Standardmäßige Sicherung mit Microsoft Purview und Schutz vor Überteilung – Phase 3
Dieser Leitfaden ist in vier Phasen unterteilt:
- Einführung
- Phase 1: Grundlegend – Beginnen Sie mit der Standardbezeichnung.
- Phase 2: Verwaltet – Adressdateien mit höchster Vertraulichkeit
- Phase 3: Optimiert– Erweitern Sie ihren gesamten Microsoft 365-Datenbestand (diese Seite)
- Phase 4: Strategisch – Betrieb, Erweiterung und rückwirkende Maßnahmen
In den vorherigen Phasen haben wir die Sicherheitsgrundlagen festgelegt und die prioritären Standorte besprochen. Wir haben sowohl clientseitige als auch dienstseitige Automatische Bezeichnungsfunktionen behandelt. Eine Vergleichstabelle finden Sie unter Automatisches Anwenden einer Vertraulichkeitsbezeichnung in Microsoft 365.
Phase 3: Optimiert: Erweitern Auf Ihren gesamten Microsoft 365-Datenbestand
In dieser Phase erläutern wir Optionen, mit denen Sie ihren gesamten Microsoft 365-Datenbestand iterativ adressieren können.
Zuvor wurden anfängliche Richtlinien empfohlen, um Die Benutzer vertraut zu machen. In dieser Phase sind wir bereit, sie schrittweise in Szenarien zu verwenden. Die automatische Bezeichnung eignet sich am besten für Szenarien, in denen Sie eine höhere Vertraulichkeit als Ihre Standardbezeichnung benötigen.
Außerdem wird erläutert, wie vorhandene Websites rückwirkend beschriftet und Standardbibliotheksbezeichnungen festgelegt werden.
Automatische Bezeichnung vertraulicher Dateien auf Clients (niedrige Schwellenwerte)
Die clientseitige automatische Bezeichnung bietet Benutzern die Möglichkeit, sich für die Anwendung einer empfohlenen Bezeichnung zu entscheiden oder ein falsch positives Ergebnis zu melden. Dies kann mit den über 300 verfügbaren SITs (Sensitive Information Types) und Trainable Klassifizierern erfolgen.
Im Allgemeinen empfehlen wir den folgenden Ansatz. Die Schwellenwerte werden nur als Beispiele angegeben.
- Identifizieren Sie die relevante SIT für Ihre Branche.
- Empfehlen Sie eine Bezeichnung mit niedrigeren SIT-Schwellenwerten (1-9).
- Automatisches Anwenden einer Bezeichnung mit höheren Schwellenwerten (10+) und/oder Trainierbaren Klassifizierern.
Ihre Clientstandardbezeichnung wirkt sich auf Ihre Automatische Bezeichnungsstrategie aus. In diesem Leitfaden wird zwar empfohlen, diese Einstellung auf Vertraulich\Alle Mitarbeiter festzulegen, aber wir stellen auch Alternativen bereit, wenn der Office-Client standardmäßig auf Allgemein und dann auf Vertraulich\Alle Mitarbeiter festgelegt ist, wenn er in SharePoint gespeichert wird.
Tipp
Wenn Ihre Standardeinstellung auf Vertraulich\Alle Mitarbeiter festgelegt ist, ist Ihre Automatische Bezeichnungsstrategie weniger komplex und konzentriert sich auf Streng vertrauliche Bezeichnungen.
Sie können dies im Laufe der Zeit schrittweise mit mehr SITs/trainierbaren Klassifizierern bereitstellen, wenn Sie weitere Geschäftsszenarien identifizieren. Mit Standardeinstellungen und clientseitiger automatischer Bezeichnung adressieren Sie jetzt alle neuen und aktualisierten Inhalte.
Simulieren der automatischen Bezeichnung vertraulicher Dateien im Ruhezustand
Dienstseitige automatische Bezeichnung von dateien im Ruhezustand in SharePoint und OneDrive und stellt weitere Bedingungen bereit. Wir unterstützen derzeit die automatische Bezeichnung von bis zu 100.000 Dateien pro Tag in Ihrem organization.
Tipp
Weitere Informationen zur automatischen Bezeichnung mit Playbook: Dienstseitige automatische Bezeichnung
Während die clientseitige automatische Bezeichnung auf vertrauliche Inhalte beschränkt ist, fügt die dienstseitige automatische Bezeichnung Unterstützung für kontextbezogene Bedingungen hinzu, z. B.:
- Inhalt wird freigegeben
- Die Dateierweiterung ist
- Dokumentname enthält Wörter oder Ausdrücke
- Dokumenteigenschaft lautet
- Dokumentgröße gleich oder größer als
- Dokument erstellt von
Diese Bedingungen in Kombination mit der Auswahl bestimmter Websites und/oder des OneDrives des Benutzers ermöglichen Es Ihren Organisationen, zu priorisieren, welche Inhalte zuerst gekennzeichnet werden sollen.
Wenn Ihr organization beispielsweise Vorlagen mit Dokumenteigenschaften oder Dokumentnamenpräfixen verwendet, können Sie eine Richtlinie für alle SharePoint-Websites und OneDrive ausführen. Sie können auch basierend auf der Dateigröße oder den dokumenten priorisieren, die von Ihren Führungsteams erstellt wurden.
Sie können die Beschriftung aller Dokumente abschließen, indem Sie Office-/PDF-Dateierweiterungen in Batches von SharePoint-Websites verwenden und festlegen, dass sie mit der Bezeichnung ihrer jeweiligen Website übereinstimmen, beginnend mit Websites mit höherer Vertraulichkeit und schrittweisen Abfangen allgemeiner Websites.
Schließlich können Sie mehr dienstseitige automatische Bezeichnungen für streng vertrauliche Inhalte implementieren, häufig mit höheren Schwellenwerten als bei der clientseitigen automatischen Bezeichnung, um potenzielle falsch positive Ergebnisse zu reduzieren.
Reduzieren falsch positiver Ergebnisse mit erweiterten Klassifizierern
In diesem Abschnitt werden die Grundlagen erweiterter Klassifizierer und deren Verwendung erläutert.
Im Kontext dieser standardmäßig sicheren Blaupause haben wir uns auf die Verwendung von Klassifizierern mit automatischer Bezeichnung für streng vertrauliche Inhalte konzentriert, wobei erweiterte Klassifizierer auf trainierbare Klassifizierer beschränkt sind. In den meisten Fällen sind Typen vertraulicher Informationen (SITs) eine Mischung aus Mustern und Schlüsselwörtern. Vorlagen wie Geschützte Gesundheitsinformationen (Protected Health Information, PHI) und personenbezogene Informationen (Personally Identifiable Information, PII) können viele falsch positive Ergebnisse zurückgeben, da sie den Kontext nicht bestimmen können oder falsch positive Ergebnisse für Ihre organization sein können.
Purview-Administratoren können falsch positive Ergebnisse reduzieren, indem sie:
- Erhöhen Sie die erforderliche Konfidenz- und/oder Schwellenwertanzahl.
- Suchen sie nach mehreren SITs mit AND anstelle des OR-Operators.
- Klonen Sie eine SIT in eine benutzerdefinierte SIT, und optimieren Sie die Anforderungen.
- Verwenden Sie mehrere RegEx-Ausdrücke anstelle eines einzelnen, aber weit reichenden Ausdrucks.
- Erzwingen des Wortabgleichs.
- Verwenden Sie trainierbare Klassifizierer, genaue Datenabgleiche (EDM) und Dokumentfingerabdrücke.
Tipp
Weitere Informationen zu diesen Optionen finden Sie hier: Tipps und Tricks zum Maximieren der Genauigkeit und Reduzierung falsch positiver Erkennungen in MIP und DLP
Trainierbare Klassifizierer verwenden maschinelles Lernen, um Dokumentmuster zu identifizieren. Microsoft Purview bietet mehrere vortrainierte Klassifizierer, z. B. rechtliche Dokumente, strategische Geschäftsdokumente und Finanzinformationen. Benutzerdefinierte Klassifizierer können auch aus einer SharePoint-Dokumentbibliothek erstellt und trainiert werden.
Indem Sie sowohl SITs als auch trainierbare Klassifizierer verwenden, können Sie Ihren Bereich einschränken, z. B. enthält Kreditkarten-SITs und trainierbare Klassifizierungsbezeichner für Finanzinformationen.
Genaue Datenabgleiche und Dokumentfingerabdrücke stehen derzeit nicht für die automatische Bezeichnung zur Verfügung, sollten jedoch in Ihrer DLP-Strategie (Overall Microsoft Purview Data Loss Prevention) berücksichtigt werden. Ähnlich wie trainierbare Klassifizierer können beide dazu beitragen, falsch positive Ergebnisse zu reduzieren. Mit EDM können Sie z. B. voreingestellte SSN-SSN suchen und dann ihre EDM SIT überprüfen, um zu überprüfen, ob es sich um eine SSN von einem Ihrer Kunden oder Mitarbeiter handelt. Mit EDM können Sie einen Hash von Informationen sicher speichern, nach dem gesucht werden soll.
Dokumentfingerabdrücke funktionieren anders als trainierbare Klassifizierer, indem Dokumentvorlagen identifiziert und in DLP-Richtlinien verwendet werden. Dies ist besonders nützlich, wenn Ihr organization über standardisierte Vorlagen verfügt. Sie können diese Vorlagen verwenden, um präzise Fingerabdrücke zu erstellen.
Automatisieren und Verbessern des Microsoft 365-Schutzes für historische und verwendete Daten
Im letzten Schritt dieser Phase überprüfen wir optionen zum rückwirkenden Anwenden von Bezeichnungen auf Ihre vorhandenen SharePoint-Websites und zum anwenden von Standardbibliotheksbezeichnungen entsprechend.
An diesem Punkt haben wir Standardeinstellungen in der gesamten Umgebung konfiguriert und die Verbreitung von Websites und Dokumenten ohne Bezeichnungen gestoppt. Wir haben mit der manuellen Behandlung von Bezeichnungswebsites und Bibliotheken auf Prioritätswebsites begonnen, und wir sehen uns an, dies in Ihrem gesamten Microsoft 365-Inhaltsbestand zu skalieren.
Es gibt einige Strategien, die Sie berücksichtigen sollten:
- Verwenden von Websitebesitzern: Teilen Sie websitebesitzern mit, dass sie eine Bezeichnung auf ihrer Website und Standardbibliothek konfigurieren müssen. Wenn Sie beabsichtigen, #2 zu verwenden, geben Sie Anmerkungen an, dass an einem Zieldatum automatisch eine neue Standardeinstellung empfangen wird.
- Ausführen von Automatisierungsskripts für verbleibende Websites ohne Bezeichnung: Verwenden Sie die Graph-API, um websites ohne Bezeichnungen zu identifizieren, und konfigurieren Sie die Containerbezeichnung und die Standardbibliotheksbezeichnung auf "Vertraulich\Alle Mitarbeiter".
- Optional können Sie die Freigabe nur von Dateien ohne Bezeichnung verhindern. Bei vorherigen Maßnahmen wie DLP für nicht bezeichnete Inhalte und automatische Dateibeschriftung können Sie festlegen, dass Websites über Skripts für rückwirkende Aktionen für alle Websites auf natürliche Weise ablaufen.
- Erfassen eines Zeitleiste von Websites ohne Bezeichnung: Wenn Sie planen, die dienstseitige automatische Bezeichnung für alle Verlaufsdaten basierend auf Containerbezeichnungen zu verwenden, erfassen Sie, wann Containerbezeichnungen hinzugefügt werden, und fügen Sie ihren Richtlinien für die automatische Bezeichnung schrittweise neu bezeichnete Websites hinzu.
Ihr Risikostatus definiert, wie Sie zwischen allen Strategien am besten vorgehen oder diese möglicherweise schrittweise verwenden. Es wird zwar empfohlen, Ihren gesamten Datenbestand zu sichern, je nach Größe kann dies jedoch eine komplexe Aufgabe sein. Beginnen Sie klein, und durchlaufen Sie häufig.
Die Skripterstellung von Vertraulichkeitsbezeichnungen für SharePoint-Websites kann mit "Set-PnPTenantSite" und dem Parameter "SensitivityLabel" erfolgen.
Für Die Standardbibliotheksbezeichnung muss der Parameter "DefaultSensitivityLabelForLibrary" mithilfe der REST-API für eine Bibliothek festgelegt werden. Ein Beispiel wird in diesem Artikel bereitgestellt.
Phase 3 – Zusammenfassung
- Automatisches Anwenden einer Vertraulichkeitsbezeichnung in Microsoft 365
- Mindestversionen für Vertraulichkeitsbezeichnungen in Microsoft 365 Apps
- Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps
- Automatisches Anwenden einer Vertraulichkeitsbezeichnung in Microsoft 365
- Tipps und Tricks zum Maximieren der Genauigkeit und Reduzierung falsch positiver Erkennungen in MIP und DLP
Siehe auch
- Playbook: Dienstseitige automatische Bezeichnung
- Anpassen eines integrierten, vertraulichen Informationstyps
- Weitere Informationen zu trainierbaren Klassifizierern
- Informationen zu Typen vertraulicher Informationen basierend auf genauer Datenübereinstimmung
- Informationen zum Dokumentfingerabdruck
- Trainierbare Klassifizierungsdefinitionen
- Entitätsdefinitionen für Typen vertraulicher Informationen
- Grenzwerte für vertrauliche Informationstypen
- Set-PnPTenantSite | PnP PowerShell
- "Standard"-Bezeichnung für eine Dokumentbibliothek – Skriptbeispiel
- Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek
Weiter mit Phase 4: Strategisch – Betreiben, Erweitern und rückwirkende Maßnahmen