Dokumentfingerabdrücke

Information-Worker in Ihrer Organisation verarbeiten im Lauf eines Arbeitstags viele Arten von vertraulichen Informationen. In der Microsoft Purview-Complianceportal erleichtert Ihnen die Dokumentenfingerabdrücke den Schutz dieser Informationen, indem Standardformulare identifiziert werden, die im gesamten organization verwendet werden. In diesem Artikel werden die Konzepte des Dokumentfingerabdrucks und das Erstellen eines Dokumentfingerabdrucks mithilfe des Complianceportals oder mithilfe von PowerShell beschrieben.

Die Dokumentfingerabdrücke umfassen die folgenden Features:

  • DLP kann den Dokumentfingerabdruck als Erkennungsmethode in Exchange, SharePoint, OneDrive, Teams und Geräten verwenden.
  • Dokumentfingerabdrücke können über die Microsoft Purview-Complianceportal verwaltet werden.
  • Partielle Übereinstimmungen werden unterstützt.
  • Der genaue Abgleich wird unterstützt.
  • Verbesserte Erkennungsgenauigkeit
  • Unterstützung für die Erkennung in mehreren Sprachen, einschließlich Dual-Byte-Sprachen wie Chinesisch, Japanisch und Koreanisch.

Wichtig

Wenn Sie ein E5-Kunde sind, empfehlen wir, Ihre vorhandenen Fingerabdrücke zu aktualisieren, um die Vorteile des vollständigen Dokumentfingerabdrucks-Features zu nutzen. Wenn Sie ein E3-Kunde sind, empfehlen wir, ein Upgrade auf eine E5-Lizenz durchzuführen. Wenn Sie dies nicht möchten, können Sie nach April 2023 keine vorhandenen Fingerabdrücke mehr ändern oder neue erstellen.

Grundlegendes Szenario für die Dokumentfingerabdrücke

Der Dokumentfingerabdruck ist ein feature Microsoft Purview Data Loss Prevention (DLP), das ein Standardformular in einen Vertraulichen Informationstyp (SIT) konvertiert, den Sie in den Regeln Ihrer DLP-Richtlinien verwenden können. Sie können z. B. einen Dokumentfingerabdruck basierend auf einer leeren Patentvorlage erstellen und dann eine DLP-Richtlinie erstellen, die alle ausgehenden Patentvorlagen mit ausgefüllten vertraulichen Inhalten erkennt und blockiert. Optional können Sie Richtlinientipps einrichten, um Absender zu benachrichtigen, dass sie möglicherweise vertrauliche Informationen senden, und dass der Absender überprüfen sollte, ob die Empfänger für den Empfang der Patente qualifiziert sind. Dieser Prozess funktioniert mit allen textbasierten Formularen, die in Ihrer organization verwendet werden. Weitere Beispiele für Formulare, die Sie hochladen können, sind:

  • Regierungsformulare
  • HIPAA (Health Insurance Portability and Accountability Act)-kompatible Formulare
  • Formulare mit Mitarbeiterinformationen für die Personalabteilung
  • Speziell für Ihre Organisation erstellte benutzerdefinierte Formulare

Ideal wäre es, wenn es in Ihrer Organisation bereits eine etablierte Routine beim Umgang mit der Versendung vertraulicher Informationen gäbe. Um die Erkennung zu aktivieren, laden Sie ein leeres Formular hoch, das in einen Dokumentfingerabdruck konvertiert werden soll. Richten Sie als Nächstes eine entsprechende Richtlinie ein. Nachdem Sie diese Schritte ausgeführt haben, erkennt DLP alle Dokumente in ausgehenden E-Mails, die diesem Fingerabdruck entsprechen.

Funktionsweise des Dokumentfingerabdrucks

Sie haben wahrscheinlich bereits erraten, dass Dokumente keine tatsächlichen Fingerabdrücke haben, aber der Name hilft, das Feature zu erklären. Genauso, wie der Fingerabdruck eines Menschen einzigartige Muster hat, haben Dokumente eine einzigartige Wortstruktur. Wenn Sie eine Datei hochladen, identifiziert DLP das eindeutige Wortmuster im Dokument, erstellt basierend auf diesem Muster einen Dokumentfingerabdruck und verwendet diesen Dokumentfingerabdruck, um ausgehende Dokumente zu erkennen, die dasselbe Muster enthalten. Aus diesem Grund werden die effektivsten Dokumentfingerabdrücke durch Hochladen von Formularen oder Vorlagen erstellt. Jeder, der ein Formular ausfüllt, verwendet denselben Ursprünglichen Satz von Wörtern und fügt dem Dokument dann eigene Wörter hinzu. Wenn das ausgehende Dokument nicht kennwortsicher ist und den gesamten Text aus dem originalen Formular enthält, kann DLP bestimmen, ob das Dokument mit dem Dokumentfingerabdruck übereinstimmt.

Diagramm des Dokumentfingerabdrucks.

Die Patentvorlage enthält die leeren Felder "Patenttitel", "Erfinder" und "Beschreibung" sowie Beschreibungen für jedes dieser Felder – das ist das Wortmuster. Wenn Sie die ursprüngliche Patentvorlage hochladen, befindet sie sich in einem der unterstützten Dateitypen und im Nur-Text-Format. DLP konvertiert dieses Wortmuster in einen Dokumentfingerabdruck, bei dem es sich um eine kleine Unicode-XML-Datei handelt, die einen eindeutigen Hashwert enthält, der den ursprünglichen Text darstellt. Der Fingerabdruck wird als Datenklassifizierung in Active Directory gespeichert. (Aus Sicherheitsgründen wird das ursprüngliche Dokument selbst nicht im Dienst gespeichert, es wird nur der Hashwert gespeichert. Das originale Dokument kann nicht aus dem Hashwert rekonstruiert werden.) Der Patentfingerabdruck wird dann zu einem SIT, den Sie einer DLP-Richtlinie zuordnen können. Nachdem Sie den Fingerabdruck einer DLP-Richtlinie zugeordnet haben, erkennt DLP alle ausgehenden E-Mails, die Inhalte enthalten, die dem Patentfingerabdruck entsprechen, und behandelt ihn gemäß der Richtlinie Ihrer organization.

Wenn Sie beispielsweise eine DLP-Richtlinie einrichten, die verhindert, dass reguläre Mitarbeiter ausgehende Nachrichten mit Patenten senden, verwendet DLP den Patentfingerabdruck, um Patente zu erkennen und diese E-Mails zu blockieren. Alternativ können Sie Ihrer Rechtsabteilung die Möglichkeit geben, Patente an andere Organisationen zu senden, da dies von Unternehmen benötigt wird. Damit bestimmte Abteilungen vertrauliche Informationen senden können, erstellen Sie Ausnahmen für diese Abteilungen in Ihrer DLP-Richtlinie. Alternativ können Sie zulassen, dass sie einen Richtlinientipp mit einer geschäftlichen Begründung überschreiben.

Wichtig

Text in eingebetteten Dokumenten wird für die Erstellung von Fingerabdrücken nicht berücksichtigt. Sie müssen Beispielvorlagendateien bereitstellen, die keine eingebetteten Dokumente enthalten.

Unterstützte Dateitypen

Der Dokumentfingerabdruck unterstützt dieselben Dateitypen, die in Nachrichtenflussregeln (auch als Transportregeln bezeichnet) unterstützt werden. Eine Liste der unterstützten Dateitypen finden Sie unter Unterstützte Dateitypen für die Inhaltsüberprüfung von Nachrichtenflussregeln. Ein kurzer Hinweis zu Dateitypen: Weder Nachrichtenflussregeln noch Dokumentfingerabdrücke unterstützen den .dotx-Dateityp, bei dem es sich um eine Vorlagendatei in Microsoft Word handelt. Wenn das Wort "Vorlage" in diesem und anderen Dokumentfingerabdruckartikeln angezeigt wird, bezieht sich dies auf ein Dokument, das Sie als Standardformular eingerichtet haben, nicht auf den Vorlagendateityp.

Einschränkungen der Funktion "Dokumentfingerabdruck"

Der Dokumentfingerabdruck erkennt in den folgenden Fällen keine vertraulichen Informationen:

  • Kennwortgeschützte Dateien
  • Dateien, die nur Bilder enthalten
  • Dokumente, die nicht den gesamten Text aus dem Originalformular enthalten, aus dem der Dokumentfingerabdruck erstellt wurde
  • Dateien, die größer als 4 MB sind

Hinweis

Um den Dokumentfingerabdruck mit Geräten verwenden zu können, muss die erweiterte Klassifizierungsüberprüfung und der Schutz aktiviert sein.

Fingerabdrücke werden in einem separaten Regelpaket gespeichert. Dieses Regelpaket hat eine maximale Größe von 1 von 150 KB. Mit diesem Grenzwert können Sie ungefähr 50 Fingerabdrücke pro Mandant erstellen.

Die folgenden Beispiele zeigen, was geschieht, wenn Sie einen Dokumentfingerabdruck basierend auf einer Patentvorlage erstellen. Sie können jedoch jedes beliebige Formular als Grundlage für die Erstellung eines Dokumentfingerabdrucks verwenden.

Complianceportalbeispiel für ein Patentdokument, das mit einem Dokumentfingerabdruck einer Patentvorlage übereinstimmt

  1. Wählen Sie im Microsoft Purview-Complianceportal die Option Datenklassifizierung und dann Klassifizierer aus.
  2. Wählen Sie auf der Seite Klassifiziererdie Option Typen vertraulicher> InformationenFingerabdruckbasiertes SIT erstellen aus.
  3. Geben Sie einen Namen und eine Beschreibung für Ihr neues SIT ein.
  4. Laden Sie die Datei hoch, die Sie als Fingerabdruckvorlage verwenden möchten.
  5. OPTIONAL: Passen Sie die Anforderungen für die einzelnen Konfidenzstufen an, und wählen Sie dann Weiter aus. Weitere Informationen finden Sie unter Partieller Abgleich und Exakter Abgleich.
  6. Überprüfen Sie Ihre Einstellungen >Erstellen.
  7. Wenn die Bestätigungsseite angezeigt wird, wählen Sie Fertig aus.

PowerShell-Beispiel für ein Patentdokument, das einem Dokumentfingerabdruck einer Patentvorlage entspricht

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Partieller Abgleich

Zum Konfigurieren des teilweisen Abgleichs eines Dokumentfingerabdrucks wählen Sie beim Konfigurieren des Konfidenzniveaus Niedrig, Mittel oder Hoch aus, und legen Sie fest, wie viel text in der Datei mit dem Fingerabdruck in Bezug auf einen Prozentsatz zwischen 30 % und 90 % übereinstimmen muss.

Ein hohes Konfidenzniveau gibt die wenigsten falsch positiven Ergebnisse zurück, kann jedoch zu mehr falsch negativen Ergebnissen führen. Niedrige oder mittlere Konfidenzstufen geben mehr falsch positive Ergebnisse zurück, aber nur wenige bis null falsch negative Ergebnisse.

  • niedrige Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch negativen, aber die meisten falsch positiven Ergebnisse. Niedrige Konfidenz gibt alle Übereinstimmungen mit niedriger, mittlerer und hoher Konfidenz zurück.
  • Mittlere Zuverlässigkeit: Übereinstimmend elemente enthalten eine durchschnittliche Anzahl falsch positiver und falsch negativer Ergebnisse. Mittlere Konfidenz gibt alle Übereinstimmungen mit mittlerem und hohem Konfidenz zurück.
  • hohe Zuverlässigkeit: Übereinstimmend elemente enthalten die wenigsten falsch positiven Ergebnisse, aber die meisten falsch negativen Ergebnisse.

Exakter Abgleich

Um den genauen Abgleich eines Dokumentfingerabdrucks zu konfigurieren, wählen Sie Exakt als Wert für den hohen Konfidenzgrad aus. Wenn Sie die hohe Konfidenzstufe auf Exact festlegen, werden nur Dateien erkannt, die genau denselben Text wie der Fingerabdruck aufweisen. Wenn die Datei auch nur eine kleine Abweichung vom Fingerabdruck aufweist, wird sie nicht erkannt.

Verwenden Sie bereits Fingerabdruck-SITs?

Ihre vorhandenen Fingerabdrücke und Richtlinien/Regeln für diese Fingerabdrücke sollten weiterhin funktionieren. Wenn Sie nicht die neuesten Fingerabdruckfunktionen verwenden möchten, müssen Sie nichts tun.

Wenn Sie über eine E5-Lizenz verfügen und die neuesten Fingerabdruckfeatures verwenden möchten, können Sie entweder einen neuen Fingerabdruck erstellen oder eine Richtlinie zur neueren Version migrieren.

Hinweis

Das Erstellen neuer Fingerabdrücke mithilfe der Vorlagen, für die bereits ein Fingerabdruck vorhanden ist, wird nicht unterstützt.

Erstellen einer neuen Richtlinie mit Ihrem Sit-Fingerabdruck mithilfe des Complianceportals

  1. Wählen Sie im Microsoft Purview-ComplianceportalRichtlinien>zur Verhinderung von> DatenverlustVertrauliche Informationstypen>+ Richtlinie>erstellen Benutzerdefiniert aus, um eine neue Richtlinie zu erstellen.
  2. Wählen Sie Ihre Region oder Ihr Land >Aus.
  3. Benennen Sie Ihre Richtlinie, und geben Sie eine Beschreibung >an Weiter.
  4. Wählen Sie auf der Seite Administratoreinheiten zuweisen zwischen diesen beiden Optionen aus:
    • Anwenden der Richtlinie auf alle Benutzer und Gruppen >Weiter.
      Oder
    • Fügen Sie bestimmte Benutzer und Gruppen hinzu, die der Richtlinie >Weiter unterliegen sollen.
  5. Wählen Sie die Speicherorte aus, an denen die Richtlinie angewendet werden >soll Weiter.
  6. Wählen Sie auf der Seite Richtlinieneinstellungen definierendie Option Erweiterte DLP-Regeln> anpassenerstellen aus.
  7. Wählen Sie auf der Seite Erweiterte DLP-Regeln anpassen die Option Regel erstellen aus.
  8. Geben Sie einen Namen und eine Beschreibung für Ihre Regel ein.
  9. Wählen Sie unter Bedingungendie Option Bedingung> hinzufügenInhalt enthält aus.
  10. Geben Sie Ihrem neuen Satz von DLP-Regeln den Gruppennamen>Add Sensitive information types (Typen vertraulicher Informationenhinzufügen>) an.
  11. Suchen Sie nach dem Namen Ihres Fingerabdrucks SIT > Add, und wählen Sie den Namen aus.
  12. Wählen Sie Ihr Konfidenzniveau >Aktion hinzufügen aus.
  13. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Regel ausgelöst wird, und geben Sie dann die Aktionsdetails >Weiter speichern> an.
  14. Wählen Sie zwischen diesen beiden Optionen:
    • Testen Sie Ihre Richtlinie >als Nächstes.
      Oder
    • Aktivieren Sie Ihre Richtlinie sofort >als Nächstes.
  15. Überprüfen Sie Ihre Einstellungen >Übermitteln>abgeschlossen.

Erstellen eines benutzerdefinierten vertraulichen Informationstyps basierend auf Dokumentfingerabdrücken mithilfe von PowerShell

Derzeit können Sie einen Dokumentfingerabdruck nur in Security & Compliance PowerShell erstellen.

DLP verwendet vertrauliche Informationstypen (Sensitive Information Types, SIT), um vertrauliche Inhalte zu erkennen. Um eine benutzerdefinierte SIT basierend auf einem Dokumentfingerabdruck zu erstellen, verwenden Sie das Cmdlet New-DlpSensitiveInformationType . Im folgenden Beispiel wird ein neuer Dokumentfingerabdruck namens "Contoso Customer Confidential" basierend auf der Datei C:\Meine Dokumente\Contoso Customer Form.docx erstellt.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Fügen Sie abschließend den vertraulichen Informationstyp "Contoso Customer Confidential" zu einer DLP-Richtlinie im Microsoft Purview-Complianceportal hinzu. In diesem Beispiel wird einer vorhandenen DLP-Richtlinie mit dem Namen "ConfidentialPolicy" eine Regel hinzugefügt.

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Sie können den Fingerabdruck SIT auch in Nachrichtenflussregeln in Exchange verwenden, wie im folgenden Beispiel gezeigt. Um diesen Befehl auszuführen, müssen Sie zunächst eine Verbindung mit Exchange PowerShell herstellen. Beachten Sie außerdem, dass es zeitdauert, bis die SITs vom Microsoft Purview-Complianceportal mit dem Exchange Admin Center synchronisiert werden.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP erkennt jetzt Dokumente, die dem Fingerabdruck des Contoso-Kunden Form.docx Dokuments entsprechen.

Syntax- und Parameterinformationen finden Sie unter:

Bearbeiten, Testen oder Löschen eines Dokumentfingerabdrucks

Öffnen Sie dazu über die Benutzeroberfläche den Fingerabdruck SIT, den Sie bearbeiten, testen oder löschen möchten, und wählen Sie das entsprechende Symbol aus.

Führen Sie dazu die folgenden Befehle über PowerShell aus.

Bearbeiten eines Dokumentfingerabdrucks

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testen eines Dokumentfingerabdrucks

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Löschen eines Dokumentfingerabdrucks

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrieren einer neuen Richtlinie mit Ihrem Sit-Fingerabdruck mithilfe des Complianceportals

  1. Wählen Sie im Microsoft Purview-ComplianceportalRichtlinien zur>Verhinderung von> DatenverlustVertrauliche Informationstypen aus.
  2. Öffnen Sie die SIT mit dem Fingerabdruck, den Sie migrieren möchten.
  3. Wählen Sie Bearbeiten aus.
  4. Laden Sie dieselbe Fingerabdruckdatei erneut hoch.
  5. Überprüfen Sie die Fingerabdruckeinstellungen >Fertig.

Migrieren eines Fingerabdrucks mithilfe von PowerShell

Geben Sie den folgenden Befehl ein:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"