Konfigurieren von Microsoft Purview für Zero Trust: Schützen von Daten

Der Schutz der Daten Ihrer organization bedeutet, dass verschlüsselte Inhalte sicher zu und von autorisierten Benutzern innerhalb und außerhalb Ihrer organization übertragen werden können. Falsch konfigurierte Einstellungen können die legitime Zusammenarbeit an geschützten Inhalten im Hintergrund blockieren, sodass Benutzer keine verschlüsselten Dateien oder E-Mails von externen Partnern öffnen können.

Zero Trust Sicherheitsempfehlungen

Konfigurieren sie mandantenübergreifende Zugriffseinstellungen, um verschlüsselte Inhaltsfreigaben zuzulassen

Wenn Ihre Benutzer verschlüsselte Dateien oder E-Mails an Personen außerhalb Ihrer organization senden oder freigeben oder verschlüsselte Inhalte von Partnern empfangen, müssen Microsoft Entra ID Identitäten überprüfen. Diese Überprüfung wird für beide Seiten des Sendens und Empfangens durchgeführt, um die Verschlüsselungseinstellungen zu erzwingen. Wenn Ihre mandantenübergreifenden Zugriffseinstellungen den Zugriff auf den Azure Rights Management-Dienst blockieren, wird für diese Benutzer der Fehler "Zugriff wird von Ihrem organization blockiert" angezeigt. In diesem Szenario kann der geschützte Inhalt nicht geöffnet werden.

Lassen Sie die Microsoft Rights Management Services-App zu, indem Sie Ihre mandantenübergreifenden Zugriffseinstellungen sowohl für eingehenden Datenverkehr (externe Benutzer, die Inhalte freigeben, die Sie freigeben) als auch für ausgehenden Datenverkehr (Ihre Benutzer öffnen Inhalte von Partnern) konfigurieren. Ohne diese Konfiguration wird die freigabe verschlüsselter Inhalte unterbrochen, auch wenn die richtigen Berechtigungen zugewiesen sind.

Wartungsaktion

• Mandantenübergreifende Zugriffseinstellungen und verschlüsselte Inhalte
• Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit

Azure Rights Management-Dienst ist aktiviert

Der Azure Rights Management-Dienst stellt die grundlegende Verschlüsselungs- und Zugriffssteuerungstechnologie für Microsoft Purview Information Protection bereit. Es wird mit Vertraulichkeitsbezeichnungen verwendet, die Verschlüsselung anwenden, E-Mails mit Microsoft Purview-Nachrichtenverschlüsselung schützen und sogar mit den älteren Schutztechnologien wie SharePoint IRM und Nachrichtenflussregeln verwendet werden, die Verschlüsselung anwenden. Dieser Dienst sollte für den Mandanten aktiviert werden, bevor Sie andere Features zum Schutz von Informationen konfigurieren.

Wartungsaktion

• Aktivieren des Azure Rights Management-Diensts

Interne Rights Management-Lizenzierung ist aktiviert

Die interne RMS-Lizenzierung ermöglicht Benutzern und Diensten im organization, geschützte Inhalte für die interne Verteilung und Freigabe zu lizenzieren. Sie wird automatisch aktiviert, wenn Azure RMS aktiviert wird. Wenn diese Option deaktiviert ist, können Benutzer nicht intern an verschlüsselten E-Mails und Dateien zusammenarbeiten, und gesetzliche Aufbewahrungs-, eDiscovery- und Datenwiederherstellungsvorgänge können nicht auf verschlüsselte Inhalte zugreifen.

Wartungsaktion

• Nachrichtenverschlüsselung einrichten

Die Superbenutzermitgliedschaft ist für Microsoft Purview Information Protection konfiguriert.

Das Superbenutzerfeature des Azure Rights Management-Diensts gewährt bestimmten Konten die Möglichkeit, Inhalte, die Ihr organization verschlüsselt hat, mithilfe dieses Diensts zu entschlüsseln, unabhängig von den ursprünglich zugewiesenen Berechtigungen. Superuser sind möglicherweise für eDiscovery, Datenwiederherstellung, Konformitätsuntersuchungen und Inhaltsmigration erforderlich. Das Superuser-Feature stellt sicher, dass autorisierte Personen und Dienste jederzeit die Daten lesen und überprüfen können, die der Azure Rights Management-Dienst für Ihre organization verschlüsselt.

Wenn Sie eine Gruppe zum Festlegen von Superbenutzerkonten verwenden, muss die Mitgliedschaft dieser Gruppe sorgfältig kontrolliert und beschränkt werden, z. B. auf Dienstkonten, die von Compliancetools oder eDiscovery-Plattformen verwendet werden. Microsoft empfiehlt, das Feature standardmäßig deaktiviert zu lassen und es nur bei Bedarf zu aktivieren, es sei denn, Sie müssen ein Feature oder eine geschäftliche Anforderung haben, für die das Feature immer aktiviert werden muss. Wenn Sie eine Gruppe zum Festlegen von Superbenutzerkonten verwenden, verwenden Sie Microsoft Entra Privileged Identity Management (PIM), um das Risiko zu reduzieren, indem Sie bei Bedarf Just-In-Time-Zugriff aktivieren und permanente Berechtigungen minimieren.

Wartungsaktion

• Konfigurieren von Azure Rights Management-Superbenutzern für Ermittlungsdienste oder Datenwiederherstellung

Bedarfsgesteuerte Überprüfungen sind für die Ermittlung vertraulicher Informationen konfiguriert.

Elemente in SharePoint, OneDrive und auf Geräten werden ausgewertet und klassifiziert, wenn sie bearbeitet oder berührt werden. Wenn sie nicht bearbeitet werden und sich im Geltungsbereich einer Microsoft Purview-Richtlinie befinden, bleiben sie nicht klassifiziert und für Microsoft Purview-Richtlinien unsichtbar. Bei bedarfsgesteuerten Überprüfungen können Sie die Auswertung von Elementen an bestimmten SharePoint-, OneDrive- oder Gerätespeicherorten manuell auslösen, um historische Inhalte zu ermitteln und zu klassifizieren. Dadurch erhalten Sie eine umfassendere Ansicht Ihres Informationsschutzstatus.

Wartungsaktion

• Bedarfsgesteuerte Klassifizierung in Microsoft Purview

OCR ist für die Erkennung vertraulicher Informationen aktiviert.

OCR (optische Zeichenerkennung) erweitert die Erkennung vertraulicher Informationen und trainierbarer Klassifizierer auf Bilder in Exchange, SharePoint, OneDrive, Teams und Endpunktgeräten. Ohne OCR können DLP-Richtlinien und Richtlinien für automatische Bezeichnungen keine bildbasierten Inhalte, gescannten Dokumente, Screenshots und Rechnungen scannen, sodass vertrauliche Daten in Bildern nicht geschützt bleiben. OCR erfordert Azure abrechnungsbasierte Bezahlung für Microsoft Syntex und ist auf Mandantenebene konfiguriert.

Wartungsaktion

• Erfahren Sie mehr über und konfigurieren Sie die optische Zeichenerkennung in Microsoft Purview.

Benutzerdefinierte Typen vertraulicher Informationen sind konfiguriert

Benutzerdefinierte Typen vertraulicher Informationen (SITs) erweitern die Fähigkeit von Microsoft Purview, vertrauliche Informationen über die integrierten SITs hinaus zu erkennen, um organization spezifischen Datenmustern, proprietären Bezeichnern, internen Klassifizierungsschemas, spezialisierten Branchencodes oder anderen Formaten abzudecken, nach denen integrierte SITs nicht suchen. Verwenden Sie sie, um maßgeschneiderte Erkennungsregeln zu erstellen, die den individuellen Datenschutzanforderungen Ihrer organization entsprechen und sicherstellen, dass sensiblere Informationen genau identifiziert und geschützt werden.

Wartungsaktion

• Erstellen von benutzerdefinierten Typen vertraulicher Informationen

Die genaue Datengleichung ist für die Erkennung vertraulicher Informationen konfiguriert.

Exact Data Match (EDM) ist ein erweiterter vertraulicher Informationstyp, der organization spezifische Daten erkennt, indem genaue Werte mit einer hochgeladenen Verweisdatenbank abgeglichen werden. Im Gegensatz zu musterbasierten Typen vertraulicher Informationen (SITs), die gängige Formate erkennen, identifiziert EDM Dinge wie Kundenlisten, Mitarbeiter-IDs oder proprietäre Codes, die für Ihre organization eindeutig sind. Durch das Konfigurieren von EDM-basierten SITs können Sie die Genauigkeit der Erkennung vertraulicher Informationen in Microsoft Purview erheblich verbessern und sicherstellen, dass kritische Daten ordnungsgemäß identifiziert und geschützt werden.

Wartungsaktion

• Informationen zu Typen vertraulicher Informationen basierend auf genauer Datenübereinstimmung
• Erste Schritte mit Typen vertraulicher Informationen, die auf genauer Datenübereinstimmung basieren

Vertrauliche Informationstypen für benannte Entitäten werden in Richtlinien zur automatischen Bezeichnung und zur Verhinderung von Datenverlust verwendet.

Typen vertraulicher Informationen (Named Entity Sensitive Information Types, SITs) sind vordefinierte Microsoft-Klassifizierer, die häufig verwendete vertrauliche Entitäten wie Namen, physische Adressen und medizinische Terminologie erkennen. Sie erweitern den Datenschutz über den Musterabgleich hinaus auf kontextbezogene Klassifizierung und können ohne benutzerdefinierte Entwicklung in Richtlinien für automatische Bezeichnungen und DLP-Regeln verwendet werden.

Wartungsaktion

• Informationen zu benannten Entitäten
• Verwenden benannter Entitäten in Ihren Richtlinien zur Verhinderung von Datenverlust

Trainierbare Klassifizierer werden in Richtlinien zur Verhinderung von Datenverlust und zur automatischen Bezeichnung verwendet.

Trainierbare Klassifizierer sind auf maschinellem Lernen basierende Klassifizierer, die Inhalte anhand von Bedeutung und Kontext anstelle von festen Mustern erkennen. Im Gegensatz zu vertraulichen Informationstypen, die vordefinierten Formaten entsprechen, können trainierbare Klassifizierer unstrukturierte Inhalte wie strategische Pläne, Finanzberichte oder Personaldokumente identifizieren. Die Verwendung trainierbarer Klassifizierer in Richtlinien für automatische Bezeichnungen und DLP-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) erweitert den Schutz auf vertrauliche Geschäftsinhalte, die von musterbasierten Regeln nicht zuverlässig erfasst werden können.

Wartungsaktion

• Weitere Informationen zu trainierbaren Klassifizierern
• Erste Schritte mit trainierbaren Klassifizierern

Purview-Überwachungsprotokollierung ist aktiviert

Die Überwachungsprotokollierung in Microsoft 365 zeichnet auf, welche Benutzer und Administratoren auf vertrauliche Daten zugegriffen haben, wann Richtlinienverstöße aufgetreten sind und welche administrativen Aktionen sie in Microsoft 365 ausgeführt haben. Wenn Überwachungsprotokolle verfügbar sind, können Sicherheitsteams Vorfälle untersuchen, elektronische Ermittlungen für Untersuchungen und Rechtliche Fälle durchführen, Insider-Bedrohungen erkennen und Prüfern und Aufsichtsbehörden mithilfe von Microsoft Purview-Überwachungslösungen Kontrollen vorführen.

Die Überwachungsprotokollierung ist für Microsoft 365-Organisationen standardmäßig aktiviert, Sie können sie jedoch deaktivieren. Wenn Sie die Überwachungsprotokollierung deaktivieren, können Bedrohungsakteure häufig unentdeckt arbeiten, und die Reaktion auf Vorfälle wird aufgrund fehlender Beweise unmöglich. Organisationen, die die Überwachungsprotokollierung nicht aktivieren, riskieren auch eine Nichtkonformität mit gesetzlichen Anforderungen, die die Aktivitätsprotokollierung für vertrauliche Vorgänge vorgeschrieben.

Wartungsaktion

• Aktivieren oder Deaktivieren der Überwachung

Vertraulichkeitsbezeichnungen sind konfiguriert

Vertraulichkeitsbezeichnungen sind die Grundlage für Microsoft Purview Information Protection. Sie ermöglichen Es Organisationen, vertrauliche Daten über Microsoft 365, lokale Standorte und Nicht-Microsoft-Anwendungen hinweg zu klassifizieren und zu schützen.

Ohne Vertraulichkeitsbezeichnungen fehlt es Organisationen an einer standardisierten Möglichkeit, ihre Daten zu schützen, sodass sie anfällig für unbefugten Zugriff und unbefugte Freigabe sind. Eine gut entworfene Bezeichnungstaxonomie umfasst in der Regel 3-7 Bezeichnungen der obersten Ebene – zu viele Bezeichnungen überfordern Benutzer und verringern die Effektivität.

Wartungsaktion

• Erste Schritte mit Vertraulichkeitsbezeichnungen
• Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien

Global veröffentlichte Vertraulichkeitsbezeichnungen überschreiten den empfohlenen Höchstwert nicht.

Die globale Veröffentlichung von zu vielen Bezeichnungen führt zu Verwirrung und Entscheidungslähmung für Benutzer, wodurch die Akzeptanz reduziert und die Fehlklassifizierung erhöht wird. Wenn Benutzer mit mehr als 25 Bezeichnungen konfrontiert sind, haben sie Schwierigkeiten, die entsprechende Klassifizierung zu identifizieren, was zu falschen Bezeichnungen führt oder das Feature vollständig vermeidet.

Microsoft empfiehlt nicht mehr als 25 Bezeichnungen in globalen Richtlinien, idealerweise als fünf Hauptbezeichnungen mit jeweils bis zu fünf Unterbezeichnungen organisiert. Verwenden Sie bereichsbezogene Richtlinien, um spezielle Bezeichnungen nur für bestimmte Benutzer, Gruppen oder Abteilungen zu veröffentlichen, wobei sich der globale Bezeichnungssatz auf gängige Szenarien konzentriert.

Wartungsaktion

• Einschränkungen der Vertraulichkeitsbezeichnungen pro Mandant
• Erstellen und Veröffentlichen von Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen mit Verschlüsselung sind konfiguriert

Ohne Verschlüsselung geben Vertraulichkeitsbezeichnungen die Vertraulichkeitsstufe eines Elements an, ohne nicht autorisierten Zugriff zu verhindern, sofern sie nicht durch einen anderen Schutzmechanismus ergänzt werden. Vertraulichkeitsbezeichnungen, die für die Anwendung der Verschlüsselung aus dem Azure Rights Management-Dienst konfiguriert sind, erzwingen Zugriffssteuerungs- und Nutzungsrechte. Dieser Schutz bleibt unabhängig davon bestehen, wo der Inhalt gespeichert oder freigegeben wird. Beispielsweise können Benutzer weiterhin ein Dokument mit der Bezeichnung "Vertraulich" freigeben, aber wenn diese Bezeichnung Verschlüsselung anwendet, können nicht autorisierte Personen es nicht öffnen.

Organisationen, die Bezeichnungen ohne Verschlüsselung verwenden, erhalten Einblick in die Vertraulichkeitsstufe, aber die Bezeichnungen selbst fehlen der technischen Durchsetzung. Bezeichnungen, die Verschlüsselung anwenden, stellen sicher, dass nur autorisierte Benutzer Inhalte entschlüsseln und mit einschränkungen verwenden können, die für diesen Benutzer angegeben sind. Beispielsweise schreibgeschützt oder Kopieren verhindern. Dieser Schutz trägt dazu bei, die Datenexfiltration zu verhindern, auch wenn Dateien kompromittiert oder nicht ordnungsgemäß freigegeben werden. Es sollte mindestens eine Vertraulichkeitsbezeichnung für die Anwendung der Verschlüsselung für hochwertige Daten konfiguriert werden, die über die Identifizierung der Vertraulichkeitsstufe hinaus Schutz erfordern.

Wartungsaktion

• Einschränken des Zugriffs auf Inhalte mithilfe der Verschlüsselung in Vertraulichkeitsbezeichnungen

Doppelschlüsselverschlüsselungsbezeichnungen sind konfiguriert

Double Key Encryption (DKE) bietet eine zusätzliche Schutzebene für hochsensible Daten, da zwei Schlüssel zum Entschlüsseln von Inhalten erforderlich sind: einer von Microsoft und einer vom Kunden verwaltet. Dieser "Hold-Your-Own-Key"-Ansatz stellt sicher, dass Microsoft Inhalte nicht entschlüsseln kann, auch wenn es gesetzlich vorgeschrieben ist, und erfüllt strenge gesetzliche Anforderungen für die Datenhoheit.

Dke führt jedoch zu einer erheblichen Betrieblichen Komplexität, einschließlich der Infrastruktur für dedizierte Schlüsseldienste, einer geringeren Featurekompatibilität und einem höheren Supportaufwand. Organisationen sollten 1-3 Bezeichnungen verwalten, die für wirklich unternehmenskritische oder stark regulierte Daten reserviert sind, mit dokumentierter geschäftlicher Begründung für jede DKE-Bezeichnung. Verwenden Sie die Standardverschlüsselung für allgemeine Geschäftsinhalte. Übermäßige DKE-Bezeichnungen (4 oder mehr) führen zu Verwaltungsaufwand, Benutzerverwechslungen und reduzieren die Zusammenarbeit. DKE sollte niemals allgemein bereitgestellt werden, da die Nichtverfügbarkeit wichtiger Dienste den Zugriff auf unternehmenskritische Dokumente verhindert.

Wartungsaktion

• Verschlüsselung mit Doppelschlüssel
• Verschlüsselung mit doppeltem Schlüssel einrichten

Die gemeinsame Dokumenterstellung ist für verschlüsselte Dokumente aktiviert.

Wenn die gemeinsame Dokumenterstellung nicht für Dokumente aktiviert ist, die durch Vertraulichkeitsbezeichnungen geschützt sind, die Verschlüsselung anwenden, kann nur eine Person die Datei zu einem Zeitpunkt bearbeiten, wenn sie Office-Desktop-Apps verwendet. Infolgedessen kann dies Teams verlangsamen, was die Zusammenarbeit erschwert und den Projektabschluss verzögern kann. Diese Einschränkung ist besonders schwierig für Gruppen, die an sensiblen Projekten arbeiten, die eine Verschlüsselung für den Datenschutz erfordern, aber auch effizient zusammenarbeiten müssen.

Wenn Sie die gemeinsame Dokumenterstellung für Dateien aktivieren, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, können mehrere autorisierte Benutzer die Datei gleichzeitig in Office-Desktop-Apps bearbeiten. Wenn Sie nicht sicherstellen können, dass alle Benutzer diese Dateien mithilfe von Office für das Web bearbeiten, beseitigt diese Änderung die Verlangsamung des Auscheckens und ermöglicht Teams eine effiziente Zusammenarbeit ohne Einbußen bei der Sicherheit. Die Einstellung für die gemeinsame Dokumenterstellung kann auch eine Voraussetzung für andere Bezeichnungsfeatures sein.

Wartungsaktion

• Aktivieren der gemeinsamen Erstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind

Containerbezeichnungen werden für Teams, Gruppen und Websites konfiguriert.

Containerbezeichnungen erweitern Vertraulichkeitsbezeichnungen über einzelne Elemente hinaus auf ganze Arbeitsbereiche für die Zusammenarbeit wie Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites. Diese Bezeichnungen steuern Einstellungen auf Arbeitsbereichsebene wie externe Freigabe, Gastzugriff, Geräteeinschränkungen und Datenschutz.

Ohne Containerbezeichnungen können Benutzer Möglicherweise Teams mit externem Gastzugriff erstellen, auch wenn vertrauliche Informationen verarbeitet werden. Diese Aktion führt zu Datenexfiltrationsrisiken, wenn ordnungsgemäß gekennzeichnete Dokumente in nicht ordnungsgemäß geschützten Arbeitsbereichen vorhanden sind. Containerbezeichnungen können dazu beitragen, sicherzustellen, dass die Arbeitsbereichssicherheit mit der Vertraulichkeit von gespeicherten Inhalten übereinstimmt, z. B. verhindern, dass sich Dokumente mit der Bezeichnung "Streng vertraulich" auf Teams-Websites befinden, die eine externe Freigabe ermöglichen.

Wartungsaktion

• Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden

Vertraulichkeitsbezeichnungen sind in SharePoint aktiviert

Wenn die Integration von Vertraulichkeitsbezeichnungen in SharePoint (Standard) deaktiviert ist, können Dateien in SharePoint und OneDrive nicht beschriftet werden oder vorhandene Bezeichnungen anzeigen und können nicht vom zusätzlichen Schutz von Vertraulichkeitsbezeichnungen profitieren, die Verschlüsselung anwenden. Diese Schutzlücke lässt vertrauliche Dateien nicht klassifiziert und anfällig für nicht autorisierten Zugriff und externe Freigabe.

Durch das Aktivieren von Vertraulichkeitsbezeichnungen in SharePoint können Benutzer Bezeichnungen mithilfe von Office für das Web und SharePoint anwenden. Es ist auch eine Voraussetzung für die Standardbezeichnung für diese Speicherorte und für Richtlinien für die automatische Bezeichnung, die Dateien automatisch klassifizieren können. Vertraulichkeitsbezeichnungen für diese Dateien können auch die Sicherheit für Microsoft 365 Copilot erhöhen und mit Richtlinien zur Verhinderung von Datenverlust und anderen Microsoft Purview-Lösungen verwendet werden.

Wartungsaktion

• Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive

PDF-Bezeichnung ist in SharePoint aktiviert

Wenn die PDF-Bezeichnung in SharePoint (Standard) deaktiviert ist, können PDF-Dateien nicht beschriftet werden oder vorhandene Bezeichnungen anzeigen, wodurch eine Schutzlücke entsteht. Im Gegensatz zu Office-Dateien können PDF-Dateien extern ohne sichtbare Klassifizierungsmarker zirkulieren, sodass Empfänger die Verarbeitungsanforderungen oder DLP-Richtlinien (Data Loss Prevention) nicht ermitteln können, um vertrauliche Inhalte zu erkennen.

Durch das Aktivieren von PDF-Bezeichnungen für SharePoint und OneDrive wird die Unterstützung von Vertraulichkeitsbezeichnungen auf PDF-Dateien erweitert, sodass Benutzer Bezeichnungen mithilfe von Office für das Web und SharePoint anwenden können. Außerdem werden andere Bezeichnungsmethoden wie Richtlinien für die automatische Bezeichnung unterstützt, um PDF-Inhalte automatisch zu klassifizieren.

Wartungsaktion

• Aktivieren von Vertraulichkeitsbezeichnungen für PDF-Dateien in SharePoint und OneDrive

Vertraulichkeitsbezeichnungsrichtlinien werden für Benutzer veröffentlicht.

Bezeichnungen müssen mithilfe von Bezeichnungsrichtlinien veröffentlicht werden, bevor Benutzer sie auf Elemente wie Dateien, E-Mails und Besprechungen anwenden können. Bezeichnungsrichtlinien definieren, welche Benutzer welche Bezeichnungen erhalten, legen standardbeschriftungsverhalten und andere Bezeichnungsanforderungen fest. Ohne veröffentlichte Richtlinien bleiben Vertraulichkeitsbezeichnungen für Benutzer nicht verfügbar.

Wartungsaktion

• Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien

Eine Standard-Vertraulichkeitsbezeichnung wird in Bezeichnungsrichtlinien konfiguriert.

Durch das Festlegen einer Standardbezeichnung wird eine Grundlegende Schutzebene für alle neuen und bearbeiteten Elemente, die Vertraulichkeitsbezeichnungen unterstützen, sowie für neue Container wie Teams sichergestellt. Benutzer können die Bezeichnung bei Bedarf manuell überschreiben, und andere Bezeichnungsmethoden wie die automatische Bezeichnung können die Standardbezeichnung durch eine Bezeichnung mit einer höheren Vertraulichkeitsstufe ersetzen. Durch das Festlegen einer Standardmäßigen Vertraulichkeitsbezeichnung wird die Reichweite ihrer Bezeichnungen erweitert und die Entscheidungsmüdigkeit für Benutzer reduziert, sodass sichergestellt wird, dass Inhalte mindestens ein Mindestmaß an Schutz haben.

Nicht bezeichnete Inhalte können DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) und andere Schutzlösungen umgehen, die auf der Erkennung von Bezeichnungen basieren. Legen Sie ggf. eine andere Standard-Vertraulichkeitsbezeichnung für Dokumente ohne Bezeichnung und Loop Komponenten und Seiten, E-Mails und Besprechungseinladungen, neue Container und auch eine Standardbezeichnung für Power BI-Inhalte fest.

Wartungsaktion

• Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie
• Standardbezeichnungsrichtlinie für Fabric und Power BI

Die obligatorische Bezeichnung ist in Vertraulichkeitsbezeichnungsrichtlinien aktiviert.

Die Richtlinieneinstellung Benutzer müssen eine Bezeichnung anwenden , stellt sicher, dass eine Vertraulichkeitsbezeichnung angewendet werden muss, bevor Benutzer Dateien speichern und E-Mails oder Besprechungseinladungen senden, neue Gruppen oder Websites erstellen und Power BI-Inhalte verwenden können. Diese Einstellung verhindert auch, dass Benutzer eine Vertraulichkeitsbezeichnung vollständig entfernen. Nicht bezeichnete Elemente führen zu Sicherheits- und Compliancerisiken. Beispielsweise können Bedrohungsakteure vertrauliche Daten exfiltrieren, die durch Schutzlösungen verhindert werden könnten, die basierend auf der Bezeichnungserkennung ausgelöst werden.

Wartungsaktion

• Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie
• Von Benutzern fordern, dass sie eine Bezeichnung auf ihre E-Mails und Dokumente anwenden

Benutzer müssen eine Begründung für das Herabstufen von Vertraulichkeitsbezeichnungen angeben.

Wenn Benutzer keine Begründung für das Ändern einer Bezeichnung angeben müssen, können sie eine Bezeichnung im Hintergrund durch eine Bezeichnung mit einer niedrigeren Vertraulichkeit ersetzen. Ersetzen Sie beispielsweise die Bezeichnung "Vertraulich", die zusätzliche Schutzeinstellungen anwendet, durch "Allgemein". Durch diese Aktion entsteht ein Sicherheits- und Compliancerisiko. Die Anforderung eines Begründungsgrundes macht dieses Risiko für Benutzer offensichtlicher und zwingt sie, einen Grund als sichtbaren Überwachungspfad anzugeben.

Kompromittierte Konten oder ausscheidende Mitarbeiter könnten Bezeichnungen herabstufen, um die Datenexfiltration zu ermöglichen. Die Notwendigkeit einer Begründung ist ein einfaches Steuerelement, das die Verantwortlichkeit mit geringen Auswirkungen auf Benutzerworkflows erhöht.

Wartungsaktion

• Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie
• Wirkung von Bezeichnungsrichtlinien
• Überprüfen von Bezeichnungsaktivitäten im Aktivitäts-Explorer

Email Bezeichnungsrichtlinien erben Vertraulichkeit von Anlagen

Wenn Benutzer vertrauliche Dokumente an E-Mails anfügen, sollte die E-Mail die höchste Vertraulichkeitsbezeichnung von Anlagen erben, um einen konsistenten Schutz zu gewährleisten. Ohne diese Einstellung können Benutzer E-Mails ohne Bezeichnung senden, die vertrauliche Anlagen enthalten, wodurch ein Konflikt zwischen der Vertraulichkeit der E-Mail und dem tatsächlichen Inhalt entsteht.

Email Bezeichnungsvererbung wird automatisch die höchste Prioritätsbezeichnung der Anlage auf die E-Mail-Nachricht angewendet, um sicherzustellen, dass die Schutzebenen übereinstimmen und versehentliche Datenexposition verhindert werden.

Wartungsaktion

• Veröffentlichen Sie Vertraulichkeitsbezeichnungen unter Konfigurieren der Bezeichnungsvererbung aus E-Mail-Anlagen.

Standardmäßige Vertraulichkeitsbezeichnungen werden für SharePoint-Dokumentbibliotheken konfiguriert.

Wenn Sie SharePoint mit einer Standardbezeichnung für Dokumentbibliotheken konfigurieren, wird diese Bezeichnung für alle neuen Dateien, die in diese Bibliothek hochgeladen wurden, oder vorhandene Dateien, die in der Bibliothek bearbeitet wurden, angewendet, wenn sie noch keine Vertraulichkeitsbezeichnung oder eine Vertraulichkeitsbezeichnung mit niedrigerer Priorität haben. Diese standortbasierte Bezeichnung bietet ein grundlegendes Maß an Schutz und eine Form der automatischen Bezeichnung ohne Inhaltsüberprüfung. Wenn Dateien nicht bezeichnet werden, können wichtige Dateien den Schutz umgehen und anfällig bleiben.

Diese Konfiguration eignet sich am besten für Dokumentbibliotheken, die Dateien mit der gleichen Vertraulichkeitsstufe enthalten. Sie kann durch Richtlinien für automatische Bezeichnungen ergänzt werden, die die Inhaltsuntersuchung verwenden, und bei Bedarf durch manuelle Bezeichnungen mit einer Vertraulichkeitsbezeichnung mit höherer Priorität.

Wartungsaktion

• Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek

Richtlinien für automatische Bezeichnungen werden für alle Workloads konfiguriert.

Durch automatische Bezeichnungen wird die Reichweite Ihrer Bezeichnung erheblich erweitert, indem Elemente automatisch basierend auf der Inhaltsuntersuchung bezeichnet werden. Wenn Sie sich nur auf manuelle Bezeichnungen verlassen, erkennen Benutzer möglicherweise nicht immer, was als vertrauliche Daten zählt, oder vergessen möglicherweise, Informationen während ihrer täglichen Aufgaben zu bezeichnen. Standardbezeichnungen bieten eine Basis des Schutzes, berücksichtigen jedoch keine Inhalte, die ein höheres Schutzniveau erfordern. Dies führt zu Lücken in der Klassifizierung, sodass vertrauliche Inhalte ohne ordnungsgemäße Bezeichnungen oder Schutz durch Microsoft 365-Anwendungen verschoben werden können.

Sie können Einstellungen für die automatische Bezeichnung für Bezeichnungen konfigurieren, die ausgelöst werden, wenn Benutzer Dateien in ihren Office-Apps öffnen, sowie Richtlinien für automatische Bezeichnungen, die keine Benutzerinteraktionen erfordern. Einrichten von mindestens einer Richtlinie für automatische Bezeichnungen, um vertrauliche Inhalte zu erkennen, bezeichnet diese Inhalte automatisch, unabhängig davon, welche Aktionen personen ergreifen. Diese bezeichneten Inhalte können wiederum mit anderen Microsoft Purview-Lösungen verwendet werden, um Ihre Sicherheit zu erhöhen, z. B. Regeln zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) und Zugriffsbeschränkungen.

Wartungsaktion

• Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Microsoft 365-Daten

Richtlinien für automatische Bezeichnungen befinden sich im Erzwingungsmodus

Wenn Richtlinien für automatische Bezeichnungen im Simulationsmodus verbleiben, erkennen Sie den Schutz vor der Bezeichnung dieser Daten nicht. Daher können Benutzer und Dienste keine zusätzlichen Schutzmaßnahmen ergreifen, um die identifizierten vertraulichen Daten zu schützen. Beispielsweise sehen Benutzer in ihren Office-Apps nicht, dass eine Datei als streng vertraulich bezeichnet wird. Regeln zur Verhinderung von Datenverlust können Vertraulichkeitsbezeichnungen verwenden, um die Freigabe für externe Benutzer und andere riskante Aktionen zu verhindern. Bezeichnete Daten bieten auch eine zusätzliche Schutzebene, wenn Sie Microsoft 365 Copilot verwenden.

Aktivieren Sie mindestens eine Richtlinie für die automatische Bezeichnung, um sicherzustellen, dass vertrauliche Informationen automatisch bezeichnet werden. Das Aktivieren von Richtlinien für automatische Bezeichnungen nach dem Simulationstest setzt Schutzmaßnahmen in Kraft und beginnt mit der Risikoreduzierung.

Wartungsaktion

• Konfigurieren von Richtlinien für die automatische Bezeichnung von Microsoft Office SharePoint Online, OneDrive und Exchange

Richtlinien für die automatische Bezeichnung sind für SharePoint und OneDrive aktiviert.

Wenn die automatische Bezeichnung für SharePoint und OneDrive nicht eingerichtet ist, sind Dateien, die ohne Vertraulichkeitsbezeichnungen hochgeladen wurden, für DLP-Richtlinien (Data Loss Protection), die auf Bezeichnungen basieren, möglicherweise nicht sichtbar. Daher können diese Dateien mit weniger Sicherheitsvorkehrungen durch die Umgebung verschoben werden, was das Risiko einer unangemessenen Freigabe oder des unangemessenen Zugriffs erhöhen kann.

Wenn Sie beispielsweise mindestens eine Richtlinie für automatische Bezeichnungen im Erzwingungsmodus für SharePoint und OneDrive aktivieren, können Sie vertrauliche Dateien klassifizieren, wenn Benutzer sie erstellen oder bearbeiten. Die Automatische Bezeichnungsklassifizierung unterstützt nachgeschaltete Schutzmaßnahmen, z. B. DLP-Richtlinien, sodass sie basierend auf der Vertraulichkeit der Datei reagieren und das Risiko der Datengefährdung verringern können.

Wartungsaktion

• Automatisches Anwenden von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive

Microsoft Purview-Nachrichtenverschlüsselung wird mit vereinfachtem Clientzugriff konfiguriert

Die Einstellung SimplifiedClientAccessEnabled steuert, ob die Schaltfläche Schützen in Outlook im Web angezeigt wird. Mit dieser Schaltfläche können Benutzer ihren E-Mails schnell Verschlüsselung hinzufügen. Wenn die Einstellung nicht aktiviert ist, können Benutzer die Schaltfläche Schützen nicht verwenden und müssen andere Möglichkeiten finden, ihre Nachrichten zu verschlüsseln.

Um diese Einstellung zu aktivieren, muss azureRMSLicensingEnabled ebenfalls aktiv sein. Azure Rights Management-Verschlüsselungsdienst stellt die Verschlüsselungstechnologie bereit, die erforderlich ist, damit die Schaltfläche Schützen funktioniert.

Wartungsaktion

• Verwalten der Anzeige der Schaltfläche "Verschlüsseln" in Outlook im Web

Benutzerdefinierte Brandingvorlagen werden für Microsoft Purview-Nachrichtenverschlüsselung konfiguriert

Wenn ein organization keine benutzerdefinierten Brandingvorlagen verwendet, können Personen außerhalb des Unternehmens, die verschlüsselte Nachrichten empfangen, ein generisches Microsoft-Portal sehen. Da das Portal die Identität des organization nicht widerspiegelt, können empfänger weniger sicher sein, woher die Nachricht stammt.

Mit benutzerdefinierten Brandingvorlagen können Organisationen ihr Logo, ihre Farben, Haftungsausschlüsse und Kontaktdetails zum Portal hinzufügen. Diese Elemente helfen empfängern, das Portal vertraut zu machen, und können vertrauen, wenn sie verschlüsselte Nachrichten anzeigen und mit ihnen interagieren.

Wartungsaktion

• Hinzufügen der Marke Ihres Unternehmens zu Ihren verschlüsselten Nachrichten

Email Aufbewahrungsrichtlinien sind konfiguriert

Ohne Aufbewahrungsrichtlinien bleiben E-Mails unbegrenzt in Benutzerpostfächern erhalten, wodurch eine Haftung für Verstöße gegen gesetzliche Bestimmungen (DSGVO, HIPAA, SOX), erhöhte eDiscovery-Kosten und unkontrollierte Speicherkosten entstehen.

Aufbewahrungsrichtlinien verwalten automatisch den E-Mail-Lebenszyklus, indem Nachrichten basierend auf Complianceanforderungen gelöscht oder beibehalten werden, das rechtliche Risiko reduziert und sichergestellt wird, dass gesetzliche Aufbewahrungspflichten erfüllt werden.

Wartungsaktion

• Erstellen und Verwalten von Aufbewahrungsrichtlinien

E-Mail-Flussregeln wenden Den Schutz von Rechten auf vertrauliche Nachrichten an

Ohne Nachrichtenflussregeln sind Organisationen darauf angewiesen, dass Benutzer Vertraulichkeitsbezeichnungen manuell anwenden oder Nachrichten verschlüsseln. Dieser Ansatz kann zu Inkonsistenzen und Fehlern führen, was dazu führen kann, dass vertrauliche E-Mails ohne angemessenen Schutz gesendet werden und das Risiko nicht autorisierter Zugriffe und Datenexfiltration erhöhen.

Nachrichtenflussregeln helfen beim automatischen Hinzufügen von Verschlüsselung und Festlegen von Berechtigungen für E-Mails, die bestimmte Bedingungen erfüllen, z. B.:

• E-Mails, die an Personen außerhalb des Unternehmens gesendet werden
• E-Mail mit vertraulichen Informationen
• E-Mails, die abteilungsbasierte Anforderungen erfüllen müssen
  Dadurch wird sichergestellt, dass wichtige Nachrichten geschützt werden, ohne dass Benutzer sie manuell schützen müssen.

Wartungsaktion

• Einrichten von Nachrichtenverschlüsselungs- und Nachrichtenflussregeln für die Verwendung von Microsoft Purview-Nachrichtenverschlüsselung

Richtlinien zur Verhinderung von Datenverlust sind aktiviert.

Eine DLP-Richtlinie kann Ihnen dabei helfen, vertrauliche Informationen in Unternehmensanwendungen & Geräten und Inline-Webdatenverkehr zu identifizieren, zu überwachen und automatisch zu schützen. DLP-Richtlinien wirken auf eine Vielzahl von Standorten, Methoden der Datenübertragung und Arten von Benutzeraktivitäten ein. Durch den Schutz vertraulicher Informationen können DLP-Richtlinien Ihnen helfen, Datenlecks zu verhindern, die Einhaltung von Vorschriften sicherzustellen und die Vertraulichkeit der Daten Ihrer organization zu wahren.

Wartungsaktion

• Erstellen und Konfigurieren von DLP-Richtlinien

Richtlinien zur Verhinderung von Datenverlust für Endpunkte sind konfiguriert

Richtlinien zur Verhinderung von Datenverlust für Endpunkte tragen zum Schutz vor dem Ausgehenden vertraulicher Informationen von Benutzergeräten an verschiedene Speicherorte bei, z. B.:

• USB-Laufwerke
• Drucker
• Externe Anwendungen
• Wechselmedien
• Bluetooth-App
• Windows-Rückruf
• Kopieren in cli
• Einfügen in nicht zulässige Doamins

Die Integration in Microsoft Defender for Endpoint ermöglicht Folgendes:

• Überwachen von Datenverarbeitungsaktivitäten
• Verhindern nicht autorisierter Datenexfiltration in Echtzeit

Wartungsaktion

• Endpunkt-DLP – Erste Schritte
• Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren

Adaptiver Schutz ist in Richtlinien zur Verhinderung von Datenverlust aktiviert.

Mit adaptivem Schutz können Organisationen basierend auf dem Risiko ihres Verhaltens die richtigen Steuerelemente auf die richtigen Benutzer anwenden.

Adaptiver Schutz in Microsoft Purview integriert Microsoft Purview Insider Risk Management maschinelles Lernen mit Microsoft Purview Data Loss Prevention (DLP). Wenn das Insider-Risiko einen Benutzer identifiziert, der riskantes Verhalten annimmt, wird er dynamisch einer Internen Risikostufe zugewiesen. Dann kann adaptiver Schutz automatisch eine DLP-Richtlinie erstellen, um die organization vor dem risikobehafteten Verhalten zu schützen, das dieser Risikostufe zugeordnet ist. Wenn sich die Insider-Risikostufen der Benutzer im Insider-Risikomanagement ändern, können die dlp-Richtlinien, die auf Benutzer angewendet werden, angepasst werden.

Wartungsaktion

• Hilfe bei der dynamischen Risikominderung mit adaptivem Schutz

Die Verhinderung von Datenverlust im Browser ist für KI-Apps über Edge for Business aktiviert.

Microsoft Purview Data Loss Prevention(DLP)-Überwachung und -Schutz sind direkt in den Microsoft Edge for Business Browser integriert. Sie müssen das Gerät nicht in Microsoft Purview integrieren. Durch diese Integration können Sie verhindern, dass Benutzer vertrauliche Informationen in und aus Cloud-Apps mit Edge for Business freigeben. Mit dem Aufkommen von KI-Anwendungen ist diese Funktion entscheidend, um zu verhindern, dass Benutzer vertrauliche Informationen mit nicht verwalteten KI-Apps über Edge for Business freigeben, was zu Datenlecks und Compliancerisiken führen könnte. Durch die Aktivierung von Browser-DLP für KI-Apps über Edge for Business können Sie Ihre Datenschutzrichtlinien auf webbasierte Interaktionen erweitern und so sicherstellen, dass vertrauliche Daten auch beim Zugriff über den Browser geschützt sind.

Wartungsaktion

• Verhindern der Freigabe über Microsoft Edge for Business für nicht verwaltete KI-Apps von verwalteten Geräten

Insider-Risikomanagement-Richtlinien sind für riskante KI-Nutzung aktiviert

Bis Organisationen Insider-Risikomanagement mit adaptivem Schutz verwenden, können sie Insider-Bedrohungen, riskante Verhaltensweisen wie den Missbrauch des legitimen Zugriffs auf exfiltrierte Daten oder unsichere KI-Szenarien, in denen Benutzer vertrauliche Daten für große Sprachmodelle oder nicht autorisierte Cloud-KI-Dienste verfügbar machen, nicht erkennen.

Insider-Risikomanagement arbeitet mit Data Loss Prevention (DLP) zusammen, um Signale des Benutzerverhaltens mit inhaltsbasierten Regeln zu kombinieren, sodass Teams Risiken frühzeitig erkennen und reagieren können, bevor vertrauliche Daten offengelegt oder kompromittiert werden.

Wartungsaktion

• Erstellen und Konfigurieren von Insider-Risikomanagement-Richtlinien
• Hilfe bei der dynamischen Risikominderung mit adaptivem Schutz

Die Überwachung der Kommunikationskonformität ist für Microsoft Copilot

Bis Organisationen Kommunikationscompliancerichtlinien konfigurieren, um Copilot-Interaktionen zu erfassen, können sie nicht sehen, wann Benutzer vertrauliche Daten für KI-Dienste verfügbar machen. Sie können auch nicht erkennen, wie Personen Copilot mit vertraulichen Informationen verwenden oder mögliche Richtlinienverstöße erkennen. Daher können Benutzer unwissentlich Kundendaten, Finanzdaten, Quellcode oder Geschäftsgeheimnisse mit KI-Diensten teilen.

Kommunikationscompliance-Richtlinien, die sich auf Copilot-Interaktionen konzentrieren, bieten Organisationen eine klare Kontrolle über die VERWENDUNG von KI und achten gleichzeitig die Datenschutzkontrollen. Diese Richtlinien zeigen, wie Benutzer mit vertraulichen Daten in KI-Features arbeiten und sicherstellen, dass Teams Datengovernance- und Complianceanforderungen einhalten.

Wartungsaktion

• Erstellen und Verwalten von Kommunikationscompliancerichtlinien

Überwachung der Kommunikationskonformität ist für KI-Tools des Unternehmens konfiguriert

Sammlungsrichtlinien stellen die Datenerfassungsebene bereit, die die Überwachung der Aktivitäten von UNTERNEHMENS-KI-Apps unterstützt. Wenn diese Richtlinien vorhanden sind, kann Communication Compliance Signale von KI-App-Interaktionen sammeln und Organisationen dabei helfen, zu verstehen, wo Datenschutzrisiken in KI-fähigen Workflows bestehen können. Diese Sichtbarkeit hilft Teams dabei, Datenschutzkontrollen konsistenter anzuwenden, wenn die KI-Nutzung über Microsoft 365 Copilot hinausgeht.

In der Praxis geben Benutzer möglicherweise versehentlich vertrauliche Daten mit benutzerdefinierten KI-Anwendungen, Power Automate-Flows, AI Builder-Automatisierungen oder nicht Microsoft AI Diensten frei, die für die Verarbeitung vertraulicher Informationen nicht genehmigt sind. Richtlinien für die Kommunikationscompliance, die Ki-App-Interaktionen in Unternehmen abdecken, können jedoch dazu beitragen, eine potenzielle Datenexposition für diese Dienste zu erkennen und Datenschutzpraktiken auf benutzerdefinierte KI-Lösungen und KI-Lösungen von Drittanbietern auszudehnen.

Wartungsaktion

• Erstellen und Bereitstellen von Sammlungsrichtlinien
• Erstellen und Verwalten von Kommunikationscompliancerichtlinien

Verwandte Inhalte

• Konfigurieren von Microsoft Purview für erhöhte Sicherheit
• Implementieren von Zero Trust mit Microsoft Purview