Migrieren von Exchange-Richtlinien zur Verhinderung von Datenverlust zu Microsoft Purview-Complianceportal

  • Artikel

Dlp-Richtlinien (Exchange Data Loss Prevention, Verhinderung von Datenverlust) sind veraltet. Die Microsoft Purview-Complianceportal bietet viel umfangreichere DLP-Funktionen, einschließlich Exchange DLP. Sie können den Assistenten für die DLP-Richtlinienmigration verwenden, um Ihre Exchange DLP-Richtlinien in das Complianceportal zu übertragen, wo Sie sie verwalten.

Der Migrations-Assistent liest die Konfiguration Ihrer DLP-Richtlinien in Exchange und erstellt dann doppelte Richtlinien im Complianceportal. Standardmäßig erstellt der Assistent die neuen Versionen der Richtlinien unter Richtlinie im Simulationsmodus ausführen, damit Sie sehen können, welche Auswirkungen sie in Ihrer Umgebung haben würden, ohne die Aktionen zu erzwingen. Sobald Sie bereit sind, vollständig auf die Versionen des Complianceportals umzusteigen, müssen Sie:

  1. Deaktivieren oder löschen Sie die Quellrichtlinie im Exchange Admin Center (EAC).
  2. Bearbeiten Sie die Version des Complianceportals der Richtlinie, und ändern Sie deren status von Richtlinie im Simulationsmodus ausführen inSofortmodus aktivieren.

Warnung

Wenn Sie die Quellrichtlinie im EAC nicht löschen oder deaktivieren, bevor Sie die Compliance Center-Version auf Erzwingen festlegen, versuchen beide Richtliniensätze, Aktionen zu erzwingen, und Sie erhalten doppelte Ereignisse. Dies ist eine nicht unterstützte Konfiguration.

Der Migrations-Assistent migriert nur Exchange DLP-Richtlinien und zugehörige Nachrichtenflussregeln. Eigenständige Exchange-Nachrichtenflussregeln werden nicht migriert.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Migrationsworkflow

Die Migration von DLP-Richtlinien von Exchange in die einheitliche DLP-Verwaltungskonsole im Complianceportal umfasst vier Phasen.

  1. Vorbereitung der Migration
    1. Bewerten und vergleichen Sie Ihre Exchange Online (EXO)-DLP-Richtlinien und die DLP-Richtlinien Ihres Complianceportals auf doppelte Funktionen.
    2. Entscheiden Sie, welche EXO DLP-Richtlinien Sie genau so übernehmen möchten, wie sie sind. Sie können den Assistenten verwenden, um diese zu migrieren.
    3. Entscheiden Sie, welche EXO DLP-Richtlinien Sie im Exchange Admin Center konsolidieren und konsolidieren möchten, und verwenden Sie dann den Migrations-Assistenten, um sie in das Complianceportal zu übertragen.
  2. Durchführen der Migration – Verwenden des Assistenten
  3. Testen und Überprüfen – Untersuchen der Ergebnisse
  4. Aktivieren der migrierten Richtlinien

Bevor Sie beginnen

SKU/Abonnements und Lizenzierung

Bevor Sie mit der Verwendung von DLP-Richtlinien beginnen, bestätigen Sie Ihr Microsoft 365-Abonnement und alle Add-Ons.

Informationen zur Lizenzierung finden Sie unter Microsoft 365, Office 365, Enterprise Mobility + Security und Windows 11 Subscriptions for Enterprises.

Berechtigungen

Das Konto, das Sie zum Ausführen des Migrations-Assistenten verwenden, muss Sowohl auf die DLP-Seite der Exchange Admin-Konsole als auch auf die Einheitliche DLP-Konsole im Complianceportal zugreifen können.

Vorbereitung der Migration

  1. Wenn Sie mit DLP, der DLP-Konsole des Complianceportals oder der Exchange Admin Center-DLP-Konsole nicht vertraut sind, sollten Sie sich vor dem Versuch einer Richtlinienmigration vertraut machen.
    1. richtlinien zur verhinderung von datenverlust (data loss prevention, DLP) Exchange Online
    2. Informationen zu Endpunkt-DLP
    3. Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust
  2. Evaluieren Sie Ihre Richtlinien für Das Exchange-DLP- und Complianceportal, indem Sie die folgenden Fragen stellen:
Frage Aktion Migrationsverfahren
Ist die Richtlinie noch erforderlich? Andernfalls löschen oder deaktivieren nicht migrieren
Überschneidet sie sich mit anderen DLP-Richtlinien im Exchange- oder Complianceportal? Wenn ja, können Sie die überlappenden Richtlinien konsolidieren? - Wenn sie sich mit einer anderen Exchange-Richtlinie überschneidet, erstellen Sie die konsolidierte DLP-Richtlinie manuell im Exchange Admin Center, und verwenden Sie dann den Migrations-Assistenten.
- Wenn sie sich mit einer vorhandenen Konformitätsportalrichtlinie überschneidet, können Sie die vorhandene Konformitätsportalrichtlinie so ändern, dass sie mit der Exchange-Version übereinstimmt. Migrieren Sie nicht die Exchange-Version.
Ist die Exchange DLP-Richtlinie eng gefasst und weist klar definierte Bedingungen, Aktionen, Einschlüsse und Ausschlüsse auf? Wenn ja, empfiehlt es sich, mit dem Assistenten zu migrieren. Notieren Sie sich die Richtlinie, damit Sie später noch einmal löschen möchten. Migrieren mit dem Assistenten

Migration

Nachdem Sie alle DLP-Richtlinien im Exchange- und Complianceportal auf Notwendigkeit und Kompatibilität ausgewertet haben, können Sie den Migrations-Assistenten verwenden.

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wenn Exchange DLP-Richtlinien migriert werden können, wird oben auf der Seite ein Banner angezeigt, das Sie darüber informiert.

  3. Wählen Sie im Banner Richtlinien migrieren aus, um den Migrations-Assistenten zu öffnen. Alle Exchange DLP-Richtlinien sind aufgeführt. Zuvor migrierte Richtlinien können nicht ausgewählt werden.

  4. Wählen Sie die Richtlinien aus, die Sie migrieren möchten. Sie können sie einzeln oder in Gruppen mithilfe eines stufenweisen Ansatzes oder alle gleichzeitig migrieren. Wählen Sie Weiter aus.

  5. Überprüfen Sie den Flyoutbereich auf Warnungen oder Meldungen. Beheben Sie alle Probleme, bevor Sie fortfahren.

  6. Wählen Sie den Modus aus, in dem die neue Konformitätsportalrichtlinie erstellt werden soll, aktivieren Sie sie sofort, führen Sie die Richtlinie im Simulationsmodus aus, oder lassen Sie sie aus. Der Standardwert ist "Richtlinie im Simulationsmodus ausführen". Wählen Sie Weiter aus.

  7. Sie können weitere Richtlinien erstellen, die auf den Exchange DLP-Richtlinien für andere einheitliche DLP-Standorte basieren. Dies führt zu einer neuen einheitlichen DLP-Richtlinie für die migrierte Exchange-Richtlinie und einer neuen vereinheitlichten DLP-Richtlinie für alle anderen Standorte, die Sie hier auswählen.

Wichtig

Alle Exchange DLP-Richtlinienbedingungen und -Aktionen, die von anderen DLP-Speicherorten wie Geräten, SharePoint, OneDrive, Lokal, MCAS oder Teams-Chat- und -Kanalnachrichten nicht unterstützt werden, werden aus der zusätzlichen Richtlinie gelöscht. Außerdem gibt es Vorarbeiten, die für die anderen Standorte ausgeführt werden müssen. Siehe:

  1. Überprüfen Sie die Sitzungseinstellungen des Migrations-Assistenten. Wählen Sie Weiter aus.
  2. Überprüfen Sie den Migrationsbericht. Achten Sie auf Fehler im Zusammenhang mit Exchange-Nachrichtenflussregeln. Sie können sie beheben und die zugehörigen Richtlinien erneut migrieren.

Die migrierten Richtlinien werden nun in der Liste der DLP-Richtlinien in der DLP-Konsole des Complianceportals angezeigt.

Häufige Fehler und Risikominderung

Fehlermeldung Grund Entschärfung/Empfohlene Schritte
In Szenarios Dlpist bereits eine Konformitätsrichtlinie mit dem Namen <Name of the policy> vorhanden. Es ist wahrscheinlich, dass diese Richtlinienmigration früher durchgeführt und dann in derselben Sitzung erneut ausgeführt wurde. Aktualisieren Sie die Sitzung, um die Liste der für die Migration verfügbaren Richtlinien zu aktualisieren. Alle zuvor migrierten Richtlinien sollten den Already migrated Zustand aufweisen.
In Szenarios Holdist bereits eine Konformitätsrichtlinie mit dem Namen <Name of the policy> vorhanden. Eine Aufbewahrungsrichtlinie mit demselben Namen ist im selben Mandanten vorhanden. – Benennen Sie die DLP-Richtlinie in EAC in einen anderen Namen um.
– Wiederholen Sie die Migration für die betroffene Richtlinie.
DLP-group@contoso.com kann nicht als Wert für die Shared By Bedingung verwendet werden, da es sich um eine Verteilergruppe oder E-Mail-aktivierte Sicherheitsgruppe handelt. Verwenden Sie Shared by Member of das Prädikat, um Aktivitäten von Mitgliedern bestimmter Gruppen zu erkennen. Transportregeln lassen die Verwendung von Gruppen in der sender is Bedingung zu, aber unified DLP lässt dies nicht zu. Aktualisieren Sie die Transportregel, um alle Gruppen-E-Mail-Adressen aus der sender is Bedingung zu entfernen, und fügen Sie die Gruppe bei Bedarf der sender is a member of Bedingung hinzu. Wiederholen Sie die Migration für die betroffene Richtlinie.
Der Empfänger DLP-group@contoso.comkonnte nicht gefunden werden. Wenn sie neu erstellt wurde, wiederholen Sie den Vorgang nach einiger Zeit. Wenn gelöscht oder abgelaufen, setzen Sie es mit gültigen Werten zurück, und versuchen Sie es erneut. Es ist wahrscheinlich, dass die in sender is a member of oder recipient is a member of der Bedingung verwendete Gruppenadresse abgelaufen oder ungültig ist. – Entfernen/ersetzen Sie alle ungültigen Gruppen-E-Mail-Adressen in der Transportregel im Exchange Admin Center.
– Wiederholen Sie die Migration für die betroffene Richtlinie.
Der im FromMemberOf Prädikat angegebene Wert muss eine E-Mail-aktivierte Sicherheitsgruppe sein. Transportregeln ermöglichen die Verwendung einzelner Benutzer in der sender is a member of Bedingung. Die einheitliche DLP lässt dies jedoch nicht zu. – Aktualisieren Sie die Transportregel, um alle E-Mail-Adressen einzelner Benutzer aus der sender is a member of Bedingung zu entfernen und die Benutzer bei Bedarf der sender is Bedingung hinzuzufügen.
– Wiederholen Sie die Migration für die betroffene Richtlinie.
Der im SentToMemberOf Prädikat angegebene Wert muss eine E-Mail-aktivierte Sicherheitsgruppe sein. Transportregeln ermöglichen die Verwendung einzelner Benutzer unter der recipient is a member of Bedingung, aber einheitliches DLP lässt dies nicht zu. – Aktualisieren Sie die Transportregel, um alle E-Mail-Adressen einzelner Benutzer aus der recipient is a member of Bedingung zu entfernen und die Benutzer bei Bedarf der recipient is Bedingung hinzuzufügen.
– Wiederholen Sie die Migration für die betroffene Richtlinie.
Die Verwendung des <Name of condition> Parameters wird nur für Exchange unterstützt. Entfernen Sie diesen Parameter, oder aktivieren Sie nur den Exchange-Speicherort. Es ist wahrscheinlich, dass eine andere Richtlinie mit demselben Namen im Complianceportal mit anderen Speicherorten wie SPO/ODB/Teams vorhanden ist, für die die erwähnte Bedingung nicht unterstützt wird. Benennen Sie die DLP-Richtlinie im Exchange Admin Center um, und wiederholen Sie die Migration.

Testen und Überprüfen

Testen und überprüfen Sie Ihre Richtlinien.

  1. Befolgen Sie die Verfahren unter Erste Schritte mit dem Simulationsmodus und Testen einer DLP-Richtlinie .
  2. Überprüfen Sie die von der Richtlinie erstellten Ereignisse im simulaiton-Modus Dashboard für die Richtlinie und im Aktivitäts-Explorer.

Überprüfen der Richtlinienübereinstimmungen zwischen Exchange Admin Center DLP und Microsoft Purview Unified DLP

Um sicherzustellen, dass sich die migrierten Richtlinien wie erwartet verhalten, können Sie die Berichte aus beiden Admin Centern exportieren und einen Vergleich der Richtlinienvergleiche durchführen.

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Exportieren Sie den EAC-DLP-Bericht. Sie können dieses Cmdlet kopieren und die entsprechenden Werte einfügen:

    Get-MailDetailDlpPolicyReport -StartDate <dd/mm/yyyy -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, MessageId, DlpPolicy, TransportRule -Unique | Export-CSV <"C:\path\filename.csv">

  3. Exportieren Sie den einheitlichen DLP-Bericht. Sie können dieses Cmdlet kopieren und die entsprechenden Werte einfügen:

    Get-DlpDetailReport -StartDate <dd/mm/yyyy> -EndDate <dd/mm/yyyy> -PageSize 5000 | select Date, Location, DlpCompliancePolicy, DlpComplianceRule -Unique | Export-CSV <"C:\path\filename.csv">

Aktivieren Der migrierten Richtlinien

Sobald Sie mit der Funktionsweise Ihrer migrierten Richtlinien zufrieden sind, können Sie sie auf Erzwingen festlegen.

  1. Öffnen Sie die DLP-Konsole exchange Admin Center.
  2. Deaktivieren oder löschen Sie die Quellrichtlinie.
  3. Öffnen Sie die Microsoft Purview-Complianceportal DLP-Konsole, und wählen Sie die Richtlinie aus, die Sie zum Bearbeiten aktivieren möchten.
  4. Ändern Sie die status in Aktivieren.