Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, gezeigt, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen, die zum Schutz von Dateien beiträgt, die von Endpunkt-DLP nicht unterstützt werden. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.
Anwenden von Steuerelementen auf alle nicht unterstützten Dateien, befindet sich in der Vorschau.
Verwenden Sie dieses Szenario, um Überwachungs-, Block- oder Blockierungssteuerelemente mit Außerkraftsetzung auf Benutzeraktivitäten für Dateien anzuwenden, die nicht in der Liste Überwachte Dateien enthalten sind, ohne alle Dateierweiterungen über die Bedingung Dateierweiterung ist aufzulisten. Verwenden Sie diese Konfiguration, um eine allgemeine Richtlinie zum Platzieren von Steuerelementen für Dateien wie .mp3, .wav und .dat zu erstellen.
Achtung
Die Möglichkeit, Steuerelemente auf alle Dateien anzuwenden, ist eine leistungsstarke Funktion. Wenn Sie sie ohne angemessene Vorsicht implementieren, kann dies unbeabsichtigte Folgen haben. Testen Sie diese Richtlinie in einer Nichtproduktionsumgebung, bevor Sie sie in Ihrer Produktionsumgebung bereitstellen. Dieses Beispiel zeigt auch, wie Sie (optional) bestimmte Dateierweiterungen aus dem Bereich der Richtlinie ausschließen können.
Wichtig
Wenn Sie die Aktion Aktivitäten auf Geräten überwachen oder einschränken in den Richtlinienkonfigurationsaktionen auswählen, wird die Option Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden angezeigt. Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden Konfigurationsoption UNTERSTÜTZT KEINE Bereichsdefinition nach Gerät und Gerätegruppen in der Richtlinienspeicherorteinstellung.
Diese Aktionen werden unterstützt:
- Hochladen in eine eingeschränkte Clouddienstdomäne
- Kopieren auf ein USB-Wechselgerät
- Auf eine Netzwerkfreigabe kopieren
Wichtig
In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.
Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.
Richtlinienabsichtsanweisung und Zuordnung
Es gibt viele Arten von Dateien, die der Endpunkt DLP nicht überprüft, mehr als wir nachverfolgen können. Wir wissen nicht, ob in diesen Dateien vertrauliche Informationen enthalten sind. Daher möchten wir einen Prüfpunkt haben, bevor der Benutzer versucht, diese Dateien auf ein USB-Gerät oder eine Netzwerkfreigabe zu kopieren. Wir möchten den Benutzerworkflow für den uns bekannten abc-Dateityp nicht stören, der keine Gefahr von Datenlecks darstellt.
| Statement | Antwort zur Konfigurationsfrage und Konfigurationszuordnung |
|---|---|
| "Es gibt viele Dateitypen, die der Endpunkt DLP nicht überprüft,..." | - Administrativer Bereich: Vollständiges Verzeichnis : Überwachen von Unternehmensanwendungen & Geräten, Geräte : Bereich: AlleBenutzer, Gruppen, Geräte, Gerätegruppen |
| "... Wir möchten den Benutzerworkflow für den uns bekannten abc-Dateityp nicht stören, der keine Gefahr von Datenlecks darstellt." | - Endpunkteinstellungen: Erstellen Sie eine Liste der Ausschlüsse für nicht unterstützte Dateierweiterungen, und fügen Sie der Liste die Dateierweiterung abc hinzu. |
| "... mehr, als wir nachverfolgen können. Wir wissen nicht, ob diese Dateien vertrauliche Informationen enthalten, und daher möchten wir einen Prüfpunkt haben, bevor sie versuchen, diese Dateien auf ein USB-Gerät oder eine Netzwerkfreigabe zu kopieren..." |
- Bedingungen für eine Übereinstimmung: Dokument konnte nicht gescannt werden Aktion : Wählen Sie Aktivitäten auf Geräten überwachen oder einschränken aus. Deaktivieren Sie Upload to a restriced cloud service domain or access from an unallowed browser ( Apply restrictions to specific activity to specific activity ( Copy to a removable USB device, and Block with override - Select Copy to a network share and Block with override( Block with override ), Drucken, Kopieren oder Verschieben mithilfe einer nicht zugelassenen Bluetooth-App und Kopieren oder Verschieben mithilfe von RDP – Auswahldatei konnte nicht gescannt werden. – Wählen Sie Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden aus. |
Wichtig
Der Unterschied zwischen diesem Feature und der Dateierweiterung ist die Bedingung:
- Endpunkt-DLP überprüft Den Inhalt der Dateierweiterung ist bedingung. Beispielsweise wird der Wert vertraulicher Informationstyp für das Ereignis oder die Warnung angezeigt. auf der anderen Seite überprüft dieses Feature dateiinhalte nicht.
- Die Dateierweiterung ist eine Bedingung, die die Inhaltsüberprüfung auslöst, kann eine höhere Computerressource wie CPU und Arbeitsspeicher verbrauchen und bei einigen Dateitypen ein Problem mit der Anwendungsleistung verursachen.
Schritte zum Hinzufügen eines Dateityps zu nicht unterstützten Dateierweiterungsausschlüssen
Verwenden Sie diese Einstellung, um Dateierweiterungen aus der Richtlinie auszuschließen.
- Anmelden beim Microsoft Purview-Portal
- Öffnen Sie Einstellungen>Verhinderung von> DatenverlustEndpunkt DLP-Einstellungen>Nicht unterstützte Dateierweiterungsausschlüsse.
- Wählen Sie Dateierweiterungen hinzufügen aus.
- Stellen Sie Erweiterungen bereit.
- Klicken Sie auf Speichern.
- Schließen Sie das Element.
Schritte zum Konfigurieren von Richtlinienaktionen
- Melden Sie sich beim Microsoft Purview-Portal an.
- Öffnen SieRichtlinienzur Verhinderung von> Datenverlust.
- Wählen Sie Unternehmensanwendungen & Geräte aus.
- Wählen Sie Richtlinie erstellen aus, und wählen Sie in den Kategorien die Option Benutzerdefiniert und dann die Vorlage Benutzerdefinierte Richtlinie aus Den Vorschriften aus.
- Benennen Sie Ihre neue Richtlinie, und geben Sie eine Beschreibung an.
- Wählen Sie unter Admin Einheitendie Option Vollständiges Verzeichnis aus.
- Legen Sie den Standort nur auf Geräte fest.
- Erstellen Sie eine Regel, in der Folgendes gilt:
- Unter Bedingungen:
- Wählen Sie Dokument konnte nicht gescannt werden aus.
- In Aktionen:
- Wählen Sie Aktivitäten auf Geräten überwachen oder einschränken aus.
- Deaktivieren Sie Upload to a restriced cloud service domain or access from a unallowed browser( Upload to a restriced cloud service domain or access from a unallowed browser).
- Wählen Sie Einschränkungen auf bestimmte Aktivitäten anwenden aus.
- Wählen Sie Auf wechselbares USB-Gerät kopieren und Mit Außerkraftsetzung blockieren aus.
- Wählen Sie In eine Netzwerkfreigabe kopieren und Mit Außerkraftsetzung blockieren aus.
- Deaktivieren Sie Kopieren in die Zwischenablage, Drucken, Kopieren oder Verschieben mit nicht zugelassener Bluetooth-App und Kopieren oder Verschieben mithilfe von RDP.
- Wählen Sie Einschränkungen nur auf nicht unterstützte Dateierweiterungen anwenden aus.
- Unter Bedingungen:
- Speichern.
- Wählen Sie Richtlinie sofort aktivieren aus. Wählen Sie Weiter aus.
- Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Senden aus.
Wichtig
Sie können dokument konnte in diesem Szenario nicht zusammen mit anderen Bedingungen gescannt werden verwenden.