M365 News: EndPoint DLP mit Verbesserung zu RMS geschützen Office Dokumenten

Microsoft verbesserte die Unterstützung von RMS geschützten und damit verschlüsselten Office Dokumenten auf dem jeweiligen Endpunkt, also Rechner. In diesem Beitrag schauen wir uns genau dies einmal genauer an.

Neuerungen für den Schutz von RMS geschützten Dokumenten

Was passiert?  „Diese Verbesserung stellt sicher, dass verschlüsselte Office-Dateien in die Inhaltsprüfung einbezogen werden, sodass DLP-Richtlinien konsistent angewendet werden können, was den Endpunkt-Datenschutz stärkt.“
 Verschlüsselung RMS geschützte Dateien
EndPoint DLP Client Endpoint-DLP-Client-Version 4.18.26030 oder höher, Gerät muss in Purview einem OnBoarding unterzogen werden

=> Konkret wird die Lücke geschlossen, dass alle Maßnahmen nun auch für RMS verschlüsselte Office Dokumente erweitert wird und auch alle Informationen dazu im Aktivity Explorer angezeigt werden.

 

Meldung: MC1254558

„Microsoft Purview compliance portal: Endpoint DLP classification support for Azure RMS–protected Office documents

Microsoft Purview Endpoint DLP will soon classify Azure RMS–protected Office documents, enabling consistent DLP policy enforcement on encrypted files starting early April 2026. This enhances content inspection without changing user workflows, requiring Endpoint DLP client version 4.18.26030 or higher.

„Introduction

Microsoft Purview Endpoint Data Loss Prevention (Endpoint DLP) will now be able to classify Office documents protected with Azure Rights Management Services (Azure RMS). This improvement ensures encrypted Office files are included in content inspection so DLP policies can be applied consistently, strengthening endpoint data protection.

This message is associated with Microsoft 365 Roadmap ID 500895.

When this will happen:

General Availability (Worldwide): Rollout will begin in early April 2026 and is expected to complete by mid-May 2026.

How this affects your organization:

Who is affected:

  • Organizations using Microsoft Purview Endpoint DLP
  • Windows devices onboarded to Endpoint DLP
  • Office documents protected with Azure RMS
  • Admins managing Purview DLP and Information Protection policies

What will happen:

  • Endpoint DLP will scan and classify Azure RMS–protected Office files.
  • Classification occurs when:
    • A protected Office file is used in an application, or
    • Just‑in‑time classification is enabled.
  • Based on the detected classification, existing DLP policies will be evaluated and enforced.
  • There is no change to user workflow beyond improved policy coverage.
  • This feature respects existing DLP and Information Protection policies.
  • The feature is available once supported client versions are deployed; no new policy creation is required.

What you can do to prepare:

  • Deploy Endpoint DLP client version 4.18.26030 or higher.
  • Review existing DLP policies to understand enforcement behavior.
  • Communicate this change to security and compliance stakeholders.

Compliance considerations:

Question Explanation
Does the change alter how existing customer data is processed, stored, or accessed? Endpoint DLP will now inspect and classify the contents of Azure RMS–protected Office documents on Windows endpoints, expanding the scope of content analysis.
Does the change modify Data Loss Prevention (DLP) policies or enforcement? Existing Endpoint DLP policies may now be evaluated and enforced on RMS‑protected Office documents that were previously excluded from classification.
Does the change alter how admins can monitor, report on, or demonstrate compliance activities? DLP alerts, audit signals, and reporting may now include events related to RMS‑protected Office documents, improving compliance visibility.
Does the change modify encryption methods or key management? While encryption and key management remain unchanged, Endpoint DLP now evaluates content within Azure RMS–protected Office files for classification and policy enforcement.
Do you like this change?

Übersetzung

„Microsoft Purview-Compliance-Portal: Unterstützung der Endpoint-DLP-Klassifizierung für mit Azure RMS geschützte Office-Dokumente

Zusammenfassung

Microsoft Purview Endpoint DLP wird in Kürze mit Azure RMS geschützte Office-Dokumente klassifizieren, wodurch ab Anfang April 2026 eine einheitliche Durchsetzung von DLP-Richtlinien für verschlüsselte Dateien ermöglicht wird. Dies verbessert die Inhaltsprüfung, ohne die Arbeitsabläufe der Benutzer zu verändern. Voraussetzung ist die Endpoint-DLP-Client-Version 4.18.26030 oder höher.

„Einführung

Microsoft Purview Endpoint Data Loss Prevention (Endpoint DLP) kann nun Office-Dokumente klassifizieren, die mit Azure Rights Management Services (Azure RMS) geschützt sind. Diese Verbesserung stellt sicher, dass verschlüsselte Office-Dateien in die Inhaltsprüfung einbezogen werden, sodass DLP-Richtlinien konsistent angewendet werden können, was den Endpunkt-Datenschutz stärkt.

Diese Meldung ist mit der Microsoft 365-Roadmap-ID 500895 verknüpft.

Zeitplan:

Allgemeine Verfügbarkeit (weltweit): Die Einführung beginnt Anfang April 2026 und wird voraussichtlich bis Mitte Mai 2026 abgeschlossen sein.

Auswirkungen auf Ihre Organisation:

Betroffene:

  • Organisationen, die Microsoft Purview Endpoint DLP verwenden
  • Windows-Geräte, die bei Endpoint DLP registriert sind
  • Office-Dokumente, die mit Azure RMS geschützt sind
  • Administratoren, die Purview DLP- und Informationsschutzrichtlinien verwalten

Was wird geschehen:

  • Endpoint DLP scannt und klassifiziert mit Azure RMS geschützte Office-Dateien.
  • Die Klassifizierung erfolgt, wenn:
    • eine geschützte Office-Datei in einer Anwendung verwendet wird oder
    • Just-in-Time-Klassifizierung aktiviert ist.
  • Basierend auf der ermittelten Klassifizierung werden bestehende DLP-Richtlinien ausgewertet und durchgesetzt.
  • Es gibt keine Änderung am Benutzer-Workflow, abgesehen von einer verbesserten Richtlinienabdeckung.
  • Diese Funktion beachtet bestehende DLP- und Informationsschutzrichtlinien.
  • Die Funktion ist verfügbar, sobald unterstützte Client-Versionen bereitgestellt sind; es ist keine Erstellung neuer Richtlinien erforderlich.

Was Sie zur Vorbereitung tun können:

  • Stellen Sie Endpoint DLP Client Version 4.18.26030 oder höher bereit.
  • Überprüfen Sie bestehende DLP-Richtlinien, um das Durchsetzungsverhalten zu verstehen.
  • Informieren Sie die für Sicherheit und Compliance zuständigen Personen über diese Änderung.

Überlegungen zur Compliance:

Frage Erklärung

Verändert die Änderung die Art und Weise, wie vorhandene Kundendaten verarbeitet, gespeichert oder abgerufen werden? Endpoint DLP überprüft und klassifiziert nun den Inhalt von Azure RMS-geschützten Office-Dokumenten auf Windows-Endpunkten und erweitert damit den Umfang der Inhaltsanalyse.

Ändert die Änderung DLP-Richtlinien (Data Loss Prevention) oder deren Durchsetzung? Vorhandene Endpoint DLP-Richtlinien können nun auf RMS-geschützte Office-Dokumente angewendet und durchgesetzt werden, die zuvor von der Klassifizierung ausgeschlossen waren.

Verändert die Änderung die Art und Weise, wie Administratoren Compliance-Aktivitäten überwachen, darüber berichten oder nachweisen können? DLP-Warnungen, Auditsignale und Berichte können nun Ereignisse im Zusammenhang mit RMS-geschützten Office-Dokumenten enthalten, wodurch die Transparenz der Compliance verbessert wird.

Verändert die Änderung Verschlüsselungsmethoden oder die Schlüsselverwaltung? Während Verschlüsselung und Schlüsselverwaltung unverändert bleiben, bewertet Endpoint DLP nun Inhalte in Azure RMS-geschützten Office-Dateien zur Klassifizierung und Richtliniendurchsetzung.“

Links

https://learn.microsoft.com/de-de/purview/endpoint-dlp-learn-about

https://learn.microsoft.com/de-de/purview/endpoint-dlp-getting-started

News und Advisor

Kostenlos: M365Newsshow

Kostenpflichtig: Compliance Center und Advisor – KöllnService GmbH (Newsletter, Show und Center)