Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

  • Artikel

Mit Vertraulichkeitsbezeichnungen können Sie den Zugriff auf Ihre Inhalte in Office 365-Anwendungen und in Containern wie Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Sites steuern. Sie schützen Inhalte, ohne die Zusammenarbeit der Benutzer zu behindern. Verwenden Sie Vertraulichkeitsbezeichnungen, um organisationsweite Inhalte unabhängig von Gerät, App und Dienst zu senden und gleichzeitig Daten zu schützen. Vertraulichkeitsbezeichnungen helfen Organisationen bei der Einhaltung von Compliance- und Sicherheitsrichtlinien.

Weitere Informationen zu Vertraulichkeitsbezeichnungen finden Sie hier.

Voraussetzungen

Dieser Artikel ist die Nummer 8 in einer Serie von 10 Artikeln. Wir empfehlen, dass Sie die Artikel der Reihe nach lesen. Wechseln Sie zum Abschnitt Nächste Schritte, um die gesamte Serie anzuzeigen.

Zuweisen einer Klassifizierung und Erzwingen von Schutzeinstellungen

Sie können Inhalte klassifizieren, ohne Schutzeinstellungen hinzuzufügen. Die zugewiesene Inhaltsklassifizierung bleibt erhalten, wenn der Inhalt verwendet und weitergegeben wird. Die Klassifizierung generiert Nutzungsberichte mit Daten zu Aktivitäten für vertrauliche Inhalte.

Erzwingen von Schutzeinstellungen, z. B. Verschlüsselung, Wasserzeichen und Zugriffseinschränkungen: Ein Beispiel: Benutzer wenden die Bezeichnung „Vertraulich“ auf ein Dokument oder auf eine E-Mail an. Die Bezeichnung kann den Inhalt verschlüsseln und ein Wasserzeichen für Vertraulichkeit hinzufügen. Darüber hinaus können Sie eine Vertraulichkeitsbezeichnung auf einen Container (beispielsweise eine SharePoint-Site) anwenden und den Zugriff externer Benutzer verwalten.

Weitere Informationen:

Mit Vertraulichkeitsbezeichnungen von Containern kann der Zugriff auf den Container eingeschränkt werden, aber die Bezeichnung wird nicht an die Inhalte des Containers vererbt. So kann ein Benutzer beispielsweise Inhalte von einer geschützten Site herunterladen und dann ohne Einschränkungen weitergeben, es sei denn, der Inhalt wurde mit einer Vertraulichkeitsbezeichnung versehen.

Hinweis

Zum Anwenden von Vertraulichkeitsbezeichnungen müssen sich Benutzer bei ihrem Geschäfts-, Schul- oder Unikonto von Microsoft anmelden.

Berechtigungen zum Erstellen und Verwalten von Vertraulichkeitsstufen

Teammitglieder, die Vertraulichkeitsbezeichnungen erstellen müssen, benötigen Berechtigungen für Folgendes:

Standardmäßig haben globale Mandantenadministratoren Zugriff auf Admin Centers und können Zugriff gewähren, ohne Mandantenadministratorberechtigungen zu erteilen. Fügen Sie Benutzer den folgenden Rollengruppen hinzu, um diesen delegierten eingeschränkten Administratorzugriff zu erreichen:

  • Compliancedatenadministrator,
  • Complianceadministrator oder
  • Sicherheitsadministrator

Strategie für Vertraulichkeitsbezeichnungen

Bei der Planung der Governance für den externen Zugriff auf Ihre Inhalte müssen unter anderem Inhalte, Container und E-Mails berücksichtigt werden.

Hohe, mittlere oder geringe geschäftliche Auswirkungen

Um hohe Geschäftliche Auswirkungen (HBI), mittlere Geschäftswirkungen (MBI) oder geringe Geschäftliche Auswirkungen (LBI) für Daten, Websites und Gruppen zu definieren, sollten Sie die Auswirkungen auf Ihre Organisation, wenn die falschen Inhaltstypen freigegeben werden, berücksichtigen.

Überlegen Sie, auf welche Inhaltskategorien externe Benutzer keinen Zugriff haben dürfen (beispielsweise Container und verschlüsselte Inhalte). Sie können Vertraulichkeitsbezeichnungen verwenden, eine Verschlüsselung erzwingen oder Containerzugriffseinschränkungen nutzen.

E-Mails und Inhalte

Vertraulichkeitsbezeichnungen können automatisch oder manuell auf Inhalte angewendet werden.

Weitere Informationen finden Sie unter Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte.

Vertraulichkeitsbezeichnungen für E-Mails und Inhalte

Eine Vertraulichkeitsbezeichnung in einem Dokument oder in einer E-Mail ist anpassbar, als Klartext angegeben und persistent.

  • Anpassbar: Sie können Bezeichnungen für Ihre Organisation erstellen und die resultierenden Aktionen bestimmen.
  • Klartext: Wird in Metadaten integriert und ist für Anwendungen und Dienste lesbar.
  • Persistenz: Stellt sicher, dass die Bezeichnung und die zugehörigen Schutzmechanismen beim Inhalt bleiben und die Erzwingung von Richtlinien ermöglichen.

Hinweis

Inhaltselemente können jeweils mit einer einzelnen Vertraulichkeitsbezeichnung versehen werden.

Container

Bestimmen Sie die Zugriffskriterien, wenn Microsoft 365-Gruppen, Teams oder SharePoint-Sites mit Vertraulichkeitsbezeichnungen eingeschränkt werden. Sie können Inhalte in Containern mit einer Bezeichnung versehen oder die automatische Bezeichnungsfunktion für Dateien in SharePoint, OneDrive usw. verwenden.

Weitere Informationen finden Sie unter Erste Schritte mit Vertraulichkeitsbezeichnungen.

Vertraulichkeitsbezeichnungen in Containern

Sie können Vertraulichkeitsbezeichnungen auf Container wie Microsoft 365-Gruppen, Microsoft Teams und SharePoint-Sites anwenden. Vertraulichkeitsbezeichnungen für einen unterstützten Container wenden die Klassifizierungs- und Schutzeinstellungen auf die verbundene Site oder Gruppe an. Vertraulichkeitsbezeichnungen für diese Container können Folgendes steuern:

  • Datenschutz: Wählen Sie die Benutzer aus, die die Site anzeigen können.

  • Zugriff externer Benutzer: Legen Sie fest, ob Gruppenbesitzer einer Gruppe Gäste hinzufügen können

  • Zugriff über nicht verwaltete Geräte: Entscheiden Sie, ob und wie nicht verwaltete Geräte auf Inhalte zugreifen können

    Screenshot der Optionen und Einträge unter „Website- und Gruppeneinstellungen“.

Vertraulichkeitsbezeichnungen, die auf einen Container (beispielsweise eine SharePoint-Site) angewendet werden, werden nicht auf den Inhalt im Container angewendet, sondern steuern den Zugriff auf den Inhalt im Container. Bezeichnungen können automatisch auf den Inhalt im Container angewendet werden. Wenn Benutzer die Möglichkeit haben sollen, Bezeichnungen manuell auf Inhalte anzuwenden, aktivieren Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive.

Weitere Informationen:

Implementieren von Vertraulichkeitsbezeichnungen

Nachdem Sie sich Gedanken zur Verwendung von Vertraulichkeitsbezeichnungen gemacht haben, können Sie sich die folgende Dokumentation mit Informationen zur Implementierung ansehen:

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

  1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

  2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

  3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

  4. Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

  5. Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit

  6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

  7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

  8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen (Sie sind hier)

  9. Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID

  10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten