Klassifizierungslabels automatisch mit DLP-Regeln auf Drive-Dateien anwenden

Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

DLP in Google Drive und DLP in Google Chat sind für Nutzer der Cloud Identity Premiumversion verfügbar, die auch eine Google Workspace-Lizenz haben. Bei DLP in Drive muss die Lizenz die Drive-Protokollereignisse enthalten.

Als Administrator können Sie Regeln zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwenden, um automatisch Labels auf Drive-Dateien anzuwenden, wenn sensible Inhalte erkannt werden. Die Label- und Datennamen in den hier genannten Beispielen sind keine tatsächlichen Daten, die zum Label Manager oder zu DLP gehören.

Labels in DLP-Regelbedingungen für Drive verwenden

Sie können Klassifizierungslabels in Regelbedingungen verwenden.

Die folgenden Bedingungen werden unterstützt:

  • Prüfen, ob ein Label vorhanden ist
  • Prüfen, ob ein oder mehrere Optionslistenfeldwerte vorhanden sind, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste deaktiviert ist
  • Die oben genannten Bedingungen negieren

Die folgenden Bedingungen werden nicht unterstützt:

  • Prüfen der Werte des Optionslistenfelds, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste aktiviert ist
  • Prüfen der Werte anderer Feldtypen, z. B. „Zahl“, „Datum“, „Text“ oder „Person“

Labels in DLP-Regelaktionen für Drive verwenden

Klassifizierungslabel als automatisch angewendete DLP-Aktion anwenden. Beim Auslösen der DLP-Regel werden Labels Google Drive-Dateien zugewiesen, die die Regelkriterien erfüllen.

Die folgende Regelaktion wird unterstützt:

  • Ein Label und einen Wert für die Optionsliste anwenden, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste deaktiviert ist

Die folgenden Regelaktionen werden nicht unterstützt:

  • Ein Label, aber keinen Feldwert anwenden Sie können jedoch Standardklassifizierungseinstellungen konfigurieren, um ein Label auf neu erstellte Dateien und Dateien anzuwenden, deren Eigentümer sich ändert. Weitere Informationen finden Sie unter Klassifizierungslabels automatisch auf neue Dateien anwenden.
  • Ein Label und ein Optionslistenfeld anwenden, wenn die Einstellung Mehrfachauswahl zulassen für die Optionsliste aktiviert ist
  • Ein Label mit anderen Feldtypen anwenden, z. B. Zahl, Datum, Text oder Person

Hinweis

Klassifizierungslabels verstehen und erstellen

Bevor Sie Klassifizierungslabels mit DLP-Regeln für Drive verwenden können, müssen Sie Folgendes tun:

  1. Machen Sie sich mit dem Zweck und den Funktionen von Klassifizierungslabels vertraut. Weitere Informationen finden Sie unter Erste Schritte als Administrator von Klassifizierungslabels.
  2. Erstellen Sie Labels oder suchen Sie nach vorhandenen Labels, die Sie verwenden möchten.

Labels automatisch mit DLP-Regeln oder der Standardklassifizierung anwenden

Mit DLP-Regeln wenden Sie Labels automatisch an, wenn bestimmte Bedingungen erfüllt sind oder vordefinierte Aktionen erkannt werden. Möchten Sie Labels nur auf neue Dateien anwenden, wenn diese von bestimmten Nutzern erstellt wurden, verwenden Sie Standard-Klassifizierungslabels.

Funktionsweise von Standardklassifizierungslabels

  • Labels werden auf neue Dateien und auf Dateien angewendet, deren Eigentümer sich ändert. Bei der Standardklassifizierung werden Labels nicht rückwirkend auf vorhandene Dateien angewendet, es sei denn, der Dateieigentümer ändert sich.
  • Labels werden basierend auf der Organisationseinheit oder Gruppe des Dateieigentümers angewendet. Bei der Standardklassifizierung werden die Dateiinhalte oder Metadaten nicht nach bestimmten Bedingungen durchsucht.
  • Wenn Nutzer die Berechtigung haben, ein Label zu ändern, können sie es ändern oder entfernen, nachdem es automatisch angewendet wurde.
  • Für die Standardklassifizierung werden nur Labels mit einem Optionslistenfeld unterstützt.
  • Labels für die Standardklassifizierung werden von Labels überschrieben, die mit DLP festgelegt wurden, auch wenn der Wert für die Datenklassifizierung in der Optionsliste höher steht.

Funktionsweise von Labels, die mit DLP-Regeln festgelegt wurden

  • Labels werden auf neue und vorhandene Dateien angewendet.
  • Labels werden basierend auf Bedingungen wie Dateityp, Wortübereinstimmungen und Stringübereinstimmungen angewendet.
  • Sie können kein Label mit einer DLP-Regel anwenden, die ein Label als Bedingung verwendet.
  • Sie können verhindern, dass Nutzer das Label ändern, auch wenn sie die Berechtigung dazu haben. Wenn sie es ändern, wird die Datei von DLP sofort noch einmal gescannt und auf die DLP-Labelkonfiguration zurückgesetzt.
  • Wenn in Ihrer Organisation eine DLP-Regel vorhanden ist, die die externe Freigabe blockiert, können Nutzer außerhalb Ihrer Organisation den Versionsverlauf von Dateien nicht ansehen, auf die jemals eine DLP-Regel angewendet wurde. Diese Bestimmung umfasst DLP-Regeln, die Labels anwenden, aber die externe Freigabe nicht blockieren.
  • Mit DLP-Regeln können Labels mit Optionslistenfeldern angewendet werden, einschließlich Badge-Labels.

Funktionsweise von Labels für die KI-basierte Klassifizierung

  • Labels werden auf neue und vorhandene Dateien angewendet.
  • Für die KI-basierte Klassifizierung werden nur Labels mit einem Optionslistenfeld mit 2 bis 7 Werten unterstützt.
  • Labels werden nach einer Trainingsphase angewendet. Während der Trainingsphase wenden die zuständigen Labelersteller ein Trainingslabel auf mindestens 100 Dateien pro Feldoption an.
  • Labels für die KI-basierte Klassifizierung werden von Labels überschrieben, die mit DLP festgelegt wurden, überschreiben aber Labels für die Standardklassifizierung.

Regelkonflikte lösen

Labelwerte, die mit DLP-Regeln festgelegt wurden, haben Vorrang vor der KI-basierten Klassifizierung und beide haben Vorrang vor der Standardklassifizierung.

Wenn durch zwei oder mehr Regeln derselben Art unterschiedliche Labelwerte auf dieselbe Datei angewendet werden sollen, wird der Wert angewendet, der in der Optionsliste des Labels höher steht. Beispiel: Sie haben ein Label mit einem Feld, das im Label Manager drei Optionen enthält:

  1. Vertraulich
  2. Intern
  3. Öffentlich

Wenn Regel 1 versucht, das Label als Vertraulich festzulegen, und Regel 2 versucht, das Label für dieselbe Datei auf Öffentlich zu setzen, wird Vertraulich (Regel 1) angewendet. Achten Sie darauf, dass die Feldoptionen eines Labels in der gewünschten Reihenfolge der Priorität aufgeführt sind, bevor Sie Regeln einrichten.

DLP-Regel für Drive einrichten, um ein Klassifizierungslabel anzuwenden

Labels sperren

Labels, Felder und Feldoptionen, die mit DLP-Regeln verknüpft sind, sind im Label Manager gesperrt. So lassen sich Änderungen an Labels oder Feldern verhindern, die gegen die Unternehmensrichtlinien verstoßen könnten. Wenn Sie Labels, Felder oder Feldoptionen löschen möchten, entfernen Sie sie aus allen DLP-Regeln.

Folgendes gilt für Änderungen im Label Manager:

  • Umbenennen oder Hinzufügen neuer Felder oder Feldoptionen ist zulässig.
  • Deaktivieren oder Löschen von Labels, Feldern oder Feldoptionen, die in DLP-Regeln verwendet werden, ist nicht zulässig. Administratoren mit der Berechtigung Labels verwalten können sehen, ob ein Label in einer Regel verwendet wird, aber die Regel selbst nur dann, wenn sie die erforderlichen Berechtigungen haben.

Sie können keine DLP-Regeln mit deaktivierten Labels, Feldern oder Feldoptionen erstellen, auch nicht in Entwürfen veröffentlichter Labels.

Globale Änderungen an Google Drive-Labels rückgängig machen

Wenn Sie durch eine DLP-Regel versehentlich ein Label (oder ein Label und Feldwerte) einer großen Anzahl von Dateien zugewiesen haben, können Sie diese Änderung mit DLP rückgängig machen.

Deaktivieren Sie dazu die DLP-Regel, durch die Änderung ausgelöst wurde. Durch die Regel werden das Label und alle Feldwerte automatisch entfernt. Alternativ können Sie die betreffende DLP-Regel bearbeiten und die Aktion Label anwenden entfernen. Dadurch werden auch das Label und die Feldwerte entfernt, die durch die Regel angewendet wurden. Je nach Anzahl der zu aktualisierenden Dokumente kann es einige Minuten, einige Stunden oder länger dauern, bis die Änderung wirksam wird.

Eine Ausnahme hierbei tritt auf, wenn Sie die Option Wählen Sie aus, ob Nutzer Labels und Feldwerte für ihre Dateien ändern dürfen – „Zulassen“ verwenden. Die Labels und Felder, die anhand der DLP-Regeln geändert wurden, werden entfernt, die vom Nutzer geänderten Labels und Feldwerte bleiben jedoch erhalten.

Aktionen in den Drive-Protokollereignissen überprüfen

Im Audit-Log für Google Drive sehen Sie, was sich in einer Datei geändert hat. In der Spalte „Ereignisbeschreibung“ sind die DLP-Aktionen aufgeführt, z. B. DLP-Regel hat Label „Vertrag“ angewendet. Weitere Informationen finden Sie unter Drive-Protokollereignisse.

DLP-Scans dauern länger als erwartet. Was ist da los?

Wenn Sie mit DLP-Regeln Labels anwenden, können Sie automatisch mehrere Dokumente in Google Drive bearbeiten. Dadurch können mehr Dateien betroffen sein als erwartet. Bei Regeln, über die viele Dateien aktualisiert werden, kann die Verarbeitung länger dauern als bei Regeln, die nur wenige Dateien betreffen. Testen Sie eine Regel, die ein Label anwendet, an einer kleinen Stichprobe, bevor Sie sie in großem Umfang anwenden.