Wie Unified Labeling und Endpoint DLP den Cloud-Upload verhindern

In vielen Unternehmen gibt es sensible Daten, die aus regulatorischen oder geschäftlichen Gründen nicht in die Cloud gelangen dürfen – weder absichtlich noch versehentlich. Organisatorische Vorgaben können es technisch nicht unterbinden.

Mit Microsoft Purview lassen sich solche Anforderungen heute deutlich präziser umsetzen – durch die Kombination von Sensitivity Labels und Endpoint DLP.

In diesem Beitrag zeige ich, wie man ein Label wie „NoCloud“ erstellt und mit einer Endpoint DLP-Richtlinie verknüpft, um den Upload vertraulicher Dateien in Cloud-Dienste wie OneDrive, Dropbox oder Google Drive effektiv zu blockieren.

Schritt 1: Sensitivitätslabel „NoCloud“ erstellen

Zunächst legen wir ein neues Label an, das später als Auslöser für die DLP-Regel dient.

1. Im Microsoft Purview Compliance Portal unter
   Information Protection > Sensitivity Labels ein neues Label erstellen.
2. Label-Konfiguration:
   • Name: NoCloud
   • Anzeigename: NoCloud
   • Beschreibung: „Verhindert das Hochladen in Cloud-Dienste.“
   • Zielobjekte: Dateien
   • Schutz: Verschlüsselung Optional – das Label dient rein der Klassifikation.
3. Veröffentlichung: Das Label über eine Label Policy an die relevanten Benutzergruppen ausrollen.

Schritt 2: Endpoint DLP-Richtlinie konfigurieren

Jetzt sorgen wir dafür, dass Dateien mit dem Label „NoCloud“ nicht mehr in Cloud-Speicher hochgeladen werden können – unabhängig davon, ob der Upload über den Browser, eine App oder den Explorer erfolgt.

1. Im Purview-Portal zu
   Data Loss Prevention navigieren.
2. Neue Richtlinie erstellen:
   • Typ: Benutzerdefinierte Richtlinie
   • Name: Block Cloud Upload for Label “NoCloud”
3. Quellen auswählen:
   • Ausschließlich “Geräte” anwählen
   • Zielgruppe: Benutzer oder Gruppen, für die die Regel gelten soll
4. Regel hinzufügen:
   • Bedingung: Inhalt beinhaltet  Sensitivity Labels  „NoCloud“.
   • Aktion:
     • Upload in blockierte Cloud-Dienste / Browser blockieren
       (z. B. OneDrive, Google Drive, Box, Dropbox, Firefox, Chrome)
   • Benachrichtigung:
     • Optional: Benutzerwarnung anzeigen
     • Optional: Vorfallbericht an das Security-Team senden
5. Richtlinie aktivieren (empfohlen erst Monitoring Mode mit Policy Tips) und bereitstellen

Alternativ: Wenn man via DLP den Upload sämtlicher Dateien (unabhängig der Klassifizierung) verhindern möchte, lässt sich hierfür bspw. die Bedingung „Dokumentengröße ist gleich oder größer“. Dort 1 Byte ausgewählt, und es zieht auf alles.

Allerdings sollte man sich vorher informieren, ob es Szenarien gibt, wo bspw. Partner eine ext. Cloud Storage Lösung voraussetzen o.ä.

In Sachen Service Domains gilt es noch zu beachten, dass diese nicht für „Paste In“ Aktionen ziehen. Eine Feature Gap, das sich sicherlich auch noch schließen wird.

Schritt 3: Validierung

Nach der Bereitstellung empfiehlt sich ein gezielter Test:

• Eine Datei mit dem Label NoCloud versehen
• Upload über verschiedene Wege (Browser, App, Explorer) in einen Cloud-Dienst versuchen
• Erwartetes Verhalten: Der Upload wird blockiert, ggf. erscheint eine Benutzerbenachrichtigung

Monitoring & Reporting

Zur Nachverfolgung und Analyse stehen mehrere Tools zur Verfügung:

• Activity Explorer: Zeigt blockierte Aktionen im Detail

   

Fazit

Mit der Kombination aus Unified Labeling und Endpoint DLP lassen sich sehr gezielt Schutzmaßnahmen umsetzen – ohne die Produktivität der Nutzer unnötig einzuschränken. Das Label NoCloud ist ein einfaches, aber wirkungsvolles Mittel, um sicherzustellen, dass bestimmte Daten das Unternehmen nicht über Cloud-Dienste verlassen.

Notiz am Rande:

Natürlich müssen die betreffenden Clients vorab in Endpoint DLP ausgerollt werden (Bei Nutzung von MDE ist das ein Klick (Purview Admin Center > Settings > Device Onboarding > Devices > Turn On Windows Device Monitoring ). Ebenso müssen in den Endpoint DLP Settings die Service Domains sowie Browser gepflegt werden.

Grundsätzlich sind Chrome und auch Firefox in Kombination mit Purview nutzbar. Zu beachten ist lediglich das die Purview Extension zu verteilen ist.

Weitere Quellen & Infos zum Thema:

Einstellungen für die Verhinderung von Datenverlust am Endpunkt konfigurieren - Microsoft Purview | Microsoft Learn



 

Moderne IT- und Cloud-Szenarien stellen neue Anforderungen an Sicherheit, Governance und Betrieb. Die Beratungsangebote zum Thema Microsoft Security der Telekom unterstützten Sie dabei, Ihre Umgebung strukturiert zu analysieren und gezielt weiterzuentwickeln – von der ersten Einordnung bis zur konkreten Umsetzung.

Starten Sie mit einem unverbindlichen Orientierungsgespräch oder einem Microsoft 365 Security Assessment und erhalten Sie klare Handlungsempfehlungen für mehr Sicherheit.