← Terug naar blog
Security

Purview Triage Agent: DLP-alerts automatisch triageren en afhandelen via Teams

Door Zarioh Digital Solutions5 min leestijd
Delen
Purview Triage Agent: DLP-alerts automatisch triageren en afhandelen via Teams

Microsoft Purview introduceert de Data Security Triage Agent: een AI-agent die DLP-alerts automatisch triageert en gebruikers via Teams vraagt om gevoelige bestanden zelf te herstellen. Public preview is in juni 2026 gestart. Wat doet het precies, welke licentie heb je nodig en hoe zet je het aan?

DLP heeft altijd een fundamenteel probleem gehad: per dag genereren SharePoint, OneDrive, Exchange en Teams tientallen tot honderden meldingen. Compliance-medewerkers moeten handmatig beoordelen welke alerts echt risico vormen, wie het betreffende bestand heeft aangemaakt, hoe gevoelig de data is en wat de gebruiker moet doen om de situatie op te lossen. In grotere omgevingen stapelen meldingen zich op en gaan de meest relevante signalen verloren in de ruis.

Microsoft Purview introduceert daar nu een structureel antwoord op: de Data Security Triage Agent. Deze AI-agent triageert DLP-alerts automatisch en stuurt gebruikers via Teams een bericht om gevoelige bestanden zelf te verbeteren. De public preview is eind juni 2026 gestart en de uitrol over tenants loopt door tot eind juli 2026.

Wat doet de Triage Agent precies?

De Data Security Triage Agent analyseert inkomende DLP-meldingen voor bestanden op SharePoint en OneDrive. Niet elke alert bereikt de eindgebruiker: alleen meldingen die de agent classificeert als 'Needs attention' komen in aanmerking voor de geautomatiseerde remediation-flow. Alerts die als laagrisico worden beoordeeld, worden gefilterd en blijven in de Purview-console voor optionele handmatige review.

De agent weegt meerdere factoren bij zijn beoordeling: het type gevoelige informatie dat werd gedetecteerd, het beleid dat is overtreden, de deelstatus van het bestand en de aanwezigheid van externe toegang. Door al die context samen te nemen, onderscheidt het systeem een inadvertent gedeeld HR-document van een situatie die directe aandacht vereist.

Teams als escalatiekanaal

Zodra de agent een alert markeert als 'Needs attention', stuurt het systeem automatisch een Teams-bericht naar de persoon die het bestand het meest recent heeft gewijzigd. In dat bericht staat welk bestand het betreft, waarom het een DLP-overtreding veroorzaakt en wat de gebruiker concreet moet doen: de toegang beperken, gevoelige inhoud verwijderen of een uitzondering aanvragen via de daarvoor bestemde stroom.

Als de gebruiker niet reageert, stuurt de agent dagelijkse herinneringen. Het aantal herinneringsdagen is configureerbaar door de tenant-beheerder. Zodra de gebruiker de gevraagde actie heeft ondernomen, stopt de reeks automatisch. Voor compliance-teams betekent dit dat ze kunnen vertrouwen op een geautomatiseerd escalatieproces zonder elke melding handmatig te hoeven opvolgen en de gebruiker persoonlijk te moeten benaderen.

De feature is standaard uitgeschakeld en vereist expliciete opt-in. Dat is bewust: de instelling heeft direct zichtbare impact op eindgebruikers en moet daarom weloverwogen worden geactiveerd, niet automatisch draaien zonder dat IT-beheer daar expliciet voor heeft gekozen.

AI-redeneertraces en betrouwbaarheidsscores

De huidige public preview-versie triageert alerts, maar geeft nog geen zichtbare onderbouwing van de AI-beslissing. Dat verandert in augustus 2026 wanneer Microsoft een verdere uitbreiding in preview brengt: redeneertraces en betrouwbaarheidsscores. Een redeneeringstrace is een beknopte tekstuele uitleg van de redenering van de agent, vergelijkbaar met hoe een compliance-analist zijn oordeel zou beschrijven. Waarom scoorde dit bestand hoog? Welke combinatie van signalen leidde tot de 'Needs attention'-classificatie?

De betrouwbaarheidsscore geeft aan hoe zeker de agent is van zijn oordeel. Beide elementen zijn bedoeld voor interne auditdoeleinden en voor compliance-medewerkers die het oordeel van de agent willen toetsen of overrulen. Ze worden zichtbaar in de Purview-console en zijn toegankelijk via een RBAC-rol die aansluit op de bestaande Purview-rolgroepen voor DLP-beheer. De algemene beschikbaarheid staat gepland voor september 2026.

Vereiste licentie

De Data Security Triage Agent vereist een Microsoft 365 E5 of Office 365 E5 licentie, of een aparte Purview Compliance-add-on. De functionaliteit is niet beschikbaar in Business- of F-licenties en ook niet in E3 zonder add-on. Voor organisaties die al op E5 zitten, is er geen extra licentieactie vereist: de functionaliteit wordt automatisch beschikbaar gemaakt zodra de tenant-rollout is bereikt. De tenant-beheerder ontvangt een bericht in het Message Center voordat de rollout begint.

Hoe activeert u het?

Activering verloopt via het Microsoft Purview-portal. Navigeer naar Data Loss Prevention en open de instellingen van de Data Security Triage Agent. Schakel de Teams-remediatieoptie in en configureer het gewenste aantal herinneringsdagen. U kunt ook de scope beperken: op welke SharePoint-sites en OneDrive-accounts de agent actief is. Voor een eerste uitrol is het verstandig te starten met een beperkte scope, zodat u de gebruikerservaring en de kwaliteit van de triageerbeslissingen kunt evalueren voordat u de agent breder inzet.

Overweeg ook te communiceren richting medewerkers voordat de agent live gaat. Een Teams-bericht van 'Microsoft Purview' dat vraagt om actie op een bestand kan onwennig overkomen als gebruikers niet weten dat hun organisatie DLP-beleid actief handhaaft. Een korte interne aankondiging verhoogt de kans op snelle en correcte respons aanzienlijk.

Beperkingen om te kennen

De Teams-remediation werkt op dit moment uitsluitend voor SharePoint- en OneDrive-locaties. Exchange-alerts, Teams-chatberichten en Endpoint DLP-meldingen vallen buiten de scope van de geautomatiseerde flow. Dit is een bewuste afbakening: bestanden in SharePoint en OneDrive zijn het meest voorkomende kanaal voor onbedoeld oversharing, en de remediation-actie die van de gebruiker wordt gevraagd, is in die context het meest helder en uitvoerbaar.

Niet elke DLP-alert bereikt de Teams-stroom: alleen meldingen die de agent classificeert als 'Needs attention' worden naar de gebruiker gestuurd. Dat is bewust ontworpen om ruis te vermijden. Hoeveel alerts dat zijn in uw omgeving, hangt af van de DLP-beleidsregels die u hebt geconfigureerd en hoe strikt of permissief die zijn ingesteld.

Wat betekent dit voor uw compliance-aanpak?

Voor IT-teams en compliance-functionarissen biedt de Triage Agent een tastbare tijdsbesparing. In plaats van handmatig door een lijst meldingen te gaan en gebruikers via e-mail of telefoon te benaderen, stroomlijnt de agent het hele escalatieproces. Gebruikers worden bereikt via het kanaal waar ze toch al actief zijn, waardoor de drempel voor respons lager ligt. Doordat remediaties automatisch worden bijgehouden, beschikt de compliance-afdeling over een audittrail zonder extra handmatig werk.

De Triage Agent past in een bredere verschuiving die zichtbaar is in Microsoft Purview: van een portaal waar compliance-medewerkers handmatig alerts doorzoeken naar een proactief systeem dat zelf prioriteert, escaleert en bijhoudt. In combinatie met de Data Security Posture Agent, die oversharing en blootstelling van gevoelige gegevens proactief detecteert, ontstaat een gelaagde verdedigingslinie die aansluit bij wat organisaties van een modern DLP-stelsel mogen verwachten.

Wilt u de Purview Triage Agent activeren in uw tenant, uw huidige DLP-configuratie laten doorlichten of een implementatieplan opstellen voor een bredere Purview-uitrol? Neem contact op met Zarioh. We begeleiden organisaties bij het inrichten van Microsoft Purview, van beleidsontwerp tot rollout en gebruikerscommunicatie.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen