Adaptive Protection & Data Governance Adaptive Protection & Data Governance
Tiefenreferenz zu Adaptive Protection, Data Lifecycle Management, Records Management, Trainable Classifiers, Exact Data Match, Named Entities, Content Explorer und Activity Explorer. Deep reference for Adaptive Protection, data lifecycle management, records management, trainable classifiers, exact data match, named entities, Content Explorer, and Activity Explorer.
Adaptive Protection und Data Governance funktionieren nur, wenn Risiko, Sensitivität, Aufbewahrung und organisatorische Verantwortlichkeiten zusammen gedacht werden. Einzelne Purview-Funktionen ohne gemeinsames Modell liefern nur punktuelle Wirkung. Adaptive Protection and data governance work only when risk, sensitivity, retention, and organizational ownership are designed together. Individual Purview features without a shared model deliver only isolated value.
Risiko und DLP Risk and DLP
Explorer und Benutzerkontext Explorer and user context
Retention und Records Retention and records
Deskriptoren und Records Descriptors and records
Review, Event, Export Review, event, export
Trainable, EDM, Entities Trainable, EDM, entities
Content und Activity Content and activity
PowerShell, Graph, Best Practices PowerShell, Graph, best practices
Adaptive Protection und risikobasierte DLP Adaptive Protection and risk-based DLP
Adaptive Protection verbindet Insider Risk Management mit DLP. Benutzer erhalten dynamisch ein Risikoniveau, und DLP kann darauf reagieren, ohne jede Richtlinie statisch nach Abteilungen oder Ländern zu modellieren. Adaptive Protection connects Insider Risk Management with DLP. Users receive a dynamic risk level, and DLP can react without modeling every policy statically by department or country.
| Baustein Building block | Bedeutung Meaning | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| Minor Risk Minor risk | Leichte Abweichungen oder frühe Indikatoren Light deviations or early indicators | Für Beobachtung und sanfte Controls geeignet Suitable for observation and soft controls |
| Moderate Risk Moderate risk | Klarere Risikoindikatoren Clearer risk indicators | Mit restriktiveren DLP-Regeln oder Pflichtbegründungen koppeln Tie to stricter DLP rules or mandatory justification |
| Elevated Risk Elevated risk | Hohe Relevanz für Insider-Risiko oder Datenabfluss High relevance for insider risk or data exfiltration | Blockierende oder stark überwachte DLP-Aktionen prüfen Consider blocking or strongly monitored DLP actions |
| DLP Policy Integration DLP policy integration | Risikolevel als Scope- oder Bedingungsdimension Risk level as a scope or condition dimension | Reduziert Policy-Sprawl und reagiert dynamischer Reduces policy sprawl and reacts more dynamically |
| Automatic Assignment Automatic assignment | Risikostufe wird aus Verhalten abgeleitet Risk level is derived from behavior | Transparenz für Datenschutz und Employee Relations schaffen Create transparency for privacy and employee relations |
| Governance Governance | Risikomodell, Review und Eskalation Risk model, review, and escalation | Klare Verantwortungen zwischen Security, HR, Legal und Compliance definieren Define clear responsibilities across security, HR, legal, and compliance |
Untersuchung: Activity Explorer, Content Explorer und User Context Investigation: Activity Explorer, Content Explorer, and user context
Adaptive Protection ist nur so gut wie die Untersuchung dahinter. Activity Explorer zeigt Verhaltensereignisse, Content Explorer zeigt betroffene Inhalte, und zusätzlicher Benutzerkontext macht Bewertungen nachvollziehbar und revisionsfest. Adaptive Protection is only as good as the investigation behind it. Activity Explorer shows behavioral events, Content Explorer shows impacted data, and additional user context makes assessments explainable and defensible.
| Werkzeug Tool | Was sichtbar ist What is visible | Praktische Nutzung Practical usage |
|---|---|---|
| Activity Explorer Activity Explorer | DLP-Events, Label-Ereignisse, Policy-Hits DLP events, label events, policy hits | Zeitfenster und Benutzergruppen nutzen, um Ausreißer einzugrenzen Use time windows and user groups to narrow down outliers |
| Content Explorer Content Explorer | Fundorte sensibler oder klassifizierter Inhalte Locations of sensitive or classified content | Nur berechtigten Spezialrollen zugänglich machen Expose only to properly authorized specialist roles |
| User Timeline User timeline | Abfolge relevanter Handlungen eines Benutzers Sequence of relevant actions by a user | Nützlich für Eskalationsentscheidungen und Fallbewertungen Useful for escalation decisions and case reviews |
| Investigation Notes Investigation notes | Dokumentierte Bewertung und Kontext Documented assessment and context | Für spätere Audits und Lessons Learned wichtig Important for later audits and lessons learned |
| Role Separation Role separation | Wer Inhalte sehen darf und wer nur Ereignisse sieht Who may view content and who only sees events | Datenschutz und Need-to-know strikt umsetzen Apply privacy and need-to-know rigorously |
| Cross-Solution Context Cross-solution context | Verbindung zu Insider Risk, DLP und Labels Connection to Insider Risk, DLP, and labels | Einzelfälle nicht in Tool-Silos untersuchen Do not investigate incidents in tool silos |
Data Lifecycle Management Data Lifecycle Management
Data Lifecycle Management verbindet Retention Policies, Labels und Records Management. Die Kernfrage lautet: Wie lange muss ein Inhalt aufbewahrt werden, wann wird er zum Datensatz und wie wird das Ende des Lebenszyklus dokumentiert? Data Lifecycle Management connects retention policies, labels, and records management. The key question is: how long must content be kept, when does it become a record, and how is the end of life documented?
| Thema Topic | Beschreibung Description | Steuerungshinweis Steering guidance |
|---|---|---|
| Retention Retention | Aufbewahrung oder Löschung nach Zeit Keep or delete after time | Geschäfts-, Rechts- und Datenschutzanforderungen gemeinsam bewerten Evaluate business, legal, and privacy requirements together |
| Records Management Records management | Inhalt wird formaler Datensatz Content becomes a formal record | Nicht jede Aufbewahrung ist automatisch ein Record Not every retention requirement is automatically a record |
| Label-based Governance Label-based governance | Auf Inhalt oder Container anwendbare Labels Labels applied to content or containers | Für differenzierte Hierarchien oft besser als breite Policies Often better than broad policies for nuanced hierarchies |
| Policy-based Governance Policy-based governance | Breitere Workload- oder Scope-Steuerung Broader workload or scope control | Geeignet für Grundlinien, weniger für fachliche Feinsteuerung Suitable for baselines, less so for fine-grained business control |
| Event-based Retention Event-based retention | Aufbewahrungsfrist startet erst mit Ereignis Retention period starts only after an event | Ideal für Verträge, Austritte oder Fallabschlüsse Ideal for contracts, departures, or case closure |
| Disposition Disposition | Ablauf, Prüfung und Nachweis der Vernichtung Expiration, review, and proof of destruction | Nachweis ist für regulierte Branchen zentral Proof is central in regulated industries |
File Plan und Regulatory Records File plan and regulatory records
Der File Plan übersetzt Governance in strukturierte Metadaten. Authority, category, provision, citation und andere Deskriptoren helfen, Labels und Records systematisch statt ad hoc zu definieren. The file plan translates governance into structured metadata. Authority, category, provision, citation, and other descriptors help define labels and records systematically rather than ad hoc.
| Element Element | Funktion Function | Best Practice Best practice |
|---|---|---|
| Authority Type Authority type | Rechts- oder Geschäftsgrundlage Legal or business basis | Mit internen Richtlinien und externer Regulierung verknüpfen Link to internal policy and external regulation |
| Category Category | Geschäftliche Einordnung des Datensatzes Business classification of the record | Nicht zu grob wählen, sonst verliert der File Plan Steuerkraft Do not make it too broad or the file plan loses steering power |
| Provision / Citation Provision / citation | Normstelle oder Vertragshinweis Norm clause or contract reference | Hilfreich für Audits und Rechtsabteilung Helpful for audits and legal teams |
| Regulatory Record Regulatory record | Besonders stark geschützter Datensatz Highly protected record | Nur für wirklich unveränderliche Pflichten verwenden Use only for truly immutable obligations |
| Preservation Lock Preservation Lock | Verhindert spätere Abschwächung bestimmter Einstellungen Prevents later weakening of certain settings | Vor Aktivierung juristisch und operativ prüfen Validate legally and operationally before enabling |
| Label Publishing Label publishing | Verteilung des File-Plan-Modells an Benutzer und Workloads Distribute the file plan model to users and workloads | Mit Schulung und UI-Sprache kombinieren Combine with training and UI language |
Disposition und eventbasierte Aufbewahrung Disposition and event-based retention
Der Endpunkt des Datenlebenszyklus ist oft kritischer als der Anfang. Disposition Review, Auto-Disposition, Proof of Disposition und Event Triggers müssen so gestaltet sein, dass keine unbeabsichtigte Löschung geschäfts- oder rechtskritischer Inhalte entsteht. The end point of the data lifecycle is often more critical than the beginning. Disposition review, auto disposition, proof of disposition, and event triggers must be designed so no unintended deletion affects business- or legally critical content.
| Baustein Building block | Beschreibung Description | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| Disposition Review Disposition review | Menschliche Freigabe vor endgültiger Löschung Human approval before final deletion | Für sensible Kategorien als Standard prüfen Consider as the default for sensitive categories |
| Auto-Dispose Auto-dispose | Automatische Löschung nach Ablauf Automatic deletion after expiration | Nur bei klar verstandenen Datenklassen verwenden Use only for clearly understood data classes |
| Proof of Disposition Proof of disposition | Nachweis, was wann gelöscht wurde Evidence of what was deleted and when | Für Rechts- und Audit-Anfragen exportierbar halten Keep exportable for legal and audit requests |
| Disposition Export Disposition export | Auswertung abgeschlossener Entsorgungen Export of completed dispositions | Mit Archiv- oder GRC-Systemen verknüpfen Link to archive or GRC systems |
| Event Type Event type | Trigger wie Vertrag endet, Mitarbeiter verlässt Firma Trigger such as contract end or employee departure | Nur sauber definierte Business-Events verwenden Use only clearly defined business events |
| Syntex Integration Syntex integration | Automatisierte Ereignis- oder Metadatenableitung Automated event or metadata derivation | Nur nach Qualitätsprüfung des Modells produktiv nutzen Use in production only after model quality is validated |
Trainable Classifiers, EDM und Named Entities Trainable classifiers, EDM, and named entities
Purview kombiniert unterschiedliche Klassifikationsarten: vortrainierte Classifier, trainierbare Custom Classifier, Exact Data Match und Named Entities. Erst die richtige Kombination liefert belastbare DLP-, Label- und Governance-Ergebnisse. Purview combines different classification types: pre-trained classifiers, trainable custom classifiers, exact data match, and named entities. Only the right combination delivers durable DLP, labeling, and governance outcomes.
| Typ Type | Beispiele Examples | Praxisnutzung Practical usage |
|---|---|---|
| Pre-trained Classifiers Pre-trained classifiers | Resumes, Source Code, Harassment, Threats, Profanity, Discrimination, Customer Complaints, Corporate Sabotage, Gifts & Entertainment Resumes, source code, harassment, threats, profanity, discrimination, customer complaints, corporate sabotage, gifts and entertainment | Vor produktiver Policy-Verwendung gegen eigene Daten validieren Validate against your own data before policy use |
| Custom Trainable Classifier Custom trainable classifier | Eigene Dokumenttypen aus Trainingsdaten Custom document types from training data | Gute Trainingsqualität schlägt große Datenmenge Good training quality beats large volume |
| Exact Data Match Exact Data Match | Gehashte Datensätze wie Personal- oder Kundennummern Hashed datasets such as employee or customer records | Ideal für hochpräzise Erkennung strukturierter Geschäftsdaten Ideal for highly precise detection of structured business data |
| EDM Schema EDM schema | Definiert Spalten, Schlüssel und Datentypen Defines columns, keys, and data types | Schemaänderungen mit Datenlieferanten abstimmen Coordinate schema changes with data owners |
| Named Entities Named entities | Personennamen, Adressen, Telefonnummern nach Region Person names, addresses, phone numbers by region | Hilfreich als Zusatzsignal, selten allein ausreichend Useful as a supporting signal, rarely sufficient on its own |
| SIT mit EDM SIT with EDM | Sensitive Info Type kombiniert Muster und exakte Daten Sensitive info type combines patterns and exact data | Hohe Präzision für DLP und Auto-Labeling High precision for DLP and auto-labeling |
Connect-IPPSSession
New-ComplianceTag -Name "Finance-7Y" -RetentionAction KeepAndDelete -RetentionDuration 2555
Set-RetentionCompliancePolicy -Identity "Finance Retention" -Enabled $trueContent Explorer und Activity Explorer Content Explorer and Activity Explorer
Explorer-Ansichten sind das operative Rückgrat für Klassifikation, DLP-Tuning und Governance-Nachweis. Sie zeigen, wo Daten liegen und welche Ereignisse, Labels oder Richtlinien darauf angewendet wurden. Explorer views are the operational backbone for classification, DLP tuning, and governance evidence. They show where data resides and which events, labels, or policies applied to it.
| Explorer Explorer | Was er zeigt What it shows | Wichtige Nutzungsregel Important usage rule |
|---|---|---|
| Content Explorer Content Explorer | Dateien, Mails und Fundorte sensibler Inhalte Files, mail, and locations of sensitive content | Nur für streng autorisierte Rollen freischalten Expose only to tightly authorized roles |
| Activity Explorer Activity Explorer | DLP-Aktionen, Labeling, Klassifikation, Policy-Treffer DLP actions, labeling, classification, policy hits | Mit Zeitfenstern, Workloads und Benutzern filtern Filter by time window, workload, and user |
| Search and Filters Search and filters | Workload, Location, Label, Sensitive Type Workload, location, label, sensitive type | Für Root-Cause-Analysen gezielt eingrenzen Narrow deliberately for root-cause analysis |
| Exportability Exportability | Ausgewählte Daten für Governance- und Auditfälle Selected data for governance and audit use cases | Exportrechte und Datenminimierung abstimmen Align export rights and data minimization |
| Tuning Loop Tuning loop | Rückkopplung in DLP, Labels, Classifier Feedback into DLP, labels, classifiers | Explorer-Ergebnisse aktiv in Policy-Optimierung einfließen lassen Actively feed explorer results into policy optimization |
| Privacy Controls Privacy controls | Begrenzte Sicht auf Inhaltsdetails Limited visibility into content details | Need-to-know konsequent technisch und organisatorisch umsetzen Apply need-to-know consistently in technology and process |
Graph API, Records APIs und Best Practices Graph API, records APIs, and best practices
Viele Data-Governance-Workflows bleiben portalzentriert, doch PowerShell, Purview-Cmdlets und Teile von Microsoft Graph unterstützen Export, Label- und Policy-Verwaltung. Entscheidend ist eine Governance-Strategie, die Hierarchie, Precedence und Lebenszyklus klar definiert. Many data-governance workflows remain portal-centric, but PowerShell, Purview cmdlets, and parts of Microsoft Graph support export plus label and policy management. The key is a governance strategy that clearly defines hierarchy, precedence, and lifecycle.
Lege zuerst Datenkategorien, Aufbewahrungslogik und Eskalationspfade fest und erstelle daraus anschließend Labels, Policies und Classifier. Tool-Reihenfolge ohne inhaltliche Hierarchie führt fast immer zu widersprüchlichen Regeln. Define data categories, retention logic, and escalation paths first, then derive labels, policies, and classifiers. Tool-first sequencing without an information hierarchy almost always leads to conflicting rules.
| Bereich Area | Beispiel Example | Best Practice Best practice |
|---|---|---|
| Retention Cmdlets Retention cmdlets | New-ComplianceTag, Set-RetentionCompliancePolicy New-ComplianceTag, Set-RetentionCompliancePolicy | Policies und Labels versioniert in Git dokumentieren Document policies and labels versioned in Git |
| Records APIs Records APIs | Teilweise Graph-/Purview-APIs für Records und Labels Partial Graph or Purview APIs for records and labels | API-Abdeckung vor Automatisierungsdesign verifizieren Verify API coverage before designing automation |
| Hierarchy Hierarchy | Breite Policy plus präzise Labels Broad policy plus precise labels | Labels für Ausnahmen und kritische Klassen bevorzugen Prefer labels for exceptions and critical classes |
| Precedence Precedence | Welche Regel gewinnt bei Konflikten Which rule wins in a conflict | Für Fachbereiche mit Beispielen dokumentieren Document with examples for business teams |
| Governance Board Governance board | Regelmäßige Entscheidung zu Klassifikation und Retention Regular decisions on classification and retention | Legal, Records, Security und Data Owners gemeinsam einbinden Include legal, records, security, and data owners together |
| Pilot and Tune Pilot and tune | Schrittweise Einführung neuer Classifier und Labels Phased introduction of new classifiers and labels | Zuerst beobachten, dann blockieren oder verpflichten Observe first, then block or mandate |
GET https://graph.microsoft.com/beta/security/labels/retentionLabels
Authorization: Bearer <token>Connect-IPPSSession
Get-ComplianceTag | Select-Object Name,RetentionAction,RetentionDuration,IsRecordLabel