Verhinderung von Datenverlust in Exchange Online

Hinweis

Legacy Exchange Online Verhinderung von Datenverlust im Exchange Admin Center wird derzeit als veraltet gekennzeichnet. Es wird empfohlen, DLP-Richtlinien im Microsoft Purview-Complianceportal zu erstellen. Weitere Informationen zu dieser DLP finden Sie unter Informationen zur Verhinderung von Datenverlust.

  • Ab dem 1. April 2022 können Administratoren keine Konfigurationsänderungen mehr an DLP-Richtlinien im klassischen Exchange Admin Center vornehmen. Vorhandene Regeln funktionieren weiterhin unverändert.
  • Ab dem 1. August 2022 wird die DLP-Richtlinienverwaltung im klassischen Exchange Admin Center eingestellt. Administratoren können die zugeordneten Regeln weiterhin im schreibgeschützten Modus mithilfe der E-Mail-Flussregel (Transportregel) anzeigen.

Sie können Ihre Legacy-Exchange Online DLP-Richtlinien ganz einfach mithilfe des Migrations-Assistenten migrieren. Weitere Informationen finden Sie unter Migrieren Exchange Online Richtlinien zur Verhinderung von Datenverlust zum Microsoft Purview-Complianceportal.

Detaillierte Zeitpläne für spezielle GCC-H- und DoD-Clouds werden separat kommuniziert.

Erfahren Sie mehr über DLP-Richtlinien in Exchange Online, einschließlich ihrer Informationen und deren Test. Des Weiteren erhalten Sie hier Informationen zu einem neuen Feature in Exchange DLP.

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist ein wichtiger Aspekt in Messagingsystemen von Unternehmen, da E-Mails in sehr hohem Maß in der geschäftskritischen Kommunikation verwendet werden, die häufig vertrauliche Daten umfasst. DLP-Funktionen vereinfachen die Verwaltung von vertraulichen Daten erheblich und tragen so dazu bei, die Anforderungen an die Richtlinientreue für solche Daten einzuhalten und die Verwendung dieser Daten in E-Mails zu verwalten, ohne die Produktivität der Benutzer einzuschränken. Sehen Sie sich das folgende Video an, um einen konzeptionellen Überblick über DLP zu erhalten.

DLP-Richtlinien sind einfache Pakete, die Sätze von Bedingungen enthalten, die aus Bedingungen für nachrichtenflussregel (auch als Transportregel bezeichnet) bedingungen, Ausnahmen und Aktionen bestehen, die Sie im Exchange Admin Center (EAC) erstellen und dann aktivieren, um E-Mail-Nachrichten und Anlagen zu filtern. Sie können eine DLP-Richtlinie erstellen, sie aber zunächst nicht aktivieren. Dadurch können Sie Ihre Richtlinien testen, ohne die Nachrichtenübermittlung zu beeinträchtigen. DLP-Richtlinien können die volle Leistungsfähigkeit vorhandener Nachrichtenflussregeln nutzen. Tatsächlich wurden in Exchange Online eine Reihe neuer Typen von Nachrichtenflussregeln erstellt, um neue DLP-Funktionen zu erreichen. Ein wichtiges neues Feature von Nachrichtenflussregeln ist ein neuer Ansatz zum Klassifizieren vertraulicher Informationen, die in die Nachrichtenflussverarbeitung integriert werden können. Diese neue DLP-Funktion führt eine eingehende Inhaltsanalyse anhand von Schlüsselwortübereinstimmungen, Wörterbuchübereinstimmungen, regulären Ausdrücken sowie anderen Untersuchungsmethoden aus, um Inhalte zu ermitteln, die die DLP-Richtlinien der Organisation verletzen. Weitere Informationen zu Nachrichtenflussregeln finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online und Integrieren von Regeln für vertrauliche Informationen mit Nachrichtenflussregeln in Exchange Online. Sie können Ihre DLP-Richtlinien auch mit Exchange Online PowerShell-Cmdlets in Exchange PowerShell verwalten.

Zusätzlich zu den anpassbaren DLP-Richtlinien selbst können Sie E-Mail-Absender darüber informieren, dass sie möglicherweise gegen eine Ihrer Richtlinien verstoßen, noch bevor sie eine beleidigende Nachricht senden. Sie können dies erreichen, indem Sie Richtlinientipps konfigurieren. Richtlinientipps ähneln E-Mail-Infos und können so konfiguriert werden, dass eine kurze Notiz im Microsoft Outlook 2013 Client angezeigt wird, die einer Person, die eine Nachricht erstellt, Informationen zu möglichen Richtlinienverstößen bereitstellt. In Exchange Online werden Richtlinientipps auch in Outlook im Web (früher als Outlook Web App bezeichnet) und OWA für Geräte angezeigt. Weitere Informationen finden Sie unter Policy Tips.

Hinweis

Exchange Online DLP ist ein Premium-Feature. Weitere Informationen finden Sie unter Exchange Online-Lizenzierung, Exchange Online Dienstbeschreibung und Exchange Online Protection Dienstbeschreibung.

Für Nachrichten, die zwischen lokalen Benutzern in einer Hybridbereitstellung gesendet werden, werden keine Exchange Online DLP-Richtlinien angewendet, da die Nachrichten die lokale Infrastruktur nicht verlassen.

Einrichten von Richtlinien zum Schutz vertraulicher Daten

Mit den Funktionen zur Verhinderung von Datenverlust können Sie verschiedene Kategorien vertraulicher Informationen ermitteln und überwachen, die Sie im Rahmen Ihrer Richtlinienbedingungen definiert haben, z. B. Personalausweis- oder Kreditkartennummern. Sie haben die Möglichkeit, ihre eigenen benutzerdefinierten Richtlinien und Nachrichtenflussregeln zu definieren oder die vordefinierten DLP-Richtlinienvorlagen von Microsoft zu verwenden, um schnell loszulegen. Weitere Informationen zu den enthaltenen Richtlinienvorlagen finden Sie unter DLP-Richtlinienvorlagen, die in Exchange bereitgestellt werden. Eine Richtlinienvorlage umfasst eine Reihe von Bedingungen, Regeln und Aktionen, mit denen Sie eine DLP-Richtlinie zur Untersuchung von Nachrichten erstellen und speichern können. Bei den Richtlinienvorlagen handelt es sich um Modelle, aus denen Sie Regeln auswählen oder die Sie mit eigenen Regeln anpassen können, um eine Richtlinie zu erstellen, die Ihre Anforderungen an die Verhinderung von Datenverlust erfüllt.

Ihnen stehen drei verschiedene Methoden zur Verfügung, um mit der Verwendung von DLP-Richtlinien zu beginnen:

  1. Anwenden einer standardmäßig von Microsoft bereitgestellten Vorlage: Die schnellste Möglichkeit, DLP-Richtlinien zu verwenden, besteht darin, eine neue Richtlinie mithilfe einer Vorlage zu erstellen und zu implementieren. Dies erspart Ihnen die Mühe, einen vollständig neuen Satz an Regeln erstellen zu müssen. Sie müssen wissen, welche Datentypen geprüft werden sollen und welche Vorschriften zur Richtlinientreue eingehalten werden müssen. Sie müssen auch die Vorgaben Ihrer Organisation hinsichtlich der Verarbeitung solcher Daten kennen. Weitere Informationen finden Sie unter In Exchange bereitgestellte DLP-Richtlinienvorlagen und Erstellen einer DLP-Richtlinie aus einer Vorlage.

  2. Importieren einer vordefinierten Richtliniendatei von außerhalb Ihrer Organisation: Sie können Richtlinien importieren, die bereits außerhalb Ihrer Messagingumgebung von unabhängigen Softwareanbietern erstellt wurden. Auf diese Weise können Sie die DLP-Lösung erweitern und an Ihre geschäftlichen Anforderungen anpassen.

  3. Erstellen einer benutzerdefinierten Richtlinie ohne vorhandene Bedingungen: Ihr Unternehmen hat möglicherweise eigene Anforderungen zum Überwachen bestimmter Datentypen, die in einem Messagingsystem vorhanden sind. Sie können selbst eine benutzerdefinierte Richtlinie erstellen, um die spezifischen Messagingdaten in Ihrer Organisation zu überprüfen und geeignete Aktionen auszuführen. Sie müssen die Anforderungen und Einschränkungen der Umgebung kennen, in der die DLP-Richtlinie erzwungen werden soll, um eine solche benutzerdefinierte Richtlinie zu erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie.

Nachdem Sie eine Richtlinie hinzugefügt haben, können Sie die enthaltenen Regeln prüfen und ändern, die Richtlinie inaktiv setzen oder die Richtlinie vollständig entfernen.

Arten von vertraulichen Informationen in DLP-Richtlinien

Wenn Sie DLP-Richtlinien erstellen oder ändern, können Sie Regeln verwenden, die eine Überprüfung auf vertrauliche Daten einschließen. Die vertraulichen Informationstypen, die im Thema Entitätsdefinitionen vertraulicher Informationstypen aufgeführt sind, können in Ihren Richtlinien verwendet werden. Sie können die Bedingungen Ihrer Richtlinien – z. B. wie oft ein Element gefunden werden muss, damit eine Aktion ausgeführt wird, oder welche Aktion ausgeführt werden soll – benutzerdefiniert anpassen, um die spezifischen Richtlinienanforderungen in Ihrer Organisation zu erfüllen. Weitere Informationen zum Erstellen von DLP-Richtlinien finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu den vollständigen Nachrichtenflussregeln der Suite finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online.

Damit Sie die Regeln in Bezug auf vertrauliche Daten einfacher verwenden können, stellt Microsoft Richtlinienvorlagen bereit, die bereits einige Arten vertraulicher Informationen beinhalten. Sie können jedoch keine Bedingungen für alle hier aufgeführten Typen vertraulicher Informationen zu Richtlinienvorlagen hinzufügen, da die Vorlagen darauf ausgelegt sind, sich auf die gängigsten Arten von compliancebezogenen Daten in Ihrer Organisation zu konzentrieren. Weitere Informationen zu den vordefinierten Vorlagen finden Sie unter In Exchange bereitgestellte DLP-Richtlinienvorlagen. Sie können eine Vielzahl von DLP-Richtlinien für Ihre Organisation erstellen und aktivieren, sodass viele verschiedene Arten von Informationen untersucht werden. Sie können auch DLP-Richtlinien erstellen, die nicht auf vorhandenen Vorlagen basieren. Informationen dazu, wie Sie eine solche Richtlinie erstellen, finden Sie unter Erstellen einer benutzerdefinierten DLP-Richtlinie. Weitere Informationen zu vertraulichen Informationstypen finden Sie unter Entitätsdefinitionen für vertrauliche Informationstypen.

Richtlinientipps zur Benachrichtigung der Benutzer über die Erwartungen hinsichtlich vertraulicher Inhalte

Sie können Richtlinientipp-Benachrichtigungen verwenden, um E-Mail-Absender über mögliche Probleme mit der Richtlinientreue zu informieren, während diese eine Nachricht erstellen. Wenn Sie einen Richtlinientipp in einer DLP-Richtlinie konfigurieren, wird die Benachrichtigung nur angezeigt, wenn ein Element in der E-Mail des Absenders die in der Richtlinie festgelegten Bedingungen erfüllt. Richtlinientipps ähneln den E-Mail-Infos, die in Microsoft Exchange 2010 eingeführt wurden. Weitere Informationen finden Sie unter Richtlinientipps.

Erkennen von vertraulichen Informationen und herkömmliche Nachrichtenklassifikation

Exchange Online stellt eine neue Methode zur Verwaltung von Nachrichten- und Anlagendaten im Vergleich zur herkömmlichen Nachrichtenklassifizierung dar. Ein entscheidender Vorteil der DLP-Lösung ist die Möglichkeit, vertrauliche Inhalte ordnungsgemäß identifizieren zu können, die für die Organisation, für rechtliche Anforderungen, in der Geografie oder für andere geschäftliche Anforderungen einzigartig sind. Exchange Online können dies erreichen, indem sie eine neue Architektur für eine umfassende Inhaltsanalyse in Verbindung mit Erkennungskriterien verwenden, die Sie über Regeln in Ihren DLP-Richtlinien festlegen. Um Datenverluste in Exchange Online zu verhindern, basiert auf der Konfiguration des richtigen Satzes von Regeln für vertrauliche Informationen, sodass sie ein hohes Maß an Schutz bieten und gleichzeitig unangemessene Unterbrechungen des Nachrichtenflusses mit falsch positiven und negativen Werten minimieren. Diese Arten von Regeln, die in den DLP-Informationen als Erkennung vertraulicher Informationen bezeichnet werden, funktionieren innerhalb des Frameworks, das von Nachrichtenflussregeln angeboten wird, um DLP-Funktionen zu ermöglichen.

Weitere Informationen zu diesen neuen Features finden Sie unter Integrieren von Regeln für vertrauliche Informationen mit Nachrichtenflussregeln in Exchange Online. Die herkömmlichen Nachrichtenklassifizierungsfelder können weiterhin auf Nachrichten in Exchange angewendet werden, und diese können mit der neuen Erkennung vertraulicher Informationen kombiniert werden, entweder zusammen innerhalb einer einzelnen DLP-Richtlinie oder gleichzeitig ausgeführt, sodass sie unabhängig in Exchange ausgewertet werden. Weitere Informationen zu den älteren Exchange 2010-Nachrichtenklassifizierungen finden Sie unter Grundlegendes zu Nachrichtenklassifizierungen.

Installationsvoraussetzungen

Um DLP-Features nutzen zu können, muss mindestens ein Postfach mit einer Exchange Online Plan 2-Lizenz konfiguriert sein. Weitere Informationen finden Sie unter Exchange Online Dienstbeschreibung.

Weitere Informationen

Exchange Online