Data Loss Prevention (DLP) Deep Dive Data Loss Prevention (DLP) Deep Dive
Umfassende Referenz zu Richtlinienlogik, Sensitive Information Types, Endpoint DLP, Reports und Automatisierung in Microsoft Purview. Comprehensive reference for policy logic, sensitive information types, endpoint DLP, reports, and automation in Microsoft Purview.
Diese Seite kombiniert Architektur, Governance, Workload-Besonderheiten, Betriebsdetails und PowerShell-Referenzen für Microsoft Purview. This page combines architecture, governance, workload-specific behavior, operational details, and PowerShell reference material for Microsoft Purview.
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Funktionsweise und Workloads How DLP works and covered workloads
50+ eingebaute SITs 50+ built-in SITs
Regex, EDM und Wörterbücher Regex, EDM, and dictionaries
Vortrainiert und benutzerdefiniert Pre-trained and custom
Scoping, Bedingungen, Aktionen Scoping, conditions, actions
Geräte und Aktivitäten Devices and activities
Benutzerhinweise und Overrides User tips and overrides
Activity Explorer und Alerts Activity Explorer and alerts
Wichtige Cmdlets Key cmdlets
DLP Übersicht DLP overview
Data Loss Prevention in Microsoft Purview erkennt sensible Inhalte, bewertet Kontext und erzwingt anschließend Benutzerhinweise, Blockierungen, Verschlüsselung oder Meldewege. Eine DLP-Policy besteht aus einem logischen Container mit einem oder mehreren Regeln, Ausnahmen, Prioritäten und standortspezifischen Einstellungen. Microsoft Purview Data Loss Prevention detects sensitive content, evaluates context, and then enforces user tips, blocking, encryption, or reporting workflows. A DLP policy consists of a logical container with one or more rules, exceptions, priorities, and location-specific settings.
Richtlinien können gleichzeitig Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Geräte, Power BI und bestimmte on-premises Repositories adressieren. Entscheidend ist, ob die Daten im Ruhezustand, während einer Freigabe oder bei einer Benutzeraktion auf dem Endpunkt kontrolliert werden sollen. Policies can simultaneously target Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, devices, Power BI, and certain on-premises repositories. The key design question is whether data should be controlled at rest, during sharing, or when a user acts on an endpoint.
| Workload Workload | Was DLP erkennt What DLP detects | Typische Maßnahmen Typical actions |
|---|---|---|
| Exchange Online Exchange Online | Nachrichteninhalt, Betreff, Anhänge und Empfängerkontext Message body, subject, attachments, and recipient context | Blockieren, Hinweise in Outlook, Incident Reports, Verschlüsselung Block, Outlook tips, incident reports, encryption |
| SharePoint Online SharePoint Online | Dateiinhalte, Metadaten und Freigabezustand File contents, metadata, and sharing state | Freigaben blockieren, externes Teilen verhindern, Audit Block sharing, prevent external sharing, audit |
| OneDrive for Business OneDrive for Business | Persönliche Dateien, Synchronisierung, externe Freigaben Personal files, sync behavior, external sharing | Teilen blockieren, Policy Tips, Aktivitäten protokollieren Block sharing, policy tips, log activities |
| Microsoft Teams Microsoft Teams | Chats, Kanalnachrichten, private Nachrichten und Anhänge Chats, channel messages, private messages, and attachments | Benachrichtigen, Richtlinienverstöße erfassen, Inhalte blockieren Notify, capture policy violations, block content |
| Endpoint DLP Endpoint DLP | Dateien mit sensiblen Inhalten auf verwalteten Geräten Files containing sensitive content on managed devices | USB blockieren, Druck unterbinden, Upload begrenzen Block USB, prevent print, limit upload |
| Power BI Power BI | Datasets, Berichte und Exporte mit Labels oder SIT-Treffern Datasets, reports, and exports with labels or SIT hits | Export beschränken, Warnen, Richtlinien anwenden Restrict export, warn, enforce policy |
| On-premises Repositories On-premises repositories | Dateifreigaben und SharePoint Server über Scanner File shares and SharePoint Server via scanner | Klassifizieren, markieren, Berichtswesen Classify, mark, reporting |
| Exchange Transport DLP Exchange transport DLP | Mailflow im Versandmoment Mail flow at send time | NDR, Moderation, RMS-Verschlüsselung, Block NDR, moderation, RMS encryption, block |
DLP sollte mit Sensitivity Labels, Retention und Conditional Access abgestimmt werden. Ein isoliertes DLP-Design führt oft zu Konflikten mit Collaboration- oder Archivierungsanforderungen. DLP should be aligned with sensitivity labels, retention, and conditional access. An isolated DLP design often conflicts with collaboration or archival requirements.
Sensitive Information Types (SITs) Sensitive Information Types (SITs)
Sensitive Information Types sind die am häufigsten genutzten Erkennungsbausteine in Purview DLP. Jeder Typ kombiniert Muster, Prüfziffern, Schlüsselwörter, Kontextbegriffe oder Prüflogik und kann mit Confidence Levels bewertet werden. Sensitive information types are the most commonly used detection building blocks in Purview DLP. Each type combines patterns, checksums, keywords, context terms, or validation logic and can be evaluated with confidence levels.
| Name Name | Confidence Level Confidence level | Pattern description Pattern description |
|---|---|---|
| Credit Card Number Credit Card Number | Hoch High | Primäre Kontonummer mit Luhn-Prüfung und Kartennetz-Kontext wie Visa oder Mastercard Primary account number with Luhn validation and card-network context such as Visa or Mastercard |
| EU Debit Card Number EU Debit Card Number | Hoch High | Europäische Debitkartennummer mit BIN-Mustern und Prüfziffer European debit card number with BIN patterns and checksum validation |
| Social Security Number (SSN) Social Security Number (SSN) | Hoch High | US-Sozialversicherungsnummer mit typischen Bindestrich- oder neunstelligen Mustern U.S. Social Security number with typical hyphenated or nine-digit patterns |
| U.S. Individual Taxpayer Identification Number U.S. Individual Taxpayer Identification Number | Mittel Medium | Steuer-ID mit Präfix 9 und formatiertem numerischem Muster Tax ID with prefix 9 and formatted numeric pattern |
| U.S. Bank Account Number U.S. Bank Account Number | Mittel Medium | Bankkontomuster mit Finanzkontext und optionaler Routing-Kombination Bank account pattern with financial context and optional routing combination |
| ABA Routing Number ABA Routing Number | Hoch High | Neunstellige ABA-Routingnummer mit Prüfsummenlogik Nine-digit ABA routing number with checksum logic |
| International Banking Account Number (IBAN) International Banking Account Number (IBAN) | Hoch High | Ländercode, Prüfziffer und länderspezifische IBAN-Struktur Country code, checksum, and country-specific IBAN structure |
| SWIFT Code SWIFT Code | Mittel Medium | BIC-Format mit Bank-, Länder- und Standortsegmenten BIC format with bank, country, and location segments |
| EU National ID Card Number EU National ID Card Number | Mittel Medium | EU-weite Muster für nationale Personalausweisnummern EU-wide patterns for national identity card numbers |
| German ID Card Number German ID Card Number | Hoch High | Deutsche Personalausweisnummer mit alphanumerischer Struktur und Kontext German ID card number with alphanumeric structure and context |
| German Passport Number German Passport Number | Mittel Medium | Deutsche Reisepassnummer mit formatierter Folge und Dokumentbezug German passport number with formatted sequence and document context |
| German Tax Identification Number German Tax Identification Number | Hoch High | Elfstellige deutsche Steuer-ID mit Prüfregeln Eleven-digit German tax ID with validation rules |
| German Driver License Number German Driver License Number | Mittel Medium | Deutsche Führerscheinnummer mit nationalem Kontext German driver license number with national context |
| German Value Added Tax Number German Value Added Tax Number | Hoch High | DE-Präfix plus Umsatzsteuer-ID-Muster DE prefix plus VAT identifier pattern |
| German Bank Account Number German Bank Account Number | Mittel Medium | Historische deutsche Kontonummer mit Bankkontext Legacy German bank account number with banking context |
| EU Social Security Number EU Social Security Number | Mittel Medium | Generische EU-Muster für Sozialversicherungsnummern Generic EU patterns for social security numbers |
| EU Passport Number EU Passport Number | Mittel Medium | Länderspezifische Reisepassmuster innerhalb der EU Country-specific passport patterns within the EU |
| EU Driver License Number EU Driver License Number | Mittel Medium | EU-Führerscheinnummern mit nationalen Varianten EU driver license numbers with national variants |
| EU Tax Identification Number EU Tax Identification Number | Mittel Medium | Steueridentifikationsmuster für EU-Mitgliedstaaten Tax identification patterns for EU member states |
| UK National Insurance Number UK National Insurance Number | Hoch High | UK NINO mit zwei Buchstaben, sechs Ziffern und optionalem Suffix UK NINO with two letters, six digits, and optional suffix |
| UK NHS Number UK NHS Number | Hoch High | Zehnstellige NHS-Nummer mit Prüflogik Ten-digit NHS number with validation logic |
| UK Passport Number UK Passport Number | Mittel Medium | Britische Reisepassnummer im Standardformat UK passport number in standard format |
| UK Driver License Number UK Driver License Number | Mittel Medium | Führerscheinnummer mit Namens- und Datumssegmenten Driver license number with name and date segments |
| Canada Social Insurance Number Canada Social Insurance Number | Hoch High | Neunstellige SIN mit Prüfziffer und Kontextwörtern Nine-digit SIN with checksum and context words |
| Canada Passport Number Canada Passport Number | Mittel Medium | Kanadische Reisepassnummer mit Dokumentkontext Canadian passport number with document context |
| Canada Health Service Number Canada Health Service Number | Mittel Medium | Provinzabhängige Gesundheitsnummern mit Länderbezug Province-dependent health numbers with country context |
| Australia Tax File Number Australia Tax File Number | Hoch High | Acht- oder neunstellige TFN mit Prüflogik Eight- or nine-digit TFN with checksum logic |
| Australia Business Number Australia Business Number | Hoch High | Elfstellige ABN mit Validierungsalgorithmus Eleven-digit ABN with validation algorithm |
| Australia Medicare Number Australia Medicare Number | Hoch High | Medicare-Muster mit Familien- und Referenzziffern Medicare pattern with family and reference digits |
| Australia Passport Number Australia Passport Number | Mittel Medium | Australische Reisepassnummer im alphanumerischen Muster Australian passport number in alphanumeric pattern |
| Australia Driver License Number Australia Driver License Number | Mittel Medium | Bundesstaatsspezifische Führerscheinnummern State-specific driver license numbers |
| Japan Social Insurance Number Japan Social Insurance Number | Mittel Medium | Japanische Sozialversicherungsnummern mit Kontextbegriffen Japanese social insurance numbers with contextual terms |
| Japan My Number Japan My Number | Hoch High | Zwölfstellige Individual Number mit nationalem Kontext Twelve-digit individual number with national context |
| Japan Passport Number Japan Passport Number | Mittel Medium | Japanische Reisepassnummer mit Dokumentbegriffen Japanese passport number with document keywords |
| France National ID Card Number France National ID Card Number | Mittel Medium | Französische Ausweisnummer mit Länderkontext French ID card number with country context |
| France INSEE Number France INSEE Number | Hoch High | Französische Sozialversicherungs-/INSEE-Nummer mit Prüfschema French social security/INSEE number with validation scheme |
| Spain DNI Number Spain DNI Number | Hoch High | Spanische DNI/NIE-Nummer mit Buchstabenvalidierung Spanish DNI/NIE number with letter validation |
| Italy Fiscal Code Italy Fiscal Code | Hoch High | Codice fiscale mit Namens-, Datums- und Ortslogik Codice fiscale with name, date, and locality logic |
| Netherlands Citizen Service Number Netherlands Citizen Service Number | Hoch High | BSN mit Elfproef-Prüfung BSN with eleven-test validation |
| Belgium National Number Belgium National Number | Hoch High | Belgische Register- oder Nationalnummer mit Prüflogik Belgian register or national number with validation logic |
| Denmark CPR Number Denmark CPR Number | Mittel Medium | Dänische Personenkennzahl im DDMMYY-Format Danish personal number in DDMMYY format |
| Sweden Personal Identity Number Sweden Personal Identity Number | Hoch High | Schwedische Personnummer mit Luhn-ähnlicher Kontrolle Swedish personal identity number with Luhn-like validation |
| Norway National ID Number Norway National ID Number | Hoch High | Norwegische Fødselsnummer mit Kontrollziffern Norwegian fødselsnummer with check digits |
| IP Address IP Address | Niedrig Low | IPv4- oder IPv6-Muster mit optionalem Netzwerk-Kontext IPv4 or IPv6 pattern with optional network context |
| Azure Storage Account Key Azure Storage Account Key | Hoch High | Base64-artiger Schlüssel mit Kontext wie AccountKey oder DefaultEndpointsProtocol Base64-like key with context such as AccountKey or DefaultEndpointsProtocol |
| Azure Cosmos DB Auth Key Azure Cosmos DB Auth Key | Hoch High | AuthKey-Muster mit Cosmos- oder DocumentDB-Kontext AuthKey pattern with Cosmos or DocumentDB context |
| Azure SQL Connection String Azure SQL Connection String | Hoch High | Connection String mit Server-, Database- und User-ID-Segmenten Connection string with Server, Database, and User ID segments |
| Azure IoT Connection String Azure IoT Connection String | Hoch High | HostName, DeviceId und SharedAccessKey in einer IoT-Verbindungszeichenfolge HostName, DeviceId, and SharedAccessKey in an IoT connection string |
| Azure Service Bus Connection String Azure Service Bus Connection String | Hoch High | Endpoint, SharedAccessKeyName und SharedAccessKey im Service-Bus-Format Endpoint, SharedAccessKeyName, and SharedAccessKey in Service Bus format |
| Azure Redis Cache Connection String Azure Redis Cache Connection String | Mittel Medium | Redis-Endpunkt mit Kennwort- oder Schlüsselkontext Redis endpoint with password or key context |
| Azure Databricks Access Token Azure Databricks Access Token | Hoch High | Persönlicher Zugriffstoken mit dapi-Präfix oder URL-Kontext Personal access token with dapi prefix or workspace URL context |
| Azure AD Client Secret Azure AD Client Secret | Hoch High | Geheime App-Anmeldeinformationen mit Secret- oder Client-Kontext Secret application credential with secret or client context |
| All Credential Types All Credential Types | Mittel Medium | Kombination aus Benutzername-Kennwort, API-Schlüsseln und Zugriffstoken Combination of username-password credentials, API keys, and access tokens |
| Password Password | Niedrig Low | Passwortmuster nur in Verbindung mit Kontextbegriffen wie pwd oder pass Password pattern only when accompanied by context terms like pwd or pass |
| OAuth Access Token OAuth Access Token | Mittel Medium | Bearertoken oder JWT-ähnliche Segmente mit Autorisierungskontext Bearer token or JWT-like segments with authorization context |
| AWS Access Key AWS Access Key | Hoch High | AKIA- oder ASIA-Präfix mit Cloud-Kontext AKIA or ASIA prefix with cloud context |
| Google API Key Google API Key | Mittel Medium | AIza-Präfix mit API-Schlüsselkontext AIza prefix with API key context |
| Private Key Private Key | Hoch High | PEM-Header wie BEGIN PRIVATE KEY oder RSA PRIVATE KEY PEM header such as BEGIN PRIVATE KEY or RSA PRIVATE KEY |
| Drug Enforcement Agency (DEA) Number Drug Enforcement Agency (DEA) Number | Hoch High | US-DEA-Registrierungsnummer mit Buchstaben- und Ziffernfolge U.S. DEA registration number with letter and digit sequence |
| National Provider Identifier (NPI) National Provider Identifier (NPI) | Hoch High | Zehnstellige NPI mit Gesundheitskontext Ten-digit NPI with healthcare context |
Custom SITs Custom SITs
Benutzerdefinierte SITs werden benötigt, wenn unternehmensinterne Kennungen, Projektnamen, Formulare oder proprietäre Geheimnisse erkannt werden sollen. Purview unterstützt dazu reguläre Ausdrücke, Schlüsselwörter, Wörterbücher, EDM und trainierbare Klassifizierer. Custom SITs are required when you need to detect internal identifiers, project names, forms, or proprietary secrets. Purview supports regular expressions, keywords, dictionaries, exact data match, and trainable classifiers for this purpose.
| Methode Method | Wann geeignet Best fit | Wichtige Details Key details |
|---|---|---|
| Keyword-Liste Keyword list | Wenn feste Begriffe oder Abkürzungen gefunden werden sollen When fixed terms or abbreviations must be found | Einfach, aber kontextanfällig; oft mit Regex kombinieren Simple but context-sensitive; often combined with regex |
| Regulärer Ausdruck Regular expression | Bei strukturierten IDs, Ticketnummern oder Formularfeldern For structured IDs, ticket numbers, or form fields | Grenzen, Prüfziffern und Wortgrenzen sauber definieren Define boundaries, checksums, and word boundaries carefully |
| Wörterbuch Dictionary | Für große Listen zulässiger oder verbotener Werte For large lists of allowed or prohibited values | Geeignet für Projektcodes, Produktnamen, Mandantenlisten Useful for project codes, product names, tenant lists |
| Exact Data Match (EDM) Exact Data Match (EDM) | Wenn echte Datensätze wie Kunden- oder Personalstämme vorliegen When actual datasets such as customer or HR masters exist | Gehashte Referenzdaten reduzieren Fehlalarme und erkennen echte Datensätze Hashed reference data reduces false positives and detects real records |
| Trainable Classifier Trainable classifier | Für inhaltliche Kategorien wie Verträge, HR oder Quellcode For semantic categories such as contracts, HR, or source code | Benötigt positives und negatives Training sowie Review Requires positive and negative training plus review |
| Mehrfachbeweis Multi-evidence pattern | Wenn mehrere Belege gemeinsam einen Treffer ergeben sollen When multiple pieces of evidence must jointly produce a hit | Mehrere Supporting Elements und Confidence Levels kombinieren Combine multiple supporting elements and confidence levels |
Ermitteln Sie, welche Felder, Texte oder Metadaten einzigartig sind. Identify which fields, texts, or metadata are unique.
Kontext reduziert Fehlalarme und erhöht den Confidence Level. Context reduces false positives and increases confidence.
Nutzen Sie positive und negative Beispiele aus realen Arbeitsabläufen. Use positive and negative examples from real workflows.
Starten Sie im Audit-Modus und beobachten Sie Trefferbild und Ausnahmen. Start in audit mode and observe match quality and exceptions.
Besitzer, Änderungsprozess und Zweck der SIT müssen nachvollziehbar sein. Owners, change process, and purpose of the SIT must be traceable.
Trainable Classifiers Trainable classifiers
Trainable Classifiers erkennen semantische Muster statt reiner Zeichensequenzen. Sie eignen sich für Dokumenttypen, Gesprächskontext oder Themenfelder, bei denen starre Regex-Regeln nicht ausreichen. Trainable classifiers detect semantic patterns instead of simple character sequences. They are suitable for document types, conversational context, or subject areas where rigid regex rules are insufficient.
| Classifier Classifier | Typische Signale Typical signals | Typischer Einsatz Typical use |
|---|---|---|
| Financial Financial | Bilanzen, Zahlungsbegriffe, Kontokontext Financial statements, payment terms, account context | Finanzdaten in Mails und Dokumenten erkennen Detect finance content in emails and documents |
| Legal Legal | Vertragsstruktur, juristische Begriffe, Klauseln Contract structure, legal terms, clauses | Verträge und juristische Kommunikation klassifizieren Classify contracts and legal communication |
| Healthcare Healthcare | Diagnosen, Behandlungsbegriffe, Patientenkontext Diagnoses, treatment terms, patient context | Gesundheitsdaten absichern Protect healthcare data |
| HR HR | Bewerbung, Vergütung, Personalakte, Leistungsbewertung Recruitment, compensation, personnel file, performance review | Personalprozesse und HR-Dokumente schützen Protect HR processes and documents |
| IP IP | Produktdesign, Forschung, Erfindung, Prototyp Product design, research, invention, prototype | Geistiges Eigentum und F&E-Inhalte markieren Label IP and R&D content |
| IT IT | Architektur, Netzwerk, Build, Skript, Konfiguration Architecture, network, build, script, configuration | Technische Artefakte von Fachinhalten trennen Separate technical artifacts from business content |
| Profanity Profanity | Beleidigende oder vulgäre Sprache Offensive or vulgar language | Communication Compliance und Review-Workflows Communication compliance and review workflows |
| Threat Threat | Gewalt- oder Bedrohungssprache Threat or violence language | Meldung kritischer Kommunikationsmuster Escalate critical communication patterns |
| Adult Adult | Sexuell expliziter Kontext Sexually explicit context | Unangemessene Inhalte im Kollaborationstext erkennen Detect inappropriate collaboration content |
| Discrimination Discrimination | Diskriminierende Formulierungen und Stereotype Discriminatory phrases and stereotypes | Mitarbeiterschutz und Review Employee protection and review |
| Targeted harassment Targeted harassment | Wiederholte Angriffe gegen eine Person oder Gruppe Repeated attacks against a person or group | Risikoarme Früherkennung in Teams oder Exchange Low-noise early detection in Teams or Exchange |
| Custom trainable Custom trainable | Organisationsspezifische Positiv- und Negativbeispiele Organization-specific positive and negative examples | Eigene Kategorien wie Deal Room, Source Code oder Tender Own categories such as deal room, source code, or tender |
DLP Policy Creation DLP policy creation
Eine belastbare DLP-Richtlinie startet mit sauberem Scoping: Welche Benutzer, Speicherorte, Apps und Datentypen sollen abgedeckt sein? Danach folgen Bedingungen, Ausnahmen, Benutzerinteraktion, Eskalation und Berichtswesen. A robust DLP policy starts with clean scoping: which users, locations, apps, and data types should be covered? Conditions, exceptions, user interaction, escalation, and reporting follow afterward.
| Scope Scope | Beschreibung Description | Beispiel Example |
|---|---|---|
| Exchange Exchange | Kontrolle beim Senden, Weiterleiten oder Antworten Control at send, forward, or reply time | Blockiere externe Empfänger bei Kreditkartendaten Block external recipients when credit card data is detected |
| SharePoint SharePoint | Kontrolle bei Speicherung und Freigabe Control at storage and sharing time | Verhindere Anyone-Links für vertrauliche Dokumente Prevent Anyone links for confidential documents |
| OneDrive OneDrive | Benutzernahe Freigaben und Synchronisierung User-centric sharing and synchronization | Stoppe externes Teilen von HR-Dateien Stop external sharing of HR files |
| Teams Teams | Chats, Kanalbeiträge und Anhänge Chats, channel posts, and attachments | Melde personenbezogene Daten in Chats Report personal data in chats |
| Devices Devices | Endpoint DLP für Benutzeraktionen Endpoint DLP for user actions | Blockiere USB-Kopie von Patientendaten Block USB copy of patient data |
| On-premises On-premises | Scanner oder integrierte Repositories Scanner or integrated repositories | Scanne Fileshares nach Quellcode Scan file shares for source code |
| Power BI Power BI | Datasets, Reports und Exporte Datasets, reports, and exports | Beschränke Export hochsensibler Berichte Restrict export of highly sensitive reports |
| Instances Instances | Spezifische Sites, Benutzer oder Gruppen Specific sites, users, or groups | Nur Finance-Sites und Finanzpostfächer Finance sites and finance mailboxes only |
| Bedingung Condition | Beispiel Example | Bemerkung Note |
|---|---|---|
| Inhalt enthält SIT Content contains SIT | Mindestens eine Kreditkarte mit hohem Vertrauen At least one credit card with high confidence | Der häufigste Auslöser für DLP Most common DLP trigger |
| Sensitivity Label Sensitivity label | Label = Vertraulich – Extern verboten Label = Confidential – external blocked | Gut für konsistente Schutzstufen Good for consistent protection tiers |
| Retention Label Retention label | Records-Label kombiniert mit Freigabeverbot Records label combined with sharing ban | Nützlich bei Governance-Szenarien Useful for governance scenarios |
| Dokumenteigenschaft Document property | Vertragsart = M&A Contract type = M&A | Metadaten können Geschäftsprozesswissen transportieren Metadata can carry business process context |
| Dateityp File type | CSV oder SQL Dump CSV or SQL dump | Oft als Risikomultiplikator genutzt Often used as risk multiplier |
| Benutzer-/Gruppenkontext User or group context | Sender ist Finance, Empfänger extern Sender is finance, recipient is external | Reduziert Lärm in allgemeinen Policies Reduces noise in broad policies |
Wählen Sie nur die Workloads und Pilotgruppen aus, die wirklich benötigt werden. Select only the workloads and pilot groups that are truly needed.
Setzen Sie Count, Confidence und Kontexte so, dass Fehlalarme gering bleiben. Tune count, confidence, and context so false positives remain low.
Policy Tips und Override-Texte müssen verständlich und handlungsorientiert sein. Policy tips and override text must be understandable and action-oriented.
Legen Sie Empfänger, Felder und Schweregrad sauber fest. Define recipients, fields, and severity clearly.
Nur definierte Geschäftsausnahmen sollten mit Begründung erlaubt werden. Only defined business exceptions should be allowed with justification.
Starten Sie mit Audit oder Test with notifications bevor Sie blockieren. Start with audit or test with notifications before blocking.
Nutzen Sie Alert Dashboard und Activity Explorer, um Richtlinien iterativ zu verbessern. Use the alert dashboard and Activity Explorer to improve policies iteratively.
Endpoint DLP Endpoint DLP
Endpoint DLP erweitert Purview auf verwaltete Windows- und macOS-Geräte. Es schützt sensible Dateien unabhängig davon, ob sie lokal, synchronisiert oder in unterstützten Office-Apps geöffnet werden. Endpoint DLP extends Purview to managed Windows and macOS devices. It protects sensitive files regardless of whether they are local, synchronized, or opened in supported Office apps.
| Bereich Area | Details Details | Praxisnutzen Operational value |
|---|---|---|
| Geräte-Onboarding Device onboarding | Defender for Endpoint-Integration oder unterstützter MDE-Sensor Defender for Endpoint integration or supported MDE sensor | Zentrale Inbetriebnahme und Geräteinventar Central onboarding and device inventory |
| Unterstützte Plattformen Supported platforms | Windows 10/11 und unterstützte macOS-Versionen Windows 10/11 and supported macOS versions | Einheitliche Richtlinien auf Endgeräten Consistent policies across endpoints |
| Überwachte Apps Monitored apps | Office-Apps, Browser, unterstützte File Explorer-Aktionen Office apps, browsers, supported file explorer actions | Kontrolle bei realem Benutzerverhalten Control at real user interaction time |
| Unallowed apps Unallowed apps | Nicht freigegebene Browser, Cloud-Sync-Clients oder Tools Unapproved browsers, cloud sync clients, or tools | Gezielte Kontrolle riskanter Exfiltrationspfade Targeted control of risky exfiltration paths |
| Überwachte Aktivität Monitored activity | Was Purview tun kann What Purview can do | Hinweis Note |
|---|---|---|
| Copy to clipboard Copy to clipboard | Warnen oder blockieren Warn or block | Häufig für strukturierte Daten relevant Commonly relevant for structured data |
| Copy to USB Copy to USB | Blockieren, auditieren, Warntext anzeigen Block, audit, display warning | Typischer Schutz gegen Offline-Exfiltration Typical protection against offline exfiltration |
| Copy to network share Copy to network share | Erlauben, warnen oder blockieren Allow, warn, or block | Besonders wichtig bei Legacy-Freigaben Especially important for legacy shares |
| Print Print | Druck blockieren oder begründen lassen Block printing or require justification | Für hochvertrauliche Inhalte üblich Common for highly confidential content |
| Upload to cloud service Upload to cloud service | Nicht genehmigte Cloud-Ziele blockieren Block uploads to unauthorized cloud targets | Gilt für Browser und Sync-Clients Applies to browsers and sync clients |
| Remote desktop transfer Remote desktop transfer | Bestimmte Remote-Sitzungen erkennen und bewerten Recognize and evaluate certain remote sessions | Wichtig für VDI- und Support-Szenarien Important for VDI and support scenarios |
| Access by unallowed apps Access by unallowed apps | Öffnen oder Weiterverarbeiten einschränken Restrict opening or processing | Hilft gegen Schatten-IT-Tools Helps against shadow IT tools |
| Paste to browser Paste to browser | Warnen oder blockieren Warn or block | Relevant für Webformulare und AI-Prompts Relevant for web forms and AI prompts |
| Sensitive file rename Sensitive file rename | Auditieren und kontextualisieren Audit and contextualize | Nützlich für forensische Nachverfolgung Useful for forensic tracking |
| File activities auditing File activities auditing | Umfassende Ereignisse an Activity Explorer senden Send comprehensive events to Activity Explorer | Wesentlich für Tuning und Untersuchung Essential for tuning and investigation |
Policy Tips Policy tips
Policy Tips sind der wichtigste Benutzerdialog in DLP. Sie erklären den Verstoß, zeigen die erwartete Handlung und bieten – falls erlaubt – eine begründete Ausnahme. Policy tips are the most important user dialog in DLP. They explain the violation, show the expected action, and, if allowed, offer a justified exception.
| Kanal Channel | Wie Hinweise erscheinen How tips appear | Best Practice Best practice |
|---|---|---|
| Outlook Outlook | Infobar oder Versandhinweis während des Sendevorgangs Info bar or send-time tip | Kurz, konkret und mit Verweis auf Policy Keep it short, concrete, and reference the policy |
| OWA OWA | Webhinweis im Compose-Fenster Web tip in the compose window | Gleiches Wording wie Desktop nutzen Use the same wording as desktop |
| SharePoint SharePoint | Hinweis auf Datei- oder Freigabeebene Tip at file or sharing level | Benennen Sie, welche Freigabeoption blockiert ist Name which sharing option is blocked |
| OneDrive OneDrive | Warnung beim Teilen oder Link-Erstellen Warning during sharing or link creation | Arbeiten Sie mit Self-Service-Alternativen Provide self-service alternatives |
| Teams Teams | Warnung in Chat oder beim Dateiaustausch Warning in chat or during file exchange | Kurz und ohne juristischen Overhead Short and without legal overload |
| Endpoint DLP Endpoint DLP | Toast, Blockdialog oder Warnfenster Toast, block dialog, or warning window | Begründung und Support-Weg klar nennen Clearly state justification path and support route |
DLP Reports & Activity Explorer DLP reports & Activity Explorer
Berichte und der Activity Explorer sind entscheidend, um Richtlinien zu optimieren, Fehlalarme zu erkennen und echte Datenabflussmuster sichtbar zu machen. Ohne kontinuierliches Tuning wird DLP entweder zu laut oder zu schwach. Reports and Activity Explorer are critical for optimizing policies, identifying false positives, and exposing real exfiltration patterns. Without continuous tuning, DLP becomes either too noisy or too weak.
| Werkzeug Tool | Zweck Purpose | Nutzen im Betrieb Operational use |
|---|---|---|
| DLP Alerts Dashboard DLP alerts dashboard | Offene und eskalierte DLP-Alerts verfolgen Track open and escalated DLP alerts | Priorisierung und Workload-Sicht für Analysten Prioritization and workload view for analysts |
| Activity Explorer Activity Explorer | Rohereignisse zu DLP, Labels, Dateiaktivitäten und Endpunkten Raw events for DLP, labels, file activities, and endpoints | Feinjustierung auf Ereignisebene Fine-tuning at event level |
| Alert Management Alert management | Schweregrad, Status, Zuweisung und Untersuchung Severity, status, assignment, and investigation | SOC-ähnliche Bearbeitung und Nachverfolgung SOC-style handling and traceability |
| Content Explorer Content Explorer | Inhaltslage in Speicherorten sichtbar machen Expose content posture across repositories | Erkennen, wo sensible Inhalte liegen Understand where sensitive content resides |
| False Positive Review False positive review | Treffer ohne tatsächliches Risiko identifizieren Identify hits without actual risk | Regeln anpassen und Ausnahmen präzisieren Adjust rules and refine exceptions |
| Incident Reports Incident reports | Policy-getriebene E-Mail- oder SIEM-Weiterleitung Policy-driven email or SIEM forwarding | Schnelle Eskalation an Datenschutz oder SOC Fast escalation to privacy or SOC |
Prüfen Sie Workload, Benutzer, Ziel und betroffene Regel. Review workload, user, destination, and impacted rule.
Vergleichen Sie SIT-Treffer mit dem tatsächlichen Inhalt und Kontext. Compare SIT hits with actual content and context.
Entscheiden Sie, ob Pattern, Count oder Scope angepasst werden müssen. Decide whether pattern, count, or scope must change.
Nur dokumentierte und genehmigte Ausnahmen einführen. Introduce only documented and approved exceptions.
Überwachen Sie dieselbe Regel erneut im Activity Explorer. Re-observe the same rule in Activity Explorer.
PowerShell PowerShell
| Cmdlet Cmdlet | Zweck Purpose | Hinweis Note |
|---|---|---|
| Connect-IPPSSession Connect-IPPSSession | Verbindung zum Compliance PowerShell-Endpunkt Connect to the compliance PowerShell endpoint | Grundlage für nahezu alle Purview-Cmdlets Foundation for nearly all Purview cmdlets |
| New-DlpCompliancePolicy New-DlpCompliancePolicy | Neue DLP-Policy mit Scoping anlegen Create a new DLP policy with scoping | Mehrere Locations und Modi möglich Multiple locations and modes supported |
| New-DlpComplianceRule New-DlpComplianceRule | Bedingungen, Aktionen und Notifications definieren Define conditions, actions, and notifications | Regeln gehören immer zu einer Policy Rules always belong to a policy |
| Get-DlpCompliancePolicy Get-DlpCompliancePolicy | Vorhandene Policies abfragen Retrieve existing policies | Nützlich für Inventur und Drift-Prüfung Useful for inventory and drift checks |
| Get-DlpComplianceRule Get-DlpComplianceRule | Regeldetails und Priorität prüfen Inspect rule details and priority | Hilfreich bei Troubleshooting Helpful for troubleshooting |
| Get-DlpDetailReport Get-DlpDetailReport | Detailreport zu DLP-Treffern abrufen Retrieve detailed DLP match reports | Gut für Nachweise und Tuning Good for evidence and tuning |
Connect-IPPSSession
New-DlpCompliancePolicy -Name "Finance DLP" `
-ExchangeLocation All `
-SharePointLocation All `
-OneDriveLocation All `
-Mode TestWithNotifications
Get-DlpCompliancePolicy | Select-Object Name, Mode, Workload
New-DlpComplianceRule -Name "Block credit cards external" `
-Policy "Finance DLP" `
-ContentContainsSensitiveInformation @{Name="Credit Card Number"; minCount="1"; minConfidence="85"} `
-AccessScope NotInOrganization `
-BlockAccess $true `
-NotifyUser $true `
-UserNotificationText "Sensitive payment data may not be shared externally." `
-IncidentReportContent IdMatch, DetectedValues, Severity, DocumentDetails
Get-DlpDetailReport -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date)
Purview-Konfigurationen sollten immer zuerst mit Pilotgruppen, Testdaten und klar dokumentierten Ausnahmen validiert werden. Purview configurations should always be validated first with pilot groups, test data, and clearly documented exceptions.