Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive

  • Artikel

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Aktivieren Sie die integrierte Bezeichnung für unterstützte Office-Dateien und PDF-Dateien in SharePoint und OneDrive, damit Benutzer Ihre Vertraulichkeitsbezeichnungen in Office für das Web anwenden können. Wenn dieses Feature aktiviert ist, sehen Benutzer die Schaltfläche Vertraulichkeit im Menüband, damit sie Bezeichnungen anwenden können, und alle angewendeten Bezeichnungsnamen auf der status-Leiste.

Für SharePoint können Benutzer auch Vertraulichkeitsbezeichnungen im Detailbereich anzeigen und anwenden. Diese Methode ist auch auf der Registerkarte Dateien in Teams verfügbar.

Die Aktivierung dieses Features führt auch dazu, dass SharePoint und OneDrive den Inhalt von Office-Dateien und optional PDF-Dokumenten verarbeiten können, die mit einer Vertraulichkeitsbezeichnung verschlüsselt wurden. Die Bezeichnung kann in Office für das Web oder in Office-Desktop-Apps angewendet und in SharePoint und OneDrive hochgeladen oder gespeichert werden. Bis Sie dieses Feature aktivieren, können diese Dienste keine verschlüsselten Dateien verarbeiten. Dies bedeutet, dass gemeinsame Dokumenterstellung, eDiscovery, Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit für diese Dateien nicht funktionieren.

Nachdem Sie Vertraulichkeitsbezeichnungen für diese Dateien in SharePoint und OneDrive aktiviert haben, gilt für neue und geänderte Dateien mit einer Vertraulichkeitsbezeichnung, die die Verschlüsselung mit einem cloudbasierten Schlüssel anwendet (und keine Doppelschlüsselverschlüsselung verwendet:

  • Für Word-, Excel- und PowerPoint-Dateien sowie hochgeladene PDF-Dateien erkennen SharePoint und OneDrive die Bezeichnung und können jetzt den Inhalt der verschlüsselten Datei verarbeiten.

  • Wenn Benutzer diese Dateien von SharePoint oder OneDrive herunterladen oder darauf zugreifen, werden die Vertraulichkeitsbezeichnung und alle Verschlüsselungseinstellungen der Bezeichnung erzwungen und verbleiben bei der Datei, unabhängig davon, wo sie gespeichert ist. Stellen Sie sicher, dass Sie Benutzeranleitungen bereitstellen, um Dokumente nur mit Bezeichnungen zu schützen. Weitere Informationen finden Sie unter IrM-Optionen (Information Rights Management) und Vertraulichkeitsbezeichnungen.

  • Wenn Benutzer beschriftete und verschlüsselte Dateien auf SharePoint oder OneDrive hochladen, müssen sie mindestens über Nutzungsrechte für diese Dateien verfügen. Beispielsweise können sie die Dateien außerhalb von SharePoint öffnen. Wenn sie nicht über dieses Mindestnutzungsrecht verfügen, ist der Upload erfolgreich, aber der Dienst erkennt die Bezeichnung nicht und kann den Dateiinhalt nicht verarbeiten.

  • Verwenden Sie Office für das Web (Word, Excel, PowerPoint), um Office-Dateien mit Vertraulichkeitsbezeichnungen zu öffnen und zu bearbeiten, die Verschlüsselung anwenden. Die Berechtigungen, die der Verschlüsselung zugewiesen wurden, werden erzwungen. Sie können auch die automatische Bezeichnung für diese Dokumente verwenden.

  • Externe Benutzer können mithilfe von Gastkonten auf Dokumente zugreifen, die mit Verschlüsselung gekennzeichnet sind. Weitere Informationen finden Sie unter Unterstützung für externe Benutzer und bezeichnete Inhalte.

  • eDiscovery unterstützt die Volltextsuche für diese Dateien, und RICHTLINIEN zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) unterstützen Inhalte in diesen Dateien.

Hinweis

Wenn die Verschlüsselung mit einem lokalen Schlüssel (einer Schlüsselverwaltungstopologie, die häufig als "Hold Your Own Key" oder HYOK bezeichnet wird) oder mithilfe der Doppelschlüsselverschlüsselung angewendet wurde, ändert sich das Dienstverhalten für die Verarbeitung des Dateiinhalts nicht. Für diese Dateien funktionieren also die gemeinsame Dokumenterstellung, eDiscovery, Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit nicht.

Das Verhalten von SharePoint und OneDrive ändert sich auch nicht für vorhandene Dateien an diesen Speicherorten, die mit Verschlüsselung mit einem einzelnen Azure-basierten Schlüssel gekennzeichnet sind. Damit diese Dateien von den neuen Funktionen profitieren können, nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, müssen die Dateien entweder heruntergeladen und erneut hochgeladen oder bearbeitet werden.

Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, stehen drei neue Überwachungsereignisse zur Überwachung von Vertraulichkeitsbezeichnungen zur Verfügung, die auf Dokumente in SharePoint und OneDrive angewendet werden:

  • Vertraulichkeitsbezeichnung wurde auf Datei angewendet
  • Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert
  • Vertraulichkeitsbezeichnung wurde von Datei entfernt

Sehen Sie sich das folgende Video (ohne Audio) an, um die neuen Funktionen in Aktion zu sehen:

Sie haben jederzeit die Möglichkeit, Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive zu deaktivieren (opt-out).

Wenn Sie dokumente in SharePoint derzeit mithilfe von SharePoint Information Rights Management (IRM) schützen, überprüfen Sie unbedingt den Abschnitt Verwaltung von SharePoint Information Rights (IRM) und Vertraulichkeitsbezeichnungen auf dieser Seite.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Anforderungen

Diese neuen Funktionen können nur mit Vertraulichkeitsbezeichnungen verwendet werden .

Verwenden Sie die OneDrive-Synchronisation App Version 19.002.0121.0008 oder höher unter Windows und Version 19.002.0107.0008 oder höher unter Mac. Beide Versionen wurden am 28. Januar 2019 veröffentlicht und sind derzeit für alle Ringe freigegeben. Weitere Informationen finden Sie in den Versionshinweisen zu OneDrive. Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, werden Benutzer, die eine ältere Version der Synchronisierungs-App ausführen, aufgefordert, sie zu aktualisieren.

Unterstützte Dateitypen

Nachdem Sie Vertraulichkeitsbezeichnungen für SharePoint und OneDrive aktiviert haben, werden die folgenden Office-Dateitypen für Vertraulichkeitsbezeichnungsszenarien unterstützt.

Anwenden einer Vertraulichkeitsbezeichnung in Office im Web oder in SharePoint:

  • Word: .docx, .docm
  • Excel: .xlsx, XLSM, XLSB
  • PowerPoint: .pptx, .ppsx

Hochladen eines beschrifteten Dokuments und anschließendes Extrahieren und Anzeigen dieser Vertraulichkeitsbezeichnung:

  • Word: doc, .docx, .docm, .dot, .dotx, .dotm
  • Excel: .xls, .xlt, .xla, .xlc, .xlm, .xlw, .xlsx, .xltx, .xlsm, .xltm, .xlam, .xlsb
  • PowerPoint: .ppt, .pot, .pps, .ppa, .pptx, .ppsx, .ppsxm, .potx, .ppam, .pptm, .potm, .ppsm

Hinzufügen von Unterstützung für PDF

Sie können die Unterstützung für PDF-Dateien für die folgenden Szenarien aktivieren:

Wichtig

Beachten Sie, dass die Aktivierung der PDF-Unterstützung die Anzahl von Dateien erhöhen kann, die automatisch mit vorhandenen Richtlinien für automatische Bezeichnungen gekennzeichnet werden, die maximal 25.000 Dateien pro Tag unterstützen.

Um den Support über das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal zu aktivieren, führen Sie je nach verwendetem Portal eine der folgenden Aktionen aus:

Wenn dann die Meldung PdFs mit automatischer Bezeichnung schützen angezeigt wird, wählen Sie dieses Banner aus, um zu bestätigen, dass Sie den PDF-Schutz für Dateien in SharePoint und OneDrive aktivieren möchten.

Alternativ können Sie die PDF-Unterstützung mithilfe von PowerShell aktivieren, wenn Sie das Cmdlet Set-SPOTenant mit dem Parameter EnableSensitivityLabelforPDF verwenden:

Set-SPOTenant -EnableSensitivityLabelforPDF $true

Für diesen PDF-Parameter ist eine Mindestversion von 16.0.24211.12000 für die SharePoint Online-Verwaltungsshell erforderlich. Wenn Sie weitere Informationen zum Installieren dieses PowerShell-Moduls oder zum Ausführen der Cmdlets benötigen, lesen Sie den Abschnitt auf dieser Seite, um die Unterstützung für Vertraulichkeitsbezeichnungen zu aktivieren.

Für Microsoft 365 Multi-Geo: Ähnlich wie bei den Anweisungen zum Ausführen des PowerShell-Befehls zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen müssen Sie eine Verbindung mit jedem Ihrer geografischen Standorte herstellen und dann den Befehl ausführen, um die Unterstützung für PDF-Dateien zu aktivieren.

Unterstützung für Bezeichnungen, die für benutzerdefinierte Berechtigungen konfiguriert sind

In der Vorschauversion gibt es jetzt eingeschränkte Unterstützung für Bezeichnungen, die für benutzerdefinierte Berechtigungen konfiguriert sind. Diese Verschlüsselungskonfiguration bezieht sich auf die Einstellung Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen lassen, und das Kontrollkästchen In Word, PowerPoint und Excel, Benutzer auffordern, Berechtigungen anzugeben, ist aktiviert:

  • Wenn ein Dokument mit benutzerdefinierten Berechtigungen beschriftet und in SharePoint oder OneDrive hochgeladen wird, können diese Dienste das Dokument jetzt verarbeiten, sodass es in Office für das Web geöffnet und bearbeitet werden kann, und der Bezeichnungsname wird in der Spalte Vertraulichkeit angezeigt.

  • Bezeichnungen mit dieser Konfiguration werden jetzt in Office für das Web angezeigt. Derzeit können Benutzer diese Bezeichnungen jedoch nicht in Office für das Web anwenden. Wenn diese Bezeichnungen ausgewählt sind, wird benutzern eine Meldung angezeigt, in der sie aufgefordert werden, die Bezeichnung mithilfe einer Desktop-App anzuwenden.

  • Wenn Benutzer Bezeichnungen ändern müssen, die für benutzerdefinierte Berechtigungen konfiguriert sind, stellen Sie sicher, dass Sie die gemeinsame Dokumenterstellung für Dateien aktiviert haben, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.

  • Der Inhalt kann derzeit nicht auf Suche, Verhinderung von Datenverlust oder eDiscovery überprüft werden.

Um AutoSpeichern und gemeinsame Dokumenterstellung für diese verschlüsselten Dateien mithilfe einer Desktop-App zu unterstützen, müssen Sie die gemeinsame Dokumenterstellung für Dateien aktiviert haben, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, und für Ihre Microsoft 365 Apps for Enterprise:

  • Windows: Mindestversion 16.0.16327 des aktuellen Kanals und des aktuellen Kanals (Vorschau) oder Mindestversion von 16.0.16414 aus dem Betakanal
  • macOS: Mindestversion 16.51 des aktuellen Kanals (Vorschau) oder des Betakanals

Hinweis

Wenn Sie frühere Versionen verwenden und die gemeinsame Dokumenterstellung für Ihren Mandanten aktiviert ist, werden AutoSpeichern und gemeinsame Dokumenterstellung für Dokumente vorübergehend deaktiviert, nachdem Benutzer eine Vertraulichkeitsbezeichnung angewendet haben, die mit benutzerdefinierten Berechtigungen konfiguriert ist, oder wenn Benutzer die Berechtigungen ändern. Nachdem das Dokument geschlossen und 10 Minuten gewartet wurde, sind diese Features wieder verfügbar.

Wenn Sie diese unterstützten Mindestversionen für Dateien in SharePoint oder OneDrive verwenden, ändert sich das Verhalten für die Verschlüsselung:

Diese Vorschau von Bezeichnungen, die für benutzerdefinierte Berechtigungen konfiguriert sind, wird automatisch auf Mandanten angewendet. Wenden Sie sich zum Abmelden an Microsoft-Support, und fordern Sie an, diese Vorschau zu deaktivieren.

Begrenzungen

  • SharePoint und OneDrive können einige Dateien, die von Office-Desktop-Apps bezeichnet und verschlüsselt sind, nicht verarbeiten, wenn diese Dateien PowerQuery-Daten, von benutzerdefinierten Add-Ins gespeicherte Daten oder benutzerdefinierte XML-Teile wie Deckblatteigenschaften, Inhaltstypschemas, benutzerdefinierte Dokumentinformationsbereich und benutzerdefinierte XSN enthalten. Diese Einschränkung gilt auch für Dateien, die ein Literaturverzeichnis enthalten, und für Dateien, deren Dokument-ID beim Hochladen hinzugefügt wird.

    Wenden Sie für diese Dateien entweder eine Bezeichnung ohne Verschlüsselung an, damit sie später in Office im Web geöffnet werden können, oder weisen Sie Die Benutzer an, die Dateien in ihren Desktop-Apps zu öffnen. Dateien, die nur in Office im Web bezeichnet und verschlüsselt sind, sind nicht betroffen.

  • SharePoint und OneDrive wenden vertraulichkeitsbezeichnungen nicht automatisch auf vorhandene Dateien an, die mit den älteren Bezeichnungen verschlüsselt wurden, die früher aus dem Azure-Portal veröffentlicht wurden. Damit die Features funktionieren, nachdem Sie Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive aktiviert haben, laden Sie diese Dateien herunter, und laden Sie sie dann an ihren ursprünglichen Speicherort in SharePoint oder OneDrive hoch.

  • Benutzer können keine Vertraulichkeitsbezeichnungen anwenden, die für benutzerdefinierte Berechtigungen konfiguriert sind, während sie Office für das Web verwenden.

  • SharePoint und OneDrive können verschlüsselte Dateien nicht verarbeiten, wenn die Bezeichnung, die die Verschlüsselung angewendet hat, über eine der folgenden Konfigurationen für die Verschlüsselung verfügt:

    • Benutzerzugriff auf Inhalte läuft ab ist auf einen anderen Wert als Nie eingestellt.

    • Verschlüsselung mit Doppelschlüssel ist ausgewählt.

      Bei Bezeichnungen mit einer dieser Verschlüsselungskonfigurationen werden die Bezeichnungen benutzern in Office für das Web nicht angezeigt. Wenn es sich um übergeordnete Bezeichnungen handelt, bedeutet dies, dass Benutzer die Untergeordneten Bezeichnungen dieser Bezeichnung nicht sehen, auch wenn die Untergeordneten Bezeichnungen nicht für die Anwendung der Verschlüsselung konfiguriert sind.

      Darüber hinaus können die neuen Funktionen nicht mit bezeichneten Dokumenten verwendet werden, die bereits über diese Verschlüsselungseinstellungen verfügen. Diese Dokumente werden beispielsweise nicht in Den Suchergebnissen zurückgegeben, auch wenn sie aktualisiert werden.

  • Wenn Sie ein Dokument in SharePoint hochladen oder speichern und die Bezeichnung der Datei keine Verschlüsselung anwendet, kann es aus Leistungsgründen eine Weile dauern, bis der Bezeichnungsname in der Spalte Vertraulichkeit in der Dokumentbibliothek angezeigt wird. Berücksichtigen Sie diese Verzögerung, wenn Sie Skripts oder Automatisierungen verwenden, die vom Bezeichnungsnamen in dieser Spalte abhängen.

  • Wenn ein Dokument beschriftet ist, während es in SharePoint ausgecheckt ist, zeigt die Spalte Vertraulichkeit in der Dokumentbibliothek den Bezeichnungsnamen erst an, wenn das Dokument eingecheckt und das nächste Mal in SharePoint geöffnet wird.

  • Wenn ein bezeichnetes und verschlüsseltes Dokument von einer App oder einem Dienst, die einen Dienstprinzipalnamen verwendet, aus SharePoint oder OneDrive heruntergeladen und dann erneut mit einer Bezeichnung hochgeladen wird, die andere Verschlüsselungseinstellungen anwendet, schlägt der Upload fehl. Ein Beispielszenario ist Microsoft Defender for Cloud Apps eine Vertraulichkeitsbezeichnung für eine Datei von Vertraulich in Streng vertraulich oder von Vertraulich in Allgemein ändert.

    Der Upload schlägt nicht fehl, wenn die App oder der Dienst zuerst das Cmdlet Unlock-SPOSensitivityLabelEncryptedFile ausführt, wie im Abschnitt Entfernen der Verschlüsselung für ein bezeichnetes Dokument erläutert. Oder vor dem Upload wird die ursprüngliche Datei gelöscht, oder der Dateiname wird geändert.

  • Benutzer können im folgenden Szenario zum Speichern unter Verzögerungen beim Öffnen verschlüsselter Dokumente auftreten: Bei Verwendung einer Desktopversion von Office wählt ein Benutzer Speichern unter für ein Dokument aus, das über eine Vertraulichkeitsbezeichnung verfügt, die Verschlüsselung anwendet. Der Benutzer wählt SharePoint oder OneDrive als Speicherort aus und versucht dann sofort, dieses Dokument in Office für das Web zu öffnen. Wenn der Dienst die Verschlüsselung weiterhin verarbeitet, wird dem Benutzer eine Meldung angezeigt, dass das Dokument in seiner Desktop-App geöffnet werden muss. Wenn es in einigen Minuten erneut versucht wird, wird das Dokument erfolgreich in Office für das Web geöffnet.

  • Für verschlüsselte Dokumente wird das Drucken in Office für das Web nicht unterstützt.

  • Für verschlüsselte Dokumente in Office für das Web werden Bildschirmaufnahmen nicht verhindert. Wenn Dokumente jedoch beschriftet und verschlüsselt sind und das Kopiernutzungsrecht nicht gewährt wird, verhindert Office im Web das Kopieren in die Zwischenablage auf die gleiche Weise wie Desktop-Apps diese Aktion verhindern.

  • Office-Desktop-Apps und mobile Apps unterstützen standardmäßig keine gemeinsame Dokumenterstellung für Dateien, die mit Verschlüsselung gekennzeichnet sind. Diese Apps öffnen weiterhin bezeichnete und verschlüsselte Dateien im exklusiven Bearbeitungsmodus. Informationen zum Ändern des Standardverhaltens finden Sie unter Aktivieren der gemeinsamen Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.

  • Wenn ein Administrator einstellungen für eine veröffentlichte Bezeichnung ändert, die bereits auf Dateien angewendet wurde, die auf den Synchronisierungsclient der Benutzer heruntergeladen wurden, können Benutzer möglicherweise keine Änderungen speichern, die sie an der Datei in ihrem OneDrive-Synchronisierungsordner vornehmen. Dieses Szenario gilt für Dateien, die mit Verschlüsselung gekennzeichnet sind, und auch, wenn die Bezeichnungsänderung von einer Bezeichnung stammt, die keine Verschlüsselung auf eine Bezeichnung angewendet hat, die Verschlüsselung anwendet. Benutzern wird ein roter Kreis mit einem weißen Kreuzsymbol angezeigt, und sie werden aufgefordert, neue Änderungen als separate Kopie zu speichern. Stattdessen können sie die Datei schließen und erneut öffnen oder Office für das Web verwenden.

  • Vertraulichkeitsbezeichnungen, die für die automatische Bezeichnung konfiguriert sind, werden für Office im Web unterstützt, wenn die Bezeichnungseinstellungen für Bedingungen nur für vertrauliche Informationstypen gelten. Die automatische Bezeichnung wird für Office im Web nicht unterstützt, wenn die Bedingungen trainierbare Klassifizierer enthalten.

  • Benutzer können Probleme beim Speichern auftreten, nachdem sie offline oder in den Energiesparmodus geschaltet wurden, wenn sie anstelle von Office für das Web die Desktop- und mobilen Apps für Word, Excel oder PowerPoint verwenden. Wenn diese Benutzer ihre Office-App-Sitzung fortsetzen und versuchen, Änderungen zu speichern, wird eine Uploadfehlermeldung mit der Option zum Speichern einer Kopie angezeigt, anstatt die ursprüngliche Datei zu speichern.

  • Dokumente, die wie folgt verschlüsselt wurden, können nicht in Office für das Web geöffnet werden:

    • Verschlüsselung, die einen lokalen Schlüssel verwendet ("Hold Your Own Key" oder HYOK)
    • Verschlüsselung, die mithilfe der Doppelschlüsselverschlüsselung angewendet wurde
    • Verschlüsselung, die unabhängig von einer Bezeichnung angewendet wurde, z. B. durch direktes Anwenden einer Rights Management-Schutzvorlage.

  • Bezeichnungen, die für andere Sprachen konfiguriert sind, werden nicht unterstützt und zeigen nur die ursprüngliche Sprache an.

  • Wenn Sie eine Bezeichnung löschen, die auf ein Dokument in SharePoint oder OneDrive angewendet wurde, anstatt die Bezeichnung aus der entsprechenden Bezeichnungsrichtlinie zu entfernen, wird das Dokument beim Herunterladen nicht mit einer Bezeichnung versehen oder verschlüsselt. Wenn das beschriftete Dokument hingegen außerhalb von SharePoint oder OneDrive gespeichert ist, bleibt das Dokument verschlüsselt, wenn die Bezeichnung gelöscht wird. Beachten Sie, dass Sie Bezeichnungen zwar während einer Testphase löschen können, es aber sehr selten ist, eine Bezeichnung in einer Produktionsumgebung zu löschen.

Aktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (anmelden)

Sie können die neuen Funktionen über das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal oder mithilfe von PowerShell aktivieren. Anweisungen finden Sie in den folgenden Abschnitten.

Wie bei allen Konfigurationsänderungen auf Mandantenebene für SharePoint und OneDrive dauert es etwa 15 Minuten, bis die Änderung wirksam wird.

Verwenden des Portals zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen

Diese Option ist die einfachste Möglichkeit, Vertraulichkeitsbezeichnungen für SharePoint und OneDrive zu aktivieren, und Sie müssen sich als globaler Administrator für Ihren Mandanten anmelden.

  1. Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:

  2. Wenn eine Meldung zum Aktivieren der Möglichkeit zum Verarbeiten von Inhalten in Office-Onlinedateien angezeigt wird, wählen Sie Jetzt aktivieren aus:

    Aktivieren Sie die Schaltfläche Jetzt, um Vertraulichkeitsbezeichnungen für Office Online zu aktivieren.

    Der Befehl wird sofort ausgeführt, und wenn die Seite das nächste Mal aktualisiert wird, wird die Meldung oder Schaltfläche nicht mehr angezeigt.

Hinweis

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Funktionen für alle Ihre geografischen Standorte zu aktivieren. Ausführliche Informationen finden Sie im nächsten Abschnitt.

Verwenden von PowerShell zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen

Alternativ zur Verwendung des Microsoft Purview-Portals oder des Microsoft Purview-Complianceportal können Sie die Unterstützung für Vertraulichkeitsbezeichnungen aktivieren, indem Sie das Cmdlet Set-SPOTenant aus SharePoint Online PowerShell verwenden.

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Unterstützung für alle Ihre geografischen Standorte zu aktivieren.

Vorbereiten der SharePoint Online-Verwaltungsshell

Bevor Sie den PowerShell-Befehl ausführen, um Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive zu aktivieren, stellen Sie sicher, dass Sie die SharePoint Online-Verwaltungsshell-Version 16.0.19418.12000 oder höher ausführen. Wenn Sie bereits über die neueste Version verfügen, können Sie mit dem nächsten Verfahren fortfahren, um den PowerShell-Befehl auszuführen.

  1. Wenn Sie eine frühere Version der SharePoint-Online-Verwaltungsshell aus dem PowerShell-Katalog installiert haben, können Sie das Modul aktualisieren, indem Sie das folgende Cmdlet ausführen.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell

  2. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell aus dem Microsoft Download Center installiert haben, können Sie auch zu Programme hinzufügen oder entfernen und die SharePoint Online-Verwaltungsshell deinstallieren.

  3. Wechseln Sie in einem Webbrowser zur Download Center-Seite, und laden Sie die neueste SharePoint Online-Verwaltungsshell herunter.

  4. Wählen Sie die gewünschte Sprache aus, und klicken Sie auf Download.

  5. Wählen Sie zwischen der x64- und der x86-Version der MSI-Datei aus. Laden Sie die x64-Datei herunter, wenn Sie die 64-Bit-Version von Windows oder die x86-Datei ausführen, wenn Sie die 32-Bit-Version ausführen. Wenn Sie es nicht wissen, lesen Sie Welche Version des Windows-Betriebssystems verwende ich?

  6. Nachdem Sie die Datei heruntergeladen haben, führen Sie die Datei aus, und führen Sie die Schritte in der Setupkonfiguration aus.

Führen Sie den PowerShell-Befehl aus, um die Unterstützung für Vertraulichkeitsbezeichnungen zu aktivieren.

Verwenden Sie zum Aktivieren der neuen Funktionen das Cmdlet Set-SPOTenant mit dem Parameter EnableAIPIntegration :

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit globalen Administrator- oder SharePoint-Administratorrechten in Microsoft 365 eine Verbindung mit SharePoint her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

    Hinweis

    Wenn Sie über Microsoft 365 Multi-Geo verfügen, verwenden Sie den Parameter -Url mit Connect-SPOService, und geben Sie die Website-URL des SharePoint Online-Verwaltungscenters für einen Ihrer geografischen Standorte an.

  2. Führen Sie den folgenden Befehl aus, und drücken Sie Y , um dies zu bestätigen:

    Set-SPOTenant -EnableAIPIntegration $true

  3. Für Microsoft 365 Multi-Geo: Wiederholen Sie die Schritte 1 und 2 für jeden Ihrer verbleibenden geografischen Standorte.

Veröffentlichen und Ändern von Vertraulichkeitsbezeichnungen

Wenn Sie Vertraulichkeitsbezeichnungen mit SharePoint und OneDrive verwenden, denken Sie daran, dass Sie beim Veröffentlichen neuer Vertraulichkeitsbezeichnungen oder beim Aktualisieren vorhandener Vertraulichkeitsbezeichnungen eine Replikationszeit einbehalten müssen. Dies ist besonders wichtig für neue Bezeichnungen, die Verschlüsselung anwenden.

Beispiel: Sie erstellen und veröffentlichen eine neue Vertraulichkeitsbezeichnung, die Verschlüsselung anwendet und sehr schnell in der Desktop-App eines Benutzers angezeigt wird. Der Benutzer wendet diese Bezeichnung auf ein Dokument an und lädt es dann in SharePoint oder OneDrive hoch. Wenn die Bezeichnungsreplikation für den Dienst nicht abgeschlossen wurde, werden die neuen Funktionen beim Hochladen nicht auf dieses Dokument angewendet. Daher wird das Dokument bei der Suche oder für eDiscovery nicht zurückgegeben, und das Dokument kann nicht in Office für das Web geöffnet werden.

Weitere Informationen zum zeitlichen Verhalten von Bezeichnungen finden Sie unter Wann werden neue Bezeichnungen und Änderungen voraussichtlich wirksam.

Aus Sicherheitsgründen empfehlen wir, neue Bezeichnungen zuerst nur für wenige Testbenutzer zu veröffentlichen, mindestens eine Stunde zu warten und dann das Verhalten der Bezeichnung auf SharePoint und OneDrive zu überprüfen. Warten Sie mindestens einen Tag, bevor Sie die Bezeichnung für mehr Benutzer verfügbar machen, indem Sie der vorhandenen Bezeichnungsrichtlinie entweder weitere Benutzer hinzufügen oder die Bezeichnung zu einer vorhandenen Bezeichnungsrichtlinie für Ihre Standardbenutzer hinzufügen. Zu dem Zeitpunkt, an dem die Standardbenutzer die Bezeichnung sehen, wurde sie bereits mit SharePoint und OneDrive synchronisiert.

SharePoint Information Rights Management (IRM) und Vertraulichkeitsbezeichnungen

SharePoint Information Rights Management (IRM) ist eine ältere Technologie zum Schutz von Dateien auf Listen- und Bibliotheksebene durch Anwenden von Verschlüsselung und Einschränkungen beim Herunterladen von Dateien. Diese ältere Schutztechnologie soll verhindern, dass nicht autorisierte Benutzer die Datei außerhalb von SharePoint öffnen.

Im Vergleich dazu bieten Vertraulichkeitsbezeichnungen zusätzlich zur Verschlüsselung die Schutzeinstellungen visueller Markierungen (Kopfzeilen, Fußzeilen, Wasserzeichen). Die Verschlüsselungseinstellungen unterstützen den gesamten Bereich der Nutzungsrechte , um einzuschränken, was Benutzer mit dem Inhalt tun können, und die gleichen Vertraulichkeitsbezeichnungen werden für viele Szenarien unterstützt. Die Verwendung derselben Schutzmethode mit konsistenten Einstellungen für Workloads und Apps führt zu einer konsistenten Schutzstrategie.

Sie können jedoch beide Schutzlösungen zusammen verwenden, und das Verhalten sieht wie folgt aus:

  • Wenn Sie eine Datei mit einer Vertraulichkeitsbezeichnung hochladen, die Verschlüsselung anwendet, kann SharePoint den Inhalt dieser Dateien nicht verarbeiten, sodass die gemeinsame Dokumenterstellung, eDiscovery, DLP und Suche für diese Dateien nicht unterstützt werden.

  • Wenn Sie eine Datei mit Office für das Web bezeichnen, werden alle Verschlüsselungseinstellungen der Bezeichnung erzwungen. Für diese Dateien werden gemeinsame Dokumenterstellung, eDiscovery, DLP und Suche unterstützt.

  • Wenn Sie eine Datei herunterladen, die mit Office für das Web bezeichnet wird, wird die Bezeichnung beibehalten, und alle Verschlüsselungseinstellungen der Bezeichnung werden anstelle der IRM-Einschränkungseinstellungen erzwungen.

  • Wenn Sie eine Office- oder PDF-Datei herunterladen, die nicht mit einer Vertraulichkeitsbezeichnung verschlüsselt ist, werden IRM-Einstellungen angewendet.

  • Wenn Sie eine der zusätzlichen IRM-Bibliothekseinstellungen aktiviert haben, die verhindern, dass Benutzer Dokumente hochladen, die IRM nicht unterstützen, werden diese Einstellungen erzwungen.

Mit diesem Verhalten können Sie sicher sein, dass alle Office- und PDF-Dateien vor nicht autorisiertem Zugriff geschützt sind, wenn sie heruntergeladen werden, auch wenn sie nicht beschriftet sind. Beschriftete Dateien, die hochgeladen werden, profitieren jedoch nicht von den neuen Funktionen.

Search für Dokumente nach Vertraulichkeitsbezeichnung

Verwenden Sie die verwaltete Eigenschaft InformationProtectionLabelId , um alle Dokumente in SharePoint oder OneDrive zu suchen, die eine bestimmte Vertraulichkeitsbezeichnung aufweisen. Verwenden Sie die folgende Syntax: InformationProtectionLabelId:<GUID>

Wenn Sie beispielsweise nach allen Dokumenten suchen möchten, die als "Vertraulich" bezeichnet wurden und über die GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e" verfügen, geben Sie Folgendes in das Suchfeld ein:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

Search finden keine beschrifteten Dokumente in einer komprimierten Datei, z. B. in einer .zip-Datei.

Verwenden Sie das Cmdlet Get-Label , um die GUIDs für Ihre Vertraulichkeitsbezeichnungen abzurufen:

  1. Stellen Sie zunächst eine Verbindung mit Office 365 Security & Compliance PowerShell her.

    Melden Sie sich beispielsweise in einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an.

  2. Führen Sie dann den folgenden Befehl aus:

    Get-Label |ft Name, Guid

Weitere Informationen zur Verwendung verwalteter Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint.

Entfernen der Verschlüsselung für ein bezeichnetes Dokument

Es kann selten vorkommen, dass ein SharePoint-Administrator die Verschlüsselung aus einem in SharePoint gespeicherten Dokument entfernen muss. Jeder Benutzer, dem das Rights Management-Nutzungsrecht Export oder Vollzugriff für dieses Dokument zugewiesen ist, kann die verschlüsselung entfernen, die vom Azure Rights Management-Dienst aus Microsoft Purview Information Protection angewendet wurde. Beispielsweise können Benutzer mit einem dieser Nutzungsrechte eine Bezeichnung, die die Verschlüsselung anwendet, durch eine Bezeichnung ohne Verschlüsselung ersetzen. Ein Superuser kann die Datei auch herunterladen und eine lokale Kopie ohne verschlüsselung speichern.

Alternativ kann ein globaler Administrator oder SharePoint-Administrator das Cmdlet Unlock-SPOSensitivityLabelEncryptedFile ausführen, das sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung entfernt. Dieses Cmdlet wird auch ausgeführt, wenn der Administrator nicht über Zugriffsberechtigungen für die Website oder Datei verfügt oder wenn der Azure Rights Management-Dienst nicht verfügbar ist.

Zum Beispiel:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Voraussetzungen:

  • SharePoint Online-Verwaltungsshell, Version 16.0.20616.12000 oder höher.

  • Die Verschlüsselung wurde von einer Vertraulichkeitsbezeichnung mit vom Administrator definierten Verschlüsselungseinstellungen angewendet (die Einstellungen berechtigungen jetzt zuweisen bezeichnen). Die Doppelschlüsselverschlüsselung wird für dieses Cmdlet nicht unterstützt.

Der Begründungstext wird dem Überwachungsereignisvertraulichkeitsbezeichnung aus Datei entfernt hinzugefügt, und die Entschlüsselungsaktion wird auch in der Verwendungsprotokollierung für Azure Rights Management aufgezeichnet.

Deaktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (Abmelden)

Wenn Sie diese neuen Funktionen deaktivieren, werden Dateien, die Sie hochgeladen haben, nachdem Sie Vertraulichkeitsbezeichnungen für SharePoint und OneDrive aktiviert haben, weiterhin durch die Bezeichnung geschützt, da die Bezeichnungseinstellungen weiterhin erzwungen werden. Wenn Sie Vertraulichkeitsbezeichnungen auf neue Dateien anwenden, nachdem Sie diese neuen Funktionen deaktiviert haben, funktionieren die Volltextsuche, eDiscovery und die gemeinsame Dokumenterstellung nicht mehr.

Um diese neuen Funktionen zu deaktivieren, müssen Sie PowerShell verwenden. Geben Sie mithilfe der SharePoint Online-Verwaltungsshell und des Cmdlets Set-SPOTenant denselben EnableAIPIntegration-Parameter an, der im Abschnitt Verwenden von PowerShell zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen beschrieben wird. Legen Sie dieses Mal jedoch den Parameterwert auf false fest, und drücken Sie Y , um dies zu bestätigen:

Set-SPOTenant -EnableAIPIntegration $false

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie diesen Befehl für jeden Ihrer geografischen Standorte ausführen.

Nächste Schritte

Nachdem Sie Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive aktiviert haben, erwägen Sie, Dateien automatisch mit einer oder beiden der folgenden Bezeichnungsmethoden zu bezeichnen:

Müssen Sie Ihre gekennzeichneten und verschlüsselten Dokumente mit Personen außerhalb Ihrer Organisation teilen? Informationen hierzu finden Sie unter Teilen verschlüsselter Dokumente mit externen Benutzern.