Verwenden von Kommunikationscomplianceberichten und -überwachungen

Wichtig

Microsoft Purview-Kommunikationscompliance stellt tools bereit, die Organisationen dabei unterstützen, die Einhaltung gesetzlicher Bestimmungen (z. B. SEC oder FINRA) und Verstöße gegen Geschäftsverhalten wie vertrauliche oder vertrauliche Informationen, belästigende oder bedrohliche Sprache und das Teilen von nicht jugendfreien Inhalten zu erkennen. Standardmäßig werden Benutzernamen pseudonymisiert, rollenbasierte Zugriffssteuerungen sind integriert, Ermittler werden von einem Administrator angemeldet, und Überwachungsprotokolle sind vorhanden, um den Datenschutz auf Benutzerebene zu gewährleisten.

Berichte

Hinweis

Wenn Ihre Rolle von einer oder mehreren Administratoreinheiten erfasst wird, werden die Administratoreinheiten derzeit nicht auf Berichte angewendet. Sie können alle Berichte im organization anzeigen.

Der Dashboard Berichte ist der zentrale Ort zum Anzeigen aller Berichte zur Kommunikationscompliance. Zum Anzeigen und Verwalten von Berichten müssen Benutzer der Rollengruppe Communication Compliance Viewers zugewiesen werden.

Berichtswidgets bieten einen schnellen Überblick über Erkenntnisse, die am häufigsten für eine allgemeine Bewertung der status von Kommunikationscomplianceaktivitäten benötigt werden. Die in den Berichtswidgets enthaltenen Informationen können nicht exportiert werden. Detaillierte Berichte enthalten ausführliche Informationen zu bestimmten Kommunikationscompliancebereichen und bieten die Möglichkeit, Informationen während der Überprüfung zu filtern, zu gruppieren, zu sortieren und zu exportieren.

Für den Datumsbereichsfilter werden Datum und Uhrzeit für Ereignisse unter Koordinierte Weltzeit (UTC) aufgeführt. Beim Filtern von Nachrichten werden alle Filter für den Bericht am Startdatum 00:00:00:00 UTC auf das Enddatum 23:59:59 UTC angewendet.

Berichte zur Kommunikationskonformität Dashboard

Die Dashboard Berichte enthält die folgenden Berichtswidgets und Detaillierte Berichtslinks:

Berichtswidgets

  • Letzte Richtlinienüberstimmungen: Zeigt die Anzahl der Übereinstimmungen nach aktiven Richtlinien im Zeitverlauf an.
  • Aufgelöste Elemente nach Richtlinie: Zeigt die Anzahl von Richtlinienüberstimmungswarnungen an, die von Richtlinien im Laufe der Zeit aufgelöst wurden.
  • Richtlinie mit den meisten Übereinstimmungen: Zeigt die Richtlinien und die Anzahl der Übereinstimmungen für einen bestimmten Zeitraum an, wobei für Übereinstimmungen am höchsten bis zum niedrigsten Rang rangiert wird.
  • Benutzer mit der meisten Richtlinien-Übereinstimmung: Zeigt die Benutzer (oder anonymisierte Benutzernamen) und die Anzahl der Richtlinien-Übereinstimmungen für einen bestimmten Zeitraum an.
  • Eskalationen nach Richtlinie: Zeigt die Anzahl der Eskalationen pro Richtlinie über einen bestimmten Zeitraum an.

Detaillierte Berichte

Verwenden Sie die Option Bericht exportieren , um eine .CSV-Datei zu erstellen, die die Berichtsdetails für jeden detaillierten Bericht enthält. Die Option Bericht exportieren unterstützt Dateigrößendownloads von bis zu 3 MB.

  • Richtlinieneinstellungen und status: Bietet einen detaillierten Einblick in die Richtlinienkonfiguration und -einstellungen sowie die allgemeinen status für jede Richtlinie (Übereinstimmungen und Aktionen) für Nachrichten. Enthält Richtlinieninformationen und wie Richtlinien Benutzern und Gruppen, Speicherorten, Überprüfungsprozentsätzen, Prüfern, status zugeordnet werden und wann die Richtlinie zuletzt geändert wurde. Verwenden Sie die Option Exportieren , um eine .CSV-Datei zu erstellen, die die Berichtsdetails enthält.

  • Elemente und Aktionen pro Richtlinie: Überprüfen und exportieren Sie übereinstimmende Elemente und Wartungsaktionen pro Richtlinie. Enthält Richtlinieninformationen und die Zuordnung von Richtlinien zu:

    • Übereinstimmend elemente
    • Eskalierte Elemente
    • Aufgelöste Elemente
    • Als konform gekennzeichnet
    • Als nicht konform gekennzeichnet
    • Als fragwürdig gekennzeichnet
    • Elemente, die ausstehend überprüft werden
    • Benutzerbenachrichtigung
    • Fall erstellt
  • Element und Aktionen pro Standort: Überprüfen und exportieren Sie übereinstimmende Elemente und Wartungsaktionen pro Microsoft 365-Standort. Enthält Informationen dazu, wie Workloadplattformen folgendem zugeordnet sind:

    • Übereinstimmend elemente
    • Eskalierte Elemente
    • Aufgelöste Elemente
    • Als konform gekennzeichnet
    • Als nicht konform gekennzeichnet
    • Als fragwürdig gekennzeichnet
    • Elemente, die ausstehend überprüft werden
    • Benutzerbenachrichtigung
    • Fall erstellt
  • Aktivität nach Benutzer: Überprüfen und exportieren Sie übereinstimmende Elemente und Wartungsaktionen pro Benutzer. Enthält Informationen dazu, wie Benutzer zugeordnet werden:

    • Übereinstimmend elemente
    • Eskalierte Elemente
    • Aufgelöste Elemente
    • Als konform gekennzeichnet
    • Als nicht konform gekennzeichnet
    • Als fragwürdig gekennzeichnet
    • Elemente, die ausstehend überprüft werden
    • Benutzerbenachrichtigung
    • Fall erstellt

Hinweis

Die angezeigten Elemente und Aktionen gelten nur für die Elemente und Aktionen, die während des Datumsbereichs abgeglichen wurden, der im oben genannten Datumsbereichsfilter enthalten ist.

  • Typ vertraulicher Informationen pro Standort (Vorschau): Überprüfen und exportieren Sie Informationen zur Erkennung vertraulicher Informationstypen und der zugehörigen Quellen in Kommunikationscompliancerichtlinien. Enthält die Gesamtsumme und die spezifische Aufschlüsselung der Instanzen des Typs vertraulicher Informationen in den In Ihrem organization konfigurierten Quellen. Die Werte für jede Drittanbieterquelle werden in separaten Spalten in der .CSV-Datei angezeigt. Beispiele sind:

    • Email: In Exchange-E-Mail-Nachrichten erkannte Typen vertraulicher Informationen.
    • Teams: Vertrauliche Informationstypen, die in Microsoft Teams-Kanälen und Chatnachrichten erkannt wurden.
    • Microsoft 365 Copilot und Microsoft Copilot: Vertrauliche Informationstypen, die in Copilot-Interaktionen erkannt wurden.
    • Viva Engage: Typen vertraulicher Informationen, die in Viva Engage Posteingängen, Beiträgen, Chats und Antworten erkannt werden.
    • Drittanbieterquellen: Vertrauliche Informationstypen, die für Aktivitäten erkannt werden, die mit in Ihrem organization konfigurierten Connectors von Drittanbietern verknüpft sind. Um die Aufschlüsselung von Drittanbieterquellen für einen bestimmten vertraulichen Informationstyp im Bericht anzuzeigen, zeigen Sie mit der Maus auf den Wert für den Typ vertraulicher Informationen in der Spalte Drittanbieterquelle.
    • Sonstiges: Typen vertraulicher Informationen, die für die interne Systemverarbeitung verwendet werden. Das Auswählen oder Aufheben der Auswahl dieser Quelle für den Bericht wirkt sich nicht auf Werte aus.
  • Email Senden von Absendern: Überprüfen und exportieren Sie die Liste der Absender von E-Mail-Nachrichten, die aus Ihren Kommunikationscompliancerichtlinien herausgefiltert wurden, um "Rauschen" zu reduzieren. Filtern von E-Mail-Explosionen ist eine Richtlinieneinstellung für die Kommunikationskonformität. Der Bericht Email blast senders enthält die folgenden Felder:

    • Richtlinienname
    • Datum der letzten Änderung der Richtlinie
    • Absender
    • Anzahl gefilterter E-Mails

Exportieren eines Berichts mit Nachrichtendetails

Sie können benutzerdefinierte Berichte erstellen und Details für Nachrichten überprüfen, die in den Bereich bestimmter Richtlinien aufgenommen werden. Diese Berichte können für alle Überprüfungen von Nachrichten und zum Erstellen eines Berichts Momentaufnahme für einen anpassbaren Zeitraum verwendet werden. Sie können einen einmaligen Bericht erstellen, oder wenn Sie häufig denselben Bericht erstellen müssen, können Sie die Berichtserstellung auf täglicher, wöchentlicher oder monatlicher Basis planen. Sie können bis zu fünf Zeitpläne pro Richtlinie erstellen.

Wenn ein Bericht erstellt wird, erhalten Prüfer für die Richtlinie eine E-Mail-Benachrichtigung mit einem Link zur Registerkarte Exporte , auf der sie den Bericht als CSV-Datei herunterladen können.

Bericht zu Nachrichtendetails zur Kommunikationskonformität

Erstellen des Berichts

Wählen Sie die entsprechende Registerkarte für das von Ihnen verwendete Portal aus. Weitere Informationen zum Microsoft Purview-Portal finden Sie im Microsoft Purview-Portal. Weitere Informationen zum Complianceportal finden Sie unter Microsoft Purview-Complianceportal.

  1. Melden Sie sich beim Microsoft Purview-Portal mit den Anmeldeinformationen für ein Administratorkonto in Ihrem Microsoft 365-organization an.

  2. Wechseln Sie zur Kommunikationscompliance-Lösung .

  3. Wählen Sie im linken Navigationsbereich Richtlinien aus.

  4. Wählen Sie eine Richtlinie und dann in der oberen rechten Ecke der Seite Bericht exportieren aus.

  5. Wählen Sie im Bereich Exportoptionen unter Elemente von diesen Benutzern einschließen eine der folgenden Optionen aus:

    • Alle Benutzer. Wählen Sie diese Option aus, wenn Sie einen Bericht mit Nachrichteninformationen für alle Benutzer in der Richtlinie erstellen möchten.
    • Wählen Sie Benutzer aus. Wählen Sie diese Option aus, und wählen Sie dann bestimmte Benutzer aus der Liste aus, um einen Bericht mit Nachrichten zu erstellen, die von diesen bestimmten Benutzern gesendet werden. Nur die Benutzer, die eine gekennzeichnete Nachricht gesendet haben, sind in der Liste verfügbar.
  6. Wählen Sie in der Liste Häufigkeit auswählen aus, wie oft Sie den Bericht erstellen möchten.

  7. Wenn es sich um einen einmaligen Bericht handelt, geben Sie ein Start- und Enddatum für den Bericht ein. Wenn es sich um einen wiederkehrenden Bericht handelt, geben Sie ein Datum für den Beginn des Sendens von Berichten und ein Datum zum Beenden des Sendens von Berichten ein.

    Hinweis

    Wenn Sie für einen wiederkehrenden Bericht Täglich, Wöchentlich oder Monatlich auswählen, beginnt der Bericht mit dem Sammeln von Nachrichten vom vorherigen Tag, der vorherigen Woche oder dem vorherigen Monat, je nachdem, welche Option Sie auswählen. Wenn Sie z. B. Täglich als Häufigkeit auswählen und den 4. Juni 2024 als Startdatum für den Bericht auswählen, beginnt der Bericht am 3. Juni mit dem Sammeln von Nachrichten.

  8. Nehmen Sie in der Liste Bericht an diese Prüfer senden alle gewünschten Änderungen vor, indem Sie Prüfer hinzufügen oder löschen. Standardmäßig werden alle Prüfer für die Richtlinie (die während der Richtlinienerstellung hinzugefügt wurden) aufgelistet.

  9. Akzeptieren Sie im Feld Berichtsname den vorgeschlagenen Namen für den Bericht, oder ändern Sie ihn nach Bedarf.

  10. Wählen Sie Bericht erstellen (für Einmalberichte) oder Geplanten Export starten (für wiederkehrende Berichte) aus.

    Das Dialogfeld Geplante Berichte wird vorbereitet angezeigt.

  11. Um den Zeitplan der Berichte anzuzeigen, wählen Sie Geplante Exporte verwalten aus.

    Tipp

    Sie können einen Berichtszeitplan auch bearbeiten, indem Sie auf der Registerkarte Exporte die Option Geplante Berichte verwalten auswählen.

  12. So nehmen Sie Änderungen an einem geplanten Bericht vor:

    1. Aktivieren Sie das Kontrollkästchen für den Bericht, und wählen Sie dann Bearbeiten aus.
    2. Nehmen Sie im Dialogfeld Exportoptionen die gewünschten Änderungen vor.

    Hinweis

    Wenn Sie die Häufigkeit oder das Startdatum des Berichts ändern möchten, löschen Sie den Bericht auf dem vorherigen Bildschirm, und erstellen Sie den Bericht dann erneut.

Hinweis

Sie können bis zu fünf geplante Berichte pro Richtlinie erstellen. Wenn Sie bereits über fünf geplante Berichte für eine Richtlinie verfügen und einen neuen erstellen möchten, müssen Sie einen der vorhandenen Berichtszeitpläne löschen, bevor Sie einen neuen erstellen können.

Herunterladen eines Berichts, wenn er bereit ist

Die Zeit, die zum Erstellen eines Berichts benötigt wird, hängt von der Anzahl der geplanten Berichte und der Größe der Berichte ab. Prüfer der Richtlinie erhalten eine E-Mail-Benachrichtigung mit einem Link zur Registerkarte Exporte , wenn ein Bericht bereit ist. Um einen Bericht von der Registerkarte Exporte herunterzuladen, wählen Sie einen Bericht im Status Bereit zum Herunterladen aus, und wählen Sie dann export(s) herunterladen über der Liste aus.

Hinweis

Wenn der ausgewählte Zeitraum keine Nachrichtenergebnisse im Bericht zurückgibt, bedeutet dies, dass für den ausgewählten Zeitraum keine Nachrichten vorhanden waren. Der Bericht ist leer.

Was ist in einem Bericht mit Nachrichtendetails enthalten?

Nachrichtendetailsberichte enthalten die folgenden Informationen für jedes Nachrichtenelement in der Richtlinie:

  • Übereinstimmungs-ID: Eindeutige ID für eine Kopie der Nachricht in Kommunikationscompliance.
  • Internetnachrichten-ID: Eindeutige ID für die Nachricht plattformübergreifend.
  • Unterhaltungsfamilien-ID: Thread-ID für die Nachricht.
  • Absenderspalte: Absender der Nachricht. Wenn die Richtlinien-Übereinstimmung eine Antwort von Microsoft 365 Copilot und Microsoft Copilot ist, lautet der Wert "Copilot".
  • Empfängerspalte: In der Nachricht enthaltene Empfänger. Wenn die Richtlinieneinstimmung eine Aufforderung an Copilot ist, lautet der Wert "Copilot".
  • Datum: Das Datum, an dem die Nachricht gesendet wurde.
  • Speicherort: Kanal, über den die Nachricht gesendet wurde. Dies kann Exchange Online, Teams, Viva Engage oder ein beliebiger Drittanbieterkanal sein, der von der Kommunikationscompliance unterstützt wird.
  • Betreff: Betreff der Nachricht. Wenn es sich um eine Copilot-Interaktion handelt, lautet der Betreff der Nachricht "Copilot" und der Name der Microsoft 365-App. Beispiel: "Copilot in Excel".
  • Enthält Anlagen: Status aller Anlagen für die Nachricht. Die Werte sind entweder Ja oder Nein.
  • Richtlinienname: Name der Richtlinie, die der Nachricht zugeordnet ist. Dieser Wert ist für alle Nachrichten im Bericht identisch.
  • Elementstatus: Status des Nachrichtenelements in der Richtlinie. Die Werte sind Ausstehend oder Aufgelöst.
  • Tags: Tags, die der Nachricht zugewiesen sind. Werte sind Fragwürdig, Konform oder Nicht konform.
  • Schlüsselwort-Übereinstimmungen: Schlüsselwort-Übereinstimmungen für die Nachricht.
  • Trainierbare Klassifizierer-ID: ID des trainierbaren Klassifizierers, der abgeglichen wurde.
  • Trainierbare Klassifizierername und übereinstimmende Schlüsselwörter: Der Name des trainierbaren Klassifizierers und die Schlüsselwörter, die die Klassifizierer-Übereinstimmung ausgelöst haben.
  • Prüfer: Prüfer, die der Nachricht zugewiesen sind.
  • Ausstehend für (Tage):Anzahl der Tage, in der sich die Nachricht im Status "Ausstehend" befunden hat. Für aufgelöste Nachrichten ist der Wert 0.
  • Kommentar für Aufgelöst: Kommentare für die Nachricht, die beim Auflösen eingegeben wurde.
  • Aufgelöstes Datum: Datum und koordinierte Weltzeit (UTC), an dem die Nachricht aufgelöst wurde.
  • Zuletzt aktualisiert von: Benutzername des letzten Updaters.
  • Zuletzt aktualisiert am: Datum und koordinierte Weltzeit (UTC), an dem die Nachricht zuletzt aktualisiert wurde.
  • Verlauf der Kommentare: Liste aller Kommentare für die Meldungswarnung, einschließlich Kommentarautor und Datum und koordinierte Weltzeit (UTC) des Kommentars.

Überwachung

In einigen Fällen müssen Sie Aufsichts- oder Complianceprüfern Informationen zur Verfügung stellen, um nachzuweisen, dass benutzerbezogene Aktivitäten und Kommunikationen gelten. Diese Informationen können eine Zusammenfassung aller Aktivitäten im Zusammenhang mit einer definierten Organisationsrichtlinie oder jedes Mal sein, wenn sich eine Kommunikationskonformitätsrichtlinie ändert. Kommunikationscompliancerichtlinien verfügen über integrierte Überwachungspfade für die vollständige Bereitschaft für interne oder externe Überwachungen. Detaillierte Überwachungsverläufe jeder Erstellungs-, Bearbeitungs- und Löschaktion werden von Ihren Kommunikationsrichtlinien erfasst, um einen Nachweis für bereichsbezogene Prozeduren bereitzustellen.

Wichtig

Die Überwachung muss für Ihre organization aktiviert sein, bevor Kommunikationscomplianceereignisse aufgezeichnet werden. Informationen zum Aktivieren der Überwachung finden Sie unter Aktivieren des Überwachungsprotokolls. Wenn Aktivitäten Ereignisse auslösen, die im Microsoft 365-Überwachungsprotokoll erfasst werden, kann es bis zu 48 Stunden dauern, bis diese Ereignisse in Kommunikationscompliancerichtlinien angezeigt werden können.

Um Aktivitäten zum Aktualisieren von Kommunikationskonformitätsrichtlinien anzuzeigen, wählen Sie auf der Seite Standard für eine beliebige Richtlinie das Steuerelement Richtlinienaktualisierungen exportieren aus. Zum Exportieren von Updateaktivitäten müssen Ihnen die Rollen Globale Admin oder Kommunikationscomplianceadministratoren zugewiesen sein. Durch diese Aktion wird eine Überwachungsdatei im format .CSV generiert, die die folgenden Informationen enthält:

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Feld Details
CreationDate Datum, an dem die Updateaktivität in einer Richtlinie ausgeführt wurde.
UserIds Benutzer, der die Updateaktivität in einer Richtlinie ausgeführt hat.
Operations Aktualisierungsvorgänge, die für die Richtlinie ausgeführt werden.
AuditData Hauptdatenquelle für alle Richtlinienaktualisierungsaktivitäten. Alle Aktualisierungsaktivitäten werden aufgezeichnet und durch Trennzeichen getrennt.

Um Aktivitäten zur Überprüfung der Kommunikationskonformität für eine Richtlinie anzuzeigen, wählen Sie auf der Seite Übersicht für eine bestimmte Richtlinie das Steuerelement Überprüfungsaktivitäten exportieren aus. Zum Exportieren von Überprüfungsaktivitäten müssen Ihnen die Rollen Globale Admin oder Kommunikationscomplianceadministratoren zugewiesen sein. Durch diese Aktion wird eine Überwachungsdatei im format .CSV generiert, die die folgenden Informationen enthält:

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Minimierung der Anzahl von Benutzern mit der Rolle "Globaler Administrator" trägt zur Verbesserung der Sicherheit für Ihre organization bei. Erfahren Sie mehr über Microsoft Purview-Rollen und -Berechtigungen.

Feld Details
CreationDate Datum, an dem die Überprüfungsaktivität in einer Richtlinie ausgeführt wurde.
UserIds Benutzer, der die Überprüfungsaktivität in einer Richtlinie ausgeführt hat.
Operations Überprüfen Sie vorgänge, die für die Richtlinie ausgeführt werden.
AuditData Hauptdatenquelle für alle Richtlinienüberprüfungsaktivitäten. Alle Überprüfungsaktivitäten werden aufgezeichnet und durch Trennzeichen getrennt.

Sie können Überwachungsaktivitäten auch im einheitlichen Überwachungsprotokoll oder mit dem PowerShell-Cmdlet Search-UnifiedAuditLog anzeigen. Weitere Informationen zu Aufbewahrungsrichtlinien für Überwachungsprotokolle finden Sie unter Verwalten von Aufbewahrungsrichtlinien für Überwachungsprotokolle.

Im folgenden Beispiel werden beispielsweise die Aktivitäten für alle bereichsbezogenen Überprüfungsaktivitäten (Richtlinien und Regeln) zurückgegeben:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType AeD -Operations SupervisoryReviewTag

In diesem Beispiel werden die Aktualisierungsaktivitäten für Ihre Kommunikationskonformitätsrichtlinien zurückgegeben:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -RecordType Discovery -Operations SupervisionPolicyCreated,SupervisionPolicyUpdated,SupervisionPolicyDeleted

In diesem Beispiel werden Aktivitäten zurückgegeben, die ihren aktuellen Kommunikationskonformitätsrichtlinien entsprechen:

Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -Operations SupervisionRuleMatch

Übereinstimmungen mit Kommunikationskonformitätsrichtlinien werden für jede Richtlinie in einem bereichsbezogenen Postfach gespeichert. In einigen Fällen müssen Sie möglicherweise die Größe Ihres bereichsbezogenen Postfachs für eine Richtlinie überprüfen, um sicherzustellen, dass Sie sich nicht der aktuellen Speichergröße von 100 GB oder dem Grenzwert von 1 Million Nachrichten nähern. Wenn das Postfachlimit erreicht wird, werden keine Richtlinienabgleiche erfasst, und Sie müssen eine neue Richtlinie (mit den gleichen Einstellungen) erstellen, um weiterhin Übereinstimmungen für dieselben Aktivitäten zu erfassen.

Führen Sie die folgenden Schritte aus, um die Größe eines bereichsbezogenen Postfachs für eine Richtlinie zu überprüfen:

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie den folgenden Befehl aus:

    ForEach ($p in Get-SupervisoryReviewPolicyV2 | Sort-Object Name)
    {
       "<Name of your communication compliance policy>: " + $p.Name
       Get-MailboxStatistics $p.ReviewMailbox | ft ItemCount,TotalItemSize
    }