Integration in Microsoft Purview zum Schutz von Informationen

Von Bedeutung

Dateirichtlinien werden am 6. Januar 2027 eingestellt. Um den dateibasierten Datenschutz aufrechtzuerhalten, migrieren Sie zu Microsoft Purview DLP- oder automatischen Bezeichnungsrichtlinien.

Mit Microsoft Defender for Cloud Apps können Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview automatisch anwenden. Diese Bezeichnungen werden im Rahmen einer Dateirichtlinienverwaltungsaktion auf Dateien angewendet und können je nach Konfiguration der Bezeichnung eine Verschlüsselung für zusätzlichen Schutz anwenden. Sie können Dateien auch untersuchen, indem Sie in Defender for Cloud Apps nach der angewendeten Vertraulichkeitsbezeichnung filtern. Die Verwendung von Bezeichnungen ermöglicht eine bessere Sichtbarkeit und Kontrolle ihrer vertraulichen Daten in der Cloud. Die Integration von Microsoft Purview in Defender for Cloud Apps ist so einfach wie das Aktivieren eines einzelnen Kontrollkästchens.

Durch die Integration von Microsoft Purview in Defender for Cloud Apps können Sie die volle Leistungsfähigkeit sowohl von Diensten als auch von sicheren Dateien in Ihrer Cloud nutzen, einschließlich:

  • Die Möglichkeit, Vertraulichkeitsbezeichnungen als Governanceaktion auf Dateien anzuwenden, die bestimmten Richtlinien entsprechen
  • Die Möglichkeit, alle klassifizierten Dateien an einem zentralen Speicherort anzuzeigen
  • Die Möglichkeit, gemäß der Klassifizierungsebene zu untersuchen und die Offenlegung vertraulicher Daten über Ihre Cloudanwendungen zu quantifizieren
  • Die Möglichkeit, Richtlinien zu erstellen, um sicherzustellen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werden

Voraussetzungen

Hinweis

Um Microsoft Purview Integration von Vertraulichkeitsbezeichnungen zu aktivieren, benötigen Sie sowohl eine Defender for Cloud Apps-Lizenz als auch eine Lizenz für Microsoft Purview. Sobald beide Lizenzen vorhanden sind, synchronisiert Defender for Cloud Apps die Kennzeichnungen des Unternehmens mit Microsoft Purview.

Damit Defender for Cloud Apps Vertraulichkeitsbezeichnungen anwenden können, müssen sie als Teil einer Vertraulichkeitsbezeichnungsrichtlinie in Microsoft Purview veröffentlicht werden.

Defender for Cloud Apps unterstützt derzeit das Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview für die folgenden Dateitypen:

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

    Hinweis

    Für PDF müssen Sie einheitliche Bezeichnungen verwenden.

Das Anwenden von Vertraulichkeitsbezeichnungen von Microsoft Purview steht derzeit für Dateien zur Verfügung, die in Box, Google Workspace, SharePoint Online und OneDrive gespeichert sind. In zukünftigen Versionen werden weitere Cloud-Apps unterstützt.

So funktioniert es

Sie können die Vertraulichkeitsbezeichnungen von Microsoft Purview in Defender for Cloud Apps sehen. Sobald Sie Defender for Cloud Apps in Microsoft Purview integrieren, überprüft Defender for Cloud Apps Dateien wie folgt:

  1. Defender for Cloud Apps ruft die Liste aller Vertraulichkeitsbezeichnungen ab, die in Ihrem Mandanten verwendet werden. Defender for Cloud Apps führt diesen Abruf jede Stunde aus, um die Liste auf dem neuesten Stand zu halten.

  2. Defender for Cloud Apps scannt dann die Dateien wie folgt auf Vertraulichkeitsbezeichnungen:

    • Wenn Sie die automatische Überprüfung aktiviert haben, werden alle neuen oder geänderten Dateien der Überprüfungswarteschlange hinzugefügt, und alle vorhandenen Dateien und Repositorys werden überprüft.
    • Wenn Sie eine Dateirichtlinie festlegen, um nach Vertraulichkeitsbezeichnungen zu suchen, werden diese Dateien der Überprüfungswarteschlange für Vertraulichkeitsbezeichnungen hinzugefügt.
  3. Diese Scans decken die Vertraulichkeitsbezeichnungen ab, die in der anfänglichen Überprüfung von Defender for Cloud-Apps ermittelt wurden, um zu sehen, welche Vertraulichkeitsbezeichnungen in Ihrem Mandanten verwendet werden. Externe Bezeichnungen, Klassifizierungsbezeichnungen, die von einer person außerhalb Ihres Mandanten festgelegt wurden, werden der Liste der Klassifizierungsbezeichnungen hinzugefügt. Wenn Sie nicht danach suchen möchten, aktivieren Sie das Kontrollkästchen Nur Dateien für Microsoft Information Protection Vertraulichkeitsbezeichnungen und Inhaltsüberprüfungswarnungen aus diesem Mandanten scannen.

  4. Nachdem Sie Microsoft Purview auf Defender for Cloud Apps aktiviert haben, werden alle neuen Dateien, die Ihren verbundenen Cloud-Apps hinzugefügt werden, auf Vertraulichkeitsbezeichnungen überprüft.

  5. Sie können neue Richtlinien in Defender for Cloud Apps erstellen, die Ihre Vertraulichkeitsbezeichnungen automatisch anwenden.

Integrationsgrenzwerte

Beachten Sie die folgenden Grenzwerte, wenn Sie Microsoft Purview-Bezeichnungen mit Defender for Cloud Apps verwenden.

Grenzwert Beschreibung
Dateien, auf die Bezeichnungen oder Schutz außerhalb von Defender for Cloud Apps angewendet wurden Nicht geschützte Bezeichnungen, die außerhalb von Defender for Cloud Apps angewendet werden, können von Defender for Cloud-Apps außer Kraft gesetzt aber nicht entfernt werden.

Defender for Cloud Apps können keine Bezeichnungen mit Schutz aus Dateien entfernen, die außerhalb von Defender for Cloud Apps beschriftet wurden.

Um Dateien mit Schutz zu überprüfen, der außerhalb von Defender für Cloud-Apps angewendet wird, erteilen Sie Berechtigungen zum Überprüfen von Inhalten auf geschützte Dateien.
Mit Defender for Cloud Apps bezeichnete Dateien Defender for Cloud Apps überschreibt keine Bezeichnungen für Dateien, die bereits von Defender for Cloud Apps bezeichnet wurden.
Kennwortgeschützte Dateien Defender for Cloud Apps können keine Bezeichnungen für kennwortgeschützte Dateien lesen.
Leere Dateien Leere Dateien werden nicht durch Defender for Cloud Apps bezeichnet.
Bibliotheken, die auschecken müssen Defender for Cloud Apps kann Dateien in Bibliotheken, für die Auschecken erforderlich ist, nicht mit Bezeichnungen versehen.
Bereichsanforderungen Damit Defender for Cloud Apps eine Vertraulichkeitsbezeichnung erkennen können, muss der Bezeichnungsbereich in Purview für mindestens Dateien und E-Mails konfiguriert werden.

Hinweis

Microsoft Purview ist die wichtigste Lösung von Microsoft für Bezeichnungsdienste. Weitere Informationen finden Sie in der Microsoft Purview-Dokumentation.

So integrieren Sie Microsoft Purview mit Defender for Cloud Apps

In den folgenden Abschnitten wird beschrieben, wie Sie Microsoft Purview Integration aktivieren, Vertraulichkeitsbezeichnungen auf Dateien anwenden und automatische Bezeichnungsrichtlinien in Defender for Cloud Apps konfigurieren.

Aktivieren von Microsoft Purview

Sie müssen nur ein einzelnes Kontrollkästchen aktivieren, um Microsoft Purview in Defender for Cloud Apps zu integrieren. Indem Sie die automatische Überprüfung aktivieren, aktivieren Sie die Suche nach Vertraulichkeitsbezeichnungen aus Microsoft Purview für Ihre Microsoft 365-Dateien, ohne dass Sie eine Richtlinie erstellen müssen. Wenn Sie nach dem Aktivieren der automatischen Überprüfung Dateien in Ihrer Cloudumgebung haben, die mit Vertraulichkeitsbezeichnungen von Microsoft Purview gekennzeichnet sind, werden sie in Defender for Cloud Apps angezeigt.

So aktivieren Sie Defender for Cloud Apps das Überprüfen von Dateien mit aktivierter Inhaltsüberprüfung für Vertraulichkeitsbezeichnungen:

Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wechseln Sie dann zu Information Protection ->Microsoft Information Protection.

  1. Wählen Sie unter Microsoft Information Protection-Einstellungen die Option Neue Dateien automatisch auf Vertraulichkeitsbezeichnungen von Microsoft Information Protection und Inhaltsüberprüfungswarnungen überprüfen aus.

    Screenshot der Seite Microsoft Information Protection Einstellungen mit aktivierter Option für den automatischen Scan.

Nach dem Aktivieren von Microsoft Purview können Sie Dateien mit Vertraulichkeitsbezeichnungen anzeigen und nach Bezeichnungen in Defender for Cloud Apps filtern. Nachdem Defender for Cloud Apps mit der Cloud-App verbunden ist, können Sie die Microsoft Purview-Integrationsfeatures verwenden, um Vertraulichkeitsbezeichnungen aus Microsoft Purview (mit oder ohne Verschlüsselung) im Defender for Cloud Apps anzuwenden, indem Sie sie dateien direkt hinzufügen oder eine Dateirichtlinie konfigurieren, um Vertraulichkeitsbezeichnungen automatisch als Governanceaktion anzuwenden.

Hinweis

Der automatische Scan scannt vorhandene Dateien erst, nachdem sie erneut geändert wurden. Um vorhandene Dateien auf Vertraulichkeitsbezeichnungen aus Microsoft Purview zu überprüfen, benötigen Sie mindestens eine Dateirichtlinie , die die Inhaltsüberprüfung umfasst. Wenn sie keine haben, erstellen Sie eine neue Dateirichtlinie, löschen Sie alle voreingestellten Filter, und wählen Sie unter Inspektionsmethodedie Option Integrierte DLP aus. Wählen Sie im Feld Inhaltsuntersuchungdie Option Dateien einschließen aus, die einem voreingestellten Ausdruck entsprechen , wählen Sie einen beliebigen vordefinierten Wert aus, und speichern Sie die Richtlinie. Dies ermöglicht die Inhaltsüberprüfung, die automatisch Vertraulichkeitsbezeichnungen von Microsoft Purview erkennt.

Festlegen interner und externer Bezeichnungen

Standardmäßig scannt Defender for Cloud Apps Vertraulichkeitsbezeichnungen, die in Ihrer Organisation definiert wurden, sowie externe Vertraulichkeitsbezeichnungen, die von anderen Organisationen definiert wurden.

Um Vertraulichkeitsbezeichnungen zu ignorieren, die extern für Ihre organization festgelegt sind, wechseln Sie zum Microsoft Defender Portal, und wählen Sie Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Information Protectiondie Option Microsoft Information Protection aus. Wählen Sie dann Nur Dateien für Microsoft Information Protection Vertraulichkeitsbezeichnungen und Inhaltsüberprüfungswarnungen aus diesem Mandanten scannen aus.

Screenshot der Option, nur nach internen Vertraulichkeitsbezeichnungen zu suchen und externe Bezeichnungen zu ignorieren.

Direktes Anwenden von Bezeichnungen auf Dateien

Führen Sie die folgenden Schritte aus, um eine Vertraulichkeitsbezeichnung direkt auf eine Datei in Defender for Cloud Apps anzuwenden.

  1. Wählen Sie im Microsoft Defender-Portal unter Cloud-Appsdie Option Dateien aus. Wählen Sie dann die Datei aus, die Sie schützen möchten. Wählen Sie die drei Punkte am Ende der Zeile der Datei aus, und wählen Sie dann Vertraulichkeitsbezeichnung anwenden aus.

    Screenshot der Kontextmenüoption zum Anwenden einer Vertraulichkeitsbezeichnung auf eine Datei.

    Hinweis

    Defender for Cloud Apps können Microsoft Purview auf Dateien bis zu 30 MB anwenden.

  2. Wählen Sie eine der Vertraulichkeitsbezeichnungen Ihrer Organisation aus, die auf die Datei angewendet werden sollen, und wählen Sie Übernehmen aus.

    Screenshot des Dialogfelds zum Auswählen einer Vertraulichkeitsbezeichnung, die auf eine Datei angewendet werden soll.

  3. Nachdem Sie eine Vertraulichkeitsbezeichnung ausgewählt und Anwenden ausgewählt haben, wenden Defender for Cloud Apps die Vertraulichkeitsbezeichnung auf die ursprüngliche Datei an.

  4. Sie können Vertraulichkeitsbezeichnungen auch entfernen, indem Sie die Option Vertraulichkeitsbezeichnung entfernen auswählen.

    Weitere Informationen zur Zusammenarbeit von Defender for Cloud Apps und Microsoft Purview finden Sie unter Automatisches Anwenden von Vertraulichkeitsbezeichnungen aus Microsoft Purview.

Dateien automatisch bezeichnen

Sie können Vertraulichkeitsbezeichnungen automatisch auf Dateien anwenden, indem Sie eine Dateirichtlinie erstellen und Vertraulichkeitsbezeichnung anwenden als Governanceaktion festlegen.

Befolgen Sie diese Anweisungen, um die Dateirichtlinie zu erstellen:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie die Richtlinie so fest, dass sie den Dateityp enthält, den Sie erkennen möchten. Wählen Sie z. B. alle Dateien aus, bei denen Zugriffsebene nicht Intern entspricht und bei denen die Besitzer-OU Ihrem Finanzteam entspricht.

  3. Klicken Sie unter Verwaltungsaktionen für die jeweilige App auf Klassifzierungsbezeichnung anwenden und wählen Sie anschließend den Bezeichnungstyp aus.

    Screenshot der Governance-Aktion zum Anwenden einer Vertraulichkeitsbezeichnung in einer Dateirichtlinie.

Hinweis

  • Die Möglichkeit, eine Vertraulichkeitsbezeichnung anzuwenden, ist eine leistungsstarke Funktion. Um Kunden davor zu schützen, versehentlich eine Bezeichnung auf eine große Anzahl von Dateien anzuwenden, gibt es als Sicherheitsvorkehrung ein tägliches Limit von 100 Aktionen vom Typ Bezeichnung anwenden pro App und Mandant. Nachdem das Tageslimit erreicht ist, wird die Aktion zum Anwenden der Bezeichnung vorübergehend angehalten und am nächsten Tag (nach 12:00 UTC) automatisch fortgesetzt.
  • Wenn eine Richtlinie deaktiviert wird, werden alle ausstehenden Kennzeichnungsaufgaben für diese Richtlinie ausgesetzt.
  • In der Bezeichnungskonfiguration müssen allen authentifizierten Benutzern oder allen Benutzern in Ihrer organization Berechtigungen zugewiesen werden, damit Defender for Cloud Apps Bezeichnungsinformationen lesen können.

Steuern der Dateiexposition

Das folgende Beispiel zeigt, wie beschriftete Dateien in Defender for Cloud Apps gespeichert und verwaltet werden können.

  1. Angenommen, Sie haben das folgende Dokument mit einer Microsoft Purview-Vertraulichkeitsbezeichnung versehen:

    Screenshot eines Dokuments mit angewendeter Microsoft Purview Vertraulichkeitsbezeichnung.

  2. Sie können dieses Dokument in Defender for Cloud Apps anzeigen, indem Sie auf der Seite Dateien nach der Vertraulichkeitsbezeichnung für Microsoft Purview filtern.

    Bildschirmfoto der Dateiseite von Defender for Cloud Apps, gefiltert nach der Microsoft Purview-Vertraulichkeitsbezeichnung.

  3. Weitere Informationen zu diesen Dateien und ihren Vertraulichkeitsbezeichnungen finden Sie in der Dateischublade. Wählen Sie einfach die relevante Datei auf der Seite Dateien aus, und überprüfen Sie, ob sie über eine Vertraulichkeitsbezeichnung verfügt.

    Screenshot: Dateischublade

  4. Anschließend können Sie Dateirichtlinien in Defender for Cloud Apps erstellen, um Dateien zu steuern, die nicht ordnungsgemäß freigegeben werden, und Dateien zu finden, die mit bezeichnungen versehen sind und kürzlich geändert wurden.

    • Sie können eine Richtlinie erstellen, die automatisch eine Vertraulichkeitsbezeichnung auf bestimmte Dateien anwendet.
    • Sie können auch Warnungen zu Aktivitäten im Zusammenhang mit der Dateiklassifizierung auslösen.

Hinweis

Wenn Vertraulichkeitsbezeichnungen für eine Datei deaktiviert sind, werden die deaktivierten Bezeichnungen in Defender for Cloud Apps als deaktiviert angezeigt. Gelöschte Bezeichnungen werden nicht angezeigt.

Beispielrichtlinie – vertrauliche Daten, die über Box extern freigegeben werden:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.

  3. Fügen Sie die folgenden Filter hinzu, um alle vertraulichen Daten zu finden, die extern in Box freigegeben werden:

    Screenshot von Filtern für Dateirichtlinien für vertrauliche Daten, die extern über Box freigegeben wurden.

Beispielrichtlinie : Eingeschränkte Daten, die kürzlich außerhalb des Ordners "Kundendaten" in SharePoint geändert wurden:

  1. Erstellen Sie eine Dateirichtlinie.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.

  3. Fügen Sie die folgenden Filter hinzu, um alle zuletzt geänderten eingeschränkten Dateien zu finden, während der Ordner "Kundendaten" in der Option "Ordnerauswahl" ausgeschlossen wird:

    Screenshot der Dateirichtlinienfilter, die für kürzlich geänderte eingeschränkte Daten außerhalb des Ordners

Sie können auch Warnungen und Benutzerbenachrichtigungen festlegen oder sofortige Maßnahmen für diese Richtlinien ergreifen. Erfahren Sie mehr über Governanceaktionen.

Erfahren Sie mehr über Microsoft Purview.

Nächste Schritte

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie ein Supportticket.