Freigeben über

Verhindern der Freigabe vertraulicher Elemente über SharePoint und OneDrive für externe Benutzer

In diesem Artikel wird anhand des Prozesses, den Sie unter Entwerfen einer Richtlinie zur Verhinderung von Datenverlust gelernt haben, gezeigt, wie Sie eine Microsoft Purview Data Loss Prevention-Richtlinie (DLP) erstellen, die verhindert, dass Benutzer vertrauliche Elemente über SharePoint und OneDrive für externe Benutzer freigeben. Arbeiten Sie diese Szenarien in Ihrer Testumgebung durch, um sich mit der Benutzeroberfläche für die Richtlinienerstellung vertraut zu machen.

Für SharePoint und OneDrive erstellen Sie eine Richtlinie, um die Freigabe vertraulicher Elemente für externe Benutzer über SharePoint und OneDrive zu verhindern.

Wichtig

In diesem Artikel wird ein hypothetisches Szenario mit hypothetischen Werten vorgestellt. Dies dient nur zur Veranschaulichung. Ersetzen Sie Ihre eigenen Typen vertraulicher Informationen, Vertraulichkeitsbezeichnungen, Verteilergruppen und Benutzer.

Wie Sie eine Richtlinie bereitstellen, ist ebenso wichtig wie der Richtlinienentwurf. In diesem Artikel erfahren Sie, wie Sie die Bereitstellungsoptionen verwenden, damit die Richtlinie Ihre Absicht erreicht und gleichzeitig kostspielige Geschäftsunterbrechungen vermeidet.

Voraussetzungen und Annahmen

In diesem Szenario wird die Vertraulichkeitsbezeichnung Vertraulich verwendet, sodass Sie Vertraulichkeitsbezeichnungen erstellen und veröffentlichen müssen. Weitere Informationen finden Sie unter:

Bei diesem Verfahren werden eine hypothetische Verteilergruppe Human Resources und eine Verteilergruppe für das Sicherheitsteam in Contoso.com verwendet.

In diesem Verfahren werden Warnungen verwendet. Weitere Informationen finden Sie unter Erste Schritte mit den Warnungen zur Verhinderung von Datenverlust.

Richtlinienabsichtsanweisung und Zuordnung

Wir müssen die gesamte Freigabe von SharePoint- und OneDrive-Elementen für alle externen Empfänger blockieren, die Sozialversicherungsnummern, Gutschriften Karte Daten enthalten oder über die Vertraulichkeitsbezeichnung "Vertraulich" verfügen. Wir möchten, dass dies für niemanden im Personalteam gilt. Wir müssen auch die Anforderungen an Warnungen erfüllen. Wir möchten unser Sicherheitsteam jedes Mal per E-Mail benachrichtigen, wenn eine Datei freigegeben und dann blockiert wird. Darüber hinaus möchten wir, dass der Benutzer per E-Mail und nach Möglichkeit innerhalb der Benutzeroberfläche benachrichtigt wird. Schließlich möchten wir keine Ausnahmen von der Richtlinie und müssen diese Aktivität innerhalb des Systems sehen können.

Statement Antwort zur Konfigurationsfrage und Konfigurationszuordnung
"Wir müssen die gesamte Freigabe von SharePoint- und OneDrive-Elementen für alle externen Empfänger blockieren..." - Verwaltungsbereich: Vollständiges Verzeichnis
- Wo überwacht werden soll: Unternehmensanwendungen & Geräten, SharePoint-Websites, OneDrive-Konten
- Bedingungen für eine Übereinstimmung: Erste Bedingung>außerhalb meiner Organisation
freigegeben- Aktion: Zugriff einschränken oder Inhalte in Microsoft 365-Speicherorten> verschlüsselnBenutzer am Empfangen von E-Mails oder am Zugriff auf freigegebene SharePoint blockieren, OneDrive>Nur Personen außerhalb Ihrer Blockieren organization
"... die Sozialversicherungsnummern, Guthaben Karte Daten enthalten oder die Vertraulichkeitsbezeichnung "Vertraulich" aufweisen..." - Was überwacht werden soll: Verwenden Sie die benutzerdefinierte Vorlage
– Bedingung für eine Übereinstimmung: Erstellen Sie eine zweite Bedingung, die mit der ersten Bedingung verknüpft ist, mit einem booleschen AND
- Bedingungen für eine Übereinstimmung: Zweite Bedingung, erste Bedingungsgruppe >Inhalt enthält Vertrauliche Informationstypen>U.S. Sozialversicherungsnummer (SSN), Kreditkartennummer
- Bedingung Gruppenkonfiguration Erstellen Einer zweiten Bedingungsgruppe, die mit der ersten durch boolesche OR
verbunden ist- Bedingung für eine Übereinstimmung: Zweite Bedingungsgruppe, zweite Bedingung >Inhalt enthält eine dieser Vertraulichkeitsbezeichnungen>Vertraulich.
“... Wir möchten, dass dies für niemanden im Personalteam gilt..." - Anwendungsort: Ausschließen der OneDrive-Konten des Personalteams
"... Wir möchten unser Sicherheitsteam jedes Mal mit einer E-Mail benachrichtigen, wenn eine Datei freigegeben und dann blockiert wird..." - Incidentberichte: Senden Sie eine Warnung an Administratoren, wenn eine Regelübereinstimmung auftritt
- Senden von E-Mail-Benachrichtigungen an diese Personen (optional): Fügen Sie das Sicherheitsteam
hinzu– Senden Sie eine Warnung, wenn eine Aktivität der Regel entspricht: ausgewählt
- Verwenden Sie E-Mail-Incidentberichte, um Sie zu benachrichtigen, wenn eine Richtlinienübereinstimmung auftritt: Ein
- Senden von Benachrichtigungen an diese Personen: Hinzufügen einzelner Administratoren nach Wunsch
– Sie können auch die folgenden Informationen in den Bericht aufnehmen: Alle Optionen auswählen
"... Darüber hinaus möchten wir, dass der Benutzer per E-Mail und nach Möglichkeit innerhalb der Benutzeroberfläche benachrichtigt wird..." - Benutzerbenachrichtigungen: Ein
– Benutzer in Office 365 mit einem Richtlinientipp benachrichtigen: ausgewählt
“... Schließlich möchten wir keine Ausnahmen von der Richtlinie und müssen in der Lage sein, diese Aktivität im System zu sehen..." -Benutzerüberschreibungen: nicht ausgewählt

Wenn Sie die Bedingungen konfigurieren, sieht die Zusammenfassung wie folgt aus:

Richtlinienbedingungen für die Übereinstimmungszusammenfassung für Szenario 2.

Schritte zum Erstellen einer Richtlinie

Wichtig

Lassen Sie für diese Prozedur zur Richtlinienerstellung die Richtlinie deaktiviert. Ändern Sie diese Einstellungen, wenn Sie die Richtlinie bereitstellen.

  1. Melden Sie sich beim Microsoft Purview-Portal an.
  2. Wählen SieRichtlinien>zur Verhinderung von> Datenverlust + Richtlinie erstellen aus.
  3. Wählen Sie Unternehmensanwendungen & Geräte aus.
  4. Wählen Sie sowohl in der Liste Kategorien als auch in der Liste Vorschriften die Option Benutzerdefiniert aus.
  5. Wählen Sie Weiter aus.
  6. Geben Sie einen Namen und eine Beschreibung für die Richtlinie ein. Sie können hier die Richtlinienabsichtsanweisung verwenden.

Wichtig

Richtlinien können nicht umbenannt werden.

  1. Wählen Sie Weiter aus.
  2. Übernehmen Sie das Standardverzeichnis Vollständig auf der Seite Administratoreinheiten zuweisen .
  3. Wählen Sie Weiter aus.
  4. Wählen Sie aus, wo die Richtlinie angewendet werden soll.
    1. Stellen Sie sicher, dass die Speicherorte der SharePoint-Websites und OneDrive-Konten ausgewählt sind.
    2. Deaktivieren Sie alle anderen Speicherorte.
    3. Wählen Sie in der Spalte Aktionen neben OneDrive-Kontendie Option Bearbeiten aus.
    4. Wählen Sie Alle Benutzer und Gruppen und dann Benutzer und Gruppen ausschließen aus.
    5. Wählen Sie +Ausschließen und dann Gruppen ausschließen aus.
    6. Wählen Sie Personalwesen aus.
  5. Wählen Sie Fertig und dann Weiter aus.
  6. Auf der Seite Richtlinieneinstellungen definieren sollte die Option Erweiterte DLP-Regeln erstellen oder anpassen bereits ausgewählt sein. Wählen Sie Weiter aus.
  7. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassendie Option + Regel erstellen aus.
  8. Geben Sie der Regel einen Namen und eine Beschreibung.
  9. Wählen Sie Bedingung hinzufügen aus, und verwenden Sie die folgenden Werte:
    1. Wählen Sie Inhalt wird von Microsoft 365 freigegeben aus.
    2. Wählen Sie mit Personen außerhalb meiner organization aus.
  10. Wählen Sie Bedingung hinzufügen aus, um eine zweite Bedingung zu erstellen und diese Werte zu verwenden.
    1. Wählen Sie Inhalt enthält aus.
  11. Wählen SieVertraulichkeitsbezeichnungen>hinzufügen> und dann Vertraulich aus.
  12. Klicken Sie auf Hinzufügen.
  13. Fügen Sie unter Aktionen eine Aktion mit den folgenden Werten hinzu:
    1. Beschränken Sie den Zugriff, oder verschlüsseln Sie den Inhalt an Microsoft 365-Speicherorten.
    2. Blockieren Sie nur Personen außerhalb Ihrer organization.
  14. Legen Sie die Umschaltfläche Benutzerbenachrichtigungen auf Ein fest.
  15. Wählen Sie Benutzer in Office 365 Diensten mit einem Richtlinientipp benachrichtigen und dann Benutzer benachrichtigen, der den Inhalt gesendet, freigegeben oder zuletzt geändert hat.
  16. Stellen Sie unter Benutzerüberschreibungen sicher, dass Außerkraftsetzung von M365-Diensten zulassenNICHT ausgewählt ist.
  17. Unter Incidentberichte:
    1. Legen Sie Diesen Schweregrad in Administratorwarnungen und -berichten verwenden auf Niedrig fest.
    2. Legen Sie die Umschaltfläche für Warnung an Administratoren senden, wenn eine Regeleinstimmung auftritt , auf Ein fest.
  18. Wählen Sie unter E-Mail-Benachrichtigungen an diese Personen senden (optional)die Option + Benutzer hinzufügen oder entfernen aus, und fügen Sie dann die E-Mail-Adresse des Sicherheitsteams hinzu.
  19. Wählen Sie Speichern und dann Weiter aus.
  20. Wählen Sie auf der Seite Richtlinienmodusdie Option Richtlinie im Simulationsmodus ausführen und Richtlinientipps im Simulationsmodus anzeigen aus.
  21. Wählen Sie Weiter und dann Absenden aus.
  22. Wählen Sie Fertig aus.
  • Last updated on