[Was und Warum]
Microsoft Purview Data Loss Prevention (DLP) führt neue Funktionen ein, um Klassifizierungsfehler wie Zeitüberschreitungen, Drosselung und Scanfehler zu erkennen und darauf zu reagieren. Dieses Update unterstützt Administratoren dabei, bisher unerkannte Fehler sichtbar zu machen und angemessenen Schutz anzuwenden, was die Transparenz verbessert und die Compliance-Ergebnisse in Exchange Online stärkt.
Diese Mitteilung ist verbunden mit der Microsoft 365 Roadmap ID 561916.
[Bereitstellungsplan]
- Öffentliche Vorschau: Bereitstellung beginnt Mitte Juni 2026 und soll bis Anfang Juli 2026 abgeschlossen sein.
- Allgemeine Verfügbarkeit (weltweit): Bereitstellung beginnt Mitte August 2026 und soll Ende August 2026 abgeschlossen sein.
[Auswirkungen auf Ihre Organisation]
Betroffene Personen
- Administratoren, die Microsoft Purview DLP-Richtlinien in Exchange Online verwalten
Plattformen/Dienste:
- Exchange Online
- Microsoft Purview Data Loss Prevention
Was wird passieren
- Die Funktion ist standardmäßig deaktiviert und erfordert eine explizite Mandanten-Opt-in-Aktivierung.
- Es gibt keine Änderung am bestehenden Verhalten oder der Nutzererfahrung, sofern die Funktion nicht aktiviert wird.
- Bestehende DLP-Bedingungen werden nach Aktivierung der Opt-in-Option erweitert, um zusätzliche Szenarien von Klassifizierungsfehlern zu erkennen.
- Neue Kategorien von Klassifizierungsfehlern umfassen:
- Zeitüberschreitung
- Drosselung
- andere Scanfehler
- Eine neue Bedingung namens DocumentScanFailures ermöglicht das Ansprechen spezifischer Fehlertypen und muss mit vorhandenen Scanbedingungen kombiniert werden.
- Nach Aktivierung der Funktion kann es zu einer Zunahme von DLP-Warnungen und Regelübereinstimmungen kommen. Dies spiegelt zuvor unerkannte Klassifizierungsfehler wider und weist nicht auf neue Probleme hin.
Aktualisiertes Verhalten der Bedingungen
- Dokument konnte nicht gescannt werden erkennt:
- Fehler bei der Texterkennung
- Klassifizierungsfehler wie Zeitüberschreitungen, Drosselung und andere Scanfehler nach Opt-in
- Dokument wurde nicht vollständig gescannt erkennt:
- Teilweise Textextraktion
- Teilweise Klassifizierungsfehler, bei denen einige Klassifizierer erfolgreich sind und andere fehlschlagen
Neue Bedingung
- DocumentScanFailures ermöglicht die Erkennung spezifischer Fehlertypen einschließlich Zeitüberschreitung, Drosselung und anderer Fehler.
- Diese Bedingung muss mit entweder Dokument konnte nicht gescannt werden oder Dokument wurde nicht vollständig gescannt verwendet werden.
- Sie kann nicht als eigenständige Bedingung verwendet werden.
[Erforderliche Maßnahmen und Empfehlungen]
Zur Vorbereitung auf dieses Update:
- Überprüfen Sie bestehende DLP-Richtlinien, die folgende Bedingungen verwenden:
- Dokument konnte nicht gescannt werden
- Dokument wurde nicht vollständig gescannt
- Planen Sie die Aktivierung der Mandanten-Opt-in-Funktion entsprechend Ihrer Bereitschaft.
- Aktivieren Sie die Funktion mit PowerShell:
- Verbinden Sie sich mit Connect-IPPSSession.
- Führen Sie die folgenden Befehle aus:
$json = \'{\"Classification\":{\"State\":1}}\'
Set-PolicyConfig -DlpErrorHandlingConfig $json
- Warten Sie bis zu einer Stunde, bis die Konfiguration wirksam wird.
- Konfigurieren Sie die Regelpriorität für eine korrekte Auswertung:
- Platzieren Sie inhaltbasierte Regeln oberhalb der Scanfehlerregeln.
- Scanfehler-Bedingungen werten nur Klassifizierer aus, die bereits ausgeführt wurden.
Beispiel für die Reihenfolge der Regeln:
- Erkennung von Kreditkartennummern
- Bedingung: Inhalt enthält Kreditkartennummer
- Aktion: Blockieren
- Erkennung von Kontonummern
- Bedingung: Inhalt enthält Kontonummer
- Aktion: Blockieren
- Erkennung sensibler Daten mit EDM
- Bedingung: Inhalt enthält Typ EDM sensitive information
- Aktion: Blockieren
- Erfassung kompletter Scan-Zeitüberschreitungen
- Bedingung: Dokument konnte nicht gescannt werden und DocumentScanFailures auf Zeitüberschreitung eingestellt
- Aktion: Überwachen (Audit)
- Erfassung partieller Scan-Drosselungen
- Bedingung: Dokument wurde nicht vollständig gescannt und DocumentScanFailures auf Drosselung eingestellt
- Aktion: Überwachen (Audit)
- Erfassung anderer Scanfehler
- Bedingung: Dokument konnte nicht gescannt werden und DocumentScanFailures auf andere Fehler eingestellt
- Aktion: Überwachen (Audit)
- Überwachen Sie die Ergebnisse mit Activity Explorer und DLP-Warnungen, um Muster von Klassifizierungsfehlern zu verstehen.
- Kommunizieren Sie diese Änderung an Sicherheits- und Compliance-Teams.
- Sie können die Opt-in-Einstellung deaktivieren, um zum vorherigen Verhalten zurückzukehren, falls erforderlich.
[Compliance-Überlegungen]
Frage: Wird durch die Änderung die Verarbeitung, Speicherung oder der Zugriff auf bestehende Kundendaten verändert?
Antwort: Ja. Klassifizierungsfehler werden nun sichtbar gemacht und im Rahmen der DLP-Verarbeitung bewertet, was die Interpretation der Scan-Ergebnisse verändert.
Frage: Beeinflusst die Änderung DLP-Richtlinien oder deren Durchsetzung?
Antwort: Ja. Bestehende DLP-Bedingungen werden erweitert und eine neue Bedingung eingeführt, was das Verhalten bei der Regelbewertung beeinflusst.
Frage: Verändert die Änderung, wie Administratoren Compliance-Aktivitäten überwachen, berichten oder nachweisen können?
Antwort: Ja. Administratoren erhalten durch DLP-Warnungen und Activity Explorer eine verbesserte Sichtbarkeit für Klassifizierungsfehler-Szenarien.
Frage: Gibt es eine Kontrollmöglichkeit für Administratoren?
Antwort: Ja. Die Funktion erfordert eine explizite Mandanten-Opt-in-Aktivierung über PowerShell und kann deaktiviert werden.
