniert.

Wartungsaktion

Benutzerdefinierte Brandingvorlagen werden für Microsoft Purview-Nachrichtenverschlüsselung konfiguriert

Wenn ein organization keine benutzerdefinierten Brandingvorlagen verwendet, können Personen außerhalb des Unternehmens, die verschlüsselte Nachrichten empfangen, ein generisches Microsoft-Portal sehen. Da das Portal die Identität des organization nicht widerspiegelt, können empfänger weniger sicher sein, woher die Nachricht stammt.

Mit benutzerdefinierten Brandingvorlagen können Organisationen ihr Logo, ihre Farben, Haftungsausschlüsse und Kontaktdetails zum Portal hinzufügen. Diese Elemente helfen empfängern, das Portal vertraut zu machen, und können vertrauen, wenn sie verschlüsselte Nachrichten anzeigen und mit ihnen interagieren.

Wartungsaktion

Email Aufbewahrungsrichtlinien sind konfiguriert

Ohne Aufbewahrungsrichtlinien bleiben E-Mails unbegrenzt in Benutzerpostfächern erhalten, wodurch eine Haftung für Verstöße gegen gesetzliche Bestimmungen (DSGVO, HIPAA, SOX), erhöhte eDiscovery-Kosten und unkontrollierte Speicherkosten entstehen.

Aufbewahrungsrichtlinien verwalten automatisch den E-Mail-Lebenszyklus, indem Nachrichten basierend auf Complianceanforderungen gelöscht, archiviert oder beibehalten werden, wodurch rechtliche Risiken reduziert und sichergestellt wird, dass gesetzliche Aufbewahrungspflichten erfüllt werden.

Wartungsaktion

E-Mail-Flussregeln wenden Den Schutz von Rechten auf vertrauliche Nachrichten an

Ohne Nachrichtenflussregeln sind Organisationen darauf angewiesen, dass Benutzer Vertraulichkeitsbezeichnungen manuell anwenden oder Nachrichten verschlüsseln. Dieser Ansatz kann zu Inkonsistenzen und Fehlern führen, was dazu führen kann, dass vertrauliche E-Mails ohne angemessenen Schutz gesendet werden und das Risiko nicht autorisierter Zugriffe und Datenexfiltration erhöhen.

Nachrichtenflussregeln helfen beim automatischen Hinzufügen von Verschlüsselung und Festlegen von Berechtigungen für E-Mails, die bestimmte Bedingungen erfüllen, z. B.:

  • E-Mails, die an Personen außerhalb des Unternehmens gesendet werden
  • E-Mail mit vertraulichen Informationen
  • E-Mails, die abteilungsbasierte Anforderungen erfüllen müssen
    Dadurch wird sichergestellt, dass wichtige Nachrichten geschützt werden, ohne dass Benutzer sie manuell schützen müssen.

Wartungsaktion

Richtlinien zur Verhinderung von Datenverlust sind aktiviert.

Ohne DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) können Mitarbeiter vertrauliche Informationen frei per E-Mail, Dateiuploads oder Microsoft Teams-Kommunikation freigeben, wodurch das Risiko von Datenschutzverletzungen und Verstößen gegen gesetzliche Bestimmungen erhöht wird.

DLP-Richtlinien überwachen, erkennen und verhindern die Offenlegung vertraulicher Informationen in Microsoft 365-Workloads und bieten automatisierten Schutz vor nicht autorisierter Datenexfiltration.

Wartungsaktion

Richtlinien zur Verhinderung von Datenverlust für Endpunkte sind konfiguriert

Ohne DLP-Richtlinien (Endpoint Data Loss Prevention) können Organisationen nur cloudbasierte Aktivitäten überwachen, sodass vertrauliche Daten verfügbar gemacht werden, wenn Benutzer von Geräten darauf zugreifen oder an:

  • USB-Laufwerke
  • Drucker
  • Externe Anwendungen
  • Wechselmedien

Endpunkt-DLP erweitert den Schutz von Cloudworkloads auf Benutzergeräte. Die Integration in Microsoft Defender for Endpoint ermöglicht Folgendes:

  • Überwachen von Datenverarbeitungsaktivitäten
  • Verhindern nicht autorisierter Datenexfiltration in Echtzeit

Wartungsaktion

Adaptiver Schutz ist in Richtlinien zur Verhinderung von Datenverlust aktiviert.

Adaptiver Schutz stellt sicher, dass Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) auf das Risikoprofil jedes Benutzers zugeschnitten sind, anstatt die gleichen Regeln auf alle anzuwenden. Ohne adaptiven Schutz verpassen Organisationen die Chance, Insider-Bedrohungen zu verhindern, da sie nicht auf Verhaltensindikatoren wie ungewöhnlichen Datenzugriff oder riskante Aktivitäten reagieren können.

Durch die Integration des Insider-Risikomanagements in DLP verwendet adaptiver Schutz maschinelles Lernen, um Benutzer als hohes, mittleres oder niedriges Risiko zu identifizieren. Dies ermöglicht adaptiver Schutz, automatisch strengere DLP-Kontrollen auf Personen mit höherem Risiko anzuwenden und gleichzeitig mehr Flexibilität für andere zu ermöglichen, ein Ansatz, der zum Schutz vertraulicher Daten beiträgt und die betriebliche Effizienz unterstützt.

Wartungsaktion

Die Verhinderung von Datenverlust im Browser ist für KI-Apps über Edge for Business aktiviert.

Browser-DLP-Richtlinien für KI-Apps tragen dazu bei, das Risiko zu verringern, dass vertrauliche Daten die organization über den Browser verlassen. Wenn diese Richtlinien nicht vorhanden sind, haben Kommunikationscompliance und cloudbasierte DLP-Steuerelemente möglicherweise eingeschränkten Einblick in die Interaktion von Benutzern mit KI-Diensten über Edge for Business. Browser-DLP bietet Schutz auf Browserebene und kann Organisationen dabei helfen, Datenschutzkontrollen anzuwenden, auch wenn der Zugriff auf einen KI-Dienst zulässig ist.

Benutzer können beispielsweise Dateien hochladen oder vertrauliche Informationen über Edge for Business in nicht verwaltete KI- oder Consumer-KI-Dienste einfügen. Browser-DLP kann jedoch dazu beitragen, diese Aktionen zum Zeitpunkt der Verwendung zu blockieren oder einzuschränken, wodurch die Wahrscheinlichkeit einer unkontrollierten Datenexposition verringert wird. Dieser Ansatz hilft dabei, Datenschutzpraktiken auf KI-Dienste auszudehnen, die außerhalb genehmigter oder verwalteter Plattformen liegen.

Wartungsaktion

Insider-Risikomanagement-Richtlinien sind für riskante KI-Nutzung aktiviert

Bis Organisationen Insider-Risikomanagement (IRM) mit adaptivem Schutz verwenden, können sie Insider-Bedrohungen, riskante Verhaltensweisen wie den Missbrauch des legitimen Zugriffs auf exfiltrierte Daten oder unsichere KI-Szenarien, in denen Benutzer vertrauliche Daten für große Sprachmodelle oder nicht autorisierte Cloud-KI-Dienste verfügbar machen, nicht erkennen.

IRM arbeitet mit Data Loss Prevention (DLP) zusammen, um Signale des Benutzerverhaltens mit inhaltsbasierten Regeln zu kombinieren, sodass Teams Risiken frühzeitig erkennen und reagieren können, bevor vertrauliche Daten verfügbar gemacht oder kompromittiert werden.

Wartungsaktion

Die Überwachung der Kommunikationskonformität ist für Microsoft Copilot

Bis Organisationen Kommunikationscompliancerichtlinien konfigurieren, um Copilot-Interaktionen zu erfassen, können sie nicht sehen, wann Benutzer vertrauliche Daten für KI-Dienste verfügbar machen. Sie können auch nicht erkennen, wie Personen Copilot mit vertraulichen Informationen verwenden oder mögliche Richtlinienverstöße erkennen. Daher können Benutzer unwissentlich Kundendaten, Finanzdaten, Quellcode oder Geschäftsgeheimnisse mit KI-Diensten teilen.

Kommunikationscompliance-Richtlinien, die sich auf Copilot-Interaktionen konzentrieren, bieten Organisationen eine klare Kontrolle über die VERWENDUNG von KI und achten gleichzeitig die Datenschutzkontrollen. Diese Richtlinien zeigen, wie Benutzer mit vertraulichen Daten in KI-Features arbeiten und sicherstellen, dass Teams Datengovernance- und Complianceanforderungen einhalten.

Wartungsaktion

Überwachung der Kommunikationskonformität ist für KI-Tools des Unternehmens konfiguriert

Sammlungsrichtlinien stellen die Datenerfassungsebene bereit, die die Überwachung der Aktivitäten von UNTERNEHMENS-KI-Apps unterstützt. Wenn diese Richtlinien vorhanden sind, kann Communication Compliance Signale von KI-App-Interaktionen sammeln und Organisationen dabei helfen, zu verstehen, wo Datenschutzrisiken in KI-fähigen Workflows bestehen können. Diese Sichtbarkeit hilft Teams, Datenschutzkontrollen konsistenter anzuwenden, wenn die KI-Nutzung über Microsoft Copilot hinausgeht.

In der Praxis geben Benutzer möglicherweise versehentlich vertrauliche Daten mit benutzerdefinierten KI-Anwendungen, Power Automate-Flows, AI Builder-Automatisierungen oder nicht Microsoft AI Diensten frei, die für die Verarbeitung vertraulicher Informationen nicht genehmigt sind. Richtlinien für die Kommunikationscompliance, die Ki-App-Interaktionen in Unternehmen abdecken, können jedoch dazu beitragen, eine potenzielle Datenexposition für diese Dienste zu erkennen und Datenschutzpraktiken auf benutzerdefinierte KI-Lösungen und KI-Lösungen von Drittanbietern auszudehnen.

Wartungsaktion

Verwandte Inhalte

  • Last updated on