Standardbezeichnungen und Richtlinien zum Schutz Ihrer Daten
Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.
Berechtigte Kunden können Standardbezeichnungen und -Richtlinien für Microsoft Purview Information Protection aktivieren:
- Vertraulichkeitsbezeichnungen und eine Richtlinie für Vertraulichkeitsbezeichnungen
- Clientseitige automatische Bezeichnung
- Dienstseitige automatische Bezeichnung
- Richtlinien zur Verhinderung von Datenverlust (Data loss prevention, DLP) für Teams und Geräte
Diese Standardkonfigurationen helfen Ihnen, Microsoft Purview Information Protection für Microsoft 365 schnell in Betrieb zu nehmen. Sie können sie unverändert verwenden, nur wenige Änderungen vornehmen oder sie vollständig an Ihre Geschäftsanforderungen anpassen.
Zu den berechtigten Kunden zählen kunden, die über eine kostenlose Testversion für Microsoft Purview verfügen, sowie einige Kunden, die bereits über einen Microsoft 365 E5-Plan verfügen:
Neukunden: Wenn Sie Microsoft Purview seit weniger als 30 Tagen nutzen, kann Ihr Mandant alle aufgeführten Standardkonfigurationen aktivieren. Sie können sie jederzeit deaktivieren, entfernen oder bearbeiten.
Bestehende Kunden: Wenn Sie Microsoft Purview seit mehr als 30 Tagen nutzen, können Sie die Standardkonfigurationen aktivieren, wenn Sie noch keine entsprechende Konfiguration vorgenommen haben:
Standardkonfiguration Äquivalent Vertraulichkeitsbezeichnungen und eine Richtlinie für Vertraulichkeitsbezeichnungen Veröffentlichte Vertraulichkeitsbezeichnungen Clientseitige automatische Bezeichnung Eine oder mehrere Vertraulichkeitsbezeichnungen, die so konfiguriert sind, dass sie in Office-Apps automatisch angewendet (oder Benutzern empfohlen) werden Dienstseitige automatische Bezeichnung Mindestens eine aktivierte Richtlinie für die automatische Bezeichnung DLP für Teams Mindestens eine DLP-Richtlinie für Teams DLP für Geräte Mindestens eine DLP-Richtlinie für Geräte
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Aktivieren der Standardbezeichnungen und Richtlinien
So rufen Sie diese vorkonfigurierten Labels und Richtlinien ab:
Navigieren Sie im Microsoft Purview-Complianceportal zur Seite Übersicht für Information Protection.
Wenn Sie für die Microsoft Purview Information Protection Standardbezeichnungen und -richtlinien berechtigt sind, werden die folgenden Informationen angezeigt, in denen Sie die Standardbezeichnungen und -richtlinien aktivieren können. Zum Beispiel:
Wenn diese Informationen mit der Aktivierungsoption nicht angezeigt werden, sind Sie derzeit nicht für die automatische Erstellung von Vertraulichkeitsbezeichnungen und Richtlinien berechtigt. Sie können versuchen, später noch mal nachzuprüfen, ob sich diese status geändert hat. Sie können auch die folgenden Einstellungsinformationen verwenden, um die gleichen Bezeichnungen und Richtlinien manuell zu erstellen.
Aktivieren Sie als Nächstes Vertraulichkeitsbezeichnungen für SharePoint und OneDrive. Dieser Schritt ist eine Voraussetzung für die Verwendung von Vertraulichkeitsbezeichnungen in Office für das Web und Richtlinien für die automatische Bezeichnung für SharePoint und OneDrive.
Verwenden Sie das folgende Banner oben auf der Seite Information Protection>Übersicht, und wählen Sie Jetzt aktivieren aus. Wenn dieses Banner nicht angezeigt wird, wurden Vertraulichkeitsbezeichnungen für SharePoint und OneDrive bereits für Ihren Mandanten aktiviert.
Weitere Informationen zu dieser Funktion finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive.
Standard-Vertraulichkeitsbezeichnungen
Wenn Sie keine Vertraulichkeitsbezeichnungen haben, die veröffentlicht sind, erstellen wir die folgenden Bezeichnungen für Sie:
| Bezeichnungsname | Bezeichnungsbeschreibung für Benutzer | Einstellungen |
|---|---|---|
| Privat | Nicht geschäftliche Daten, nur für private Verwendung. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Öffentlich | Geschäftsdaten, die speziell für die öffentliche Nutzung vorbereitet und genehmigt sind. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Allgemein | Geschäftsdaten, die nicht für öffentliche Nutzung bestimmt sind. Dies kann jedoch bei Bedarf für externe Partner freigegeben werden. Beispiele hierfür sind ein unternehmensinternes Telefonverzeichnis, Organigramme, interne Standards und die meisten internen Kommunikationsmittel. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Allgemein \ Jeder (uneingeschränkt) |
Organisationsdaten, die nicht für öffentliche Nutzung bestimmt sind, die aber bei Bedarf für externe Partner freigeben werden können. Beispiele hierfür sind Kundengespräche, die keine vertraulichen Informationen oder freigegebene Marketingmaterialien enthalten. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Allgemein \ Alle Mitarbeiter (uneingeschränkt) |
Organisationsdaten, die nicht für öffentliche Nutzung bestimmt sind. Wenn Sie diese Inhalte für externe Partner freigeben müssen, bestätigen Sie mit anderen Datenbesitzern, dass die Freigabe in Ordnung ist, und ändern Sie dann die Bezeichnung in „Allgemein \ Jeder“ (uneingeschränkt). Beispiele hierfür sind ein unternehmensinternes Telefonverzeichnis, Organigramme, interne Standards und die meisten internen Kommunikationsmittel. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Vertraulich | Vertrauliche Geschäftsdaten, die dem Unternehmen Schaden zufügen könnten, wenn sie für nicht autorisierte Personen freigegeben werden. Beispiele hierfür sind Verträge, Sicherheitsberichte, Prognosezusammenfassungen und Vertriebskontodaten. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Vertraulich \ Jeder (uneingeschränkt) |
Vertrauliche Daten, die nicht verschlüsselt werden müssen. Verwenden Sie diese Option mit Vorsicht und angemessener geschäftlicher Begründung. | Diese Bezeichnung wird die clientseitige automatische Bezeichnung und die dienstseitige automatische Bezeichnung ausgewählt. Bereich: Elemente (Datei, E-Mail) Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung:Es wird den Benutzern empfohlen, die Bezeichnung anzuwenden Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Vertraulich \ Alle Mitarbeiter |
Vertrauliche Daten, die geschützt werden müssen und die allen Mitarbeitern volle Berechtigungen gewähren. Datenbesitzer können Inhalte nachverfolgen und widerrufen. | Diese Bezeichnung wird die clientseitige automatische Bezeichnung und die dienstseitige automatische Bezeichnung ausgewählt. Bereich: Elemente (Datei, E-Mail) Verschlüsselung: Alle Benutzer und Gruppen in der Organisation: Mitauthor Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung:Es wird den Benutzern empfohlen, die Bezeichnung anzuwenden Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Vertraulich \ Vertrauenswürdige Personen |
Vertrauliche Daten, die für vertrauenswürdige Personen innerhalb und außerhalb Ihrer Organisation freigegeben werden können. Diese Personen können die Daten auch nach Bedarf erneut freigeben. | Bereich: Elemente (Datei, E-Mail) Verschlüsselung: Benutzern das Zuweisen von Berechtigungen gestatten: - Nur für Outlook verschlüsseln – Benutzer in Word, PowerPoint und Excel auffordern Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Streng vertraulich | Sehr vertrauliche Geschäftsdaten, die dem Unternehmen Schaden zufügen würden, wenn sie für nicht autorisierte Personen freigegeben würden. Beispiele hierfür sind Mitarbeiter- und Kundeninformationen, Kennwörter, Quellcode und vorab angekündigte Finanzberichte. | Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Wasserzeichen: STRENG VERTRAULICH Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Streng vertraulich \ Alle Mitarbeiter |
Streng vertrauliche Daten, die es allen Mitarbeitern ermöglichen, diese Inhalte anzuzeigen, zu bearbeiten und zu beantworten. Datenbesitzer können Inhalte nachverfolgen und widerrufen. | Bereich: Elemente (Datei, E-Mail) Verschlüsselung: Alle Benutzer und Gruppen in der Organisation: Mitauthor Inhaltskennzeichnung: Fußzeile: Als streng vertraulich klassifiziert Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
| Streng vertraulich \ Bestimmte Personen |
Streng vertrauliche Daten, die geschützt werden müssen und nur von von Ihnen angegeben Personen und mit der von Ihnen gewählten Berechtigungsstufe eingesehen werden können. | Bereich: Elemente (Datei, E-Mail) Verschlüsselung: Benutzern das Zuweisen von Berechtigungen gestatten: - Nicht für Outlook weiterleiten – Benutzer in Word, PowerPoint und Excel auffordern Inhaltskennzeichnung: Fußzeile: Als streng vertraulich klassifiziert Automatische Bezeichnung: Nein Gruppeneinstellungen: Nein Websiteeinstellungen: Nein Automatische Beschriftung für Datenbankspalten: Keine |
Hinweis
Die Bezeichnungsnamen und Beschreibungen sind automatisch für die folgenden Gebietsschemas verfügbar: US-Englisch, Chinesisch (vereinfacht und traditionell), Französisch, Deutsch, Italienisch, Japanisch, Koreanisch, Portugiesisch, Brasilianisch, Russisch und Spanisch.
Wenn Sie zusätzliche Sprachen benötigen, können Sie Ihre Übersetzungen mithilfe von PowerShell angeben.
Weitere Informationen zu diesen Konfigurationseinstellungen und den möglichen Funktionen von Vertraulichkeitsbezeichnungen finden Sie unter Was Vertraulichkeitsbezeichnungen tun können.
Informationen zum Bearbeiten dieser standardmäßigen Vertraulichkeitsbezeichnungen finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen.
Standardrichtlinie für Vertraulichkeitsbezeichnungen
Die Standardrichtlinie für Vertraulichkeitsbezeichnungen stellt Benutzern die Bezeichnungen zur Verfügung, damit sie ihre Dokumente und E-Mails mit Vertraulichkeitsbezeichnungen kennzeichnen können. Es hat die folgende Konfiguration:
- Veröffentlichen der Standardbezeichnungen für alle Benutzer in Ihrem Mandanten
- Standardbezeichnung von Allgemein \ Alle Mitarbeiter (uneingeschränkt) für nicht bezeichnete Dokumente und E-Mails
- Benutzer müssen eine Begründung angeben, um eine Bezeichnung zu entfernen oder ihre Klassifizierung zu verringern.
Weitere Informationen zu diesen Richtlinieneinstellungen und anderen verfügbaren Richtlinieneinstellungen finden Sie unter Was Bezeichnungsrichtlinien tun können.
Informationen zum Bearbeiten dieser Standardrichtlinieneinstellungen finden Sie unter Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie.
Wenn Sie diese Bezeichnungen in Office-Apps unter Windows, macOS, iOS und Android verwenden, sehen Benutzer neue Bezeichnungen innerhalb von vier Stunden und innerhalb einer Stunde für Word, Excel und PowerPoint im Web, wenn Sie den Browser aktualisieren. Es kann jedoch bis zu 24 Stunden dauern, bis die Änderungen auf alle Apps und Dienste repliziert werden.
Clientseitige automatische Bezeichnung
Die standardmäßige clientseitige Konfiguration für automatische Bezeichnungen empfiehlt Benutzern automatisch, eine Vertraulichkeitsbezeichnung anzuwenden, wenn Kreditkartennummern in Dokumenten oder E-Mails erkannt werden, mit denen sie arbeiten. Als Empfehlung anstelle der automatischen Anwendung dient diese Konfiguration als guter erster Schritt zum Hervorheben von Inhalten und führt Benutzer in die Praxis ein, ihre Dokumente und E-Mails zu bezeichnen.
Die clientseitige automatische Bezeichnung funktioniert nur für Dokumente und E-Mails, die von den Office-Apps Word, Excel, PowerPoint und Outlook verwendet werden.
Die standardmäßige clientseitige automatische Bezeichnung weist die folgende Konfiguration auf:
Wenn in einem Dokument oder einer E-Mail 1 bis 9 Instanzen von Kreditkartennummern vorhanden sind, wird dem Benutzer empfohlen, die Vertraulichkeitsbezeichnung Vertraulich \ Jeder (uneingeschränkt) anzuwenden
Wenn in einem Dokument oder einer E-Mail 10 oder mehr Instanzen von Kreditkartennummern gefunden werden, sollte dem Benutzer empfohlen werden, die Vertraulichkeitsbezeichnung Vertraulich \ Alle Mitarbeiter anzuwenden.
Hinweis
Wenn wir festgestellt haben, dass Sie Ihre eigenen Vertraulichkeitsbezeichnungen veröffentlicht haben, werden Sie aufgefordert, eine Ihrer eigenen Bezeichnungen für die automatische Bezeichnung auszuwählen und für Sie zu konfigurieren.
Informationen zum Bearbeiten der clientseitigen Konfiguration der automatischen Beschriftung finden Sie unter Konfigurieren der automatischen Beschriftung für Office-Apps.
Dienstseitige automatische Bezeichnung
Die dienstseitige automatische Bezeichnung hilft dabei, vertrauliche Dokumente im Ruhezustand und E-Mails während der Übertragung zu bezeichnen. Die standardmäßige dienstseitige Richtlinie zur automatischen Bezeichnung erstellt Richtlinien, die im Simulationsmodus für Dokumente, die in allen SharePoint- oder OneDrive-Websites gespeichert sind, sowie für alle E-Mails, die über Exchange Online gesendet werden, ausgeführt werden.
Im Simulationsmodus werden Elemente erst dann mit Bezeichnungen versehen, wenn die Richtlinie aktiviert ist. Sie können die Richtlinie manuell aktivieren. Wenn Sie die Standardeinstellung nicht ändern, wird die Richtlinie auch automatisch für Sie aktiviert, wenn innerhalb einer festgelegten Anzahl von Tagen nach Abschluss der Simulation keine Änderungen an der Richtlinie vorgenommen werden.
In den meisten Fällen beträgt die Anzahl der Tage, bevor eine unbearbeitete Richtlinie automatisch aktiviert wird, 7. Für neue Kunden ab dem 23. Juni 2022 beträgt die anfängliche Anzahl von Tagen jedoch 25 und dann 7, nachdem die Richtlinie bearbeitet wurde.
Im Simulationsmodus können Sie eine Vorschau anzeigen, welche Elemente beim Aktivieren der Richtlinie bezeichnet werden, sodass Sie sich auf das Bezeichnungsfeature verlassen können, bevor Sie die Richtlinie für die tatsächliche Bezeichnung für Ihren Mandanten bereitstellen.
Die standardmäßigen dienstseitigen Richtlinien für die automatische Bezeichnung weisen die folgende Konfiguration auf:
Für alle Kunden:
Wenn in einem Dokument oder einer E-Mail 1 bis 9 Instanzen von Kreditkartennummern vorhanden sind, wenden Sie die Vertraulichkeitsbezeichnung Vertraulich \ Jeder (uneingeschränkt) an
Wenn in einem Dokument oder einer E-Mail 10 oder mehr Instanzen von Kreditkartennummern gefunden werden, wenden Sie die Vertraulichkeitsbezeichnung Vertraulich \ Alle Mitarbeiter
Hinweis
Wenn wir festgestellt haben, dass Sie Ihre eigenen Vertraulichkeitsbezeichnungen veröffentlicht haben, werden Sie aufgefordert, eine Ihrer eigenen Bezeichnungen für Ihre Richtlinie zur automatischen Bezeichnung auszuwählen.
Für neue Kunden ab dem 23. Juni 2022, wobei sich der Microsoft 365-Mandant in der Region USA befindet:
Wenn in einem Dokument oder einer E-Mail 1–9 Instanzen von personenbezogenen Daten aus den USA und vollständige Namen gefunden werden, wenden Sie die Vertraulichkeitsbezeichnung Vertraulich \ Jeder (unbeschränkt) an.
Wenn in einem Dokument oder einer E-Mail 10 oder mehr Instanzen von personenbezogenen Daten aus den USA und vollständige Namen gefunden werden, wenden Sie die Vertraulichkeitsbezeichnung Vertraulich \ Alle Mitarbeiter an.
Neukunden ab dem 23. Juni 2022 verfügen über zwei Richtlinien für die automatische Bezeichnung für jede Einstellung. Eine Richtlinie gilt für den Exchange-Speicherort und die andere für die SharePoint- und OneDrive-Speicherorte. Obwohl die Richtlinien gleichzeitig erstellt werden, wird die Simulation nicht sofort für SharePoint und OneDrive aktiviert:
- Exchange-Speicherort: Die Richtlinie für die automatische Bezeichnung wird erstellt und startet sofort die Simulation.
- SharePoint- und OneDrive-Speicherorte: Die Richtlinie für die automatische Bezeichnung wird erstellt, wartet jedoch 25 Tage, bevor die Simulation automatisch gestartet wird. Diese Verzögerung stellt sicher, dass es Zeit zum Erstellen und Speichern von Dateien an diesen Speicherorten gibt.
Wenn die Simulation abgeschlossen ist, überprüfen Sie die Ergebnisse. Wenn Sie damit zufrieden sind, aktivieren Sie die Richtlinien.
Weitere Informationen zum Simulationsmodus finden Sie unter Informationen zum Simulationsmodus.
Informationen zum Bearbeiten der dienstseitigen Richtlinie für die automatische Kennzeichnung finden Sie unter Konfigurieren von Richtlinien für die automatische Kennzeichnung für SharePoint, OneDrive und Exchange.
DLP für Teams
Die standardmäßige DLP-Richtlinie für Teams erkennt das Vorhandensein von Kreditkartennummern in allen Teams Chats und Kanalnachrichten. Wenn diese vertraulichen Informationen erkannt werden, erhalten Administratoren eine Warnung mit geringem Schweregrad.
Diese Richtlinie ist unaufdringlich für Benutzer, für die kein Richtlinientipp sichtbar ist und keine Nachrichten blockiert sind. Administratoren verfügen jedoch über Datensätze der vertraulichen Informationen, die in diesen Nachrichten freigegeben wurden. Bei Bedarf können Sie die Einstellungen bearbeiten, um diese Standardkonfiguration zu ändern.
Um die Ergebnisse dieser Richtlinie anzuzeigen, verwenden Sie DLP-Aktivität-Explorer.
Wenn Sie die DLP-Richtlinie bearbeiten möchten, lesen Sie Create und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.
DLP für Geräte
Die DLP-Standardrichtlinie für Geräte erkennt das Vorhandensein von Guthaben Karte Nummern auf Windows 10 Geräten, die in Microsoft Purview integriert wurden. Anschließend werden die folgenden Aktionen überwacht (aber nicht blockiert):
Upload in Cloud-Dienstdomänen oder Zugriff durch nicht zulässige Browser
In die Zwischenablage, USB oder Netzwerkfreigabe kopieren
Zugriff durch nicht zulässige Apps
Drucken
Kopieren oder Verschieben mit einer nicht zugelassenen Bluetooth-App
Remotedesktopdienste
Wenn Inhalt 10 oder mehr Instanzen von Kreditkarten enthält mindestens eine der aufgeführten Aktivitäten erkannt werden, wird eine Warnung mit mittlerem Schweregrad an Administratoren gesendet.
Diese Richtlinie ist unaufdringlich für Benutzer, für die kein Richtlinientipp sichtbar ist und keine Aktionen blockiert sind, aber Administratoren verfügen über Datensätze aller verdächtigen Aktivitäten. Bei Bedarf können Sie diese Einstellungen bearbeiten, um diese Standardkonfiguration zu ändern.
Um die Ergebnisse dieser Richtlinie anzuzeigen, verwenden Sie DLP-Aktivität-Explorer.
Wenn Sie die DLP-Richtlinie bearbeiten möchten, lesen Sie Create und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.
Weitere Ressourcen
Weitere Informationen zu Vertraulichkeitsbezeichnungen, Verhinderung von Datenverlust und allen Funktionen, die mit Microsoft Purview Information Protection verfügbar sind, finden Sie in den folgenden Ressourcen:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für