
DLP-beheer verdwijnt medio 2022 uit EAC
Ik denk niet dat veel Microsoft 365-tenantbeheerders, laat staan degenen die voor Exchange Online zorgen, de blog over beveiliging, naleving en identiteit van Microsoft lezen. Tenminste, de blog krijgt relatief weinig verkeer in vergelijking met EHLO. Dit alles maakt het vreemd dat Microsoft ervoor koos om een plan aankondigen om Exchange Data Loss Prevention (DLP)-beleid te verwijderen uit het Exchange Online-beheercentrum (EAC) op een plaats waar degenen die verantwoordelijk zijn voor dat beleid het nieuws mogelijk niet zien. Blijkbaar zal de verwijdering ergens in de periode april-juni 2022 plaatsvinden.
De nalevingsblog verscheen op 16 september. Een week eerder, toen ze hun plannen beschreven om de oude EAC tegen september 2022 af te schaffen, het Exchange-team zegtNS: “De DLP-ervaring onder nalevingsbeheer in de klassieke EAC wordt binnenkort verplaatst naar het Microsoft 365-nalevingscentrum.” DLP is een van de ontbrekende stukjes functionaliteit die nog niet in de nieuwe EAC zijn verschenen, dus de vraag wat er zou gebeuren met Exchange DLP hing in de lucht. Het DLP-gedeelte in de klassieke EAC ziet er behoorlijk verfomfaaid uit (Figuur 1) en het is duidelijk dat Microsoft het de afgelopen jaren heeft laten verdorren.
Geen zin om naar het Compliance Center te verhuizen
Na het lezen van de woorden in de Exchange-blog, zou je je kunnen voorstellen dat Microsoft van plan was het beheer van Exchange DLP-beleid te verplaatsen naar het Microsoft 365-compliancecentrum. Ik denk echter dat dit geen zin heeft. Hoe zou je één set DLP-beleidsregels kunnen presenteren die Exchange-transportregels gebruiken om hun instellingen af te dwingen, naast een set Microsoft 365 DLP-beleidsregels, die ook Exchange kunnen verwerken (met behulp van verborgen transportregels) maar ook van toepassing zijn op andere workloads? Natuurlijk zou je twee secties in het compliancecentrum kunnen hebben, maar het zou verwarrend zijn. Het ondersteunt ook niet het doel van Microsoft om workload-specifieke compliance-verwerking te elimineren en deze technologie te vervangen door mogelijkheden die in het hele ecosysteem van toepassing zijn.
Mijn theorie is dat Microsoft het DLP-beleid eenvoudigweg nooit van de oude EAC zal verplaatsen. Ergens in de periode april-juni 2022 verdwijnt de mogelijkheid om DLP-beleid in EAC te beheren en moet u PowerShell gebruiken om DLP-beleid toe te voegen, te wijzigen of te verwijderen. En uiteindelijk werken de PowerShell-cmdlets niet meer.
Wake-up call om nu iets aan DLP te doen
Al met al is het een wake-up call voor huurders die tegenwoordig Exchange DLP-beleid gebruiken. Het is tijd om over te stappen op Microsoft 365 DLP-beleid. Het oude excuus dat Exchange DLP-beleid krachtiger was bij het verwerken van e-mail dan hun Microsoft 365-tegenhangers verloor geldigheid in april 2021 toen Microsoft een een heleboel geavanceerde besturingselementen voor e-mail (om eerlijk te zijn, deze aankondiging verscheen ook in de compliance-blog, dus het was gemakkelijk over het hoofd te zien).
Ik heb ook gehoord dat mensen beweren dat ze het Exchange DLP-beleid in Exchange Online moeten houden omdat ze een gelijkwaardige set on-premises gebruiken. Deze bewering leek mij altijd vreemd omdat DLP-verwerking plaatsvindt in de transportdienst en dus afhankelijk is van waar uw transport plaatsvindt. Als alles via on-premises servers gaat, is het redelijk om daar DLP-controle toe te passen. Maar als Exchange Online e-mail afhandelt, is de betere optie om Microsoft 365 DLP-beleid te gebruiken.
In ieder geval staat het schrijven op de muur voor Exchange DLP-beleid binnen Microsoft 365. Het is tijd om de overstap te maken en het is beter om proactief te zijn over de verhuizing in plaats van gedwongen te worden om te reageren wanneer Microsoft een definitieve datum aankondigt waarop dit beleid zal stoppen werken. Die datum kan enkele jaren in de toekomst liggen, maar het is het beste om de technologie te gebruiken die in actieve ontwikkeling is in plaats van een die dat niet is. Voor sommige functionaliteit die beschikbaar is voor Microsoft 365 DLP-beleid, zoals de Activity Explorer (Afbeelding 2), zijn Office 365 E5-licenties vereist.

Nu met ondersteuning van ongeveer 220 typen gevoelige informatie (zoals creditcardnummers) en de mogelijkheid om uw eigen typen gevoelige informatie te definiëren (zoals het Azure AD-wachtwoordvoorbeeld dat hier wordt uitgelegd), heeft de basis Microsoft 365 DLP-functionaliteit die is opgenomen in Office 365 E3 nog vele andere kleine details om het administratieve leven gemakkelijker te maken. Een recente favoriet is de prompt wanneer u een beleid gaat uitschakelen, waarin wordt aangegeven hoeveel recente overeenkomsten het beleid heeft gehad (Afbeelding 3). Het is een eenvoudige maar effectieve manier om te voorkomen dat een beheerder een fout maakt en een belangrijk beleid uitschakelt.

Een ding dat ik niet leuk vind, is dat DLP-verwerking voor Teams-berichten (chats en kanaalgesprekken) Office 365 E5- of Microsoft 365 Compliance E5-licenties vereist. Dit heeft geen zin wanneer Office 365 E3 DLP-controles dekt met Exchange Online en SharePoint Online. Mijn ontsteltenis wordt nog vergroot door de manier waarop het Microsoft 365-compliancecentrum de schijnbaar o zo gemakkelijke optie biedt om een beleid uit te breiden naar Teams zonder de kleine kwestie van de licentie-implicatie te noemen (Afbeelding 4). Het is niet de juiste manier om met klanten om te gaan en hoe dan ook, de update-optie werkt vaak niet vanwege conflicterende instellingen in het beleid.

Overgang Playbook
Om organisaties te helpen bij de overgang, heeft Microsoft: een playbook voor conversie van Exchange DLP-beleid naar Microsoft 365 DLP-beleid (of de term die in het draaiboek wordt gebruikt, EAC-DLP naar MIP-DLP). Het is een redelijk startpunt voor een discussie over verhuizen en de migratiewizard die Microsoft heeft gebouwd, zal waarschijnlijk voldoen aan de behoeften van veel organisaties.
Degenen die de uiterste grenzen van DLP-verwerking hebben onderzocht met honderden gecompliceerde regels, zullen meer werk nodig hebben om ervoor te zorgen dat ze al hun beleid tijdig kunnen overzetten. Misschien zijn sommige beleidsregels niet langer vereist en kan de algehele verwerking worden vereenvoudigd. Misschien genereert Microsoft 365 DLP-verwerking meer valse positieven dan het oudere beleid. Niemand kan zeggen welke inspanning nodig is totdat het werk is gedaan om het bestaande DLP-verwerkingsraamwerk te documenteren en te begrijpen en nieuw beleid te testen om er zeker van te zijn dat ze de verwachte resultaten opleveren.
Tijd om te gaan
Een ding is zeker. Microsoft gaat geen verdere inspanningen leveren in het Exchange DLP-beleid. Al deze krijgen van tijd tot tijd een vluchtige blik zonder enige technische inspanning. Het is tijd om uw preventie van gegevensverlies te verplaatsen naar Microsoft 365 DLP-beleid.
creditSource link