Microsoft Purview | Data Loss Prevention – Erweiterte Audit-Daten für übereinstimmende Regeln in Exchange Online

Veröffentlicht am

09

.

06

.

2026

Aktualisiert am

.

.

Lesezeit

3 Minuten

Die Inhalte auf dieser Seite wurden maschinell übersetzt.

< Zurück zum Message Center Archiv
Microsoft Purview DLP für Exchange Online wird die Audit-Daten mit detaillierten übereinstimmenden Bedingungen (z. B. Absender, Empfänger, Anhang, Betreff) anreichern, wenn eine DLP-Regel ausgelöst wird. Diese Verbesserung, die Ende Juni bis Juli 2026 eingeführt wird, erhöht die Transparenz, ohne die Durchsetzung zu ändern oder eine Konfiguration zu erfordern.

[Was und Warum:]

Wir verbessern die Audit-Daten von Microsoft Purview Data Loss Prevention (DLP) für Exchange Online, indem wir angereicherte Details zu den erfüllten Bedingungen hinzufügen, sobald eine DLP-Regel ausgelöst wird. Bisher zeigten Audit-Aufzeichnungen hauptsächlich Übereinstimmungen mit sensiblen Informationstypen (SIT). Mit diesem Update enthalten die Audit-Aufzeichnungen nun alle beitragenden Regelbedingungen, einschließlich nicht-SIT-Bedingungen wie Absender- und Empfängerattribute, Anhangseigenschaften, Schlüsselwörter im Betreff und Nachrichtenmetadaten.

Diese Änderung entspricht den sicherheits- und compliancebezogenen Verpflichtungen von Microsoft für den Unternehmenseinsatz. Sie bietet klarere Einblicke, warum eine DLP-Regel ausgelöst wurde, ohne dass eine manuelle Gegenprüfung von Richtlinienkonfigurationen und Audit-Protokollen erforderlich ist.

Diese Nachricht ist mit der Roadmap-ID 562051 verknüpft.

[Rollout-Zeitplan:]

  • Allgemeine Verfügbarkeit (weltweit): Der Rollout beginnt Ende Juni 2026 und soll bis Ende Juli 2026 abgeschlossen sein.

[Auswirkungen auf Ihre Organisation:]

Wer ist betroffen:

  • Administratoren, die Microsoft Purview DLP-Richtlinien, die auf Exchange Online angewendet sind, verwalten
  • Sicherheits- und Compliance-Teams, die DLP-Warnungen, Audit-Protokolle oder Activity Explorer-Daten überprüfen

Plattformen/Dienste:

  • Microsoft Purview
  • Exchange Online
  • Unified Audit Log
  • Activity Explorer
  • DLP-Warnungen und Benutzerbenachrichtigungen

Was passieren wird:

  • Wenn eine DLP-Regel in Exchange Online auf Inhalt zutrifft, enthalten Audit-Aufzeichnungen angereicherte Daten zu allen erfüllten Bedingungen.
  • Die angereicherten Daten umfassen den Bedingungsnamen, den übereinstimmenden Wert und die Quelle, die die Übereinstimmung verursacht hat.
  • Diese Informationen erscheinen in DLP-Warnungen, im Activity Explorer, im Unified Audit Log und gegebenenfalls in Benutzerbenachrichtigungen.
  • Das Feature ist standardmäßig aktiviert.
  • Es sind keine Konfigurationsänderungen oder Richtlinienaktualisierungen erforderlich.
  • Das Durchsetzungsverhalten der DLP-Regeln bleibt unverändert.

Unterstützte Bedingungen und Beispielausgabe:

Bedingungen für Anhänge

Dateiendung ist → Anhänge Erweiterung: txt — Testing.txt
Dokument oder Anhang ist passwortgeschützt → File.txt — Password Protected
Dokument konnte nicht gescannt werden → File.txt — Other Error
Dokument-Scan wurde nicht abgeschlossen → File.txt — Other Error
Anzahl Anhänge über → 12 — Document1.pdf; Document2.pdf; Document3.pdf; Document4.pdf; Document5.pdf; ...+7 weitere

Bedingungen für Absender

Geteilt von Benutzern → [email protected]
Absenderdomäne ist → contoso.com — [email protected]
Absender-IP-Adresse ist → 192.168.1.100 — [email protected]
Absender-AD-Attribut enthält Wörter → Sales Department — [email protected]

Bedingungen für Empfänger

Empfänger-Domäne ist → fabrikam.com — [email protected]
Geteilt mit Benutzer → [email protected] — USERNAME
Einzigartige Domänenanzahl über → 3 — contoso.com; fabrikam.com; adventureworks.net
Empfänger-AD-Attribut enthält Wörter → Seattle — [email protected]; Portland — [email protected]

Bedingungen für Betreff und Nachrichtentext

Betreff enthält Wörter → Matchedword — Subject: this is Matchedword subject

Bedingungen für Nachrichten

Nachrichtengröße über → 5242880 — Q1 Financial Report with Attachments

Wie der Nachweis der erfüllten Bedingungen aufgebaut ist:

  • Bedinungsname: Die ausgewertete DLP-Regelbedingung (z. B. „Absenderdomäne ist“).
  • Übereinstimmender Wert: Der spezifische Wert, der die Bedingung erfüllte (z. B. „contoso.com“).
  • Quelle: Der Ursprungseintrag, der die Übereinstimmung verursachte (z. B. „[email protected]“).

Wenn mehrere Werte eine Bedingung erfüllen, werden alle beitragenden Quellen aufgelistet. Bei mehr als fünf übereinstimmenden Anhängen werden die ersten fünf angezeigt, gefolgt von einer Anzahl weiterer Übereinstimmungen (z. B. „+7 weitere“).

[Erforderliche Maßnahmen / Empfehlungen:]

Es sind keine Maßnahmen erforderlich. Diese Funktion wird automatisch für alle auf Exchange Online angewendeten DLP-Richtlinien aktiviert.

  • Optional können Sie die angereicherten Daten validieren, indem Sie eine DLP-Regel auslösen.
  • Überprüfen Sie das Ereignis in Activity Explorer unter Data Loss Prevention > Activity Explorer.
  • Prüfen Sie DLP-Warnungen auf dieselben angereicherten Übereinstimmungsdetails.

Hinweis: Die Details zu den erfüllten Bedingungen können bis zu 60 Minuten benötigen, bis sie im Activity Explorer angezeigt werden.

[Compliance-Aspekte:]

Audit-Protokollierungsfunktionen: Audit-Aufzeichnungen enthalten nun zusätzliche Metadaten zu erfüllten Bedingungen bei DLP-Regelauswertungen in Exchange Online.
Administratorüberwachung und Berichterstattung: Administratoren erhalten erweiterte Einblicke in DLP-Regelauslösungen über Activity Explorer, Warnungen und Audit-Protokolle.
Verarbeitung bestehender Kundendaten: Bestehende E-Mail-Metadaten und DLP-Auswertungsergebnisse werden mit detaillierteren Informationen protokolliert; es werden keine neuen Datentypen eingeführt.

Wir sind für Sie da

Haben Sie Fragen oder benötigen Sie Unterstützung? Wir helfen gerne weiter.

Kontakt

Zum originalen Post im Message Center >

© itelio GmbH