denisismagilov - Fotolia

Microsoft Office 365 Datenschutz-Richtlinien mit PowerShell einrichten

Exchange-Administratoren können PowerShell verwenden, um in Microsoft Office 365 Compliance, E-Discovery und Datenschutz-Richtlinien zu verwalten.

Unternehmen fast jeder Größe müssen sich heute mit Regularien befassen, die vorschreiben, wie sie mit den in die E-Mail-Server ein- und ausgehenden Daten umgehen sollen. Schließlich kann man nie wissen, ob jemand in einer E-Mail etwas sendet, was gegen die Unternehmensrichtlinien verstößt. Wenn Sie Microsoft Office 365 verwenden, können Sie die Einhaltung von Unternehmens-Policys erzwingen. Sie können diejenigen Nutzer finden, die gegen die Regeln verstoßen und Sie können sogar Regeln festlegen, die vor Datenverlusten schützen. In diesem Artikel verwenden wir PowerShell auf einem lokalen Computer, um diese Regeln und Suchverfahren einzurichten.

Voranmerkung: In den USA spielt außerdem das Thema E-Discovery eine Rolle. Discovery ist ein förmliches Beweisverfahren im US-amerikanischen Prozessrecht. Rechtsfragen um die Herausgabe von Daten haben sich unter der Bezeichnung Electronic Discovery oder E-Discovery als ein eigenes Rechtsgebiet etabliert.

Verbindung mit Exchange Online

Um die Compliance und Discovery von Office 365 mit PowerShell zu verwalten, brauchen wir ein wenig Vorbereitung. Laden Sie sich zunächst das Azure PowerShell-Modul herunter und installieren Sie es. Verbinden Sie sich anschließend gleichzeitig mit Exchange Online und dem Office 365 Security & Compliance Center. Damit erhalten Sie die vollständige Suite der notwendigen Cmdlets und Funktionen. Verwenden Sie den Code unten, um mit beiden eine Session zu starten und sich mit dem allgemeinen Office 365 PowerShell-Dienst zu verbinden. Auf diese Weise erhalten Sie Zugriff auf Cmdlets, mit denen Sie Benutzer und Berechtigungen verwalten können.

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $session

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $session

Connect-MSOLService -Credential $UserCredential

Führen Sie das Skript aus und geben Sie an der Eingabeaufforderung Ihre Zugangsdaten ein. Anschließend stehen Ihnen alle Services zur Verfügung.

Compliance-Suche

Um das Discovery Management zu starten, betrachten wir in unserer Session die Cmdlets für das Management der Office 365 Compliance:

Get-Command -noun "compliance*"

Mit dem Get-Command Cmdlet können wir alle Cmdlets und Funktionen durchsuchen, die uns in unserer aktuellen Sitzung zur Verfügung stehen. Wenn Sie diesen Befehl aufrufen, sollten Sie eine Liste der Compliance Cmdlets erhalten. Einen Überblick über alle Cmdlets des Compliance-Centers findet man im TechNet. Achten Sie besonders auf die detaillierte Beschreibung der Cmdlets. Diese liefern Details über die erforderlichen Berechtigungen, die man für die Ausführung des Cmdlets braucht.

Wenn nichts erscheint, sollte man die Berechtigungen im Office 365 Compliance Center überprüfen. Berechtigungen können ziemlich komplex sein. Um die Dinge möglichst einfach zu halten, gehen wir im Folgenden davon aus, dass wir Compliance-Administrator sind. Wenn man keine Berechtigung dafür hat, dann müssen möglicherweise andere Administratoren um Hilfe gebeten werden.

$role = Get-MsolRole -RoleName "Compliance Administrator"

$user = Get-MSOlUser -UserPrincipalName "<user>@<tenant>.onmicrosoft.com"

Add-MsolRoleMember -RoleObjectId $role.ObjectId -RoleMemberType User -RoleMemberObjectId $user.ObjectId

Für dieses Beispiel führen wir eine einfache Compliance-Suche in allen unsere Mailboxen durch. Diese simuliert eine laufende Suche zum Auffinden von Mailboxen, die Probleme mit der Einhaltung der Unternehmensrichtlinien haben könnten. Die Suchanfrage können wir immer wieder erneut ausführen und aktualisieren, ohne dass wir das vollständige Suchkommando erneut eingeben müssen. Geben Sie Get-ComplianceSearch ein, um die gespeicherte Suche zu finden und übergeben Sie diese an das Start-ComplianceSearch Cmdlet, um die Ergebnisse zu aktualisieren.

Führen Sie den Code unten aus, um die Suche zu erstellen:

$searchName = "GefährlichesSpielzeug"

New-ComplianceSearch -Name $searchName -ExchangeLocation "All" -ContentMatchQuery 'Subject:"Gefährliches Spielzeug"'

Ich habe zuvor meine Demo-Umgebung eingerichtet, um absichtlich diese Compliance-Suche mit dem Thema auszulösen, das Sie oben im Skript sehen. Dabei werden verdächtige E-Mails mit dem Begriff Gefährliches Spielzeug in der Betreffzeile gesendet. Gefährliches Spielzeug verstößt normalerweise gegen die E-Mail Richtlinien vieler Firmen. Beachten Sie, dass der -contentMatchQuery Parameter KQL-Syntax verwendet, so dass Sie die Abfrage für diesen Parameter schön konstruieren können. Nun, da die Suche konfiguriert wurde, können wir sie ausführen und sie irgendwelche anstößigen E-Mails finden lassen.

Start-ComplianceSearch -Identity $searchName

Verwenden Sie den -AsJob Parameter, wenn Sie glauben, dass die Suche eine Weile dauern wird. Wenn Sie diesen Parameter verwenden, wird die möglicherweise sehr lange laufende Aufgabe in den Hintergrund gelegt. Auch wenn die Aufgabe eine Weile dauert, wird die Sitzung nicht geblockt, während sie läuft. Sobald die Suche einmal erstellt wurde, können Sie diese wiederholt starten und die Ergebnisse mit PowerShell aktualisieren, anstatt das langsamere Web-Interface erneut einzusetzen. Wenn Sie eine große Anzahl von Postfächern in Exchange haben und die Abfrage lange Zeit braucht, können Sie einen Überblick über den Status Ihrer Suche erhalten, indem Sie Get-ComplianceSearch ausführen. In der Spalte Status sehen Sie dann die benötigte Information.

Nur die Suche auszuführen genügt natürlich nicht. Wir möchten auch die Ergebnisse sehen. Dafür müssen wir eine neue Compliance-Suche für die Suchanfrage absetzen, die wir gerade erstellt haben. Wir machen das in zwei Aussagen mit dem folgenden Code, der die Ergebnisse auch in eine Datei exportiert.

New-ComplianceSearchAction -SearchName $searchName –Preview

Get-ComplianceSearchAction -Identity "$searchName_Preview" | Select-Object Results | Export-Csv c:\results.csv –NoTypeInformation

Wenn Sie die Fehlermeldung erhalten, dass der -Preview Parameter für Sie nicht verfügbar ist, dann liegt das wahrscheinlich daran, dass Ihnen in Ihrer Organisation keine Preview-Rolle zugewiesen wurde. Wenden Sie sich in diesem Fall an Ihren Administrator, um diese Rolle zu bekommen.

Regeleinhaltung erzwingen

Nun, da wir gesehen haben, wie man Content-Abfragen für E-Discovery und Compliance laufen lässt, sollten wir auch Lecks und Datenverluste verhindern können. Mit DLP verhindern wir in erster Linie, dass die Nutzer Richtlinien zur Verhinderung von Datenverlust verletzen. Bei der Umsetzung können wir sehr flexibel sein.

Office 365 Data Loss Prevention (DLP) ist ein relativ kompliziertes Thema, wenn Sie sich damit gründlich befassen wollen. Im Microsoft TechNet erfahren Sie mehr über DLP. Wir werden nicht alle Optionen besprechen, die zur Verfügung stehen. Wenn Sie sofort und ohne tiefere Kenntnisse damit beginnen wollen, sollten Sie die Vorlagen nutzen, die Microsoft anbietet. Der folgende Code beginnt mit dem Einsatz von Filtern. Sie werden genutzt, um zu verhindern, dass Mitarbeiter Daten versenden, die in unserem Beispiel gegen die Richtlinien zu Personenbezogenen Informationen (PII-Daten) verstoßen.

New-DLPPolicy -Name "PII-Daten Policy" -Template "Personenbezogenen Informationen (PII-Daten)" -Mode Enforce

Diese Policy wird sofort „aktiv geschaltet“, aber Sie können zunächst auch Verfahren wie Audit verwenden, mit denen sie ausprobieren können, was die Vorlagen „einfangen“. Der Vorteil ist, dass Sie dabei nicht in die Workflows Ihrer Benutzer eindringen müssen, bis Sie sicher sein können, dass die Angestellten so arbeiten, wie Sie es wollen. Wenn man von den Richtlinien zu Personenbezogenen Informationen nicht betroffen ist oder andere Vorlagen benötigt, lassen sich diese im TechNet einsehen.

Mehr zum Thema Microsoft Office 365:

Barracuda: E-Mail-Sicherheitstool für Office 365.

Die Office-365-Planung erfordert eine Kosten- und Anforderungsbewertung.

Office 365: Viren- und Spamschutz richtig konfigurieren.

Microsoft: Neue Sicherheitsfunktionen für Office 365.

Drittanbieter-Tools für das Monitoring von Microsoft Office 365.

Mit dem Modus Enforce (Erzwingen) können Sie diese Regel testen. Dazu versuchen Sie, eine E-Mail mit zehn oder mehr gefälschten Sozialversicherungsnummern zu versenden. Oder Sie verwenden Schlüsselwörter und Phrasen wie die Sozialversicherungsnummer oder SSN zehnmal oder öfter. Wenn das Muster, nach dem die Regel sucht, nur ein bis neunmal vorkommt, dann wird diese Vorlage standardmäßig den Benutzer nur warnen, aber die E-Mail wird ohne weiteres versendet werden. Zehn oder mehr Treffer führen dazu, dass die E-Mail geblockt und eine Mitteilung an den Benutzer gesendet wird, dass seine Nachricht blockiert wurde zusammen mit einem Hinweis, wie dies zu korrigieren ist. Sie können dieses Feature natürlich abschalten ebenso wie Sie die Schwellenwerte verringern oder erhöhen können.

Microsoft empfiehlt, dass zunächst entweder Audit oder AuditAndNotify verwendet werden sollten. Um zu überprüfen, was Sie dabei erwischt haben, können Sie entweder das Exchange-Admin-Portal Online überprüfen. Oder Sie können Get-MailDetailDLPPolicyReport laufen lassen, um eine Trefferliste für die neuen Regeln zu erhalten.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close