Klassifizierungslabels automatisch mit DLP-Regeln auf Drive-Dateien anwenden

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

DLP in Google Drive und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Als Administrator können Sie Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwenden, um automatisch Labels auf Drive-Dateien anzuwenden, wenn sensible Inhalte erkannt werden. Die Label- und Datennamen in den hier genannten Beispielen sind keine tatsächlichen Daten, die zum Label Manager oder zu DLP gehören.

Labels in Bedingungen für DLP-Regeln für Google Drive verwenden

Sie können Klassifizierungslabels in Regelbedingungen verwenden.

Die folgenden Bedingungen werden unterstützt:

  • Prüfen, ob ein Label vorhanden ist.
  • Prüfen, ob ein oder mehrere Werte des Optionslistenfelds vorhanden sind, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste deaktiviert ist.
  • Die oben genannten Bedingungen negieren.

Die folgenden Bedingungen werden nicht unterstützt:

  • Prüfen der Werte des Optionslistenfelds, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste aktiviert ist.
  • Prüfen Sie die Werte anderer Feldtypen, z. B. „Zahl“, „Datum“, „Text“ oder „Person“.

Labels in DLP-Regelaktionen für Google Drive verwenden

Klassifizierungslabel als automatisch angewendete DLP-Aktion anwenden. Beim Auslösen der DLP-Regel werden Labels Google Drive-Dateien zugewiesen, die die Regelkriterien als Aktion erfüllen.

Die folgende Regelaktion wird unterstützt:

  • Ein Label und einen Wert für die Optionsliste anwenden, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste deaktiviert ist.

Die folgenden Regelaktionen werden nicht unterstützt:

  • Ein Label anwenden, aber keinen Feldwert. Sie können jedoch Standardklassifizierungseinstellungen konfigurieren, um ein Label auf neu erstellte Dateien und Dateien anzuwenden, deren Eigentümer sich ändert. Weitere Informationen finden Sie unter Klassifizierungslabels automatisch auf neue Dateien anwenden.
  • Ein Label und ein Optionslistenfeld anwenden, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste aktiviert ist.
  • Ein Label mit anderen Feldtypen anwenden, z. B. „Zahl“, „Datum“, „Text“ oder „Person“.

Hinweis

Klassifizierungslabel erstellen und verwenden

Bevor Sie Klassifizierungslabels mit DLP-Regeln für Drive verwenden können, müssen Sie Folgendes tun:

  1. Machen Sie sich mit dem Zweck und den Funktionen von Klassifizierungslabels vertraut. Weitere Informationen finden Sie unter Erste Schritte als Administrator von Klassifizierungslabels.
  2. Erstellen Sie Labels oder prüfen Sie, ob bereits Labels vorhanden sind, die Sie verwenden können.

Labels automatisch mit DLP-Regeln oder Standardklassifizierung anwenden

Mit DLP-Regeln wenden Sie Labels automatisch an, wenn bestimmte Bedingungen erfüllt sind oder vordefinierte Aktionen erkannt werden. Wenn Sie Labels nur auf neue Dateien anwenden möchten, wenn diese von bestimmten Nutzern erstellt wurden, verwenden Sie Standard-Klassifizierungslabels.

Funktionsweise von Standard-Klassifizierungslabels

  • Wendet Labels auf neue Dateien an und wenn sich die Eigentümerschaft einer Datei ändert. Bei der Standardklassifizierung werden Labels nicht rückwirkend auf vorhandene Dateien angewendet, es sei denn, der Dateieigentümer ändert sich.
  • Wendet Labels basierend auf der Organisationseinheit oder Gruppe des Dateieigentümers an. Bei der Standardklassifizierung wird der Dateiinhalt oder die Metadaten nicht nach bestimmten Bedingungen durchsucht.
  • Wenn Nutzer die Berechtigung haben, ein Label zu ändern, können sie es ändern oder entfernen, nachdem es automatisch angewendet wurde.
  • Für die Standardklassifizierung werden nur Labels mit einem Optionslistenfeld unterstützt.
  • Labels für die Standardklassifizierung werden von Labels überschrieben, die mit DLP festgelegt wurden, auch wenn der Wert für die Datenklassifizierung in der Optionsliste höher ist.

Funktionsweise von Labels, die durch DLP-Regeln festgelegt werden

  • Wendet Labels auf neue und vorhandene Dateien an.
  • Weist Labels auf Grundlage von Bedingungen wie Dateityp, Wortübereinstimmungen und String-Übereinstimmungen zu.
  • Sie können kein Label mit einer DLP-Regel anwenden, in der ein Label als Bedingung verwendet wird.
  • Sie können verhindern, dass Nutzer das Label ändern, auch wenn sie die Berechtigung dazu haben. Wenn sie es ändern, wird die Datei von DLP sofort noch einmal gescannt und auf die DLP-Labelkonfiguration zurückgesetzt.
  • Wenn in Ihrer Organisation eine DLP-Regel vorhanden ist, die die externe Freigabe blockiert, können Nutzer außerhalb Ihrer Organisation den Versionsverlauf von Dateien nicht aufrufen, auf die jemals eine DLP-Regel angewendet wurde. Diese Bestimmung umfasst DLP-Regeln, mit denen Labels angewendet werden, die externe Freigabe aber nicht blockiert wird.
  • Mit DLP-Regeln können Labels mit Optionslistenfeldern angewendet werden, einschließlich Badge-Labels.

So funktionieren Labels für die KI-Klassifizierung

  • Wendet Labels auf neue und vorhandene Dateien an.
  • Für die KI-Klassifizierung werden nur Labels mit einem Optionslistenfeld mit 2–7 Werten unterstützt.
  • Wendet Labels nach einem Trainingszeitraum an. Während des Trainingszeitraums wenden die zuständigen Labelanwender ein Trainingslabel auf mindestens 100 Dateien pro Feldoption an.
  • Labels für die KI-basierte Klassifizierung werden von Labels überschrieben, die mit DLP festgelegt wurden, überschreiben aber Labels für die Standardklassifizierung.

Regelkonflikte lösen

Labelwerte, die durch DLP-Regeln festgelegt werden, haben Vorrang vor der KI-basierten Klassifizierung und beide haben Vorrang vor der Standardklassifizierung.

Wenn durch zwei oder mehr Regeln desselben Typs unterschiedliche Labelwerte auf dieselbe Datei angewendet werden sollen, wird der Wert angewendet, der in der Optionsliste des Labels höher steht. Nehmen wir an, Sie haben ein Label mit einem Feld, das im Label Manager drei Optionen enthält:

  1. Vertraulich
  2. Intern
  3. Öffentlich

Wenn Regel 1 versucht, das Label als Vertraulich festzulegen, und Regel 2 versucht, das Label für dieselbe Datei auf Öffentlich zu setzen, wird Vertraulich (Regel 1) angewendet. Achten Sie darauf, dass die Feldoptionen eines Labels in der gewünschten Prioritätsreihenfolge aufgeführt sind, bevor Sie Regeln einrichten.

DLP-Regel für Drive einrichten, um ein Klassifizierungslabel anzuwenden

Labels sperren

Labels, Felder und Feldoptionen, die mit DLP-Regeln verknüpft sind, sind im Label Manager gesperrt. So lassen sich Änderungen an Labels oder Feldern verhindern, die gegen die Unternehmensrichtlinien verstoßen könnten. Wenn Sie Labels, Felder oder Feldoptionen löschen möchten, entfernen Sie sie aus allen DLP-Regeln.

Folgendes gilt für Änderungen im Label Manager:

  • Umbenennen oder Hinzufügen neuer Felder oder Feldoptionen ist zulässig.
  • Deaktivieren oder Löschen von Labels, Feldern oder Feldoptionen, die in DLP-Regeln verwendet werden, ist nicht zulässig. Administratoren mit der Berechtigung Labels verwalten können sehen, ob in einer Regel ein Label verwendet wird. Die Regel selbst sehen sie nur, wenn sie die erforderlichen Berechtigungen haben.

Sie können keine DLP-Regeln mit deaktivierten Labels, Feldern oder Feldoptionen erstellen, auch nicht in Entwürfen veröffentlichter Labels.

Globale Änderungen an Drive-Labels rückgängig machen

Wenn Sie durch eine DLP-Regel versehentlich ein Label (oder ein Label und Feldwerte) einer großen Anzahl von Dateien zugewiesen haben, können Sie diese Änderung mit DLP rückgängig machen.

Deaktivieren Sie dazu die DLP-Regel, durch die Änderung ausgelöst wurde. Dadurch werden das Label und alle Feldwerte automatisch entfernt. Alternativ können Sie die betreffende DLP-Regel bearbeiten und die Aktion Label anwenden entfernen. Damit werden außerdem das Label und die Feldwerte entfernt, die anhand der Regel zugewiesen wurden. Je nach Anzahl der zu aktualisierenden Dokumente kann es einige Minuten, einige Stunden oder länger dauern, bis die Änderung wirksam wird.

Eine Ausnahme hierbei tritt auf, wenn Sie die Option Wählen Sie aus, ob Nutzer Labels und Feldwerte für ihre Dateien ändern dürfen – „Zulassen“ verwenden. Die Labels und Felder, die anhand der DLP-Regeln geändert wurden, werden entfernt, die vom Nutzer geänderten Labels und Feldwerte bleiben jedoch erhalten.

Aktionen in den Drive-Protokollereignissen überprüfen

Im Audit-Log für Google Drive sehen Sie, was sich in einer Datei geändert hat. In der Spalte „Ereignisbeschreibung“ sind die DLP-Aktionen aufgeführt, z. B. DLP-Regel hat Label „Vertrag“ angewendet. Weitere Informationen finden Sie im Hilfeartikel Drive-Protokollereignisse.

DLP-Scans dauern länger als erwartet. Was ist da los?

Wenn Sie mit DLP-Regeln Labels anwenden, können Sie automatisch mehrere Dokumente in Google Drive bearbeiten. Das kann sich auf mehr Dateien als erwartet auswirken. Bei Regeln, über die viele Dateien aktualisiert werden, kann die Verarbeitung länger dauern als bei Regeln, die nur wenige Dateien betreffen. Sie können eine Regel testen. Hierbei wird ein Label zuerst auf eine kleine Auswahl von Dateien angewendet.