Über Data Loss Prevention (DLP) können für SharePoint Online und OneDrive Richtlinien konfiguriert werden um sensible Inhalte zu schützen. Bis ein DLP-Scanner neu hochgeladene Dokumente scannt und auf eine der Richtlinien prüft kann es kurz dauern. In der Zwischenzeit kann ein neues, sensitives Dokument an externe Personen geteilt werden. Dies lässt sich nun verhindern.
Bisher konnte eine Person ein Dokument mit sensitiven Inhalten zu SharePoint oder OneDrive hochladen und sofort an externen Personen teilen. In der Zeit war das Dokument für die externe Person abrufbar. Der DLP-Scanner scannt die Inhalte nicht in Echtzeit, der Scanner benötigt kurze Zeit bis das Dokument eingestuft wird. Nachdem der Scanner eine der DLP-Richtlinien für das Dokument erkannte kann es nicht mehr an externe Personen geteilt werden.
Mit einer kleinen Anpassung kann SharePoint jetzt mitgeteilt werden das Teilen an externe Personen von einem neuen Dokument nicht zu erlauben, bis der DLP-Scanner die Prüfung abgeschlossen hat.
- Die Konfiguration ist standardmässig deaktiviert.
- Es muss dafür mindestens eine DLP-Richtlinie bestehen die SharePoint UND OneDrive inkludiert.
- In der Richtlinie darf für SharePoint und OneDrive nichts ausgeschlossen sein.
- Es gilt nur für neu hochgeladene Dokumente. Veränderungen an einem bestehenden Dokument zählen nicht zur Anpassung.
- Weitere Hilfe findest du hier.
Mit PowerShell lässt es sich für den Tenant aktivieren.
Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing
Wird danach ein Dokument hochgeladen kann es ein normaler Anwender vorab nicht an externe Personen teilen. Dies betrifft alle neuen Dokumente, unabhängig ob DLP beim Scan eine Richtlinie zuordnet. Etwas unschön ist wie Microsoft die Mitteilung an den Anwender ausgibt. Praktisch hilft die Fehlermeldung nicht zu wissen es liegt an dem fehlenden DLP-Scan.