Erstellen einer DLP-Richtlinie zum Schützen von Dokumenten mit FCI- oder anderen Eigenschaften

In Office 365 können Sie eine Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) verwenden, um vertrauliche Informationen zu identifizieren, zu überwachen und zu schützen. Viele Organisationen besitzen bereits ein Verfahren zum Identifizieren und Klassifizieren vertraulicher Informationen mithilfe der Klassifizierungseigenschaften in der Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) von Windows Server, der Dokumenteigenschaften in SharePoint oder der Dokumenteigenschaften, die durch ein Drittanbietersystem angewendet werden. Wenn dies auf Ihre Organisation zutrifft, können Sie eine DLP-Richtlinie in Office 365 erstellen, die die durch die Windows Server-FCI oder ein anderes System auf Dokumente angewendeten Eigenschaften erkennt. Auf diese Weise kann die DLP-Richtlinie für Office-Dokumente mit bestimmten FCI- oder anderen Eigenschaftswerten erzwungen werden.

Diagramm mit Office 365 und externem Klassifizierungssystem

Beispielsweise kann Ihre Organisation die Windows Server-FCI einsetzen, um Dokumente mit personenbezogenen Informationen (Personally Identifiable Information, PII) wie Sozialversicherungsnummern zu identifizieren und zu klassifizieren. Zum Klassifizieren wird die Eigenschaft Personenbezogene Informationen abhängig davon, welche Art personenbezogener Informationen wie häufig im Dokument gefunden wurden, auf Hoch, Mittel, Niedrig, Öffentlich oder Keine personenbezogenen Informationen festgelegt. In Office 365 können Sie eine DLP-Richtlinie erstellen, die Dokumente identifiziert, deren Eigenschaft auf einen bestimmten Wert wie Hoch und Mittel festgelegt ist. Die Richtlinie kann dann eine Aktion auslösen, beispielsweise, dass der Zugriff auf diese Dateien blockiert wird. Für dieselbe Richtlinie kann eine weitere Regel gelten, die eine andere Aktion auslöst, wenn die Eigenschaft auf Niedrig festgelegt ist, beispielsweise, dass eine E-Mail-Benachrichtigung gesendet wird. Auf diese Weise wird DLP in Office 365 in die Windows Server-FCI integriert und kann zum Schutz von Office-Dokumenten beitragen, die von Windows Server-basierten Dateiservern in Office 365 hochgeladen oder freigegeben werden.

Mithilfe einer DLP-Richtlinie wird einfach nach einem bestimmten Name-Wert-Paar einer Eigenschaft gesucht. Es kann eine beliebige Dokumenteigenschaft verwendet werden, solange sie über eine entsprechende verwaltete Eigenschaft für die SharePoint-Suche verfügt. Eine SharePoint-Websitesammlung kann z. B. einen Inhaltstyp namens Geschäftsreisebericht mit einem erforderlichen Feld namens Kunde aufweisen. Immer, wenn ein Mitarbeiter einen Geschäftsreisebericht erstellt, muss er den Kundennamen eingeben. Dieses Name-Wert-Paar einer Eigenschaft kann auch in einer DLP-Richtlinie verwendet werden, beispielsweise, wenn eine Regel den Dokumentzugriff externer Benutzer blockieren soll, falls im Feld Kunde der Name Contoso enthalten ist.

Liste der Bedingungen, in der "Dokumenteigenschaften enthalten einen dieser Werte" hervorgehoben ist

Voraussetzungen für das Erstellen der DLP-Richtlinie

Bevor Sie eine Windows Server-basierte FCI-Eigenschaft oder eine andere Eigenschaft in einer DLP-Richtlinie verwenden können, müssen Sie im SharePoint Admin Center aus folgenden Gründen eine verwaltete Eigenschaft erstellen:

In SharePoint Online und OneDrive for Business wird der Suchindex erstellt, indem der Inhalt auf Ihren Websites durchforstet wird. Der Crawler sammelt Inhalte und Metadaten aus den Dokumenten in Form von durchforsteten Eigenschaften. Das Suchschema hilft dem Crawler bei der Entscheidung, welche Inhalte und Metadaten gesammelt werden sollen. Beispiele für Metadaten sind der Autor und Titel eines Dokuments. Um aber die Inhalte und Metadaten aus den Dokumenten in den Suchindex zu überführen, müssen die durchforsteten Eigenschaften verwalteten Eigenschaften zugeordnet werden. Nur verwaltete Eigenschaften werden im Index beibehalten. So wird beispielsweise eine durchforstete Eigenschaft, die sich auf den Autor bezieht, einer verwalteten Eigenschaft zugeordnet, die sich auf den Autor bezieht.

Dies ist wichtig, da DLP in Office 365 vertrauliche Informationen auf Ihren Websites mithilfe des Suchcrawlers identifiziert und klassifiziert und diese vertraulichen Informationen dann in einem sicheren Teil des Suchindexes speichert. Wenn Sie ein Dokument in Office 365 hochladen, erstellt SharePoint automatisch durchforstete Eigenschaften, die auf den Dokumenteigenschaften basieren. Um jedoch eine FCI- oder andere Eigenschaft in einer DLP-Richtlinie zu verwenden, muss die durchforstete Eigenschaft einer verwalteten Eigenschaft zugeordnet werden, damit Inhalte mit dieser Eigenschaft im Index beibehalten werden.

Weitere Informationen zur Suche und zu verwalteten Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint Online.

Schritt 1: Hochladen eines Dokuments mit der erforderlichen Eigenschaft in Office 365

Sie müssen zuerst ein Dokument mit der Eigenschaft hochladen, auf die Sie in der DLP-Richtlinie verweisen möchten. Office 365 erkennt die Eigenschaft und erstellt daraus automatisch eine durchforstete Eigenschaft. Im nächsten Schritt erstellen Sie eine verwaltete Eigenschaft und ordnen dieser durchforsteten Eigenschaft die verwaltete Eigenschaft zu.

Schritt 2: Erstellen einer verwalteten Eigenschaft

  1. Melden Sie sich beim Office 365 Admin Center an.

  2. Wählen Sie im linken Navigationsbereich Admin Center und dann SharePoint aus. Sie befinden sich jetzt im SharePoint Admin Center.

  3. Wählen Sie im linken Navigationsbereich Suche und dann auf der Seite Suchverwaltung die Option Suchschema verwalten aus.

    Seite "Suchverwaltung" im SharePoint Admin Center

  4. Wählen Sie auf der Seite Verwaltete Eigenschaften die Option Neue verwaltete Eigenschaft aus.

    Seite "Verwaltete Eigenschaften" mit hervorgehobener Schaltfläche "Neue verwaltete Eigenschaft"

  5. Geben Sie einen Namen und eine Beschreibung für die Eigenschaft ein. Dieser Name wird in den DLP-Richtlinien angezeigt.

  6. Wählen Sie für Typ die Option Text aus.

  7. Wählen Sie unter Haupteigenschaften die Optionen Abfragbar und Abrufbar aus.

  8. Wählen Sie unter Zuordnungen zu durchforsteten Eigenschaften die Option Zuordnung hinzufügen aus.

  9. Suchen Sie im Dialogfeld Auswahl für durchforstete Eigenschaft die durchforstete Eigenschaft, die der Windows Server-basierten FCI-Eigenschaft oder einer anderen Eigenschaft entspricht, die Sie in der DLP-Richtlinie verwenden möchten, und wählen Sie erst die Eigenschaft und dann OK aus.

    Dialogfeld "Auswahl für durchforstete Eigenschaft"

  10. Wählen Sie unten auf der Seite OK aus.

Erstellen einer DLP-Richtlinie, die eine FCI-Eigenschaft oder eine andere Eigenschaft verwendet

In diesem Beispiel verwendet eine Organisation FCI auf ihren Windows Server-basierten Dateiservern. Dabei kommt insbesondere die FCI-Klassifizierungseigenschaft mit dem Namen Personenbezogene Informationen und den möglichen Werten Hoch, Mittel, Niedrig, Öffentlich und Keine personenbezogenen Informationen zum Einsatz. Nun möchte die Organisation ihre vorhandene FCI-Klassifizierung in ihren DLP-Richtlinien in Office 365 nutzen. Daher beginnen sie im Office 365 Security & Compliance Center mit einer Richtlinienvorlage und passen sie dann für die Verwendung der FCI-Klassifizierung an.

Zunächst führen sie die oben beschriebenen Schritte zum Erstellen einer verwalteten Eigenschaft in SharePoint Online aus, die der durchforsteten Eigenschaft zugeordnet wird, die automatisch aus der FCI-Eigenschaft erstellt wurde.

Als Nächstes erstellen sie eine DLP-Richtlinie und verwenden die Richtlinienvorlage USA – Daten mit persönlich identifizierbaren Informationen (PII), durch die bestimmte Arten vertraulicher Informationen bereits identifiziert und klassifiziert werden. Anschließend fügen sie zwei Regeln hinzu, die beide die Bedingung Dokumenteigenschaften enthalten einen dieser Werte verwenden:

  • Durch die erste Regel wird der Zugriff auf das Dokument blockiert, wenn die FCI-Klassifizierungseigenschaft Personenbezogene Informationen den Wert Hoch oder Mittel aufweist und das Dokument für Personen außerhalb der Organisation freigegeben ist.

  • Durch die zweite Regel wird eine Benachrichtigung an den Besitzer des Dokuments gesendet, wenn die FCI-Klassifizierungseigenschaft Personenbezogene Informationen den Wert Niedrig aufweist und das Dokument auch für Personen außerhalb der Organisation freigegeben ist.

Erstellen der DLP-Richtlinie

  1. Melden Sie sich beim Office 365 Admin Center an.

  2. Navigieren Sie zu Admin Center > Sicherheit und Compliance. Sie befinden sich jetzt im Security & Compliance Center.

  3. Navigieren Sie in Security & Compliance Center zu Sicherheitsrichtlinien > Verhinderung von Datenverlust, und klicken Sie dann auf Neu (+).

  4. Wählen Sie in der Liste der DLP-Richtlinienvorlagen die Vorlage aus, die die gewünschten Arten vertraulicher Informationen schützt, und klicken Sie auf Weiter.

    In diesem Beispiel wählen Sie USA – Daten mit persönlich identifizierbaren Informationen (PII) aus, da Sie diese DLP-Richtlinie in die FCI-Klassifizierungseigenschaft mit dem Namen Personenbezogene Informationen integrieren möchten.

    Dialogfeld "Neue DLP-Richtlinie" mit hervorgehobener Richtlinienvorlage "USA – Daten mit persönlich identifizierbaren Informationen (PII)"

  5. Wählen Sie unter Welche Dienste möchten Sie schützen? die Dienste aus, die durch die DLP-Richtlinie geschützt werden sollen.

    Um nur bestimmte Websites zu schützen, wählen Sie Bestimmte Websites auswählen, Hinzufügen (+) aus, geben die URL der Website ein und wählen Hinzufügen und OK aus. Nachdem Sie die gewünschten Websites hinzugefügt haben, klicken Sie auf Weiter.

    Wenn Sie eine Richtlinie auf eine Website anwenden, werden die in dieser Richtlinie konfigurierten Regeln automatisch auf alle Unterwebsites dieser Website angewendet.

  6. Wählen Sie unter Regeln anpassen (optional) die Option Neue DLP-Regel (+) aus.

    Hervorgehobene Schaltfläche "Neue Regel"

  7. Wählen Sie Bedingung hinzufügen aus, klicken Sie auf den Pfeil nach unten, und wählen Sie Dokumenteigenschaften enthalten einen dieser Werte aus.

    Liste der Bedingungen, in der "Dokumenteigenschaften enthalten einen dieser Werte" hervorgehoben ist

  8. Klicken Sie unter Dokumenteigenschaften auf Hinzufügen (+).

    Bedingung für "Dokumenteigenschaften enthalten einen dieser Werte"

  9. Wählen Sie Integrierte Eigenschaft auswählen > Personenbezogene Informationen aus. Geben Sie im Feld Wert den Wert Hoch, Mittel ein, und klicken Sie auf OK.

    Die Windows Server-FCI umfasst viele integrierte Eigenschaften, einschließlich der in diesem Beispiel verwendeten Eigenschaft Personenbezogene Informationen, die Sie hier auswählen können. Je nach Organisation können für die einzelnen Eigenschaften unterschiedliche Werte zulässig sein. Die Werte, die hier für Hoch, Mittel und Niedrig verwendet werden, sind nur ein Beispiel. Für Ihre Organisation können Sie die Windows Server-FCI-Klassifizierungseigenschaften mit ihren möglichen Werten im Ressourcen-Manager für Dateiserver auf dem Windows Server-basierten Dateiserver anzeigen. Weitere Informationen finden Sie unter Erstellen einer Klassifizierungseigenschaft.

    Außerdem ist die Option Benutzerdefinierte Eigenschaft auswählen verfügbar. Dies kann eine beliebige verwaltete Eigenschaft in SharePoint Online sein (siehe vorherigen Abschnitt).

    Hinweis : Unter Wert können Sie mehrere durch Kommas getrennte Werte (ohne Leerzeichen) eingeben. Beim Eigenschaftennamen und -wert wird keine Groß-/Kleinschreibung berücksichtigt.

    Auswählen einer integrierten FCI-Eigenschaft und Eingeben von Eigenschaftswerten im Dialogfeld

  10. Wählen Sie im Fenster Neue DLP-Regel die Option Aktionen > dann eine Aktion und Zugriff auf Inhalt sperren aus, und klicken Sie auf Aktionen hinzufügen.

  11. Wählen Sie im Dialogfeld Neue DLP-Regel die Option Allgemein aus, geben Sie einen Namen und eine Beschreibung ein, und klicken Sie auf OK.

  12. Wiederholen Sie die Schritte 6 bis 10, um eine weitere Regel zu erstellen, geben Sie aber Niedrig als Eigenschaftswert ein, und wählen Sie Benachrichtigung senden als Aktion aus.

Am Ende sollte Ihre Richtlinie zwei neue Regeln enthalten, die beide die Bedingung Dokumenteigenschaften enthalten einen dieser Werte verwenden. Eine Regel blockiert den Zugriff auf Inhalte, bei denen die Eigenschaft Personenbezogene Informationen den Wert Hoch oder Mittel aufweist. Durch eine zweite Regel wird eine Benachrichtigung zu Inhalten gesendet, bei denen die Eigenschaft Personenbezogene Informationen den Wert Niedrig aufweist.

Dialogfeld "Neue DLP-Richtlinie" mit zwei soeben erstellten Regeln

Nach dem Erstellen der DLP-Richtlinie

Mithilfe der Schritte in den vorherigen Abschnitten wird eine DLP-Richtlinie erstellt, durch die schnell Inhalte mit dieser Eigenschaft erkannt werden. Dies gilt aber nur, wenn die Inhalte neu hochgeladen werden (sodass sie indiziert werden) oder wenn die Inhalte alt sind, aber gerade bearbeitet wurden (sodass sie neu indiziert wurden).

Damit Inhalte mit dieser Eigenschaft überall erkannt werden, können Sie eine Neuindizierung Ihrer Bibliothek, Website oder Websitesammlung manuell anfordern, sodass der DLP-Richtlinie alle Inhalte mit dieser Eigenschaft bekannt sind. In SharePoint Online werden Inhalte automatisch basierend auf einem definierten Durchforstungszeitplan durchforstet. Der Crawler ruft Inhalte ab, die seit der letzten Durchforstung geändert wurden, und aktualisiert den Index. Wenn Ihre DLP-Richtlinie Inhalte vor der nächsten geplanten Durchforstung schützen soll, können Sie diese Schritte ausführen.

Warnung : Die erneute Indizierung einer Website kann das Suchsystem massiv belasten. Indizieren Sie Ihre Website nur neu, falls unbedingt erforderlich.

Weitere Informationen finden Sie unter Manuelles Anfordern des Durchforstens und des erneuten Indizierens einer Website, Bibliothek oder Liste.

Erneute Indizierung einer Website (optional)

  1. Wählen Sie auf der Website Einstellungen (Zahnradsymbol in der oberen rechten Ecke) und Websiteeinstellungen aus.

  2. Wählen Sie unter Suche die Option Suche und Offlineverfügbarkeit und dann Website neu indizieren aus.

Weitere Informationen

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×