Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte

Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&.

Hinweis

Informationen zum automatischen Anwenden einer Vertraulichkeitsbezeichnung in der Datenzuordnung finden Sie unter Bezeichnungen in Microsoft Purview Data Map.

Wenn Sie ein Empfindlichkeitsetikett erstellen, können Sie dieses Etikett automatisch Dateien und E-Mails zuweisen, wenn es den von Ihnen angegebenen Bedingungen entspricht.

Diese Möglichkeit, Vertraulichkeitsbezeichnungen automatisch auf Inhalte anzuwenden, ist aus den folgenden Gründen wichtig:

  • Sie müssen die Benutzer nicht schulen, damit sie alle Ihre Klassifizierungen kennen.

  • Sie müssen sich nicht darauf verlassen, dass die Benutzer alle Inhalte richtig klassifizieren.

  • Benutzer müssen nicht mehr über Ihre Richtlinien Bescheid wissen, sondern können sich stattdessen auf ihre Arbeit konzentrieren.

Es gibt zwei unterschiedliche Methoden für die automatische Anwendung einer Vertraulichkeitsbezeichnung auf Inhalte in Microsoft 365:

  • Clientseitige Bezeichnung, wenn Benutzer Dokumente bearbeiten oder E-Mails verfassen (auch beantworten oder weiterleiten): Verwenden Sie ein Label, das für die automatische Bezeichnung für Dateien und E-Mails (einschließlich Word, Excel, PowerPoint und Outlook) konfiguriert ist.

    Diese Methode unterstützt das Empfehlen einer Bezeichnung für Benutzer sowie das automatische Anwenden einer Bezeichnung. In beiden Fällen entscheidet der Benutzer aber, ob die Bezeichnung angenommen oder abgelehnt werden soll, um die richtige Bezeichnung von Inhalten zu gewährleisten. Diese clientseitige Beschriftung hat nur minimale Verzögerungen für Dokumente, da die Bezeichnung noch vor dem Speichern des Dokuments angewendet werden kann. Allerdings unterstützen nicht alle Client-Apps die automatische Bezeichnung. Diese Funktion wird durch integrierte Bezeichnungen mit einigen Versionen von Office und dem Azure Information Protection Client für einheitliche Bezeichnungen unterstützt.

    Konfigurationsanweisungen finden Sie unter Konfigurieren der automatischen Bezeichnung von Office-Apps auf dieser Seite.

  • Dienstseitige Kennzeichnung, wenn der Inhalt bereits gespeichert (in SharePoint oder OneDrive) oder per E-Mail versandt (von Exchange Online verarbeitet) wurde: Verwenden Sie eine automatische Bezeichnungsrichtlinie.

    Möglicherweise wird sie auch automatische Bezeichnung für ruhende Daten (Dokumente in Microsoft Office SharePoint Online und OneDrive) und Daten im Transit (E-Mails, die von Exchange gesendet oder empfangen werden) genannt. Bei Exchange sind keine ruhenden E-Mail-Nachrichten enthalten (Postfächer).

    Da diese Bezeichnung eher von Diensten als von Anwendungen angewendet wird, müssen Sie sich keine Gedanken darüber machen, welche Apps-Benutzer über welche Version verfügen. Dies hat zur Folge, dass diese Funktion sofort in ihrer gesamten Organisation zur Verfügung steht, und sie eignet sich für Bezeichnungen jeder Größe. Richtlinien zum automatischen Bezeichnen unterstützen die empfohlene Bezeichnung nicht, da der Benutzer nicht mit dem Bezeichnungsprozess interagiert. Stattdessen führt der Administrator die Richtlinien als Simulation aus, um sicherzustellen, dass der Inhalt korrekt bezeichnet wird, bevor die Bezeichnung tatsächlich angewendet wird.

    Konfigurationsanweisungen finden Sie unter Konfigurieren von Richtlinien zum automatischen Bezeichnen für Microsoft Office SharePoint Online, OneDrive und Exchange auf dieser Seite.

    Speziell für die automatische Bezeichnung von Microsoft Office SharePoint Online und OneDrive gilt:

    • Office-Dateien für Word (.docx), PowerPoint (.pptx), und Excel (.xlsx) werden unterstützt.
      • Diese Dateien können automatisch im Ruhezustand mit einer Bezeichnung versehen werden, bevor oder nachdem die Richtlinien für automatische Bezeichnungen erstellt wurden. Dateien können nicht automatisch beschriftet werden, wenn sie Teil einer offenen Sitzung sind (die Datei ist geöffnet).
      • Anlagen von Listenelementen werden derzeit nicht unterstützt und werden nicht automatisch beschriftet.
    • Maximal 25.000 automatisch bezeichnete Dateien in Ihrem Mandanten pro Tag.
    • Maximal 100 Richtlinien für die automatische Bezeichnung pro Tenant, die jeweils auf bis zu 100 Websites (SharePoint oder OneDrive) ausgerichtet sind, wenn sie einzeln angegeben werden. Sie können auch alle Websites angeben, und diese Konfiguration ist von der Höchstzahl von 100 Websites ausgenommen.
    • Vorhandene Werte für „Geändert“, „Geändert von“ und das Datum werden aufgrund von Richtlinien für die automatische Bezeichnung nicht geändert – sowohl im Simulationsmodus als auch beim Anwenden von Bezeichnungen.
    • Wenn das Etikett die Verschlüsselung anwendet, ist der Rechteverwaltungaussteller und Rechteverwaltungbesitzer das Konto, welches die Datei zuletzt geändert hat.

    Spezifisch für die automatische Bezeichnung für Exchange gilt:

    • Im Gegensatz zur manuellen Bezeichnung oder automatischen Bezeichnung mit Office-Apps werden PDF-Anlagen sowie Office-Anlagen auch auf die Bedingungen gescannt, die Sie in Ihrer Richtlinie zur automatischen Bezeichnung angeben. Wenn es eine Übereinstimmung gibt, wird die E-Mail bezeichnet, aber nicht der Anhang.
      • Wenn für PDF-Dateien die Bezeichnung Verschlüsselung anwendet, werden diese Dateien, wenn sie nicht verschlüsselt sind, jetzt mithilfe der Nachrichtenverschlüsselung verschlüsselt, wenn Ihr Mandant für PDF-Anlagen aktiviert ist. Die angewendeten Verschlüsselungseinstellungen werden von der E-Mail übernommen.
      • Für diese Office-Dateien werden Word, PowerPoint und Excel unterstützt. Wenn das Label Verschlüsselung anwendet und diese Dateien unverschlüsselt sind, werden sie jetzt mithilfe der Nachrichtenverschlüsselung verschlüsselt. Die Verschlüsselungseinstellungen werden von der E-Mail übernommen.
    • Wenn Sie über Exchange-E-Mailflussregeln oder Microsoft Purview Data Loss Prevention (DLP)-Richtlinien verfügen, welche die IRM-Verschlüsselung anwenden: Wenn Inhalte durch diese Regeln oder Richtlinien und durch eine Richtlinie zum automatischen Bezeichnen identifiziert werden, wird die Bezeichnung angewendet. Wenn diese Bezeichnung Verschlüsselung anwendet, werden die IRM-Einstellungen aus den Exchange-E-Mail-Flussregeln oder DLP-Richtlinien ignoriert. Wenn diese Bezeichnung jedoch keine Verschlüsselung anwendet, werden die IRM-Einstellungen aus den E-Mail-Flussregeln oder DLP-Richtlinien zusätzlich zu der Bezeichnung angewendet.
    • E-Mails mit IRM-Verschlüsselung ohne Bezeichnung werden durch eine Bezeichnung mit beliebigen Verschlüsselungseinstellungen ersetzt, wenn eine Übereinstimmung mithilfe der automatischen Bezeichnung besteht.
    • Eingehende E-Mails werden bezeichnet, wenn eine Übereinstimmung mit den Bedingungen für die automatische Bezeichnung vorliegt. Wenn diese Bezeichnung für die Verschlüsselung konfiguriert ist, wird diese Verschlüsselung immer angewendet, wenn der Absender aus Ihrer Organisation stammt. Standardmäßig wird diese Verschlüsselung nicht angewendet, wenn sich der Absender außerhalb Ihrer Organisation befindet, kann aber angewendet werden, indem Sie Zusätzliche Einstellungen für E-Mail konfigurieren und einen Rights Management-Besitzer angeben.
    • Wenn die Bezeichnung Verschlüsselung anwendet, ist der Rights Management-Aussteller und Rights Management-Besitzer die Person, die die E-Mail sendet, wenn der Absender aus Ihrer eigenen Organisation stammt. Wenn sich der Absender außerhalb Ihrer Organisation befindet, können Sie einen Rights Management-Inhaber für eingehende E-Mails angeben, die gemäß Ihrer Richtlinie gekennzeichnet und verschlüsselt sind.
    • Wenn die Bezeichnung für die Anwendung dynamischer Markierungen konfiguriert ist, beachten Sie, dass diese Konfiguration bei eingehenden E-Mails dazu führen kann, dass die Namen von Personen außerhalb Ihrer Organisation angezeigt werden.

Hinweis

Für einige Neukunden bieten wir die automatische Konfiguration von Standardeinstellungen für die automatische Kennzeichnung sowohl für die clientseitige als auch für die dienstseitige Kennzeichnung an. Auch wenn Sie für diese automatische Konfiguration nicht berechtigt sind, finden Sie es möglicherweise hilfreich, auf ihre Konfiguration zu verweisen. Beispielsweise können Sie vorhandene Bezeichnungen manuell konfigurieren und Ihre eigenen Richtlinien für die automatische Bezeichnung mit denselben Einstellungen erstellen, um Ihre Bezeichnungsbereitstellung zu beschleunigen.

Weitere Informationen finden Sie unter Standardbezeichnungen und Richtlinien für Microsoft Purview Information Protection.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Vergleichen Sie das automatische Bezeichnen für Office-Anwendungen mit den Richtlinien für das automatische Bezeichnen

Verwenden Sie die folgende Tabelle, um die Unterschiede im Verhalten der beiden sich ergänzenden, automatischen Bezeichnungsmethoden zu erkennen:

Feature oder Verhalten Bezeichnungseinstellung: automatische Bezeichnung von Dateien und E-Mails Richtlinie: automatische Bezeichnung
App-Abhängigkeit Ja (Mindestversionen) Nein*
Nach Speicherort einschränken Nein Ja
Bedingungen: Freigabeoptionen und zusätzliche E-Mail-Optionen Nein Ja
Bedingungen: Ausnahmen Nein Ja (nur E-Mail)
Empfehlungen, Richtlinien-Tooltipps und Benutzer-Außerkraftsetzungen Ja Nein
Simulationsmodus Nein Ja
Exchange-Anlagen auf Bedingungen geprüft Nein Ja
Visuelle Markierungen anwenden Ja Ja (nur E-Mail)
Außerkraftsetzen der IRM-Verschlüsselung ohne Bezeichnung angewendet Ja, wenn der Benutzer das Mindestnutzungsrecht des Exportierens hat Ja (nur E-Mail)
Bezeichnen eingehender E-Mails Nein Ja
Weisen Sie einen Rights Management-Inhaber für E-Mails zu, die von einer anderen Organisation gesendet werden Nein Ja
Ersetzen Sie bei E-Mails die vorhandene Bezeichnung mit der gleichen oder einer niedrigeren Priorität Nein Ja (konfigurierbar)

* Die automatische Bezeichnung ist aufgrund einer Back-End-Azure-Abhängigkeit derzeit nicht in allen Regionen verfügbar. Wenn Ihr Mandant diese Funktionalität nicht unterstützen kann, ist die Registerkarte automatische Bezeichnung im Microsoft Purview-Complianceportal nicht sichtbar. Weitere Informationen finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land.

Bewerten mehrerer Kriterien, die für mehr als eine Bezeichnung zutreffen

Die Bezeichnungen werden zur Auswertung gemäß ihrer Position sortiert, die Sie im Complianceportal angeben: Die zuerst positionierte Bezeichnung hat die niedrigste Position (am wenigsten empfindlich, also niedrigste Priorität), und die zuletzt positionierte Bezeichnung hat die höchste Position (empfindlichste, also höchste Priorität). Die Bezeichnung mit der höchsten Bestellnummer ist ausgewählt.

Dieses Verhalten gilt auch für dienstseitige automatische Bezeichnungen (Richtlinien für automatische Bezeichnungen), wenn untergeordnete Bezeichnungen dieselbe übergeordnete Bezeichnung verwenden: Wenn nach der Auswertung und Sortierung mehr als eine Unterbezeichnung derselben übergeordneten Bezeichnung die Bedingungen für die automatische Bezeichnung erfüllt, wird die Unterbezeichnung mit der höchsten Bestellnummer ausgewählt und angewendet.

Bei der clientseitigen automatischen Bezeichnung (Einstellungen für die automatische Bezeichnung in der Bezeichnung) unterscheidet sich das Verhalten jedoch etwas. Wenn mehrere Unterbezeichnungen aus derselben übergeordneten Bezeichnung die Bedingungen erfüllen:

  • Wenn eine Datei noch nicht beschriftet ist, wird immer die Unterbezeichnung mit der höchsten Reihenfolge ausgewählt, die für die automatische Bezeichnung konfiguriert ist, und nicht die Unterbezeichnung mit der höchsten Reihenfolge, die für die empfohlene Bezeichnung konfiguriert ist. Wenn keine dieser Unterbezeichnungen für die automatische Bezeichnung konfiguriert ist, sondern nur für die empfohlene Bezeichnung, wird die Unterbezeichnung mit der höchsten Reihenfolge ausgewählt und empfohlen.

  • Wenn eine Datei bereits mit einer Untergeordneten Bezeichnung aus demselben übergeordneten Element beschriftet ist, wird keine Aktion ausgeführt, und die vorhandene Unterbezeichnung bleibt erhalten. Dieses Verhalten gilt auch, wenn die vorhandene Unterbezeichnung eine Standardbezeichnung war oder automatisch angewendet wurde.

Weitere Informationen zur Bezeichnungspriorität finden Sie unter Bezeichnungspriorität (Reihenfolge ist wichtig).

Denken Sie daran, dass Sie eine übergeordnete Bezeichnung (eine Bezeichnung mit Unterbezeichnungen) nicht auf Inhalt anwenden können. Stellen Sie sicher, dass Sie eine übergeordnete Bezeichnung nicht so konfigurieren, dass sie automatisch angewendet oder in Office-Apps empfohlen wird, und wählen Sie keine übergeordnete Bezeichnung für eine Richtlinie zum automatischen Bezeichnen aus. Wenn Sie dies tun, wird die übergeordnete Bezeichnung nämlich nicht auf den Inhalt angewendet.

Wenn Sie automatische Bezeichnungen mit Unterbezeichnungen verwenden möchten, stellen Sie sicher, dass Sie sowohl die übergeordnete Bezeichnung als auch die Unterbezeichnung veröffentlichen.

Weitere Informationen zu übergeordneten Bezeichnungen und Unterbezeichnungen finden Sie unter Unterbezeichnungen (Gruppierungsbezeichnungen).

Wird eine vorhandene Bezeichnung überschrieben?

Hinweis

Mit einer kürzlich hinzugefügten Einstellung für Richtlinien zur automatischen E-Mail-Bezeichnung können Sie festlegen, dass eine übereinstimmende Vertraulichkeitsbezeichnung immer eine vorhandene Bezeichnung überschreibt.

Standardverhalten, ob die automatische Bezeichnung eine vorhandene Bezeichnung überschreibt:

  • Wenn Inhalte manuell gekennzeichnet wurden, wird diese Bezeichnung nicht durch automatische Bezeichnung ersetzt.

  • Die automatische Bezeichnung ersetzt eine automatisch angewendete Vertraulichkeitsbezeichnung mit niedrigerer Priorität, jedoch keine Bezeichnung mit höherer Priorität.

    Tipp

    Beispielsweise heißt die Vertraulichkeitsbezeichnung oben in der Liste im Microsoft Purview-Complianceportal Öffentlich mit einer Bestellnummer (Priorität) von 0, und die Vertraulichkeitsbezeichnung am Ende der Liste heißt Streng vertraulich mit einer Bestellnummer (Priorität von 4). Die Bezeichnung Streng vertraulich kann die Bezeichnung Öffentlich überschreiben, aber nicht umgekehrt.

Nur für Richtlinien zur automatischen E-Mail-Bezeichnung können Sie eine Einstellung auswählen, um eine vorhandene Vertraulichkeitsbezeichnung immer außer Kraft zu setzen, unabhängig davon, wie sie angewendet wurde.

Vorhandene Bezeichnung Mit Bezeichnungseinstellung überschreiben: Automatisches Bezeichnen für Dateien und E-Mails Mit Richtlinie überschreiben: Automatische Bezeichnung
Manuell angewendet, beliebige Priorität Word, Excel, PowerPoint: Nein

Outlook: Nein
SharePoint und OneDrive: Nein

Exchange: Standardmäßig nein, aber konfigurierbar
Automatisch angewendete oder Standardbezeichnung aus Richtlinie, niedrigere Priorität Word, Excel, PowerPoint: Ja *

Outlook: Ja *
SharePoint und OneDrive: Ja

Exchange: Ja
Automatisch angewendete oder Standardbezeichnung aus Richtlinie, höhere Priorität Word, Excel, PowerPoint: Nein

Outlook: Nein
SharePoint und OneDrive: Nein

Exchange: Standardmäßig nein, aber konfigurierbar

* Es gibt eine Ausnahme für Untergeordnete Bezeichnungen, die dieselbe übergeordnete Bezeichnung verwenden.

Die konfigurierbare Einstellung für Richtlinien zur automatischen E-Mail-Bezeichnung befindet sich auf der Seite Zusätzliche Einstellungen für E-Mail. Diese Seite wird angezeigt, nachdem Sie eine Vertraulichkeitsbezeichnung für eine Richtlinie zur automatischen Bezeichnung ausgewählt haben, die den Exchange-Speicherort enthält.

Konfigurieren der automatischen Zuweisung von Bezeichnungen für Office-Apps

Überprüfen Sie für die integrierte Bezeichnung in Office-Apps die erforderlichen Mindestversionen, die für die automatische Bezeichnung in Office-Apps erforderlich sind.

Der Azure Information Protection Client für einheitliche Bezeichnungen unterstützt die automatische Bezeichnung nur für integrierte und benutzerdefinierte Typen vertraulicher Informationen und unterstützt keine trainierbaren Klassifizierer oder Typen vertraulicher Informationen, die Exact Data Match (EDM) oder benannte Entitäten verwenden.

Die Einstellungen für das automatische Bezeichnen für Office-Apps sind verfügbar, wenn Sie eine Vertraulichkeitsbezeichnung erstellen oder bearbeiten. Stellen Sie sicher, dass Elemente für den Bereich der Bezeichnung ausgewählt ist:

Bereichsoptionen bei Vertraulichkeitsbezeichnungen für Dateien und E-Mails.

Wenn Sie die Konfiguration durchlaufen, wird die Seite Automatische Bezeichnung für Dateien und E-Mails angezeigt, auf der Sie aus einer Liste mit vertraulichen Informationstypen oder trainierbaren Klassifizierungsmerkmalen auswählen können:

Bezeichnungsbedingungen für die automatische Zuweisung von Bezeichnungen in Office-Apps.

Wenn eine Vertraulichkeitsbezeichnung automatisch angewendet wird, wird dem Benutzer eine Benachrichtigung in der Office-App angezeigt. Zum Beispiel:

Benachrichtigung, dass auf ein Dokument automatisch eine Bezeichnung angewendet wurde.

Konfigurieren von Typen vertraulicher Informationen für eine Bezeichnung

Wenn Sie die Option Typen vertraulicher Informationen auswählen, wird dieselbe Liste vertraulicher Informationstypen wie beim Erstellen einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) angezeigt. So können Sie z. B. auf alle Inhalte, die personenbezogene Informationen von Kunden enthalten, wie z. B. Kreditkartennummern, Sozialversicherungsnummern oder Personalausweisnummern, automatisch die Bezeichnung "Streng vertraulich" anwenden:

Typen vertraulicher Informationen für die automatische Bezeichnung in Office-Apps.

Ähnlich wie bei der Konfiguration von DLP-Richtlinien können Sie dann Ihre Bedingung verfeinern, indem Sie die Anzahl der Instanzen und die Übereinstimmungsgenauigkeit ändern. Zum Beispiel:

Optionen für Übereinstimmungsgenauigkeit und Instanzanzahl.

Weitere Informationen zu diesen Konfigurationsoptionen finden Sie in der DLP-Dokumentation: Testen Ihrer Richtlinien zur Verhinderung von Datenverlust (Vorschau).

Wichtig

Bei vertraulichen Informationstypen gibt es zwei verschiedene Möglichkeiten, um die Parameter für die maximale Anzahl eindeutiger Instanzen zu definieren. Weitere Informationen finden Sie unter Unterstützte Werte für die Instanzenanzahl für SIT.

Darüber hinaus können Sie, ähnlich wie bei der Konfiguration der DLP-Richtlinien, auswählen, ob eine Bedingung alle vertraulichen Informationstypen oder nur einen dieser Typen erkennen muss. Und um Ihre Bedingungen flexibler oder komplexer zu gestalten, können Sie Gruppen hinzufügen und logische Operatoren zwischen den Gruppen verwenden.

Hinweis

Die automatische Bezeichnung basierend auf benutzerdefinierten Typen vertraulicher Informationen gilt nur für neu erstellte oder geänderte Inhalte in OneDrive und SharePoint; nicht zu vorhandenen Inhalten. Diese Einschränkung gilt auch für Richtlinien für automatische Bezeichnungen.

Benutzerdefinierte sensible Informationstypen mit genauer Datenübereinstimmung

Sie können eine Vertraulichkeitsbezeichnung so konfigurieren, dass Typen vertraulicher Informationen basierend auf genauer Datenübereinstimmung für benutzerdefinierte Typen vertraulicher Informationen verwendet wird. Derzeit müssen Sie jedoch auch mindestens einen vertraulichen Informationstyp angeben, der EDM nicht verwendet. Beispielsweise einer der integrierten Typen vertraulicher Informationen, z. B. Kreditkartennummer.

Wenn Sie eine Vertraulichkeitsbezeichnung nur mit EDM für Ihre Bedingungen des vertraulichen Informationstyps konfigurieren, wird die Einstellung für die automatische Bezeichnung für die Bezeichnung automatisch deaktiviert.

Konfigurieren von trainierbaren Klassifizierungen für eine Bezeichnung

Wenn Sie diese Option mit Microsoft 365 Apps für Windows Version 2106 oder niedriger oder Microsoft 365 Apps für Mac Version 16.50 oder niedriger verwenden, stellen Sie sicher, dass Sie in Ihrem Mandanten mindestens eine andere Vertraulichkeitsbezeichnung veröffentlicht haben, die für automatisches Bezeichnen und die Option „Typen vertraulicher Informationen“ konfiguriert ist. Diese Anforderung ist nicht erforderlich, wenn Sie höhere Versionen auf diesen Plattformen verwenden.

Wenn Sie die Option Trainierbare Klassifizierer auswählen, wählen Sie einen oder mehrere der vorab trainierten oder benutzerdefinierten trainierbaren Klassifizierer von Microsoft aus:

Optionen für trainierbare Klassifizierungen und Vertraulichkeitsbezeichnungen.

Die verfügbaren vortrainierten Klassifikatoren werden häufig aktualisiert, sodass möglicherweise mehr Einträge zur Auswahl stehen als die in diesem Screenshot angezeigten.

Weitere Informationen über diese Klassifizierer finden Sie unter Erfahren Sie mehr über trainierbare Klassifizierern.

Dem Benutzer wird das Anwenden einer Vertraulichkeitsbezeichnung empfohlen

Wenn Sie es vorziehen, können Sie Ihren Benutzern empfehlen, die Bezeichnung anzuwenden. Mithilfe dieser Option können Ihre Benutzer die Klassifizierung und alle zugehörigen Schutzmaßnahmen akzeptieren oder die Empfehlung zurückweisen, wenn die Bezeichnung für ihre Inhalte ungeeignet ist.

Option zum Empfehlen einer Vertraulichkeitsbezeichnung für Benutzer.

Im Folgenden finden Sie ein Beispiel für eine Aufforderung des Azure Information Protection-Clients mit einheitlichen Bezeichnungen, wenn Sie eine Bedingung zum Anwenden einer Bezeichnung als empfohlene Aktion konfigurieren, und einen benutzerdefinierten Richtlinientipp. Sie können den Text festlegen, der im Richtlinientipp angezeigt wird.

Aufforderung zum Anwenden einer empfohlenen Bezeichnung.

Die Implementierung der automatischen und empfohlenen Bezeichnung in Office-Apps hängt davon ab, ob Sie eine in Office integrierte Bezeichnung oder den Azure Information Protection-Client mit einheitlichen Bezeichnungen verwenden. In beiden Fällen gilt jedoch:

  • Sie können keine automatische Zuweisung von Bezeichnungen für Dokumente und E-Mails verwenden, die zuvor manuell bezeichnet oder automatisch mit einer höheren Vertraulichkeit gekennzeichnet wurden. Denken Sie daran, dass Sie einem Dokument oder einer E-Mail-Nachricht nur eine einzige Vertraulichkeitsbezeichnung zuweisen können (zusätzlich zu einer einzigen Aufbewahrungsbezeichnung).

  • Sie können die empfohlenen Bezeichnungen für Dokumente oder E-Mails, die zuvor mit einer höheren Vertraulichkeit gekennzeichnet wurden, nicht verwenden. Wenn der Inhalt bereits mit einer höheren Vertraulichkeit gekennzeichnet ist, wird dem Benutzer die Eingabeaufforderung mit der Empfehlung und dem Richtlinientipp nicht angezeigt.

Spezifisch für integrierte Bezeichnungen:

Spezifisch für Azure Information Protection-Clients mit einheitlichen Bezeichnungen:

  • Automatische und empfohlene Bezeichnungen gelten für Word, Excel und PowerPoint beim Speichern eines Dokuments, und für Outlook beim Senden einer E-Mail.

  • Damit Outlook die empfohlenen Bezeichnungen unterstützt, müssen Sie zunächst eine erweiterte Richtlinieneinstellung konfigurieren.

  • Vertrauliche Informationen können im Text von Dokumenten und E-Mails sowie in Kopf- und Fußzeilen, aber nicht in der Betreffzeile oder E-Mail-Anlagen erkannt werden.

Konvertieren Sie Ihre Bezeichnungseinstellungen in eine Richtlinie für die automatische Bezeichnung

Wenn die Bezeichnung Typen vertraulicher Informationen für die konfigurierten Bedingungen enthält, wird am Ende des Prozesses der Bezeichnungserstellung oder -bearbeitung eine Option zum automatischen Erstellen einer Richtlinie für die automatische Bezeichnung angezeigt, die auf denselben Einstellungen für die automatische Bezeichnung basiert.

Wenn die Bezeichnung jedoch trainierbare Klassifizierer als Bezeichnungsbedingung enthält:

  • Wenn die Bezeichnungsbedingungen nur trainierbare Klassifizierer enthalten, wird die Option zum automatischen Erstellen einer Richtlinie für automatische Bezeichnungen nicht angezeigt.

  • Wenn die Bezeichnungsbedingungen trainierbare Klassifizierer und Vertraulichkeitsinformationstypen enthalten, wird eine Richtlinie für die automatische Bezeichnung nur für die Typen vertraulicher Informationen erstellt.

Obwohl eine Richtlinie für die automatische Bezeichnung automatisch für Sie erstellt wird, indem die Werte automatisch aufgefüllt werden, die Sie manuell auswählen müssten, wenn Sie die Richtlinie von Grund auf neu erstellt haben, können Sie die Werte weiterhin anzeigen und bearbeiten, bevor sie gespeichert werden.

Standardmäßig sind alle Speicherorte für SharePoint, OneDrive und Exchange in der Richtlinie für die automatische Bezeichnung enthalten. Wenn die Richtlinie gespeichert wird, wird sie im Simulationsmodus ausgeführt. Es gibt keine Überprüfung, ob Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben. Dies ist eine der Voraussetzungen für die automatische Bezeichnung, die auf Inhalte in SharePoint und OneDrive angewendet werden kann.

Konfigurieren von Richtlinien für die automatische Bezeichnung von Microsoft Office SharePoint Online, OneDrive und Exchange

Vergewissern Sie sich, dass Sie die Voraussetzungen kennen, bevor Sie automatische Bezeichnungsrichtlinien konfigurieren.

Voraussetzungen für Richtlinien der automatischen Bezeichnung

  • Simulationsmodus:

    • Die Überwachung von Microsoft 365 muss aktiviert sein. Wenn Sie die Überwachung aktivieren müssen oder sich nicht sicher sind, ob die Überwachung bereits aktiviert ist, lesen Sie Aktivieren oder Deaktivieren der Überwachungsprotokollsuche.
    • Zum Anzeigen von Datei- oder E-Mail-Inhalten in der Quellansicht benötigen Sie die Rolle Datenklassifizierungs-Inhaltsanzeige, die in der Rollengruppe Inhalts-Explorer enthalten ist, oder Information Protection und Information Protection Ermittlerrollengruppen. Ohne die erforderliche Rolle wird der Vorschaubereich nicht angezeigt, wenn Sie ein Element auf der Registerkarte Übereinstimmende Elemente anklicken. Globale Administratoren verfügen nicht standardmäßig über diese Rolle.
  • Automatisches Bezeichnen von Dateien in Microsoft Office SharePoint Online und OneDrive:

  • Wenn Sie vorhaben, anstelle der integrierten Vertraulichkeitstypen benutzerdefinierte sensible Informationstypen zu verwenden:

    • Benutzerdefinierte Vertraulichkeitsinformationstypen gelten nur für Inhalte, die in SharePoint oder OneDrive hinzugefügt oder geändert werden, nachdem die benutzerdefinierten Vertraulichkeitsinformationstypen erstellt wurden.
    • Um neue benutzerdefinierte Typen sensibler Informationen zu testen, erstellen Sie diese, bevor Sie Ihre Richtlinie zum automatischen Bezeichnen erstellen, und erstellen Sie dann neue Dokumente mit Beispieldaten zum Testen.
  • Eine oder mehrere Vertraulichkeitsbezeichnungen wurden erstellt und veröffentlicht (für mindestens einen Benutzer), den Sie für Ihre Richtlinie zum automatischen Bezeichnen auswählen können. Für diese Bezeichnungen:

    • Es spielt keine Rolle, ob das automatische Bezeichnen in den Bezeichnungseinstellungen der Office-Anwendungen ein- oder ausgeschaltet ist, da diese Bezeichnungseinstellungen die Richtlinien für die automatische Bezeichnung ergänzen, wie in der Einführung erläutert.
    • Wenn die Etiketten, die Sie für die automatische Beschriftung verwenden möchten, so konfiguriert sind, dass sie visuelle Markierungen (Kopfzeilen, Fußzeilen, Wasserzeichen) verwenden, beachten Sie, dass diese nicht auf Dokumente angewendet werden.
    • Wenn die Bezeichnungen Verschlüsselung anwenden:
      • Wenn die Richtlinie für automatische Beschriftung Speicherorte für SharePoint oder OneDrive enthält, muss die Bezeichnung für die Einstellung als Jetzt Berechtigungen zuweisen konfiguriert und Benutzerzugriff auf Inhalte läuft ab auf Nie festgelegt werden.
      • Wenn die Richtlinie für automatische Beschriftung nur für Exchange gilt, kann die Bezeichnung als Jetzt Berechtigungen zuweisen oder Benutzer Berechtigungen zuweisen lassen (für die Optionen "Nicht vorwärts" oder "Nur verschlüsseln") konfiguriert werden. Sie können ein Label nicht automatisch anwenden, das für die Anwendung von S/MIME-Schutz konfiguriert ist.

Informationen zum Simulationsmodus

Der Simulationsmodus ist einzigartig für Richtlinien zum automatischen Bezeichnen und in den Arbeitsablauf eingearbeitet. Sie können Dokumente und E-Mails erst dann automatisch bezeichnen, wenn Ihre Richtlinie mindestens eine Simulation ausgeführt hat.

Der Simulationsmodus unterstützt bis zu 1.000.000 übereinstimmende Dateien. Wenn mehr als diese Anzahl von Dateien mit einer Richtlinie für automatische Bezeichnungen übereinstimmen, können Sie die Richtlinie nicht aktivieren, um die Bezeichnungen anzuwenden. In diesem Fall müssen Sie die Richtlinie für die automatische Bezeichnung neu konfigurieren, damit weniger Dateien übereinstimmen, und die Simulation erneut ausführen. Dieses Limit von 1.000.000 übereinstimmenden Dateien gilt nur für den Simulationsmodus und nicht für eine Richtlinie für automatische Bezeichnungen, die bereits zum Anwenden von Vertraulichkeitsbezeichnungen aktiviert ist.

Workflow für die Richtlinie zum automatischen Bezeichnen:

  1. Erstellen und konfigurieren Sie eine Richtlinie zum automatischen Bezeichnen.

  2. Führen Sie die Richtlinie im Simulationsmodus aus. Dies kann bis zu 12 Stunden dauern. Die abgeschlossene Simulation löst eine E-Mail-Benachrichtigung aus, die an den Benutzer gesendet wird, der für den Empfang von Aktivitätsbenachrichtigungen konfiguriert ist.

  3. Überprüfen Sie die Ergebnisse, und verfeinern Sie Ihre Richtlinie bei Bedarf. Es kann beispielsweise sein, dass Sie die Richtlinienregeln ändern müssen, um falsch positive Ergebnisse zu reduzieren, oder einige Sites entfernen, damit die Anzahl der übereinstimmenden Dateien 1.000.000 nicht überschreitet. Führen Sie den Simulationsmodus erneut aus, und warten Sie, bis er erneut abgeschlossen ist.

  4. Wiederholen Sie Schritt 3 nach Bedarf.

  5. Stellen Sie die Richtlinie in der Produktion bereit.

Die simulierte Bereitstellung wird wie der WhatIf-Parameter für PowerShell ausgeführt. Die Ergebnisse werden so gemeldet, als ob die Richtlinie zum automatischen Bezeichnen Ihre ausgewählte Bezeichnung unter Verwendung der von Ihnen definierten Regeln angewendet hätte. Sie können dann bei Bedarf Ihre Genauigkeitsregeln verfeinern und die Simulation erneut ausführen. Da die automatische Bezeichnung für Exchange für E-Mails gilt, die gesendet und empfangen werden, und nicht für E-Mails, die in Postfächern gespeichert sind, erwarten Sie jedoch nicht, dass die Ergebnisse für E-Mails in einer Simulation konsistent sind, es sei denn, Sie können die genau gleichen E-Mail-Nachrichten zu senden und zu empfangen.

Mit dem Simulationsmodus können Sie auch den Umfang Ihrer Richtlinie zum automatischen Bezeichnen vor dem Einsatz schrittweise vergrößern. Sie können z. B. mit einem einzigen Ort, wie z. B. einer Microsoft Office SharePoint Online-Website, mit einer einzigen Dokumentbibliothek beginnen. Erweitern Sie dann mit iterativen Änderungen den Geltungsbereich auf mehrere Standorte und dann auf einen anderen Standort, z. B. OneDrive.

Schließlich können Sie den Simulationsmodus verwenden, um einen Näherungswert für die Zeit zu erhalten, die für die Ausführung Ihrer Richtlinie zum automatischen Bezeichnen benötigt wird, um Ihnen bei der Planung und Terminierung zu helfen, wann diese ohne Simulationsmodus ausgeführt werden soll.

Erstellen einer Richtlinie für die automatische Bezeichnung

  1. Navigieren Sie im Microsoft Purview-Complianceportal zu „Vertraulichkeitsbezeichnungen“:

    • Lösungen>Informationsschutz

    Wenn diese Option nicht sofort angezeigt wird, wählen Sie zunächst Alle anzeigen aus.

  2. Wählen Sie die Registerkarte Automatisches Bezeichnen aus:

    Registerkarte „Automatisches Bezeichnen“.

    Hinweis

    Wenn die Registerkarte automatische Bezeichnung nicht angezeigt wird, ist diese Funktionalität aufgrund einer Azure-Back-End-Abhängigkeit in Ihrer Region derzeit nicht verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land.

  3. Wählen Sie + Richtlinie für die automatische Bezeichnung erstellen aus. Dadurch wird die Konfiguration für neue Richtlinien gestartet:

    Konfiguration für neue Richtlinien für die automatische Bezeichnung.

  4. Wählen Sie für die Seite Informationen auswählen, auf die diese Bezeichnung angewendet werden soll, eine der Vorlagen aus, z. B. Finanzen oder Datenschutz. Sie können die Suche verfeinern, indem Sie die Dropdownliste Optionen anzeigen für verwenden. Sie können aber auch Benutzerdefinierte Richtlinie auswählen, wenn die Vorlagen Ihren Anforderungen nicht entsprechen. Wählen Sie Weiter aus.

  5. Für die Seite Benennen Sie Ihre Richtlinie zum automatischen Bezeichnen: Geben Sie einen eindeutigen Namen und optional eine Beschreibung an, um die automatisch angewandte Bezeichnung, die Speicherorte und Bedingungen zu identifizieren, die den zu bezeichnenden Inhalt identifizieren.

  6. Für die Seite Wählen Sie Speicherorte aus, an denen Sie die Bezeichnung anwenden möchten: Wählen Sie Speicherorte für Exchange, SharePoint und OneDrive aus, und legen Sie diese fest. Wenn Sie die Standardeinstellung Alle eingeschlossen für die ausgewählten Standorte nicht beibehalten möchten, wählen Sie den Link aus, um bestimmte Instanzen auszuwählen, die eingeschlossen werden sollen, oder wählen Sie den Link aus, um bestimmte auszuschließende Instanzen auszuwählen. Wählen Sie dann Weiter aus.

    Seite „Speicherorte auswählen“ für die Konfiguration der automatischen Bezeichnung.

    Wenn Sie die Standardeinstellungen mit Eingeschlossen oder Ausgeschlossen ändern:

    • Für den Exchange-Speicherort wird die Richtlinie entsprechend der Absenderadresse der angegebenen Empfänger angewendet. In den meisten Fällen sollten Sie die Standardeinstellung Alle eingeschlossen beibehalten, mit Keine ausgeschlossen. Diese Konfiguration eignet sich auch dann, wenn Sie einen Test für eine Teilmenge von Benutzern durchführen. Anstatt hier Ihre Teilmenge von Benutzern anzugeben, verwenden Sie die erweiterten Regeln im nächsten Schritt, um Bedingungen zum Einschließen oder Ausschließen von Empfängern in Ihrer Organisation zu konfigurieren. Andernfalls, wenn Sie die Standardeinstellungen hier ändern:

      • Wenn Sie die Standardeinstellung Alle eingeschlossen ändern und stattdessen bestimmte Benutzer oder Gruppen auswählen, sind E-Mails, die von außerhalb Ihrer Organisation gesendet werden, von der Richtlinie ausgenommen.
      • Wenn Sie die Standardeinstellung Alle eingeschlossen beibehalten, aber Benutzer oder Gruppen angeben, die ausgeschlossen werden sollen, sind E-Mails, die von diesen ausgeschlossenen Benutzer gesendet werden, von der Richtlinie ausgenommen, nicht aber E-Mails, die diese Benutzer erhalten.
    • Informationen zu OneDrive Konten finden Sie unter Abrufen einer Liste der OneDrive-URLs aller Benutzer in Ihrer Organisation, um Ihnen dabei zu helfen, einzelne OneDrive-Konten anzugeben, die eingeschlossen oder ausgeschlossen werden sollen.

  7. Für die Seite Allgemeine oder erweiterte Regeln einrichten: Behalten Sie die Standardeinstellung Allgemeine Regeln bei, um Regeln zu definieren, mit denen zu bezeichnende Inhalte für alle ausgewählten Speicherorte identifiziert werden. Wenn Sie unterschiedliche Regeln pro Standort benötigen, einschließlich weiterer Optionen für Exchange, wählen Sie Erweiterte Regeln aus. Wählen Sie dann Weiter aus.

    Die Regeln verwenden Bedingungen, die vertrauliche Informationstypen, trainierbare Klassifizierer und Freigabeoptionen enthalten:

    • Um einen Vertraulichen Informationstyp oder einen trainierbaren Klassifizierer als Bedingung auszuwählen, wählen Sie unter Inhalt enthältdie Option Hinzufügen aus, und wählen Sie dann Typen vertraulicher Informationen oder Trainierbare Klassifizierer aus.
    • Um Freigabeoptionen als Bedingung auszuwählen, wählen Sie unter Inhalt wird freigegeben entweder nur für Personen innerhalb meiner Organisation oder für Personen außerhalb meiner Organisation aus.

    Wenn Ihr Speicherort Exchange ist und Sie Erweiterte Regeln ausgewählt haben, können Sie andere Bedingungen auswählen:

    • IP-Adresse des Absenders lautet
    • Empfängerdomäne lautet
    • Empfänger lautet
    • Dateierweiterung der Anlage lautet
    • Anlage ist passwortgeschützt
    • Der Inhalt einer E-Mail-Anlage konnte nicht vollständig gescannt werden
    • Der Inhalt einer E-Mail-Anlage wurde nicht vollständig gescannt
    • Kopfzeile stimmt mit Mustern überein
    • Betreff stimmt mit Mustern überein
    • Empfängeradresse enthält Wörter
    • Empfängeradresse stimmt mit Mustern überein
    • Absenderadresse stimmt mit Mustern überein
    • Absenderdomäne ist
    • Empfänger ist Mitglied von
    • Absender ist

    Für jede dieser Bedingungen können Sie dann Ausnahmen festlegen.

  8. Je nachdem, welche Einstellungen Sie bisher ausgewählt haben, können Sie nun neue Regeln unter Verwendung von Bedingungen und Ausnahmen erstellen.

    Die Konfigurationsoptionen für Typen sensibler Informationen sind die gleichen wie die, die Sie für das automatische Bezeichnen von Office-Anwendungen auswählen. Wenn Sie weitere Informationen benötigen, lesen Sie Konfigurieren sensibler Informationstypen für eine Bezeichnung.

    Wenn Sie alle erforderlichen Regeln definiert und bestätigt haben, dass der Status „Aktiviert“ lautet, wählen Sie Weiter aus, um mit der Auswahl einer Bezeichnung fortzufahren, die automatisch angewendet werden soll.

  9. Für die Seite Wählen Sie eine Bezeichnung zum automatischen Bezeichnen aus: Wählen Sie + Wählen Sie eine Bezeichnung aus, eine Bezeichnung aus dem Bereich Wählen Sie ein Vertraulichkeitsbezeichnung und dann Weiter aus.

  10. Wenn Ihre Richtlinie den Exchange-Speicherort enthält: Geben Sie optionale Konfigurationen auf der Seite Zusätzliche Einstellungen für E-Mail an:

    • Vorhandene Bezeichnungen mit gleicher oder niedrigerer Priorität automatisch ersetzen: Gilt sowohl für eingehende als auch für ausgehende E-Mails. Wenn Sie diese Einstellung auswählen, wird sichergestellt, dass immer eine übereinstimmende Vertraulichkeitsbezeichnung angewendet wird. Wenn Sie diese Einstellung nicht auswählen, wird keine passende Vertraulichkeitsbezeichnung auf E-Mails angewendet, die eine vorhandene Vertraulichkeitsbezeichnung mit einer höheren Priorität haben oder die manuell gekennzeichnet wurden.

    • Verschlüsselung auf E-Mails anwenden, die von außerhalb Ihrer Organisation empfangen werden: Wenn Sie diese Option auswählen, müssen Sie einen Rights Management-Eigentümer zuweisen, um sicherzustellen, dass eine autorisierte Person in Ihrer Organisation die Nutzungsrechte „Vollzugriff“ für E-Mails hat, die von außerhalb Ihrer Organisation und Ihrer Richtlinienbezeichnungen mit Verschlüsselung gesendet werden. Diese Rolle wird möglicherweise benötigt, um die Verschlüsselung später zu entfernen oder Benutzern in Ihrer Organisation andere Nutzungsrechte zuzuweisen.

      Geben Sie für Rights Management-Besitzer zuweisen einen einzelnen Benutzer mit einer E-Mail-Adresse an, die Ihrer Organisation gehört. Geben Sie keinen E-Mail-Kontakt, ein freigegebenes Postfach oder einen Gruppentyp an, da diese für diese Rolle nicht unterstützt werden.

  11. Für die Seite Entscheiden, ob Sie die Richtlinie jetzt oder später testen möchten: Wählen Sie Richtlinie im Simulationsmodus ausführen aus, wenn Sie bereit sind, die Richtlinie zum automatischen Anwenden von Bezeichnungen jetzt im Simulationsmodus auszuführen. Entscheiden Sie dann, ob die Richtlinie automatisch aktiviert werden soll, wenn sie 7 Tage lang nicht bearbeitet wird:

    Testen Sie die konfigurierte Richtlinie für die automatische Bezeichnung.

    Wenn Sie die Simulation noch nicht ausführen möchten, wählen Sie Richtlinie deaktiviert lassen.

  12. Auf der Seite Zusammenfassung: Überprüfen Sie die Konfiguration Ihrer Richtlinie für die automatische Bezeichnung, nehmen Sie die erforderlichen Änderungen vor, und schließen Sie die Konfiguration ab.

Unter Informationsschutz>Automatisches Bezeichnen wird jetzt Ihre Richtlinie zum automatischen Bezeichnen im Abschnitt Simulation oder Aus angezeigt, je nachdem, ob Sie ausgewählt haben, dass die Richtlinie im Simulationsmodus ausgeführt wird oder nicht. Wählen Sie Ihre Richtlinie aus, um die Details der Konfiguration und des Status zu sehen (z. B. Richtliniensimulation wird noch ausgeführt). Wählen Sie für Richtlinien im Simulationsmodus die Registerkarte Übereinstimmende Elemente aus, um zu sehen, welche E-Mails oder Dokumente den von Ihnen festgelegten Regeln entsprechen.

Sie können Ihre Richtlinie direkt über diese Oberfläche ändern:

  • Wählen Sie für eine Richtlinie im Abschnitt Aus die Schaltfläche Bearbeiten aus.

  • Wählen Sie für eine Richtlinie im Abschnitt Simulation auf einer der beiden Registerkarten die Schaltfläche bearbeiten oben auf der Seite aus:

    Option „Richtlinie für die automatische Bezeichnung“.

    Wenn Sie die Richtlinie ohne Simulation ausführen möchten, wählen Sie die Option Richtlinie aktivieren aus.

Richtlinien für die automatische Bezeichnung werden fortlaufend ausgeführt, bis sie gelöscht werden. So beziehen die aktuellen Richtlinieneinstellungen beispielsweise neue und geänderte Dateien ein.

Überwachen der Richtlinie für die automatische Bezeichnung

Nachdem die Richtlinie für die automatische Bezeichnung aktiviert wurde, können Sie den Status des Bezeichnens für Dateien in den ausgewählten SharePoint- und OneDrive-Speicherorten anzeigen. E-Mails werden bei der Kennzeichnung nicht berücksichtigt, da sie automatisch gekennzeichnet werden, sobald sie gesendet werden.

Der Status des Bezeichnens umfasst die Dateien, die durch die Richtlinie bezeichnet werden sollen, die Dateien, die in den letzten sieben Tagen bezeichnet wurden sowie die Gesamtanzahl der bezeichneten Dateien. Aufgrund des Bezeichnungslimits von 25.000 Dateien pro Tag erhalten Sie anhand dieser Informationen einen Einblick in den aktuellen Status des Bezeichnens für Ihre Richtlinie und sehen, wie viele Dateien noch mit Bezeichnungen versehen werden müssen.

Wenn Sie Ihre Richtlinie zum ersten Mal aufrufen, sehen Sie zunächst einen Wert von 0 für die zu kennzeichnenden Dateien, bis die neuesten Daten abgerufen werden. Diese Statusinformationen werden alle 48 Stunden aktualisiert, sodass Sie davon ausgehen können, dass Sie jeden zweiten Tag die aktuellsten Daten sehen. Wenn Sie eine Richtlinie für die automatische Bezeichnung auswählen, können Sie weitere Details zur Richtlinie in einem Flyoutbereich einsehen, darunter den Status des Bezeichnens für die 10 wichtigsten Sites. Die Informationen in diesem Flyoutbereich sind möglicherweise aktueller als die aggregierten Richtlinieninformationen, die auf der Hauptseite für die automatische Bezeichnung angezeigt werden.

Sie können die Ergebnisse der Richtlinie für die automatische Bezeichnung auch anzeigen, indem Sie Inhalts-Explorer verwenden, wenn Sie über die entsprechenden Berechtigungen verfügen:

  • Mit der Rollengruppe Inhalts-Explorer-Listenanzeige können Sie die Bezeichnung einer Datei anzeigen, jedoch nicht die Inhalte der Datei.
  • Inhalts-Explorer Inhalts-Viewer-Rollengruppe und Information Protection und Information Protection Ermittler rollengruppen ermöglichen Ihnen, den Inhalt der Datei anzuzeigen.

Tipp

Sie können den Inhalts-Explorer auch verwenden, um Speicherorte zu identifizieren, die Dokumente mit vertraulichen Informationen, aber ohne Bezeichnungen enthalten. Anhand dieser Informationen können Sie diese Speicherorte ihrer Richtlinie zur automatischen Bezeichnung hinzufügen und die identifizierten Typen vertraulicher Informationen als Regeln aufnehmen.

PowerShell für automatische Bezeichnungsrichtlinien verwenden

Sie können PowerShell zur Sicherheitskonformität & verwenden, um Richtlinien für automatische Bezeichnungen zu erstellen und zu konfigurieren. Dies bedeutet, dass Sie das Erstellen und Verwalten Ihrer automatischen Bezeichnungsrichtlinien vollständig mithilfe von Skripts durchführen können, was auch eine effizientere Methode zum Angeben mehrerer URLs für OneDrive-und SharePoint-Speicherorte darstellt.

Bevor Sie die Befehle in PowerShell ausführen, müssen Sie zunächst eine Verbindung mit Security & Compliance PowerShell herstellen.

So erstellen Sie eine neue automatische Bezeichnungsrichtlinie:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Mit diesem Befehl wird eine automatische Bezeichnungsrichtlinie für eine von Ihnen angegebene SharePoint-Website erstellt. Verwenden Sie bei einem OneDrive-Speicherort stattdessen den Parameter OneDriveLocation.

So fügen Sie einer vorhandenen automatischen Bezeichnungsrichtlinie weitere Websites hinzu:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Mit diesem Befehl werden die neuen SharePoint-URLs in einer Variablen angegeben, die dann der bestehenden automatischen Bezeichnungsrichtlinie hinzugefügt werden. Wenn Sie stattdessen OneDrive Speicherorte hinzufügen möchten, verwenden Sie den AddOneDriveLocation-Parameter mit einer anderen Variablen, z. B. $OneDriveLocations.

So erstellen Sie eine neue automatische Bezeichnungsrichtlinienregel:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Bei einer vorhandenen automatischen Bezeichnungsrichtlinie wird mit diesem Befehl eine neue Richtlinienregel erstellt, um den vertraulichen Informationstyp US-Sozialversicherungsnummer (SSN) zu ermitteln, der die Entitäts-ID a44669fe-0d48-453d-a9b1-2cc83f2cba77 hat. Entitäts-IDs anderer vertraulicher Informationstypen finden Sie unter Entitätsdefinitionen für vertrauliche Informationstypen.

Weitere Informationen zu den PowerShell-Cmdlets, die automatische Bezeichnungsrichtlinien unterstützen, deren verfügbare Parameter sowie einige Beispiele finden Sie in der folgenden Cmdlet-Hilfe:

Tipps zum Erhöhen der Kennzeichnungsreichweite

Obwohl die automatische Etikettierung eine der effizientesten Methoden zur Klassifizierung, Etikettierung und zum Schutz der Office-Dateien in Ihrem Unternehmen ist, sollten Sie prüfen, ob Sie diese mit einer der folgenden Methoden ergänzen können, um die Reichweite Ihrer Etikettierung zu erhöhen:

Erwägen Sie außerdem die Einstellung neue Dateien standardmäßig als vertraulich markieren in SharePoint einzurichten, um Gäste daran zu hindern, auf neu hinzugefügte Dateien zuzugreifen, bis mindestens eine DLP-Richtlinie den Inhalt der Datei überprüft hat.