[Was und Warum:]
Microsoft Purview Data Loss Prevention (DLP) führt eine benutzerbasierte Aggregation von Warnmeldungen ein, die es ermöglicht, zusammenhängende DLP-Ereignisse, die vom selben Benutzer ausgelöst wurden, zu einer einzigen Warnmeldung zu gruppieren. Diese Verbesserung reduziert Warnmeldelärm, optimiert Untersuchungsabläufe und bietet Sicherheitsteams sowie Compliance-Teams einen reichhaltigeren Kontext.
Diese Nachricht ist mit der Microsoft 365 Roadmap-ID 564765 verknüpft.
Rollout-Zeitplan:
- Allgemeine Verfügbarkeit (weltweit): Wir beginnen mit dem Rollout Mitte August 2026 und rechnen mit Abschluss bis Mitte August 2026.
Auswirkungen auf Ihre Organisation:
Betroffene Personen: Compliance-Administratoren und Sicherheitsadministratoren, die Microsoft Purview DLP verwalten
Plattformen/Dienste:
- Microsoft Purview Compliance-Portal (Web)
- Data Loss Prevention (DLP)
Was wird passieren:
- Es steht eine neue Konfigurationsoption für die Aggregation von Ereignissen in Warnmeldungen zur Verfügung.
- Administratoren können benutzerbasierte Aggregation auswählen und ein Aggregationszeitfenster festlegen.
- Mehrere DLP-Ereignisse, die vom selben Benutzer innerhalb des definierten Zeitfensters ausgelöst werden, werden zu einer einzigen Warnmeldung zusammengefasst.
- Warnmeldungen können Ereignisse enthalten, die unterschiedlichen DLP-Richtlinien entsprechen.
- Die Funktion ist standardmäßig nicht aktiviert und erfordert eine Administrator-Konfiguration.
- Es gibt keine Änderungen an der Durchsetzung der DLP-Richtlinien.
Nach der Aktivierung werden Warnmeldungen nach Benutzer aggregiert, unabhängig davon, welche DLP-Richtlinien innerhalb des definierten Aggregationszeitfensters zutreffen.
Beispiel: Eine einzelne Warnmeldung kann mehrere vom selben Benutzer ausgelöste Ereignisse enthalten, selbst wenn diese verschiedenen DLP-Richtlinien entsprechen.
Die folgenden Beispiele verdeutlichen den Unterschied zwischen aggregierten und nicht aggregierten Warnmeldungen:
Screenshot 1: Aggregierte Warnmeldung — mehrere vom selben Benutzer ausgelöste Ereignisse werden zu einer einzigen Warnmeldung zusammengefasst, einschließlich Ereignissen, die unterschiedlichen DLP-Richtlinien entsprechen:

Screenshot 2: Nicht aggregierte Warnmeldung — jedes Ereignis erzeugt eine separate Warnmeldung, die ein einzelnes Ereignis und die zugehörige Richtlinienübereinstimmung anzeigt:

Erforderliche Maßnahmen/Empfehlungen:
- Überprüfen Sie die neue Einstellung, sobald diese in Ihrer Organisation verfügbar ist.
- Zur Aktivierung:
- Gehen Sie zu Einstellungen > DLP-Einstellungen > Warnungseinstellungen > Ereignisaggregation in Warnmeldungen
- Wählen Sie die benutzerbasierte Aggregation aus
- Konfigurieren Sie das Zeitfenster für die Warnaggregationsdauer
- Wählen Sie Speichern aus
Screenshot 3: Benutzerbasierte Aggregation aktivieren und das Zeitfenster der Warnaggregation in den DLP-Warnungseinstellungen festlegen

- Bewerten Sie, ob die Aggregation zur Warnmeldungseingrenzung und zu Ihren Untersuchungsprozessen passt.
- Kommunizieren Sie diese Änderung an Ihre Sicherheits- oder Compliance-Teams.
- Aktualisieren Sie interne Dokumentationen oder Runbooks, falls Sie auf DLP-Warnmeldungs-Workflows angewiesen sind.
Compliance-Aspekte:
Ändert, wie bestehende Kundendaten verarbeitet, gespeichert oder abgerufen werden: Die Verarbeitung von DLP-Warnmeldedaten erfolgt durch die Aggregation mehrerer Ereignisse in einem einzigen Warnmeldungsobjekt für denselben Benutzer anders.
Ändert DLP-Richtlinien oder deren Durchsetzung: Die Durchsetzung der Richtlinien bleibt unverändert, jedoch wird das Verhalten der Warnmeldungen und die Darstellung der Ereignisse für Administratoren angepasst.
Ändert, wie Administratoren Compliance-Aktivitäten überwachen, berichten oder nachweisen: Die Aggregation von Warnmeldungen verändert, wie Vorfälle in Purview betrachtet, eingestuft und berichtet werden.
Enthält eine Administratorsteuerung: Administratoren können die benutzerbasierte Aggregation aktivieren oder deaktivieren und das Aggregationszeitfenster in den Purview-Einstellungen konfigurieren.
