Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Szenario wird gezeigt, wie Sie netzwerkbasierte Bedingungen in Microsoft Purview DLP verwenden, um unterschiedliche Schutzmaßnahmen anzuwenden, je nachdem, wo Benutzer auf vertrauliche Daten zugreifen. Durch das Definieren von VPN-Verbindungen und das Konfigurieren von Netzwerkausnahmen passt die Richtlinie Aktionen wie das Überwachen oder Blockieren von Aktivitäten der Zwischenablage basierend auf dem Netzwerkkontext an, wodurch eine präzisere Steuerung für hybride Arbeitsumgebungen ermöglicht wird, ohne die Benutzeraktivität einheitlich einzuschränken.
Dieses Szenario gilt für einen uneingeschränkten Administrator, der eine vollständige Verzeichnisrichtlinie erstellt.
Voraussetzungen und Annahmen
Dieses Szenario erfordert, dass Sie bereits über Geräte verfügen, die in den Aktivitäts-Explorer integriert sind und berichte. Wenn Sie noch keine Geräte eingebunden haben, lesen Sie Endpunkt-DLP – Erste Schritte.
In diesem Szenario definieren wir eine Liste von VPNs, die Hybrid Worker für den Zugriff auf organization Ressourcen verwenden.
In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, erläutert, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.
Wichtig
In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.
Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.
In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:
- Weitere Informationen zu Vertraulichkeitsbezeichnungen
- Erste Schritte mit Vertraulichkeitsbezeichnungen
- Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien
Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.
In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.
Richtlinienabsichtsanweisung und Zuordnung
Wir, Contoso, möchten steuern, wie vertrauliche rechtliche Inhalte basierend auf dem Netzwerkkontext behandelt werden, in dem Benutzer arbeiten. Insbesondere möchten wir unterschiedliche Einschränkungsstufen anwenden, je nachdem, ob Benutzer über vertrauenswürdige Unternehmensnetzwerke oder VPN-Verbindungen verbunden sind, die von Hybrid Workern verwendet werden.
Um dies zu erreichen, definieren wir bekannte VPN-Verbindungen und verwenden sie in Netzwerk-Ausnahmeregeln innerhalb einer DLP-Richtlinie. Dies ermöglicht es uns, strengere Kontrollen zu erzwingen, z. B. das Blockieren von Zwischenablageaktivitäten mit Außerkraftsetzung, wenn Benutzer über bestimmte VPNs verbunden sind, während wir in anderen Kontexten weniger restriktives Verhalten (nur Überwachung) beibehalten. Dieser Ansatz ermöglicht kontextbezogenen Datenschutz, der sich daran anpasst, wie und wo Benutzer auf vertrauliche Daten zugreifen.
| Statement | Antwort zur Konfigurationsfrage und Konfigurationszuordnung |
|---|---|
| "Wir möchten unterschiedliche Datenschutzkontrollen anwenden, je nachdem, von wo aus die Netzwerkbenutzer verbunden sind..." | - Verwaltungsbereich: Vollständiges Verzeichnis - Überwachungsort: Nur Geräte - Richtlinienbereich: Alle Benutzer/Geräte oder Zielbenutzer |
| "Wir möchten VPN-Verbindungen identifizieren, die von Hybrid Workern verwendet werden..." | - Endpunkteinstellungen: Konfigurieren von VPN-Einstellungen mithilfe der Serveradresse oder Der Netzwerkadresse – Über PowerShell-Befehle gesammelte Daten (Get-VpnConnection, Get-NetConnectionProfile) |
| "Wir möchten vertrauliche rechtliche Inhalte erkennen, die auf Endpunkten verarbeitet werden..." | - Bedingung: Inhalt enthält = Trainierbare Klassifizierer, Legal Affairs |
| "Wir möchten bestimmte Benutzeraktivitäten mit sensiblen Inhalten steuern..." | - Aktion: Überwachen oder Einschränken von Aktivitäten auf Geräten - Aktivitätstyp: Dateiaktivitäten für alle Apps - Spezifische Aktivität: Kopieren in die Zwischenablage (erweiterbar auf andere Personen wie Drucken oder USB-Kopie) |
| "Wir wollen eine weniger restriktive Überwachung unter normalen Bedingungen..." | - Standardaktivitätsaktion: Nur für Das Kopieren in die Zwischenablage überwachen |
| "Wir möchten strengere Kontrollen, wenn Benutzer über definierte VPN-Netzwerke verbunden sind..." | - Netzwerkausnahme: Wählen Sie VPN aus, und legen Sie die Aktion auf Blockieren mit Außerkraftsetzung fest. - Priorität: VPN muss in der Netzwerk-Ausnahmekonfiguration als oberste Priorität festgelegt werden. |
| "Wir möchten die Produktivität der Benutzer unterstützen und gleichzeitig die Verantwortlichkeit beibehalten..." | - Außerkraftsetzungsfunktion: Benutzer können mit einer Begründung fortfahren, wenn sie unter VPN-Bedingungen blockiert werden |
| "Wir möchten die richtige Priorität netzwerkbasierter Regeln sicherstellen..." | - Konfigurationsverhalten: VPN-Regeln haben Vorrang vor Unternehmensnetzwerkeinstellungen, wenn sie ordnungsgemäß sortiert werden - Achtung: "Auf alle Aktivitäten anwenden" kann andere aktivitätsspezifische Konfigurationen überschreiben. |
| "Wir möchten das Richtlinienverhalten vor der vollständigen Erzwingung sicher testen..." | - Richtlinienmodus: Ausführung im Simulationsmodus - Benutzeroberfläche: Richtlinientipps im Simulationsmodus anzeigen |
| "Wir möchten das Richtlinienverhalten durch Überwachung und Tests überprüfen..." | - Überwachung: Verwenden des Aktivitäts-Explorers zum Überprüfen von Richtlinienbesprechung – Tests: Ausführen einer Aktion zum Kopieren der Zwischenablage unter verschiedenen Netzwerkbedingungen (VPN und Nicht-VPN) |
Schritte zum Erstellen einer Richtlinie
Erstellen und Verwenden einer Netzwerk-Ausnahme
Netzwerkausnahmen ermöglichen es Ihnen, die Aktionen Zulassen, Nur überwachen, Blockieren mit Außerkraftsetzung und Blockieren für die Dateiaktivitäten basierend auf dem Netzwerk zu konfigurieren, über das Benutzer auf die Datei zugreifen. Sie können aus der von Ihnen definierten VPN-Einstellungsliste auswählen und die Option Unternehmensnetzwerk verwenden. Die Aktionen können einzeln oder gemeinsam auf diese Benutzeraktivitäten angewendet werden:
- In Zwischenablage kopieren
- Kopieren auf ein USB-Wechselmedium
- Auf eine Netzwerkfreigabe kopieren
- Kopieren oder Verschieben mit einer nicht zulässigen Bluetooth-App
- Kopieren oder Verschieben mithilfe von RDP
Abrufen der Serveradresse oder Netzwerkadresse
Öffnen Sie auf einem von DLP überwachten Windows-Gerät ein Windows PowerShell Fenster als Administrator.
Führen Sie dieses Cmdlet aus:
Get-VpnConnectionWenn Sie dieses Cmdlet ausführen, werden mehrere Felder und Werte zurückgegeben.
Suchen Sie das Feld ServerAddress , und notieren Sie diesen Wert. Sie verwenden diese Option, wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.
Suchen Sie das Feld Name , und notieren Sie diesen Wert. Das Feld Name wird dem Feld Netzwerkadresse zugeordnet, wenn Sie einen VPN-Eintrag in der VPN-Liste erstellen.
Bestimmen, ob das Gerät über ein Unternehmensnetzwerk verbunden ist
Öffnen Sie auf einem von DLP überwachten Windows-Gerät ein Windows PowerShell Fenster als Administrator.
Führen Sie dieses Cmdlet aus:
Get-NetConnectionProfileWenn das Feld NetworkCategoryden Wert DomainAuthenticated aufweist, ist das Gerät mit einem Unternehmensnetzwerk verbunden. Andernfalls erfolgt die Verbindung des Geräts nicht über ein Unternehmensnetzwerk.
Hinzufügen eines VPN
Melden Sie sich beim Microsoft Purview-Portal an.
Öffnen Sie Einstellungen>Verhinderung von> DatenverlustEndpunkteinstellungen>VPN-Einstellungen.
Wählen Sie VPN-Adressen hinzufügen oder bearbeiten aus.
Geben Sie entweder die Serveradresse oder die Netzwerkadresse beim Ausführen von Get-VpnConnection an.
Klicken Sie auf Speichern.
Schließen Sie das Element.
Konfigurieren von Richtlinienaktionen
Melden Sie sich beim Microsoft Purview-Portal an.
Öffnen SieRichtlinienzur Verhinderung von> Datenverlust.
Wählen Sie Richtlinie erstellen aus.
In verbundenen Quellen gespeicherte Daten.
Wählen Sie in den Kategorien die Option Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus Den Vorschriften aus.
Benennen Sie Ihre neue Richtlinie, und geben Sie eine Beschreibung an.
Wählen Sie unter Admin Einheitendie Option Vollständiges Verzeichnis aus.
Legen Sie den Standort nur auf Geräte fest.
Erstellen Sie eine Regel, in der Folgendes gilt:
- Inhalt enthält = Trainierbare Klassifizierer, Rechtliche Angelegenheiten
- Aktionen = Überwachen oder Einschränken von Aktivitäten auf Geräten
- Wählen Sie dann Dateiaktivitäten für alle Apps aus.
- Wählen Sie Einschränkungen auf bestimmte Aktivitäten anwenden aus.
- Wählen Sie die Aktionen aus, für die Sie Netzwerkausnahmen konfigurieren möchten.
Wählen Sie In Zwischenablage kopieren und die Aktion Nur überwachen aus.
Wählen Sie Andere Einschränkungen für das Kopieren in die Zwischenablage auswählen aus.
Wählen Sie VPN aus, und legen Sie die Aktion auf Blockieren mit Außerkraftsetzung fest.
Wichtig
Wenn Sie die Aktivitäten eines Benutzers steuern möchten, wenn er über ein VPN verbunden ist, müssen Sie das VPN auswählen und das VPN in der Konfiguration für Netzwerkausnahmen zur obersten Priorität machen. Andernfalls wird die für den Eintrag Unternehmensnetzwerk definierte Aktion erzwungen, wenn die Option Unternehmensnetzwerk ausgewählt ist.
Achtung
Die Option Auf alle Aktivitäten anwenden kopiert die hier definierten Netzwerkausnahmen und wendet sie auf alle anderen konfigurierten spezifischen Aktivitäten wie Drucken und Kopieren in eine Netzwerkfreigabe an. Dadurch werden die Netzwerkausnahmen für die anderen Aktivitäten überschrieben. Die zuletzt gespeicherte Konfiguration gewinnt.
Speichern.
Übernehmen Sie den Standardwert Richtlinie im Simulationsmodus ausführen , und wählen Sie Richtlinientipps im Simulationsmodus anzeigen aus. Wählen Sie Weiter aus.
Überprüfen Sie Ihre Einstellungen, und wählen Sie Senden und dann Fertig aus.
Die neue DLP-Richtlinie wird in der Richtlinienliste angezeigt.