Erstellen einer DLP-Richtlinie zum Schützen von Dokumenten mit FCI- oder anderen Eigenschaften

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

In Office 365 können Sie eine Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) verwenden, um vertrauliche Informationen zu identifizieren, zu überwachen und zu schützen. Viele Organisationen besitzen bereits ein Verfahren zum Identifizieren und Klassifizieren vertraulicher Informationen mithilfe der Klassifizierungseigenschaften in der Dateiklassifizierungsinfrastruktur (File Classification Infrastructure, FCI) von Windows Server, der Dokumenteigenschaften in SharePoint oder der Dokumenteigenschaften, die durch ein Drittanbietersystem angewendet werden. Wenn dies auf Ihre Organisation zutrifft, können Sie eine DLP-Richtlinie in Office 365 erstellen, die die durch die Windows Server-FCI oder ein anderes System auf Dokumente angewendeten Eigenschaften erkennt. Auf diese Weise kann die DLP-Richtlinie für Office-Dokumente mit bestimmten FCI- oder anderen Eigenschaftswerten erzwungen werden.

Diagramm mit Office 365 und externem Klassifizierungssystem

Beispielsweise kann Ihre Organisation die Windows Server-FCI einsetzen, um Dokumente mit personenbezogenen Informationen (Personally Identifiable Information, PII) wie Sozialversicherungsnummern zu identifizieren und zu klassifizieren. Zum Klassifizieren wird die Eigenschaft Personenbezogene Informationen abhängig davon, welche Art personenbezogener Informationen wie häufig im Dokument gefunden wurden, auf Hoch, Mittel, Niedrig, Öffentlich oder Keine personenbezogenen Informationen festgelegt. In Office 365 können Sie eine DLP-Richtlinie erstellen, die Dokumente identifiziert, deren Eigenschaft auf einen bestimmten Wert wie Hoch und Mittel festgelegt ist. Die Richtlinie kann dann eine Aktion auslösen, beispielsweise, dass der Zugriff auf diese Dateien blockiert wird. Für dieselbe Richtlinie kann eine weitere Regel gelten, die eine andere Aktion auslöst, wenn die Eigenschaft auf Niedrig festgelegt ist, beispielsweise, dass eine E-Mail-Benachrichtigung gesendet wird. Auf diese Weise wird DLP in Office 365 in die Windows Server-FCI integriert und kann zum Schutz von Office-Dokumenten beitragen, die von Windows Server-basierten Dateiservern in Office 365 hochgeladen oder freigegeben werden.

Mithilfe einer DLP-Richtlinie wird einfach nach einem bestimmten Name-Wert-Paar einer Eigenschaft gesucht. Es kann eine beliebige Dokumenteigenschaft verwendet werden, solange sie über eine entsprechende verwaltete Eigenschaft für die SharePoint-Suche verfügt. Eine SharePoint-Websitesammlung kann z. B. einen Inhaltstyp namens Geschäftsreisebericht mit einem erforderlichen Feld namens Kunde aufweisen. Immer, wenn ein Mitarbeiter einen Geschäftsreisebericht erstellt, muss er den Kundennamen eingeben. Dieses Name-Wert-Paar einer Eigenschaft kann auch in einer DLP-Richtlinie verwendet werden, beispielsweise, wenn eine Regel den Dokumentzugriff externer Benutzer blockieren soll, falls im Feld Kunde der Name Contoso enthalten ist.

Beachten Sie, dass Sie Ihre DLP-Richtlinie auf Inhalte mit speziellen Bezeichnungen für Office 365 anwenden möchten, Sie nicht der folgenden Schritte befolgen sollten. Stattdessen, erfahren Sie, wie Sie eine Beschriftung als Bedingung in einer DLP-Richtlinie verwenden.

Voraussetzungen für das Erstellen der DLP-Richtlinie

Bevor Sie eine Windows Server-basierte FCI-Eigenschaft oder eine andere Eigenschaft in einer DLP-Richtlinie verwenden können, müssen Sie im SharePoint Admin Center aus folgenden Gründen eine verwaltete Eigenschaft erstellen:

In SharePoint Online und OneDrive for Business wird der Suchindex erstellt, indem der Inhalt auf Ihren Websites durchforstet wird. Der Crawler sammelt Inhalte und Metadaten aus den Dokumenten in Form von durchforsteten Eigenschaften. Das Suchschema hilft dem Crawler bei der Entscheidung, welche Inhalte und Metadaten gesammelt werden sollen. Beispiele für Metadaten sind der Autor und Titel eines Dokuments. Um aber die Inhalte und Metadaten aus den Dokumenten in den Suchindex zu überführen, müssen die durchforsteten Eigenschaften verwalteten Eigenschaften zugeordnet werden. Nur verwaltete Eigenschaften werden im Index beibehalten. So wird beispielsweise eine durchforstete Eigenschaft, die sich auf den Autor bezieht, einer verwalteten Eigenschaft zugeordnet, die sich auf den Autor bezieht.

Dies ist wichtig, da DLP in Office 365 vertrauliche Informationen auf Ihren Websites mithilfe des Suchcrawlers identifiziert und klassifiziert und diese vertraulichen Informationen dann in einem sicheren Teil des Suchindexes speichert. Wenn Sie ein Dokument in Office 365 hochladen, erstellt SharePoint automatisch durchforstete Eigenschaften, die auf den Dokumenteigenschaften basieren. Um jedoch eine FCI- oder andere Eigenschaft in einer DLP-Richtlinie zu verwenden, muss die durchforstete Eigenschaft einer verwalteten Eigenschaft zugeordnet werden, damit Inhalte mit dieser Eigenschaft im Index beibehalten werden.

Weitere Informationen zur Suche und zu verwalteten Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint Online.

Schritt 1: Hochladen eines Dokuments mit der erforderlichen Eigenschaft in Office 365

Sie müssen zuerst ein Dokument mit der Eigenschaft hochladen, auf die Sie in der DLP-Richtlinie verweisen möchten. Office 365 erkennt die Eigenschaft und erstellt daraus automatisch eine durchforstete Eigenschaft. Im nächsten Schritt erstellen Sie eine verwaltete Eigenschaft und ordnen dieser durchforsteten Eigenschaft die verwaltete Eigenschaft zu.

Schritt 2: Erstellen einer verwalteten Eigenschaft

  1. Melden Sie sich beim Office 365 Admin Center an.

  2. Wählen Sie im linken Navigationsbereich Admin Center und dann SharePoint aus. Sie befinden sich jetzt im SharePoint Admin Center.

  3. Wählen Sie im linken Navigationsbereich Suche und dann auf der Seite Suchverwaltung die Option Suchschema verwalten aus.

    Seite "Suchverwaltung" im SharePoint Admin Center

  4. Wählen Sie auf der Seite Verwaltete Eigenschaften die Option Neue verwaltete Eigenschaft aus.

    Seite "Verwaltete Eigenschaften" mit hervorgehobener Schaltfläche "Neue verwaltete Eigenschaft"

  5. Geben Sie einen Namen und eine Beschreibung für die Eigenschaft ein. Dieser Name wird in den DLP-Richtlinien angezeigt.

  6. Wählen Sie für Typ die Option Text aus.

  7. Wählen Sie unter Haupteigenschaften die Optionen Abfragbar und Abrufbar aus.

  8. Wählen Sie unter Zuordnungen zu durchforsteten Eigenschaften die Option Zuordnung hinzufügen aus.

  9. Suchen Sie im Dialogfeld Auswahl für durchforstete Eigenschaft die durchforstete Eigenschaft, die der Windows Server-basierten FCI-Eigenschaft oder einer anderen Eigenschaft entspricht, die Sie in der DLP-Richtlinie verwenden möchten, und wählen Sie erst die Eigenschaft und dann OK aus.

    Dialogfeld "Auswahl für durchforstete Eigenschaft"

  10. Wählen Sie unten auf der Seite OK aus.

Erstellen einer DLP-Richtlinie, die eine FCI-Eigenschaft oder eine andere Eigenschaft verwendet

In diesem Beispiel wird eine Organisation FCI auf seine Windows Server-basierten Dateiserver verwenden; insbesondere verwenden sie die FCI Klassifizierungseigenschaft Personally Identifiable Information mit möglichen Werten von Hoch, Mittel, Niedrig, öffentlichenund Nicht PII. Jetzt möchten sie ihre vorhandene FCI Einstufung in deren DLP-Richtlinien in Office 365 zu nutzen.

Zunächst führen sie die oben beschriebenen Schritte zum Erstellen einer verwalteten Eigenschaft in SharePoint Online aus, die der durchforsteten Eigenschaft zugeordnet wird, die automatisch aus der FCI-Eigenschaft erstellt wurde.

Als Nächstes erstellen sie eine DLP-Richtlinie mit zwei Regeln, die beide die Bedingung Dokumenteigenschaften enthalten einen der folgenden Werteverwenden:

  • Inhalt der FCI PII - hoch, Mittel Die erste Regel beschränkt den Zugriff auf das Dokument, wenn die FCI Klassifizierungseigenschaft Personally Identifiable InformationHoch oder Mittel gleich und das Dokument für Personen außerhalb der Organisation freigeben.

  • Inhalt der FCI PII - "Niedrig" Die zweite Regel sendet eine Benachrichtigung an den Besitzer des Dokuments ist die FCI Klassifizierungseigenschaft Personally Identifiable InformationNiedrig und das Dokument gleich für Personen außerhalb der Organisation freigegeben werden.

Erstellen Sie mithilfe der PowerShell DLP-Richtlinie

Beachten Sie, dass die Bedingung Dokumenteigenschaften keins der folgenden Werte vorübergehend nicht verfügbar in der Benutzeroberfläche von der Security & Compliance Center ist, aber Sie können diese Bedingung weiterhin mithilfe der PowerShell verwenden. Sie können die New\Set\Get-DlpCompliancePolicy -Cmdlets für die Arbeit mit einer DLP-Richtlinie verwenden, und verwenden die Cmdlets New\Set\Get-DlpComplianceRule mit dem Parameter ContentPropertyContainsWords , die Dokumenteigenschaften keins der folgenden Werte Bedingung hinzufügen.

Weitere Informationen zu dieser Cmdlets finden Sie unter Office 365-Sicherheit und Compliance Center Cmdlets.

  1. Herstellen einer Verbindung zum Office 365 Security & Compliance Center mithilfe von Remote-PowerShell

  2. Erstellen Sie die Richtlinie mithilfe von New-DlpCompliancePolicyein.

    Hier ein Beispiel PowerShell, die eine DLP-Richtlinie erstellt, die an allen Standorten gilt:

    New-DlpCompliancePolicy -Name FCI_PII_policy -ExchangeLocation All -SharePointLocation All -OneDriveLocation All -Mode Enable
  3. Erstellen Sie die beiden Regeln mithilfe von New-DlpComplianceRule, wobei eine Regel für den Wert "Niedrig" und eine weitere Regel für die hohe und mittlere Werte wird oben beschriebenen.

    Hier ist ein PowerShell-Beispiel, die folgenden zwei Regeln erstellt wird. Beachten Sie, dass die Name/Wert-Paare werden in Anführungszeichen eingeschlossen werden soll, und Sie ein Eigenschaftennamen möglicherweise mehrere Werte, die durch Kommas getrennt ein ohne Leerzeichen, wie "<Property1>:<Value1>,<Value2>","<Property2>:<Value3>,<Value4>".... geben

    New-DlpComplianceRule -Name FCI_PII_content-High,Moderate -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $true -ContentPropertyContainsWords "Personally Identifiable Information:High,Moderate" -Disabled $false

    New-DlpComplianceRule -Name FCI_PII_content-Low -Policy FCI_PII_policy -AccessScope NotInOrganization -BlockAccess $false -ContentPropertyContainsWords "Personally Identifiable Information:Low" -Disabled $false -NotifyUser Owner

    Beachten Sie, dass Windows Server FCI viele integrierte Eigenschaften, einschließlich Personally Identifiable Information, die in diesem Beispiel verwendete enthält. Die möglichen Werte für jede Eigenschaft können für jede Organisation unterschiedlich sein. Die Hoch, Mittel und Niedrig Werte verwendet, hier werden nur ein Beispiel. Für Ihre Organisation können Sie die Windows Server FCI Klassifizierungseigenschaften mit ihren möglichen Werten in der Datei Server Ressourcenmanager auf dem Windows Server-basierten Dateiserver anzeigen. Weitere Informationen finden Sie unter Erstellen einer Klassifizierungseigenschaft.

Wenn Sie fertig sind, sollte die Richtlinie zwei neue Regeln aufzustellen, die beide die Dokumenteigenschaften eins der folgenden Werte enthält-Bedingung verwenden. Beachten Sie, dass diese Bedingung in der Benutzeroberfläche, durch die Bedingungen, Aktionen und Einstellungen nicht angezeigt wird angezeigt.

Eine Regel Blöcke zugreifen, um Inhalte, wobei die Eigenschaft Personally Identifiable InformationHoch oder Mittel entspricht. Eine zweite Regel sendet eine Benachrichtigung über Inhalt entspricht, in dem die Eigenschaft Personally Identifiable Information: Niedrig.

Dialogfeld "Neue DLP-Richtlinie" mit zwei soeben erstellten Regeln

Nach dem Erstellen der DLP-Richtlinie

Mithilfe der Schritte in den vorherigen Abschnitten wird eine DLP-Richtlinie erstellt, durch die schnell Inhalte mit dieser Eigenschaft erkannt werden. Dies gilt aber nur, wenn die Inhalte neu hochgeladen werden (sodass sie indiziert werden) oder wenn die Inhalte alt sind, aber gerade bearbeitet wurden (sodass sie neu indiziert wurden).

Damit Inhalte mit dieser Eigenschaft überall erkannt werden, können Sie eine Neuindizierung Ihrer Bibliothek, Website oder Websitesammlung manuell anfordern, sodass der DLP-Richtlinie alle Inhalte mit dieser Eigenschaft bekannt sind. In SharePoint Online werden Inhalte automatisch basierend auf einem definierten Durchforstungszeitplan durchforstet. Der Crawler ruft Inhalte ab, die seit der letzten Durchforstung geändert wurden, und aktualisiert den Index. Wenn Ihre DLP-Richtlinie Inhalte vor der nächsten geplanten Durchforstung schützen soll, können Sie diese Schritte ausführen.

Warnung: Die erneute Indizierung einer Website kann das Suchsystem massiv belasten. Indizieren Sie Ihre Website nur neu, falls unbedingt erforderlich.

Weitere Informationen finden Sie unter Manuelles Anfordern des Durchforstens und des erneuten Indizierens einer Website, Bibliothek oder Liste.

Erneute Indizierung einer Website (optional)

  1. Wählen Sie auf der Website Einstellungen (Zahnradsymbol in der oberen rechten Ecke) und Websiteeinstellungen aus.

  2. Wählen Sie unter Suche die Option Suche und Offlineverfügbarkeit und dann Website neu indizieren aus.

Weitere Informationen

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×