Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Szenario wird veranschaulicht, wie Autorisierungsgruppen in Microsoft Purview DLP verwendet werden, um einen Standardblock für vertrauliche Daten Aktionen zu erzwingen und gleichzeitig kontrollierte Ausnahmen zuzulassen. In diesem Beispiel ist der Druck von Dokumenten, die als rechtlicher Inhalt klassifiziert sind, auf alle Geräte beschränkt, mit Ausnahme eines definierten Satzes genehmigter Drucker der Rechtsabteilung.
Durch die Kombination von Druckeinschränkungen auf Geräteebene mit einer Positivliste für Drucker ermöglicht dieser Ansatz Organisationen den Schutz vertraulicher Informationen und unterstützt gleichzeitig legitime Geschäftsworkflows. Außerdem wird veranschaulicht, wie Autorisierungsgruppen für andere Szenarien wie Wechselspeichergeräte oder Netzwerkfreigaben wiederverwendet werden können.
Dieses Szenario gilt für einen uneingeschränkten Administrator, der eine vollständige Verzeichnisrichtlinie erstellt.
Bei diesen Szenarien ist es erforderlich, dass Sie bereits über Geräte verfügen, die in den Aktivitäten-Explorer eingebunden sind und für die Berichte erstellt werden. Wenn Sie noch keine Geräte eingebunden haben, lesen Sie Endpunkt-DLP – Erste Schritte.
Autorisierungsgruppen werden hauptsächlich als Positivlisten verwendet. Sie haben der Gruppe Richtlinienaktionen zugewiesen, die sich von den globalen Richtlinienaktionen unterscheiden. In diesem Szenario wird das Definieren einer Druckergruppe und das anschließende Konfigurieren einer Richtlinie mit Blockaktionen für alle Druckaktivitäten mit Ausnahme der Drucker in der Gruppe beschrieben. Diese Verfahren sind für Gerätegruppen mit entfernbarem Speicher und Netzwerkfreigabegruppen im Wesentlichen identisch.
In diesem Szenario definieren wir eine Gruppe von Druckern, die die Rechtsabteilung zum Drucken von Verträgen verwendet. Das Drucken von Verträgen auf anderen Druckern ist blockiert.
Voraussetzungen und Annahmen
In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, erläutert, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.
Wichtig
In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.
Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.
In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:
- Weitere Informationen zu Vertraulichkeitsbezeichnungen
- Erste Schritte mit Vertraulichkeitsbezeichnungen
- Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien
Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.
In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.
Richtlinienabsichtsanweisung und Zuordnung
Wir, Contoso, möchten verhindern, dass Benutzer vertrauliche rechtliche Inhalte auf nicht autorisierten Druckern drucken und gleichzeitig genehmigte Geschäftsworkflows für die Rechtsabteilung zulassen. In diesem Szenario sollten Dokumente, die mit dem trainierbaren Klassifizierer "Legal Affairs" übereinstimmen, davor geschützt werden, im gesamten organization gedruckt zu werden, aber Benutzer in Legal müssen in der Lage sein, diese Dokumente auf einem definierten Satz genehmigter Drucker zu drucken.
Um dies zu erreichen, erstellen wir eine Richtlinie, die Druckbeschränkungen auf Geräten für Als legal eingestufte Inhalte anwendet. Das Drucken wird standardmäßig blockiert, aber eine Autorisierungsgruppe genehmigter Drucker wird als Ausnahme konfiguriert und zugelassen. Dies ermöglicht einen starken Standardschutzstatus, während legitime Geschäftsanforderungen durch ein kontrolliertes Zulassungslistenmodell unterstützt werden.
| Statement | Antwort zur Konfigurationsfrage und Konfigurationszuordnung |
|---|---|
| "Wir möchten sensible rechtliche Dokumente davor schützen, dass sie auf nicht autorisierten Druckern gedruckt werden..." | - Verwaltungsbereich: Vollständiges Verzeichnis - Überwachungsort: Nur Geräte - Richtlinienbereich: Alle Benutzer/Geräte, die von der Richtlinie abgedeckt sind |
| "Wir möchten Dokumente identifizieren, die rechtssensible Inhalte enthalten..." | - Bedingung: Inhalt enthält = Trainierbare Klassifizierer, Legal Affairs |
| "Wir möchten das Drucken dieser vertraulichen Inhalte auf allen Endpunktgeräten einschränken..." | - Aktion: Überwachen oder Einschränken von Aktivitäten auf Geräten - Aktivitätstyp: Dateiaktivitäten für alle Apps - Einschränkungsmodell: Einschränkungen auf bestimmte Aktivitäten anwenden |
| "Wir möchten, dass das Drucken standardmäßig blockiert wird, es sei denn, es wird explizit zugelassen..." | - Aktivitätseinschränkung: Drucken = Blockieren |
| "Wir möchten, dass zugelassene Rechtsabteilungsdrucker vom Standardblock ausgenommen werden..." | - Endpunkteinstellungen: Erstellen Einer Druckergruppe mit dem Namen Legal printers - Gruppenmitglieder können anhand des Benutzerfreundlichen Druckernamens, der USB-Produkt-/Anbieter-ID, des IP-Bereichs, des Dateidrucks, des universellen Druckens, des Unternehmensdruckers oder des Druckens auf lokaler Ebene definiert werden. |
| "Wir möchten ein anderes Richtlinienverhalten für genehmigte Drucker als die globale Richtlinienaktion..." | - Autorisierungsgruppenverhalten: Wählen Sie andere Druckeinschränkungen aus. - Druckergruppeneinschränkung: Hinzufügen von legalen Druckern - Gruppenspezifische Aktion: Zulassen |
| "Wir möchten, dass die genehmigte Druckaktivität zu Überwachungszwecken sichtbar bleibt, ohne unnötige Warnungen zu erstellen..." | - Aktionsverhalten zulassen: Die zulässige Druckaktivität wird im Überwachungsprotokoll aufgezeichnet. – Es wird keine Warnung oder Benutzerbenachrichtigung für die Positivliste des Druckers generiert. |
| "Wir möchten die Richtlinie vor der Erzwingung sicher testen..." | - Richtlinienmodus: Führen Sie die Richtlinie im Simulationsmodus aus. - Benutzeroberfläche: Richtlinientipps im Simulationsmodus anzeigen |
| "Wir möchten dieses Entwurfsmuster in Zukunft auch für andere autorisierte Ziele verwenden..." | - Modell für wiederverwendbare Autorisierungsgruppen: Derselbe Ansatz gilt für Wechselspeichergerätegruppen und Netzwerkfreigabegruppen |
Schritte zum Erstellen einer Richtlinie
Erstellen und Verwenden von Druckergruppen
Melden Sie sich beim Microsoft Purview-Portal> An. Einstellungen für dieVerhinderung von> DatenverlustEinstellungen (Zahnrad in der oberen linken Ecke) > Einstellungen fürEndpunkteinstellungen> für Datenverlustverhinderung>Druckergruppen.
Wählen Sie Druckergruppe erstellen aus, und geben Sie einen Namen gruppieren ein. In diesem Szenario verwenden
Legal printerswir .Wählen Sie Drucker hinzufügen aus, und geben Sie einen Namen an. Sie können Drucker wie folgt definieren:
- Anzeigename des Druckers
- USB-Produkt-ID
- USB-Anbieter-ID
- IP-Bereich
- In Datei drucken
- Auf einem Drucker bereitgestelltes universelles Drucken
- Unternehmensdrucker
- Drucken auf lokaler Ebene
Wählen Sie Schließen aus.
Konfigurieren von Richtliniendruckaktionen
Melden Sie sich beim Microsoft Purview-Portal an.
Navigieren Sie zuRichtlinienzur Verhinderung von> Datenverlust.
Wählen Sie Richtlinie erstellen aus.
In verbundenen Quellen gespeicherte Daten.
Wählen Sie in den Kategorien die Option Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus Den Vorschriften aus.
Geben Sie ihrer neuen Richtlinie einen Namen und eine Beschreibung.
Übernehmen Sie das Standardverzeichnis Full unter Admin Units.
Legen Sie den Standort nur auf den Standort Geräte fest.
Erstellen Sie eine Regel mit den folgenden Werten:
- Bedingung hinzufügen:Inhalt enthält = trainierbare Klassifizierer, Legal Affairs
- Aktionen = Überwachen oder Einschränken von Aktivitäten auf Geräten
- Wählen Sie dann Dateiaktivitäten für alle Apps aus.
- Wählen Sie Einschränkungen auf bestimmte Aktivitäten anwenden aus.
- Auswählen desDruckblocks =
Wählen Sie Andere Druckeinschränkungen auswählen aus.
Wählen Sie unter Druckergruppeneinschränkungendie Option Gruppe hinzufügen und dann legale Drucker aus.
Aktion = zulassen festlegen.
Tipp
Die Aktion Zulassen zeichnet das Ereignis und das Überwachungsereignis im Überwachungsprotokoll auf, generiert jedoch keine Warnung oder Benachrichtigung.
Wählen Sie Speichern und dann Weiter aus.
Übernehmen Sie den Standardwert Richtlinie im Simulationsmodus ausführen , und wählen Sie Richtlinientipps im Simulaiton-Modus anzeigen aus. Wählen Sie Weiter aus.
Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Senden aus.
Die neue DLP-Richtlinie wird in der Richtlinienliste angezeigt.