Verhindern der Freigabe vertraulicher Elemente mit nicht autorisierten Cloud-Apps und -Diensten

In diesem Szenario wird veranschaulicht, wie Sie die unbeabsichtigte Freigabe vertraulicher Informationen an nicht genehmigte Cloudanwendungen und -dienste mithilfe von Microsoft Purview DLP einschränken. Durch Definieren vertraulicher Dienstdomänen und Erzwingen von Steuerelementen über unterstützte Browser können Organisationen überwachen und steuern, wie vertrauliche Daten hochgeladen oder darauf zugegriffen wird.

Hinweis

Die folgenden Webbrowser werden unterstützt:

  • Microsoft Edge (Win/macOS)
  • Chrome (Win/macOS): Microsoft Purview-Erweiterung nur für Chrome Windows
  • Firefox (Win/macOS): Microsoft Purview-Erweiterung nur für Firefox Windows
  • Safari (nur macOS)

Wenn eine Richtlinie für den Standort Geräte konfiguriert ist, werden nicht unterstützte Browser am Zugriff auf vertrauliche Inhalte gehindert, und Benutzer werden an Microsoft Edge umgeleitet, wo DLP-Steuerelemente Aktionen basierend auf Richtlinienbedingungen blockieren oder einschränken können. Diese browserfähige Erzwingung trägt dazu bei, das Risiko der Datenexfiltration zu verringern und gleichzeitig eine konsistente und geführte Benutzererfahrung aufrechtzuerhalten.

Um diesen Ansatz zu implementieren, definieren Sie eingeschränkte Ziele (Domänen, Dienste oder IP-Adressen), geben nicht unterstützte Browser an und konfigurieren DLP-Regeln, die vertrauliche Inhalte erkennen und Steuerelemente wie Upload to cloud services und Access from unallowed browser (Zugriff über nicht zulässige Browser) anwenden.

Diese Konfiguration ermöglicht Es Organisationen, das Benutzerverhalten zu überwachen, Richtlinien zu verfeinern und nach Bedarf strengere Kontrollen zu erzwingen, während gleichzeitig Unterbrechungen legitimer Geschäftsaktivitäten minimiert werden.

Voraussetzungen und Annahmen

In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, erläutert, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Wichtig

In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.

Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:

Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.

In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Richtlinienabsichtsanweisung und Zuordnung

Wir, Contoso, möchten verhindern, dass Benutzer unbeabsichtigt vertrauliche Informationen an nicht genehmigte Cloudanwendungen und -dienste von Endpunktgeräten weitergeben. Gleichzeitig möchten wir sicherstellen, dass Benutzer ohne unnötige Einschränkungen weiterhin auf nicht vertrauliche Daten zugreifen und mit diesen arbeiten können. Um dies zu erreichen, definieren wir eine Reihe von eingeschränkten Clouddienstdomänen und erzwingen Kontrollen, wenn vertrauliche Informationen in Benutzeraktivitäten erkannt werden. Wenn Benutzer versuchen, vertrauliche Inhalte in diese nicht genehmigten Dienste hochzuladen oder über nicht unterstützte Browser auf solche Inhalte zuzugreifen, werden wir die Aktivität überwachen und die Benutzer zu unterstützten, konformen Workflows (z. B. verwendung von Microsoft Edge) leiten. Dieser Ansatz ermöglicht es uns, Kontrollen schrittweise zu erzwingen, indem wir zuerst das Benutzerverhalten überwachen, Risikomuster verstehen und die Richtlinie verfeinern, bevor wir bei Bedarf zu einer strengeren Durchsetzung übergehen.

Statement Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir möchten verhindern, dass Benutzer vertrauliche Informationen an nicht genehmigte Cloud-Apps und -Dienste weitergeben..." - Verwaltungsbereich: Vollständiges Verzeichnis
- Überwachungsort: Nur Geräte
- Richtlinienbereich: Alle Benutzer/Geräte (oder Zielbenutzer zu Testzwecken)
"Wir möchten definieren, welche Clouddienste als nicht zulässig für vertrauliche Daten Freigabe gelten..." - Endpunkteinstellungen: Erstellen einer Vertraulichen Dienstdomänengruppe
- Domänen, die mit URL/IP/IP-Bereich (mit Wildcard-Unterstützung) definiert wurden
– In Richtlinienregeln wiederverwendete Gruppe
"Wir möchten erkennen, dass vertrauliche Inhalte für diese Dienste freigegeben werden..." - Bedingungen: Inhalt enthält ausgewählte Typen vertraulicher Informationen
- Erkennungslogik: Integrierte oder benutzerdefinierte Typen vertraulicher Informationen
"Wir möchten Versuche überwachen, vertrauliche Inhalte hochzuladen oder über nicht unterstützte Browser darauf zuzugreifen..." - Aktionen: Hochladen in eine eingeschränkte Clouddienstdomäne oder Zugriff über einen nicht zulässigen Browser
– In Endpunkt-DLP integriertes Browsersteuerelement
"Wir möchten zunächst das Benutzerverhalten beobachten, ohne Geschäftsprozesse zu blockieren..." - Aktionsmodus: Nur für Dienstdomänen- und Browseraktivitäten überwachen
– In dieser Phase wird keine Blockierung oder Außerkraftsetzung erzwungen.
"Wir möchten Benutzer zu unterstützten, richtlinienfähigen Browsern umleiten..." - Endpunktverhalten: Nicht zulässige Browser werden am Zugriff auf vertrauliche Inhalte gehindert
- Benutzeroberfläche: Umleitung zu Microsoft Edge, wo DLP-Steuerelemente erzwungen werden
"Wir möchten die Flexibilität beibehalten, um den Schutz im Laufe der Zeit zu erweitern..." - Entwurfsfunktion: Hinzufügen weiterer Domänengruppen, Apps und Richtlinien nach Bedarf
- Richtlinienerweiterbarkeit: Unterstützt den zukünftigen Übergang zum Blockieren oder Blockieren mit Außerkraftsetzung.
"Wir möchten andere Dateiaktivitäten über Apps hinweg überwachen und optional steuern..." - Zusätzliche Aktionen: Konfigurieren von Dateiaktivitäten für alle Apps nach Bedarf
- Differenzierte Überwachung oder Einschränkung des Endpunktverhaltens
"Wir möchten, dass diese Richtlinie sofort zur Evaluierung aktiv ist..." - Richtlinienmodus: Sofort aktivieren
- Bereitstellung: Sofortige Erzwingung im Überwachungsmodus

Schritte zum Erstellen einer Richtlinie

  1. Melden Sie sich beim Microsoft Purview-Portal> An. Einstellungen zurVerhinderung von> DatenverlustEinstellungen (Zahnradsymbol in der oberen linken Ecke) >DLP-Einstellungenfür Endpunkt zur Verhinderung von> DatenverlustDlp-Einstellungen Browser- und Domäneneinschränkungen für vertrauliche Daten>Sensitive Dienstdomänengruppen.>

  2. Wählen Sie Create sensitive service domain group (Erstellen einer vertraulichen Dienstdomänengruppe) aus.

  3. Benennen Sie die Gruppe.

  4. Geben Sie die Domäne des vertraulichen Diensts für die Gruppe ein. Sie können einer Gruppe mehrere Websites hinzufügen und Platzhalter verwenden, um Unterdomänen abzudecken. Beispiel www.contoso.com : nur für die Website der obersten Ebene oder: *.contoso.com für corp.contoso.com, hr.contoso.com, fin.contoso.com.

  5. Wählen Sie den gewünschten Übereinstimmungstyp aus. Sie können aus URL, IP-Adresseund IP-Adressbereichauswählen.

  6. Klicken Sie auf Speichern.

  7. Wählen Sie im linken NavigationsbereichRichtlinienzur Verhinderung von> Datenverlust aus.

  8. In verbundenen Quellen gespeicherte Daten.

  9. Erstellen Sie eine Richtlinie, die nur auf den Standort Geräte angewendet wird, und legen Sie sie fest. Weitere Informationen zum Erstellen einer Richtlinie finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust. Achten Sie darauf, dass Sie die Admin Einheiten auf Vollständiges Verzeichnis festlegen.

  10. Wählen Sie auf der Seite Richtlinieneinstellungen definieren die Option Erweiterte DLP-Regeln erstellen oder anpassen aus, und wählen Sie Weiter aus.

  11. Erstellen Sie wie folgt eine Regel:

    1. Wählen Sie unter Bedingungendie Option + Bedingung hinzufügen und dann im Dropdownmenü Inhalt enthält aus.
    2. Geben Sie der Gruppe einen Namen.
    3. Wählen Sie Hinzufügen und dann Typen vertraulicher Informationen aus.
    4. Wählen Sie im Flyoutbereich den Typ Vertraulicher Informationen aus, und wählen Sie dann Hinzufügen aus.
    5. Fügen Sie die Aktion Überwachen oder Einschränken von Aktivitäten auf Geräten hinzu.
    6. Wählen Sie unter Dienstdomänen- und Browseraktivitäten die Option In eine eingeschränkte Clouddienstdomäne oder zugriff über einen nicht zugelassenen Browser hochladen aus, und legen Sie die Aktion auf Nur überwachen fest.
    7. Wählen Sie + Andere Einschränkungen für vertrauliche Dienstdomänen auswählen und dann Gruppe hinzufügen aus.
    8. Wählen Sie im Flyout Vertrauliche Dienstdomänengruppen auswählen die gewünschten Domänengruppen für vertrauliche Dienste aus, wählen Sie Hinzufügen und dann Speichern aus.
    9. Wählen Sie unter Dateiaktivitäten für alle Apps die Benutzeraktivitäten aus, die Sie überwachen oder einschränken möchten, sowie die Aktionen, die DLP als Reaktion auf diese Aktivitäten ausführen soll.
    10. Schließen Sie die Erstellung der Regel ab, und wählen Sie Speichern und dann Weiter aus.
    11. Wählen Sie auf der Bestätigungsseite Fertig aus.
    12. Wählen Sie auf der Seite Richtlinienmodus die Option Sofort aktivieren aus. Wählen Sie Weiter und dann Absenden aus.
  • Last updated on