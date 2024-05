Microsoft Purview ist eine Lösung für Governance, Risikomanagement und Compliance. Sie unterstützt Organisationen bei der Verwaltung und Sicherung von Daten über verschiedene Plattformen hinweg. Das Tool integriert sich nahtlos in bestehende Microsoft-Dienste wie Microsoft 365, Azure und unterstützt externe Plattformen.

Microsoft Purview kann ebenso lokale Daten von SharePoint-Servern oder Dateifreigaben schützen und wie auch die Daten auf den PCs der Anwender. Die Hauptfunktionen umfassen Datenklassifizierung, Verlustprävention (Data Loss Prevention, DLP), Zugriffssteuerung und die Überwachung von Datenaktivitäten.

Für den Einsatz von Microsoft Purview ist mindestens ein Abonnement mit Microsoft 365 Business Premium notwendig, besser Microsoft 365 E3/E5, da hier alle Funktionen enthalten sind.

Durch die Klassifizierung können sensible Informationen automatisch identifiziert und entsprechend den Compliance-Anforderungen verwaltet werden. Die Verlustprävention schützt vor unbeabsichtigtem oder böswilligem Datenverlust, indem sie Richtlinien durchsetzt, die den Zugriff und die Weitergabe von sensiblen Daten regulieren. Zusätzlich bietet Purview detaillierte Analysen und Berichterstattungsfunktionen, die Einblicke in Datenzugriffe und -aktivitäten geben, was für die Einhaltung von Regularien und internen Richtlinien unerlässlich ist – etwa auch im Hinblick auf die Datenschutz-Grundverordnung.

Abbildung 1: Microsoft Purview bietet DLP für verschiedene Cloud-Dienste. Die Verwaltung erfolgt in der Cloud über ein eigenes Portal

DLP-Richtlinien schützen vor Phishing und Datenabfluss Die Verwaltung von DLP-Richtlinien erfolgt im Microsoft Purview-Portal, das über die Adresse https://purview.microsoft.com erreichbar ist. Hier können Admins Richtlinien erstellen, mit denen es sich verhindern lässt, dass Daten in falsche Hände gelangen. Unternehmen können mit DLP-Richtlinien verhindern, dass interne Anwender versehentlich oder absichtlich heikle Informationen an unberechtigte Benutzer weitergeben. DLP schützt auch vor Phishing. Wenn ein Benutzerkonto kompromittiert wird, kann ein Angreifer durch den DLP-Schutz dennoch keine Daten stehlen, da das System dies verhindert. Die Richtlinien dazu lassen sich im Purview-Portal verwalten. Trifft eine DLP-Richtlinie auf eine Datei zu, schützt das System die Daten, indem der Zugriff des Anwenders blockiert wird, oder er die Datei nicht versenden darf. Neben dem Schutz der Cloud-Daten, lassen sich mit DLP-Richtlinien auch Kopiervorgänge auf USB-Sticks verhindern, oder untersagen, dass Benutzer große Mengen an Daten herunterladen können.

DLP-Richtlinien erstellen Im Purview-Portal findet sich der Bereich Data Loss Prevention auf der linken Seite. Dieser ist nur verfügbar, wenn der Benutzer mindestens die Rolle Compliance Manager hat und eine Lizenz für Purview vorhanden ist (Microsoft 365 Business Premium, E3, E5). Neue Richtlinien lassen sich an dieser Stelle über Policies/Create Policy erstellen. Vorhandene Policies sind bereits an dieser Stelle vorhanden. Abbildung 2: Neue Richtlinien können nach Kategorien in Microsoft Purview angelegt werden. Durch das Erstellen der Richtlinie führt ein Assistent. Hier kann zunächst ausgewählt werden, ob die Richtlinie auf Basis einer Vorlage erstellt werden soll, oder ob eigene Vorgaben gemacht werden sollen. Bei Verwendung der Vorlagen lassen sich zum Beispiel mit Financial alle Finanzdaten schützen. Nach der Auswahl der Kategorie stehen die einzelnen Vorlagen zur Verfügung. Im Anschluss wird noch der Name für die Richtlinie festgelegt und es kann ausgewählt werden, ob die Richtlinie für eine bestimmte Administrative Unit gelten soll, oder alle Benutzer im Abonnement. Administrative Einheiten (Administrative Units, AUs) ermöglichen eine dezentralisierte Verwaltung von Ressourcen in Azure und Microsoft 365 durch die Zuweisung von administrativen Rollen auf einer granularen Ebene. Diese Einheiten sind nützlich in Organisationen mit komplexen Strukturen wie mehreren Abteilungen oder geographisch verteilten Büros. Ein Administrator kann beispielsweise spezifische Kontrollrechte innerhalb einer AU erhalten, um nur Benutzerkonten, Gruppen oder andere Ressourcen innerhalb dieser Einheit zu verwalten. Dies reduziert die Risiken, die mit übermäßigen Berechtigungen verbunden sind, und erleichtert die Einhaltung von Datenschutz- und Sicherheitsrichtlinien.