Auf Grundlage von Suchergebnissen Aktionen durchführen

Sicherheits-Prüftool
Nach einer Suche im Prüftool haben Sie die Möglichkeit, verschiedene Aktionen durchzuführen. Beispiel: Nach einer Suche in den Gmail-Protokollereignissen können Sie mit dem Prüftool bestimmte Nachrichten löschen, als Spam oder Phishing markieren, unter Quarantäne stellen oder an die Posteingänge von Nutzern senden.

Weitere Informationen und Anleitungen zu den möglichen Aktionen finden Sie in den folgenden Abschnitten.

Hinweis:

  • Welche Datenquellen verfügbar sind, hängt von Ihrer Google Workspace-Version ab.
  • Bevor auf der Grundlage von Suchergebnissen Aktionen durchgeführt werden, können Administratoren die Gründe dafür eingeben. Als Super Admin können Sie diese Option aktivieren, indem Sie die Einstellungen für das Prüftool anpassen. Entsprechende Anleitungen finden Sie im Hilfeartikel Einstellungen für Prüfungen konfigurieren.
  • Wenn Sie den Zeitraum für die Suche eingrenzen, erhalten Sie die Ergebnisse im Prüftool schneller. Sie können z. B. nur nach Ereignissen der letzten Woche suchen.
  • Tritt bei einer Bulk-Aktion eine Zeitüberschreitung auf, grenzen Sie den Zeitraum für die Suche ein und versuchen es noch einmal.

Ihr Zugriff auf das Sicherheits-Prüftool

  • Unterstützte Versionen für das Sicherheits-Prüftool sind Enterprise Plus, Education Standard, Education Plus und Enterprise Essentials Plus.
  • Administratoren mit der Cloud Identity Premiumversion, Frontline Standard, Enterprise Standard und Education Standard können das Prüftool ebenfalls verwenden, allerdings nur für einen Teil der Datenquellen.
  • Ob Sie im Prüftool eine Suche ausführen können, hängt von Ihrer Google-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Wenn Sie im Prüftool nicht nach einer bestimmten Datenquelle suchen können, verwenden Sie stattdessen die Seite „Audit und Prüfung“. Weitere Informationen finden Sie im Hilfeartikel Verbesserte Audit- und Prüfungsmöglichkeiten.
  • Hinweis: Sie können im Prüftool eine Suche für alle Nutzer ausführen, unabhängig von ihrer Google-Version.

Arten von Aktionen im Prüftool 

Aktionen für Geräte

Wenn Sie nach Geräten oder Geräteprotokollereignissen suchen, können Sie anschließend aus den Suchergebnissen Geräte auswählen und folgende Aktionen durchführen:

  • Gerät genehmigen: Das Gerät wird genehmigt. Wenn Sie die Option Geräteaktivierung aktivieren ausgewählt haben, müssen alle neu registrierten Geräte genehmigt werden. Erst dann kann die Synchronisierung mit Ihrer Domain beginnen. Außerdem muss der Gerätenutzer für die Synchronisierung mit Google Workspace die Device Policy App installieren.
  • Gerät blockieren: Mit dem Gerät ist kein Zugriff mehr auf Google Workspace-Daten möglich, z. B. Gmail, Google Kalender oder Kontakte. Über einen Computer oder einen mobilen Browser können Nutzer aber weiterhin auf die entsprechenden Apps zugreifen.
  • Administratorkonto auf einem Gerät löschen: Nur Google Workspace-Daten werden aus der Ferne vom Gerät gelöscht. Weitere Informationen finden Sie im Hilfeartikel Unternehmensdaten von einem Mobilgerät entfernen.
  • Gerätedaten aus der Ferne löschen: Alle Daten auf dem Gerät werden aus der Ferne gelöscht. Weitere Informationen finden Sie im Hilfeartikel Unternehmensdaten von einem Mobilgerät entfernen.
  • Löschen der Gerätedaten abbrechen: Das Löschen der Gerätedaten aus der Ferne wird abgebrochen.
Aktionen für Drive-Protokollereignisse

Wenn Sie nach Drive-Protokollereignissen suchen, können Sie anschließend Dateien aus den Suchergebnissen auswählen und beispielsweise die Berechtigungen dafür prüfen.

Gehen Sie dazu so vor:

  1. Nachdem Sie im Prüftool nach den Drive-Protokollereignissen gesucht haben, klicken Sie in den Ergebnissen auf die Kästchen neben den relevanten Dateien.
  2. Klicken Sie auf Aktionen > Dateiberechtigungen prüfen, um die Seite Berechtigungen zu öffnen.
    Auf dem Tab Dateien, der standardmäßig angezeigt wird, sehen Sie die Dateien aus den Suchergebnissen. Hier können Sie den Zugriff darauf verwalten. Dateien aus geteilten Ablagen sind in dieser Ansicht momentan nicht verfügbar.
  3. Klicken Sie auf Personen.
    Nutzer und Gruppen in dieser Liste haben Zugriff auf mindestens eine Datei in den Suchergebnissen. In dieser Ansicht können Sie diesen Zugriff verwalten.
  4. Klicken Sie auf Links, um die Einstellungen für die Freigabe der Links zu den ausgewählten Dateien aufzurufen oder zu ändern.
  5. Wenn Sie weiteren Nutzern den Dateizugriff gewähren möchten, klicken Sie auf Nutzer hinzufügen. Sie können mehrere Nutzer über eine durch Kommas getrennte Liste hinzufügen und die Zugriffsebene für sie auswählen.

    Hinweis: Für Aktionen auf dem Tab „Geteilte Ablage“ lässt sich nur der Zugriff auf Dateien innerhalb der geteilten Ablage festlegen. Dateien, die nicht zu einer geteilten Ablage gehören, werden auf diesem Tab nicht angezeigt.
     
  6. Mit einem Klick auf Ausstehende Änderungen können Sie die Änderungen vor dem Speichern überprüfen.

Aktionen für geteilte Ablagen

Wenn Sie die Berechtigung zum Zugriff auf das Sicherheits-Prüftool und dann Drive aktualisieren oder löschen haben, können Sie auch geteilte Ablagen und die Dateien darin folgendermaßen ändern:

  • Die Zugriffsebene für Mitglieder einer geteilten Ablage ändern, entfernen oder hinzufügen
  • Den direkten Zugriff auf einzelne Dateien einer geteilten Ablage für Nutzer ändern, entfernen oder hinzufügen

Hinweis: In Google Drive ist das Freigeben von Ordnern und das Ändern der Eigentümer von Ordnern zulässig. Das Prüftool erlaubt diese Aktionen für Administratoren jedoch nicht.

Aktionen für Gmail-Nachrichten und Gmail-Protokollereignisse

Wenn Sie nach Gmail-Nachrichten oder Gmail-Protokollereignissen suchen, können Sie Nachrichten in den Suchergebnissen auswählen und die folgenden Aktionen ausführen. Die verfügbaren Aktionen gelten nur für Nachrichten innerhalb von Gmail und Nachrichten in Google Groups sind nicht eingeschlossen:

  • E-Mail-Header ansehen
  • E-Mails ansehen
  • Nachrichten löschen
  • Nachrichten wiederherstellen
  • Nachricht als Spam markieren
  • Nachricht als Phishing markieren
  • Nachricht an Posteingang senden (entfernt auch die Einstufung als Spam oder Phishing)
  • Nachricht an Quarantäne senden (Nachrichten werden an die Standardquarantäne gesendet)

    Wichtig: In Quarantäne gesendete Nachrichten werden automatisch gelöscht, wenn Ihre Vault-Aufbewahrungsrichtlinie ausgelöst wird. Sind diese Nachrichten also älter als Ihre Vault-Aufbewahrungsrichtlinie, werden sie gelöscht und nicht in die Quarantäne verschoben. Die Standardeinstellung für die Aufbewahrung beträgt 30 Tage, nachdem die E-Mail ursprünglich gesendet oder empfangen wurde. Sie können in Vault auch benutzerdefinierte Aufbewahrungsregeln festlegen.

So senden Sie z. B. eine Nachricht an die Posteingänge von Nutzern:

  1. Nachdem Sie die Suche im Prüftool ausgeführt haben, klicken Sie in den Suchergebnissen auf die Kästchen neben den relevanten Nachrichten.
  2. Klicken Sie auf Aktionen.
  3. Wählen Sie Nachricht an Posteingang senden aus.
  4. Klicken Sie zum Bestätigen auf An Posteingang senden.
  5. Das Ergebnis der Aktion lässt sich aufrufen, indem Sie unten auf der Seite auf Anzeigen klicken.
    In der Ergebnisspalte können Sie sich den Status der Aktion anzeigen lassen, z. B. Die Nachricht wurde an den Posteingang gesendet.

Hinweis: Sie haben auch die Möglichkeit, sich den Inhalt von Gmail-Nachrichten anzusehen. Weitere Informationen

Aktionen für Nutzer

Wenn Sie nach Nutzern suchen, können Sie in den Suchergebnissen Nutzer auswählen und die folgenden Aktionen ausführen:

  • Nutzer wiederherstellen
  • Nutzer sperren

So sperren Sie z. B. bestimmte Nutzer in den Suchergebnissen:

  1. Nachdem Sie die Suche im Prüftool ausgeführt haben, klicken Sie in den Suchergebnissen neben den relevanten Nutzern auf das Kästchen.
  2. Klicken Sie auf Aktionen.
  3. Wählen Sie Nutzer sperren aus.
  4. Klicken Sie zum Bestätigen auf Nutzer sperren.

Das Wiederherstellen von Nutzern funktioniert ähnlich.

Aktionen für Nutzer-Protokollereignisse

Wenn Sie nach Nutzer-Protokollereignissen suchen, können Sie in den Suchergebnissen Nutzer auswählen und die folgenden Aktionen ausführen:

  • Passwortänderung erzwingen
  • Nutzer wiederherstellen
  • Nutzer sperren

So sperren Sie z. B. bestimmte Nutzer in den Suchergebnissen:

  1. Nachdem Sie die Suche im Prüftool ausgeführt haben, klicken Sie in den Suchergebnissen neben den relevanten Nutzern auf das Kästchen.
  2. Klicken Sie auf Aktionen.
  3. Wählen Sie Nutzer sperren aus.
  4. Klicken Sie zum Bestätigen auf Nutzer sperren.

Das Wiederherstellen von Nutzern funktioniert ähnlich.

Aktionen für Meet-Protokollereignisse

Wenn Sie auf Grundlage der Meet-Protokollereignisse eine Suche ausführen, können Sie mit der Aktion Besprechung für alle beenden alle Nutzer aus ausgewählten Videokonferenzen in Ihrer Organisation entfernen. Damit lässt sich z. B. verhindern, dass Teilnehmer unbeaufsichtigt Videokonferenzen abhalten, wenn der Organisator der Konferenz nicht anwesend oder ein Termin bereits beendet ist.

Hier finden Sie weitere Informationen darüber, wie Sie Videokonferenzen mit dem Prüftool beenden.

Bulk-Aktionen für Suchergebnisse

Sie können nicht nur Aktionen für einzelne Suchergebnisse ausführen, sondern auch Bulk-Aktionen für ganze oder alle Seiten.

Hinweis: Tritt bei einer Bulk-Aktion eine Zeitüberschreitung auf, grenzen Sie den Zeitraum für die Suche ein und versuchen Sie es noch einmal.

So führen Sie Bulk-Aktionen für die Suchergebnisse auf der aktuellen Seite aus:

  1. Klicken Sie oben in der ganz linken Spalte auf das Kästchen.
    Dadurch werden alle Kästchen auf der aktuellen Seite ausgewählt.
  2. Klicken Sie in der Headerleiste auf Aktionen.

So führen Sie Bulk-Aktionen für alle Suchergebnisse auf allen Seiten durch:

  1. Klicken Sie oben in der ganz linken Spalte auf das Kästchen.
  2. Klicken Sie auf Alle Ergebnisse auswählen.
    Dadurch werden alle Kästchen auf allen Suchergebnisseiten ausgewählt.
  3. Klicken Sie in der Headerleiste auf Aktionen.

    Hinweis: Wenn Sie während dieses Vorgangs die nächste Suchergebnisseite aufrufen, werden alle Häkchen aus allen Kästchen entfernt und Sie müssen von vorn beginnen.

Status der Bulk-Aktionen überprüfen

In der Google Admin-Konsole lässt sich nachvollziehen, ob große Aufgaben noch in Bearbeitung oder bereits abgeschlossen sind.

Wenn eine Bulk-Aktion im Prüftool beispielsweise lange dauert, können Sie die Admin-Konsole verlassen und später zurückkehren, um den Status der Aktion zu überprüfen. 

Klicken Sie dazu einfach oben in der Admin-Konsole auf Aufgaben .

  Auf "Aufgaben" klicken.

Weitere Informationen finden Sie im Hilfeartikel Status großer Aufgaben überprüfen.

Spaltenbasiertes Ändern der Anfrage in den Suchergebnissen

Wenn sich Daten zu einem Element in den Suchergebnissen auf eine andere Datenquelle beziehen, lassen sie sich dennoch im Prüftool anzeigen. Dies ist dank des spaltenbasierten Änderns der Suchanfrage möglich. Sie können beispielsweise eine Suchanfrage für Gmail-Protokollereignisse ausführen und dann auf einen Empfänger in der entsprechenden Spalte klicken, um eine Abfrage von Drive-Ereignissen dieser Person zu erstellen. Damit lassen sich Daten zu einem bestimmten Nutzer aus zwei unterschiedlichen Datenquellen analysieren: sowohl aus den Gmail- als auch aus den Drive-Protokollereignissen.

So wechseln Sie in den Suchergebnissen von einem Gmail-Protokollereignis zu einem Drive-Protokollereignis:

  1. Nachdem Sie im Prüftool eine Suche ausgeführt haben, bewegen Sie in der Spalte „Empfänger“ den Mauszeiger auf den entsprechenden Nutzer.
  2. Klicken Sie neben diesem Nutzer auf das Dreipunkt-Menü.
  3. Wählen Sie Google Drive-Protokollereignisse und dann Inhaber aus.
    Die Suchkriterien werden automatisch für eine Suche in den Drive-Protokollereignissen eingegeben.
  4. Fügen Sie der Suche zusätzliche Bedingungen hinzu, z. B. Titel oder Sichtbarkeit.
  5. Klicken Sie auf Suchen.

Sie können die Anfrage in den Suchergebnissen auf verschiedene Weise ändern, z. B. auf Grundlage einer ganzen Spalte, des Betreffs einer Nachricht, einer Nachrichten-ID oder des Absenders.

Aktionen abbrechen

Sie können im Prüftool Aktionen abbrechen, die noch nicht abgeschlossen sind. Wenn Sie beispielsweise die Sperrung mehrerer Nutzer gestartet haben, können Sie unten auf der Seite „Prüfung“ auf Abbrechen klicken.

Wenn Sie eine Bulk-Aktion abbrechen, die bereits ausgeführt wird, erhalten Sie Teilergebnisse.

Hinweis: Exportaktionen können nur von dem Administrator abgebrochen werden, der den Export gestartet hat. Alle anderen Aktionen können von jedem Administrator abgebrochen werden, der die erforderlichen Zugriffsberechtigungen für die betreffenden Daten hat, z. B. Drive, Gmail oder Mobile.

Aktionen wiederholen

Bei einer Bulk-Aktion treten gelegentlich Suchfehler auf, z. B. wenn einige Nutzer nicht in den Suchergebnissen enthalten sind. In diesem Fall können Sie solche Aktionen wiederholen:

  1. Klicken Sie nach Abschluss einer Aktion im Prüftool auf DETAILS ANSEHEN.
  2. Klicken Sie im Steuerfeld Aktionsdetails auf WIEDERHOLEN.
  3. Klicken Sie im geöffneten Fenster auf die Aktion, zum Beispiel auf ALS SPAM MARKIEREN.

Aktionsergebnisse als Tabelle in den Ordner „Meine Ablage“ exportieren

So speichern Sie Aktionsergebnisse im Ordner „Meine Ablage“:

  1. Klicken Sie oben in der Tabelle der Aktionsergebnisse auf „Exportieren“ file_download_grey600_24dp.png.
  2. Geben Sie einen Exportnamen ein.
  3. Klicken Sie auf Exportieren.

Exportierte Aktionsergebnisse ansehen

Beim Aufrufen der exportierten Aktionsergebnisse sollten Sie Folgendes beachten:

  • Nachdem Sie oben in der Tabelle auf „Exportieren“ file_download_grey600_24dp.png geklickt haben, wird im Ordner „Meine Ablage“ eine Google-Tabelle mit den Aktionsergebnissen erstellt. Je nach Größe der Ergebnisse kann der Vorgang einige Zeit in Anspruch nehmen. Gegebenenfalls werden auch mehrere Google-Tabellen erstellt. Insgesamt können 30 Millionen Zeilen exportiert werden.
  • Während des Exports werden Google-Tabellen mit einem temporären Namen erstellt, z. B. TMP-1-<Titel>. Wenn mehrere Google-Tabellen erstellt werden, werden die weiteren Dateien mit TMP-2-<Titel>, TMP-3-<Titel> und so weiter bezeichnet. Ist der Vorgang abgeschlossen, werden die Dateien automatisch so umbenannt: <Titel> [1 of N], <Titel> [2 of N] usw. Wenn die Daten in nur eine Google-Tabelle exportiert wurden, wird sie in <Titel> umbenannt.
  • Die Freigabeberechtigungen für Dateien mit den exportierten Aktionsergebnissen richten sich nach Ihrer Domainkonfiguration. Wenn erstellte Dateien z. B. standardmäßig für alle Nutzer im Unternehmen freigegeben werden, haben die exportierten Daten dieselbe Sichtbarkeit. 

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
1103797868836440684
true
Suchen in der Hilfe
true
true
true
false
false