Vertraulichkeitsbezeichnungen für Kalenderelemente und Teams-Besprechungen für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel enthält Anleitungen für organisationen der australischen Regierung bei der Anwendung von Vertraulichkeitsbezeichnungen auf Besprechungen und Kalenderelemente. Ihr Zweck ist es, Regierungsorganisationen dabei zu unterstützen, ihre Sicherheits- und Compliancereife zu erhöhen und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Es stehen zwei Optionen zur Verfügung, um den Schutz von Besprechungen und Besprechungsinhalten zu unterstützen:
- Organisationen mit E5- oder A5-Lizenzierung können Vertraulichkeitsbezeichnungen auf Kalenderelemente anwenden.
- Organisationen, die über Teams Premium Add-On-Lizenz verfügen, können diese Schutzmaßnahmen auf die Teambesprechung erweitern.
Die Option Besprechungsbereich für Vertraulichkeitsbezeichnungen steht Kunden mit E5- oder A5-Lizenzierung zur Verfügung und ermöglicht die Veröffentlichung von Bezeichnungen in Outlook- oder Teams-Kalendern. Kalenderelemente können einer obligatorischen Bezeichnungskonfiguration unterliegen. Wenn in Bezeichnungsrichtlinien aktiviert ist, werden Benutzer aufgefordert, eine Bezeichnung anzuwenden, bevor sie ein Kalenderelement erstellen oder eine Kalendereinladung senden können.
Bezeichnete Kalenderelemente erhalten clientbasierte visuelle Markierungen, um die Vertraulichkeit der Einladung und/oder des Besprechungsinhalts anzuzeigen. Per E-Mail weitergeleitete Einladungen erhalten alle konfigurierten textbasierten Header. Zum Beispiel:
Wichtig
Wenn eine Bezeichnung eine Verschlüsselung anwendet, werden die Besprechungseinladung, der Kalendereintrag und alle Anlagen über die Azure Rights Management-Verschlüsselungseinstellungen der Bezeichnung gekapselt, um sicherzustellen, dass nur autorisierte Benutzer auf die eingeschlossenen Inhalte zugreifen können. Dies schließt externe Empfänger der Besprechungseinladung ein.
Um die Bezeichnung für Kalenderelemente zu aktivieren, muss die Option Besprechungen innerhalb des Bezeichnungsbereichs ausgewählt werden.
Es sollte berücksichtigt werden, welche Bezeichnungen erfordern, dass die Besprechungsbereichsoption aktiviert wird. Wie bei Gruppen- und Websitebezeichnungen ist es sinnvoll, den Besprechungsbereich nur für Bezeichnungen ohne Informationsverwaltungsmarker (Information Management Markers, IMMs) zu aktivieren.
Im folgenden Beispiel wird diese Konfiguration veranschaulicht:
Vertraulichkeitsbezeichnung | Option "Besprechungsbereich" |
---|---|
INOFFIZIELL | EIN |
AMTLICH | EIN |
OFFICIAL Sensitive (Kategorie) | AUS |
• OFFICIAL Sensitive | EIN |
• OFFIZIELLE Sensible persönliche Privatsphäre | AUS |
• OFFICIAL Sensitive Legal Privilege | AUS |
• OFFIZIELLEs Vertrauliches Gesetzesgeheimnis | AUS |
• OFFIZIELLES SENSIBLES NATIONALES KABINETT | AUS |
PROTECTED (Kategorie) | AUS |
•GESCHÜTZT | EIN |
• GESCHÜTZTER Datenschutz | AUS |
• PROTECTED Rechtliches Privileg | AUS |
• GESCHÜTZTEs Gesetzesgeheimnis | AUS |
• GESCHÜTZTER SCHRANK | EIN |
Die Konfigurationseinstellung aus der vorherigen Tabelle zeigt, dass für alle Besprechungsanlagen (die wahrscheinlicher sind, dass sie tatsächlich vertrauliche Daten enthalten) IMMs angewendet werden können, ohne dass die Bezeichnung auf die Besprechung angewendet wird, da die automatische Bezeichnung keine Bezeichnungsänderungen innerhalb einer Reihe von Untergeordneten bezeichnungen empfiehlt.
Wenn eine Besprechung jedoch mit einer niedrigeren Ebene bezeichnet wird, z. B. OFFICIAL, und dann eine Anlage mit höherer Ebene wie PROTECTED hinzugefügt wird, werden die Einstellungen für die Bezeichnungsvererbung wirksam. Das Ergebnis ist, dass eine PROTECTED-Bezeichnung auf die Besprechung angewendet wird, um sicherzustellen, dass der Inhalt der Besprechungseinladung in Übereinstimmung mit der höchsten Bezeichnung behandelt wird, die darauf angewendet wird. Die Bezeichnungsvererbung ändert keine textbasierten Markierungen, die auf Besprechungseinladungen angewendet werden. Bezeichnungsbasierte Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust), die beschrieben werden, um eine unangemessene Verteilung sicherheitsrelevanter Informationen zu verhindern , einschließlich solcher, die Betreffmarkierungen auf E-Mails anwenden.
Hinweis
Die Bezeichnungsvererbung gilt nur über Elementanlagen. Freigabelinks, die in Besprechungseinladungen enthalten sind, heben die auf eine Besprechung angewendete Bezeichnung nicht auf. Die Bezeichnungsvererbung ist derzeit nicht in der Lage, Bezeichnungen zu überprüfen, die auf verschlüsselte Azure Rights Management-Anlagen angewendet wurden. DLP-Richtlinien sind erforderlich, um solche Inhalte zu schützen, die an Besprechungseinladungen angefügt sind.
Behördenorganisationen sollten die Korrelation zwischen der Option "Besprechungsbezeichnungsbereich" und den Kernanforderungen der PSPF-Richtlinie 8 berücksichtigen:
Anforderung | Detail |
---|---|
PSPF-Richtlinie 8, Kernanforderungen (v2018.6) | Jede Entität muss: i. Identifizieren von Informationsbeständen, ii. Bewertung der Vertraulichkeits- und Sicherheitsklassifizierung von Informationsbeständen und iii. Implementieren Sie operative Kontrollen für diese Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind. |
Durch das Aktivieren von Bezeichnungen für Besprechungen können wir die Markierungsfunktionen auf Kalenderelemente erweitern (gemäß PSPF-Richtlinie 8 Anforderung 4) und ermöglicht die Anwendung von Betriebskontrollen (z. B. Elementverschlüsselung), die für die Vertraulichkeit von Elementen relevant sind.
Anforderung | Detail |
---|---|
PSPF-Richtlinie 8, Anforderung 4: Markieren von Informationen (v2018.6) | Der Absender muss vertrauliche und sicherheitsrelevante Informationen, einschließlich E-Mails, mithilfe von entsprechenden Schutzkennzeichnungen eindeutig identifizieren. |
PSPF-Richtlinie 8, Kernanforderung C (v2018.6) | Implementieren Sie operative Kontrollen für diese Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind. |
Weitere Informationen zur Anwendung für Vertraulichkeitsbezeichnungen für Kalenderelemente finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Kalenderelementen, Teams-Besprechungen und Chats.
Wichtig
In diesem Artikel wird davon ausgegangen, dass Sie über Teams Premium Lizenzen verfügen und diese aktiviert sind. Ohne diese Lizenzierung können Sie Teams Premium Bezeichnungsbereichsoptionen nicht aktivieren.
Die E5-Lizenzierung ermöglicht es uns, die Option Besprechungsbezeichnungsbereich zu aktivieren und Vertraulichkeitsbezeichnungen auf Besprechungen anzuwenden. Microsoft Teams Premium ist eine Add-On-Lizenz, die eine Reihe von Features enthält, von denen einige außerhalb des Bereichs des aktuellen Artikels liegen. Es enthält jedoch auch mehrere erweiterte Sicherheitskontrollen, die auf Teams-Besprechungen angewendet werden können. Diese Features sind in eine Kategorie von Funktionen gruppiert, die als geschützte Besprechungen bezeichnet werden, und umfassen:
- Wasserzeichen für Besprechungen
- Richtlinien und Vorlagen zum Steuern von Einstellungen wie Lobbyumgehung und Kopieren und Einfügen von Chatinhalten
- Präzise Steuerung der Aufzeichnungsberechtigungen
- End-to-End-Verschlüsselung für Onlinebesprechungen (einschließlich Besprechungen mit mehreren Teilnehmern)
Diese Steuerelemente erweitern Markierungen und die funktionen, auf die im vorherigen Abschnitt verwiesen wird, bis hin zu tatsächlichen Teams-Besprechungen, in denen visuelle Markierungen auf die Teams-Schnittstelle angewendet werden können, um die Vertraulichkeit der behandelten Inhalte anzuzeigen.
Das Wasserzeichenfeature kann auf Besprechungshintergründe angewendet werden, die den Benutzerprinzipalnamen (User Principal Name, UPN) des angemeldeten Benutzers enthalten. Diese Wasserzeichen sollen dazu beitragen, Benutzer davon abzuhalten, informationen unangemessen offenzulegen. Wenn Sitzungsaufzeichnungen über eine Nicht-Teams-Anwendung oder ein externes Gerät aufgezeichnet werden, wird die Aufzeichnung mit der Identität des Teilnehmers gekennzeichnet. Der Benutzer wird als Urheber der nicht autorisierten Aufzeichnung identifiziert.
Teams Premium werden Teams-Besprechungsvorlagen eingeführt, mit denen Teams-Administratoren besprechungseinstellungen, die von Benutzern bei der Planung einer Besprechung ausgewählt wurden, vorkonfigurieren können. Diese Vorlagen ermöglichen die Steuerung der folgenden Einstellungen:
Einstellung | Beschreibung |
---|---|
Chat | Steuern Sie den Chat für Besprechungsteilnehmer, einschließlich der Verfügbarkeit des Chats vor und nach der Besprechung. Ermöglicht auch die Kontrolle über das Kopieren von Chatinhalten in die Zwischenablage. |
End-to-End-Verschlüsselung | Steuern der End-to-End-Verschlüsselung für Besprechungsvideos und -audio. |
Lobby | Steuern Sie, wer den Wartebereich umgehen und direkt an der Besprechung teilnehmen kann. |
Verwalten, was Den Teilnehmern angezeigt wird | Steuern Sie, ob Besprechungsorganisatoren eine Vorschau anzeigen und Inhalte genehmigen können, die auf dem Bildschirm freigegeben werden, bevor andere Besprechungsteilnehmer sie sehen können. |
Mikrofon und Kamera für Teilnehmer | Steuerelemente stummschalten und Kameraverwendung für Besprechungsteilnehmer. |
Benachrichtigen, wenn Anrufer beitreten und diese verlassen | Geben Sie einen Ton wieder, wenn Personen, die per Telefon anrufen, an der Besprechung teilnehmen oder diese verlassen. |
F&A | Steuern der Verwendung des Q&A-Features während der Besprechung. |
Reaktionen | Steuern Sie die Verwendung von Reaktionen und Handheben in der Besprechung. |
Aufzeichnung | Steuern Sie, wer aufzeichnen kann und ob die Besprechung automatisch aufgezeichnet wird. |
Vertraulichkeitsbezeichnung | Geben Sie die Vertraulichkeitsbezeichnung an, die für die Besprechung verwendet werden soll. |
Wasserzeichen | Wenden Sie Wasserzeichen auf Kamerafeeds und Inhalte an, die in der Besprechung auf dem Bildschirm freigegeben werden. |
Diese Vorlagen können Benutzern zur Verfügung gestellt werden, indem die Vorlagen auf bestimmte Benutzergruppen ausgerichtet werden.
Diese Vorlagen können über die Teams-Administratorkonfiguration an Benutzer gerichtet werden oder an der Bezeichnungskonfiguration ausgerichtet werden, sodass Einstellungen basierend auf der Vertraulichkeit einer Besprechung gesteuert werden können.
Dies ist ein Beispiel für eine präzise Steuerung der Besprechungseinstellungen basierend auf der Bezeichnung, die auf die Besprechung angewendet wird:
Einstellung | AMTLICH | OFFICIAL: Vertraulich | GESCHÜTZT |
---|---|---|---|
Kamera zulassen | Ein | Ein | Ein |
Mikrofon zulassen | Ein | Ein | Ein |
Anwenden des Wasserzeichens | Off | Ein | Ein |
End-to-End-Verschlüsselung | Off | Off | Ein |
Besprechungschat | Ein | Nur in besprechungsinternen Besprechungen | Nur in besprechungsinternen Besprechungen |
Weitere Informationen zu diesen Features finden Sie unter Übersicht über benutzerdefinierte Besprechungsvorlagen in Microsoft Teams.
Sobald die Option Besprechungsbezeichnungsbereich aktiviert ist und Teams Premium Lizenzierung auf die Umgebung angewendet wird, stehen die Teams-Besprechungsbereichsoptionen innerhalb der Bezeichnungskonfiguration zur Verfügung.
Einige Optionen, z. B. Lobby- und Präsentationseinstellungen, können über andere Methoden konfiguriert werden, z. B. über das Teams Admin Center. Das Konfigurieren dieser Optionen pro Bezeichnung ermöglicht eine präzise Steuerung dieser Einstellungen basierend auf der Vertraulichkeit von Elementen.
Die End-to-End-Besprechungsverschlüsselung (E2EE) von Microsoft Teams ermöglicht die erweiterte Verschlüsselung von Teams-Besprechungen. Ohne diese Funktion sind Teams-Daten weiterhin verschlüsselt. E2EE fügt jedoch zusätzliche Schutzebenen hinzu, indem sichergestellt wird, dass nur Besprechungsteilnehmer Besprechungsdaten entschlüsseln können. Dadurch wird verhindert, dass alle nicht angegebenen Parteien auf den Inhalt zugreifen.
Wenn Teams-Besprechungen über E2EE verschlüsselt werden, wird oben auf dem Microsoft Teams-Anrufbildschirm ein Vorhängeschloss angezeigt. Dieses Vorhängeschlosssymbol entspricht dem Symbol, das auf der Bezeichnung verschlüsselter E-Mails und Dokumente sichtbar ist.
Teams-Besprechungs-Verschlüsselungskontrollen entsprechen PSPF-Richtlinie 8 Anhang A – Übertragungsanforderungen (v2018.6):
Sicherheitsklassifizierung | Übertragungsanforderungen |
---|---|
OFFICIAL Vertraulich | Verschlüsseln von OFFICIAL: Vertrauliche Informationen, die über eine öffentliche Netzwerkinfrastruktur oder über ungesicherte Bereiche (einschließlich Zone 1-Sicherheitsbereichen) übertragen werden, es sei denn, das verbleibende Sicherheitsrisiko, dass dies nicht geschieht, wurde von der Entität erkannt und akzeptiert. |
GESCHÜTZT | Verschlüsseln Sie PROTECTED-Informationen für jede Kommunikation, die nicht über ein PROTECTED-Netzwerk (oder netzwerk mit höherer Klassifizierung) erfolgt. |
Wichtig
Durch aktivieren von E2EE werden einige Features von Teams-Diensten deaktiviert. Aus diesen Gründen ist eine sorgfältige Prüfung der Auswirkungen von E2EE erforderlich.