Erste Schritte mit Vertraulichkeitsbezeichnungen

Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&.

Informationen darüber, was Vertraulichkeitsbezeichnungen sind und wie sie Ihnen helfen, die Daten Ihrer Organisation zu schützen, finden Sie unter Weitere Informationen zu Vertraulichkeitsbezeichnungen.

Wenn Sie bereit sind, die Daten Ihrer Organisation mit Vertraulichkeitsbezeichnungen zu schützen:

  1. Erstellen Sie die Bezeichnungen. Erstellen und benennen Sie Ihre Vertraulichkeitsbezeichnungen gemäß der Klassifizierungstaxonomie Ihrer Organisation für unterschiedliche Vertraulichkeitsstufen von Inhalten. Verwenden Sie allgemeine Namen oder Ausdrücke, die für Ihre Benutzer leicht verständlich sind. Wenn Sie noch nicht über eine festgelegte Taxonomie verfügen, können Sie mit Bezeichnungen wie "Privat", "Öffentlich", "Allgemein", "Vertraulich" und "Hoch vertraulich" beginnen. Danach können Sie Unterbezeichnungen verwenden, um ähnliche Bezeichnungen nach Kategorien zu gruppieren. Wenn Sie eine Bezeichnung erstellen, verwenden Sie den QuickInfo-Text, damit Benutzer die entsprechende Bezeichnung auswählen können.

    Eine ausführlichere Anleitung zum Definieren einer Klassifizierungstaxonomie finden Sie im Service Trust Portal im Whitepaper "Taxonomie für Vertraulichkeitsbezeichnungen für die Datenklassifizierung&".

  2. Legen Sie fest, wozu jede einzelne Bezeichnung dient. Konfigurieren Sie die Schutzeinstellungen, die mit den einzelnen Bezeichnungen verknüpft werden sollen. Für Inhalte mit geringer Vertraulichkeitsstufe (z.B. mit der Bezeichnung „Allgemein“) können Sie beispielsweise nur eine Kopf- oder Fußzeile benutzen, während für Inhalt mit höheren Vertraulichkeitsstufen (z.B. die Bezeichnung „Vertraulich“) ein Wasserzeichen und eine Verschlüsselung angewendet werden sollten.

  3. Veröffentlichen Sie die Bezeichnungen. Nachdem Sie die Vertraulichkeitsbezeichnungen konfiguriert haben, können Sie sie mithilfe einer Bezeichnungsrichtlinie veröffentlichen. Legen Sie fest, welche Benutzer und Gruppen die Bezeichnungen haben sollen und welche Richtlinieneinstellungen verwendet werden. Eine einzelne Bezeichnung kann wiederverwendet werden – Sie definieren eine Bezeichnung nur einmal und können sie anschließend in mehrere Bezeichnungsrichtlinien einfügen, die unterschiedlichen Benutzern zugewiesen sind. So könnten Sie beispielsweise mit Vertraulichkeitsbezeichnungen beginnen, indem Sie nur wenigen Benutzern eine Kennzeichnungsrichtlinie zuweisen. Wenn Sie dann bereit sind, die Bezeichnungen für Ihre gesamte Organisation bereitzustellen, können Sie eine neue Bezeichnungsrichtlinie für Ihre Bezeichnungen erstellen und dieses Mal alle Benutzer angeben.

Tipp

Möglicherweise haben Sie Anspruch auf die automatische Erstellung von Standardlabels und eine Standardlabelrichtlinie, die die Schritte 1 bis 3 für Sie übernimmt. Weitere Informationen finden Sie unter Standardbezeichnungen und Richtlinien für Microsoft Purview Information Protection.

Im Folgenden werden die grundlegenden Schritte für die Bereitstellung und Anwendung von Vertraulichkeitsbezeichnungen beschrieben:

Diagramm mit Workflow für Vertraulichkeitsbezeichnungen.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Abonnement- und Lizenzierungsanforderungen für Vertraulichkeitsbezeichnungen

Eine Reihe verschiedener Abonnements unterstützen Vertraulichkeitsbezeichnungen, und die Lizenzierungsanforderungen für Benutzer hängen von den von Ihnen verwendeten Features ab.

Informationen zu den Optionen für die Lizenzierung Ihrer Benutzer, um von Microsoft Purview-Features zu profitieren, finden Sie im Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&. Informationen zu Vertraulichkeitsbezeichnungen finden Sie im Abschnitt Microsoft Purview Information Protection: Vertraulichkeitsbezeichnungen und dem zugehörigen PDF-Download für Lizenzierungsanforderungen auf Featureebene.

Für das Erstellen und Verwalten von Vertraulichkeitsbezeichnungen erforderliche Berechtigungen

Mitglieder Ihres Complianceteams, die Vertraulichkeitsbezeichnungen erstellen, benötigen Berechtigungen für das Microsoft Purview-Complianceportal.

Standardmäßig haben globale Administratoren für Ihren Mandanten Zugriff auf dieses Admin Center und können Compliance Officern und anderen Personen Zugriff gewähren, ohne ihnen alle Berechtigungen eines Mandantenadministrators zu erteilen. Für diesen eingeschränkten Administratorzugriff können Sie die folgenden Rollengruppen verwenden:

  • Information Protection
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Um eine Erläuterung der einzelnen Rollen und der darin enthaltenen Rollen zu finden, wählen Sie eine Rollengruppe im Microsoft Purview-Complianceportal>Berechtigungsrollen &>ComplianceCenter-Rollen> aus, und überprüfen Sie dann die Beschreibung im Flyoutbereich. Oder siehe Rollengruppen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance.

Alternativ zur Verwendung der Standardrollen können Sie eine neue Rollengruppe erstellen und dieser Gruppe die Rolle Vertraulichkeitsbezeichnungsadministrator hinzufügen. Verwenden Sie für eine schreibgeschützte Rolle den Vertraulichkeitsbezeichnungen-Leser.

Eine weitere Möglichkeit ist das Hinzufügen von Benutzern zur Rollengruppe Compliancedatenadministrator, Complianceadministrator oder Sicherheitsadministrator .

Anweisungen zum Hinzufügen von Benutzern zu den standardmäßigen Rollengruppen oder Rollen oder zum Erstellen eigener Rollengruppen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.

Diese Berechtigungen sind nur zum Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Bezeichnungsrichtlinien erforderlich. Sie müssen die Bezeichnungen in Apps oder Diensten nicht anwenden. Wenn für bestimmte Konfigurationen, die sich auf Vertraulichkeitsbezeichnungen beziehen, zusätzliche Berechtigungen erforderlich sind, sind diese Berechtigungen in den entsprechenden Dokumentations-Anweisungen aufgelistet.

Unterstützung für Verwaltungseinheiten

Vertraulichkeitsbezeichnungen werden nun in der Vorschauversion eingeführt und unterstützen verwaltungstechnische Einheiten, die in Azure Active Directory konfiguriert wurden:

  • Sie können Mitgliedern von Rollengruppen, die mit Microsoft Purview Information Protection verwendet werden, Verwaltungseinheiten zuweisen. Bearbeiten Sie diese Rollengruppen, wählen Sie einzelne Mitglieder und dann die Option Administratoreinheiten zuweisen aus, um Verwaltungseinheiten aus Azure Active Directory auszuwählen. Diese Administratoren sind jetzt darauf beschränkt, nur die Benutzer in diesen Verwaltungseinheiten zu verwalten.

  • Sie können den anfänglichen Bereich von Vertraulichkeitsbezeichnungsrichtlinien und Richtlinien für automatische Bezeichnungen für Exchange definieren, wenn Sie diese Richtlinien erstellen oder bearbeiten. Wenn Sie Verwaltungseinheiten auswählen, sind nur die Benutzer in diesen Verwaltungseinheiten für die Richtlinie berechtigt.

Wichtig

Wählen Sie keine Verwaltungseinheiten für eine Richtlinie für automatische Bezeichnungen aus, die Sie auf Dokumente in SharePoint oder OneDrive anwenden möchten. Da Verwaltungseinheiten nur Benutzer und Gruppen unterstützen, können Sie die Optionen für SharePoint und OneDrive nicht auswählen, wenn Sie eine Richtlinie für automatische Bezeichnungen für die Verwendung von Verwaltungseinheiten konfigurieren.

Weitere Informationen zur Unterstützung von Verwaltungseinheiten in Microsoft Purview finden Sie unter Verwaltungseinheiten.

Bereitstellungsstrategie für Vertraulichkeitsbezeichnungen

Eine erfolgreiche Strategie zur Bereitstellung von Vertraulichkeitsbezeichnungen in einer Organisation ist es, ein virtuelles Team ins Leben zu rufen, das die geschäftlichen und technischen Anforderungen, die Proof of Concept-Überprüfung, interne Prüfpunkte und Genehmigungen sowie die endgültige Bereitstellung für die Produktumgebung ermittelt und verwaltet.

Wir empfehlen, mithilfe der Tabelle im nächsten Abschnitt ihre ein oder zwei wichtigsten Szenarien zu ermitteln, die Ihre wirksamsten geschäftlichen Anforderungen abbilden. Kehren Sie nach dem Bereitstellen dieser Szenarien zur Liste zurück, um die nächsten ein oder zwei Prioritäten für die Bereitstellung zu ermitteln.

Hinweis

Wenn Sie das AIP-Add-In für die Bezeichnung in Office-Apps verwenden, empfehlen wir Ihnen, zur integrierten Bezeichnung zu wechseln. Weitere Informationen finden Sie unter Migrieren des Azure Information Protection-Add-Ins (AIP) zur integrierten Bezeichnung für Office-Apps.

Häufige Szenarien für Vertraulichkeitsbezeichnungen

In allen Szenarien müssen Sie Vertraulichkeitsbezeichnungen und deren Richtlinien erstellen und konfigurieren.

Ich möchte... Dokumentation
Verwalten von Vertraulichkeitsbezeichnungen für Office-Apps, sodass der Inhalt bei seiner Erstellung mit Bezeichnungen versehen wird – enthält Unterstützung für manuelle Bezeichnung auf allen Plattformen Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps
Erweitert die Bezeichnung auf den Datei-Explorer und PowerShell mit zusätzlichen Features für Office-Apps unter Windows (falls erforderlich). Azure Information Protection-Clients mit einheitlichen Bezeichnungen für Windows
Verschlüsseln von Dokumenten und E-Mails mit Vertraulichkeitsbezeichnungen sowie Einschränken, wer darauf zugreifen kann und wie diese Inhalte verwendet werden können Einschränken des Zugriffs auf Inhalte mithilfe der Vertraulichkeitsbezeichnungen zur Verschlüsselung
Schützen von Teams-Besprechungen von Besprechungseinladungen und -antworten bis hin zum Schutz der Besprechung selbst und des zugehörigen Chats Verwenden von Vertraulichkeitsbezeichnungen zum Schutz von Kalenderelementen, Teams-Besprechungen und Chats
Aktivieren Sie Vertraulichkeitsbezeichnungen für Office im Web mit Unterstützung für die gemeinsame Dokumenterstellung, eDiscovery, Verhinderung von Datenverlust und Suche – sogar für verschlüsselte Dokumente. Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive
Dateien in SharePoint, die automatisch mit einer Standard-Vertraulichkeitsbezeichnung bezeichnet werden Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek
Verwenden von gemeinsamer Dokumenterstellung und AutoSpeichern in Office-Desktop-Apps, wenn Dokumente verschlüsselt werden Aktivieren der gemeinsamen Erstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind
Automatisches Anwenden von Vertraulichkeitsbezeichnungen auf Dokumente und E-Mails Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Teams und SharePoint Verwendung von Vertraulichkeitsbezeichnungen bei Microsoft Teams, Microsoft 365-Gruppen und Microsoft Office SharePoint Online-Websites
Verwenden von Vertraulichkeitsbezeichnungen zum Konfigurieren des Standardfreigabelinktyps für Websites und einzelne Dokumente in SharePoint und OneDrive Verwenden von Vertraulichkeitsbezeichnungen zum Festlegen des Standardfreigabelinks für Websites und Dokumente in SharePoint und OneDrive
Wenden Sie eine Vertraulichkeitsbezeichnung auf ein Dokumentverständnismodell an, sodass identifizierte Dokumente in einer SharePoint-Bibliothek automatisch klassifiziert und geschützt werden. Anwenden einer Vertraulichkeitsbezeichnung auf ein Modell in Microsoft Syntex
Verhindern oder Warnen von Benutzern vor dem Freigeben von Dateien oder E-Mails mit einer bestimmten Vertraulichkeitsbezeichnung Verwenden von Vertraulichkeitsbezeichnungen als Bedingungen in DLP-Richtlinien
Wenden Sie eine Vertraulichkeitsbezeichnung auf eine Datei an, wenn ich eine Warnung erhalte, dass Inhalte mit personenbezogenen Daten geteilt werden und geschützt werden müssen Untersuchen und beheben Sie Warnungen im Privacy Risk Management
Anwenden einer Aufbewahrungsbezeichnung zum Aufbewahren oder Löschen von Dateien oder E-Mails mit einer bestimmten Vertraulichkeitsbezeichnung Aufbewahrungsbezeichnungen automatisch anwenden, um Inhalte beizubehalten oder zu löschen
Dateien, die in lokalen Datenspeichern gespeichert sind, ermitteln, mit Bezeichnungen versehen und schützen Bereitstellen der Information Protection-Überprüfung zum automatischen Klassifizieren und Schützen von Dateien
Dateien, die in Datenspeichern in der Cloud gespeichert sind, ermitteln, mit Bezeichnungen versehen und schützen Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und sensibler Daten, die in der Cloud gespeichert werde
SQL-Datenbankspalten mithilfe derselben Vertraulichkeitsbezeichnungen wie für Dateien und E-Mails bezeichnen, sodass die Organisation über eine einheitliche Bezeichnungslösung verfügt, die diese strukturierten Daten beim Export weiterhin schützen kann Datenermittlungsklassifizierung & für Azure SQL Database, Azure SQL Managed Instance und Azure Synapse Analytics

SQL-Datenermittlung und -klassifizierung für lokale SQL Server
Anwenden und Anzeigen von Bezeichnungen in Power BI und Schutz der Daten beim Speichern außerhalb des Diensts Vertraulichkeitsbezeichnungen in Power BI
Überwachen und Verstehen, wie Vertraulichkeitsbezeichnungen in meiner Organisation verwendet werden Informationen zur Datenklassifizierung
Erweitern von Vertraulichkeitsbezeichnungen auf Drittanbieter-Apps und -Dienste. Microsoft Information Protection-SDK
Erweitern von Vertraulichkeitsbezeichnungen über Inhalte in meinen Microsoft Purview Data Map-Assets, z. B. Azure Blob Storage, Azure Files, Azure Data Lake Storage und Datenquellen mit mehreren Clouds Beschriftungen in Microsoft Purview Data Map

Dokumentation für Endbenutzer zu Vertraulichkeitsbezeichnungen

Die effektivste Dokumentation für Endbenutzer sind maßgeschneiderte Anleitungen und Anweisungen, die Sie für die von Ihnen ausgewählten Bezeichnungsnamen und -konfigurationen bereitstellen. Sie können die Einstellung für die Bezeichnungsrichtlinie Benutzern einen Link zu einer benutzerdefinierten Hilfeseite verwenden, um einen internen Link für diese Dokumentation anzugeben. Benutzer können dann darauf ganz einfach mittels der Schaltfläche Vertraulichkeit zugreifen:

  • Weitere Informationen zur integrierten Beschriftung: Menüoption Weitere Informationen.
  • Für den Azure Information Protection-Client für einheitliche Bezeichnungen: Menüoption >Hilfe und Feedback Link Weitere Informationen im Dialogfeld Microsoft Azure Information Protection.

Informationen zur Bereitstellung Ihrer angepassten Dokumentation finden Sie auf der folgenden Seite und den folgenden Downloads, die Sie zur Schulung Ihrer Benutzer verwenden können: Endbenutzerschulungen für Vertraulichkeitsbezeichnungen.

Für grundlegende Anweisungen können Sie auch die folgenden Ressourcen verwenden:

Wenn Ihre Vertraulichkeitsbezeichnungen Verschlüsselung für PDF-Dokumente anwenden, können Sie diese Dokumente mit Microsoft Edge unter Windows oder Mac öffnen. Weitere Informationen und alternative Reader finden Sie unter Welche PDF-Reader werden bei geschützten PDFs unterstützt?