Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive

Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&.

Aktivieren Sie die integrierte Bezeichnung für unterstützte Office-Dateien in SharePoint und OneDrive, damit Benutzer Ihre Vertraulichkeitsbezeichnungen in Office für das Web anwenden können. Wenn dieses Feature aktiviert ist, wird den Benutzern im Menüband die Schaltfläche Vertraulichkeit angezeigt, damit sie Bezeichnungen anwenden können, sowie alle angewendeten Bezeichnungsnamen auf der Statusleiste.

Die Aktivierung dieses Features führt auch dazu, dass SharePoint und OneDrive die Inhalte von Office-Dateien verarbeiten können, die mit einer Vertraulichkeitsbezeichnung verschlüsselt wurden. Die Bezeichnung kann in Office für das Web oder in Office-Desktop-Apps angewendet und in SharePoint und OneDrive hochgeladen oder gespeichert werden. Bis Sie dieses Feature aktivieren, können diese Dienste keine verschlüsselten Dateien verarbeiten. Dies bedeutet, dass die gemeinsame Dokumenterstellung, eDiscovery, Microsoft Purview-Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit für diese Dateien nicht funktionieren.

Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, für neue und geänderte Dateien, die über eine Vertraulichkeitsbezeichnung verfügen, die Verschlüsselung mit einem cloudbasierten Schlüssel anwendet (und keine Doppelschlüsselverschlüsselung verwendet:

  • Bei Word-, Excel- und PowerPoint-Dateien erkennen SharePoint und OneDrive die Bezeichnung und können nun den Inhalt der verschlüsselten Datei verarbeiten.

  • Wenn Benutzer diese Dateien von SharePoint oder OneDrive herunterladen oder darauf zugreifen, werden die Vertraulichkeitsbezeichnung und alle Verschlüsselungseinstellungen der Bezeichnung erzwungen und bleiben bei der Datei, unabhängig davon, wo sie gespeichert ist. Stellen Sie sicher, dass Sie Benutzeranleitungen bereitstellen, um Dokumente nur mit Bezeichnungen zu schützen. Weitere Informationen finden Sie unter IrM-Optionen (Information Rights Management) und Vertraulichkeitsbezeichnungen.

  • Wenn Benutzer beschriftete und verschlüsselte Dateien auf SharePoint oder OneDrive hochladen, müssen sie mindestens über Ansichtsrechte für diese Dateien verfügen. Beispielsweise können sie die Dateien außerhalb von SharePoint öffnen. Wenn sie nicht über dieses Mindestnutzungsrecht verfügen, ist der Upload erfolgreich, aber der Dienst erkennt die Bezeichnung nicht und kann den Dateiinhalt nicht verarbeiten.

  • Verwenden Sie Office für das Web (Word, Excel, PowerPoint), um Office-Dateien mit Vertraulichkeitsbezeichnungen zu öffnen und zu bearbeiten, die Verschlüsselung anwenden. Die Berechtigungen, die der Verschlüsselung zugewiesen wurden, werden erzwungen. Sie können auch die automatische Bezeichnung für diese Dokumente verwenden.

  • Externe Benutzer können mithilfe von Gastkonten auf Dokumente zugreifen, die mit Verschlüsselung gekennzeichnet sind. Weitere Informationen finden Sie unter Unterstützung für externe Benutzer und bezeichnete Inhalte.

  • Office 365 eDiscovery unterstützt die Volltextsuche für diese Dateien, und DLP-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) unterstützen Inhalte in diesen Dateien.

Hinweis

Wenn die Verschlüsselung mit einem lokalen Schlüssel (einer Schlüsselverwaltungstopologie, die häufig als "Hold Your Own Key" oder HYOK bezeichnet wird) oder mithilfe der Doppelschlüsselverschlüsselung angewendet wurde, ändert sich das Dienstverhalten für die Verarbeitung des Dateiinhalts nicht. Für diese Dateien funktionieren also die gemeinsame Dokumenterstellung, eDiscovery, Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit nicht.

Das Verhalten von SharePoint und OneDrive ändert sich auch nicht für vorhandene Dateien an diesen Speicherorten, die mit Verschlüsselung mit einem einzelnen Azure-basierten Schlüssel gekennzeichnet sind. Damit diese Dateien von den neuen Funktionen profitieren können, nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, müssen die Dateien entweder heruntergeladen und erneut hochgeladen oder bearbeitet werden.

Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, stehen drei neue Überwachungsereignisse zur Überwachung von Vertraulichkeitsbezeichnungen zur Verfügung, die auf Dokumente in SharePoint und OneDrive angewendet werden:

  • Vertraulichkeitsbezeichnung wurde auf Datei angewendet
  • Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändert
  • Vertraulichkeitsbezeichnung wurde von Datei entfernt

Sehen Sie sich das folgende Video (ohne Audio) an, um die neuen Funktionen in Aktion zu sehen:

Sie haben jederzeit die Möglichkeit, Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive zu deaktivieren (opt-out).

Wenn Sie dokumente in SharePoint derzeit mithilfe von SharePoint Information Rights Management (IRM) schützen, überprüfen Sie unbedingt den Abschnitt Verwaltung von SharePoint Information Rights (IRM) und Vertraulichkeitsbezeichnungen auf dieser Seite.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Anforderungen

Diese neuen Funktionen können nur mit Vertraulichkeitsbezeichnungen verwendet werden . Wenn Sie derzeit über Azure Information Protection-Bezeichnungen verfügen, migrieren Sie diese zunächst zu Vertraulichkeitsbezeichnungen, damit Sie diese Features für neue Dateien aktivieren können, die Sie hochladen. Anleitungen dazu finden Sie unter So migrieren Sie Azure Information Protection-Bezeichnungen zu einheitlichen Vertraulichkeitsbezeichnungen.

Verwenden Sie die OneDrive-Synchronisation App-Version 19.002.0121.0008 oder höher unter Windows und Version 19.002.0107.0008 oder höher unter Mac. Beide Versionen wurden am 28. Januar 2019 veröffentlicht und sind derzeit für alle Ringe verfügbar. Weitere Informationen finden Sie in den Versionshinweisen zu OneDrive. Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, werden Benutzer, die eine ältere Version der Synchronisierungs-App ausführen, aufgefordert, sie zu aktualisieren.

Unterstützte Dateitypen

Nachdem Sie Vertraulichkeitsbezeichnungen für SharePoint und OneDrive aktiviert haben, werden die folgenden Dateitypen für Vertraulichkeitsbezeichnungsszenarien unterstützt.

Anwenden einer Vertraulichkeitsbezeichnung in Office im Web oder in SharePoint:

  • Word: .docx, .docm
  • Excel: .xlsx, XLSM, XLSB
  • PowerPoint: .pptx, .ppsx

Hochladen eines beschrifteten Dokuments und anschließendes Extrahieren und Anzeigen dieser Vertraulichkeitsbezeichnung:

  • Word: doc, .docx, .docm, .dot, .dotx, .dotm
  • Excel: .xls, .xlt, .xla, .xlc, .xlm, .xlw, .xlsx, .xltx, .xlsm, .xltm, .xlam, .xlsb
  • PowerPoint: .ppt, .pot, .pps, .ppa, .pptx, .ppsx, .ppsxm, .potx, .ppam, .pptm, .potm, .ppsm

Einschränkungen

  • SharePoint und OneDrive können einige Dateien, die von Office-Desktop-Apps bezeichnet und verschlüsselt sind, nicht verarbeiten, wenn diese Dateien PowerQuery-Daten, von benutzerdefinierten Add-Ins gespeicherte Daten oder benutzerdefinierte XML-Teile wie Deckblatteigenschaften, Inhaltstypschemas, benutzerdefinierte Dokumentinformationsbereich und benutzerdefinierte XSN enthalten. Diese Einschränkung gilt auch für Dateien, die ein Literaturverzeichnis enthalten, und für Dateien, deren Dokument-ID beim Hochladen hinzugefügt wird.

    Wenden Sie für diese Dateien entweder eine Bezeichnung ohne Verschlüsselung an, damit sie später in Office im Web geöffnet werden können, oder weisen Sie Die Benutzer an, die Dateien in ihren Desktop-Apps zu öffnen. Dateien, die nur in Office im Web bezeichnet und verschlüsselt sind, sind nicht betroffen.

  • SharePoint und OneDrive wenden vertraulichkeitsbezeichnungen nicht automatisch auf vorhandene Dateien an, die Sie bereits mit Azure Information Protection-Bezeichnungen verschlüsselt haben. Damit die Features funktionieren, nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, führen Sie stattdessen die folgenden Aufgaben aus:

    1. Stellen Sie sicher, dass Sie die Azure Information Protection-Bezeichnungen zu Vertraulichkeitsbezeichnungen migriert und aus dem Microsoft Purview-Complianceportal veröffentlicht haben.
    2. Laden Sie die bezeichneten Dateien herunter, und laden Sie sie dann an ihren ursprünglichen Speicherort in SharePoint oder OneDrive hoch.
  • SharePoint und OneDrive können verschlüsselte Dateien nicht verarbeiten, wenn die Bezeichnung, die die Verschlüsselung angewendet hat, über eine der folgenden Konfigurationen für die Verschlüsselung verfügt:

    • Benutzer können Berechtigungen zuweisen, wenn sie die Bezeichnung anwenden und das Kontrollkästchen In Word, PowerPoint und Excel Benutzer auffordern, Berechtigungen anzugeben ausgewählt ist. Diese Einstellung wird manchmal als "benutzerdefinierte Berechtigungen" bezeichnet.

    • Benutzerzugriff auf Inhalte läuft ab ist auf einen anderen Wert als Nie eingestellt.

    • Verschlüsselung mit Doppelschlüssel ist ausgewählt.

      Bei Bezeichnungen mit einer dieser Verschlüsselungskonfigurationen werden die Bezeichnungen benutzern in Office für das Web nicht angezeigt. Darüber hinaus können die neuen Funktionen nicht mit bezeichneten Dokumenten verwendet werden, die bereits über diese Verschlüsselungseinstellungen verfügen. Beispielsweise werden diese Dokumente nicht in Suchergebnissen zurückgegeben, auch wenn sie aktualisiert werden.

  • Wenn Sie ein Dokument in SharePoint hochladen oder speichern und die Bezeichnung der Datei keine Verschlüsselung anwendet, kann es aus Leistungsgründen eine Weile dauern, bis die Vertraulichkeitsspalte in der Dokumentbibliothek den Bezeichnungsnamen anzeigt. Berücksichtigen Sie diese Verzögerung, wenn Sie Skripts oder Automatisierungen verwenden, die vom Bezeichnungsnamen in dieser Spalte abhängen.

  • Wenn ein Dokument beschriftet ist, während es in SharePoint ausgecheckt ist, zeigt die Spalte Vertraulichkeit in der Dokumentbibliothek den Bezeichnungsnamen erst an, wenn das Dokument eingecheckt und das nächste Mal in SharePoint geöffnet wird.

  • Wenn ein bezeichnetes und verschlüsseltes Dokument von einer App oder einem Dienst, die einen Dienstprinzipalnamen verwendet, aus SharePoint oder OneDrive heruntergeladen und dann erneut mit einer Bezeichnung hochgeladen wird, die andere Verschlüsselungseinstellungen anwendet, schlägt der Upload fehl. Ein Beispielszenario ist Microsoft Defender for Cloud Apps eine Vertraulichkeitsbezeichnung für eine Datei von Vertraulich in Streng vertraulich oder von Vertraulich in Allgemein ändert.

    Der Upload schlägt nicht fehl, wenn die App oder der Dienst zuerst das Cmdlet Unlock-SPOSensitivityLabelEncryptedFile ausführt, wie im Abschnitt Entfernen der Verschlüsselung für ein bezeichnetes Dokument erläutert. Oder vor dem Upload wird die ursprüngliche Datei gelöscht, oder der Dateiname wird geändert.

  • Benutzer können im folgenden Szenario zum Speichern unter Verzögerungen beim Öffnen verschlüsselter Dokumente auftreten: Bei Verwendung einer Desktopversion von Office wählt ein Benutzer Speichern unter für ein Dokument aus, das über eine Vertraulichkeitsbezeichnung verfügt, die Verschlüsselung anwendet. Der Benutzer wählt SharePoint oder OneDrive als Speicherort aus und versucht dann sofort, dieses Dokument in Office für das Web zu öffnen. Wenn der Dienst die Verschlüsselung weiterhin verarbeitet, wird dem Benutzer eine Meldung angezeigt, dass das Dokument in seiner Desktop-App geöffnet werden muss. Wenn es in einigen Minuten erneut versucht wird, wird das Dokument erfolgreich in Office für das Web geöffnet.

  • Für verschlüsselte Dokumente wird das Drucken in Office für das Web nicht unterstützt.

  • Für verschlüsselte Dokumente in Office für das Web werden Bildschirmaufnahmen nicht verhindert. Bis vor kurzem war das Kopieren in die Zwischenablage auch für diese Dokumente nicht verhindert. Wenn Dokumente beschriftet und verschlüsselt sind und das Kopiernutzungsrecht nicht gewährt wird, verhindert Office im Web das Kopieren in die Zwischenablage auf die gleiche Weise, wie Desktop-Apps diese Aktion verhindern. Es gibt derzeit einige Ausnahmen für Neubeschriftungsszenarien, bis der Browser aktualisiert, eine andere Sitzung gestartet wird oder das Dokument erneut geöffnet wird:

    • In der Mitte der Sitzung ändert sich das Dokument von unverschlüsselt in verschlüsselt.
    • In der Mitte der Sitzung ändert sich das Dokument von verschlüsselt, und das Kopiernutzungsrecht wird zu verschlüsselt, aber das Kopiernutzungsrecht wird nicht gewährt.
  • Standardmäßig unterstützen Office-Desktop-Apps und mobile Apps die gemeinsame Dokumenterstellung für Dateien, die mit Verschlüsselung gekennzeichnet sind. Diese Apps öffnen weiterhin bezeichnete und verschlüsselte Dateien im exklusiven Bearbeitungsmodus.

    Hinweis

    Die gemeinsame Dokumenterstellung wird jetzt für Windows und macOS sowie in der Vorschauversion für iOS und Android unterstützt. Weitere Informationen finden Sie unter Aktivieren der gemeinsamen Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.

  • Wenn ein Administrator einstellungen für eine veröffentlichte Bezeichnung ändert, die bereits auf Dateien angewendet wurde, die auf den Synchronisierungsclient der Benutzer heruntergeladen wurden, können Benutzer möglicherweise keine Änderungen speichern, die sie an der Datei in ihrem OneDrive-Synchronisierungsordner vornehmen. Dieses Szenario gilt für Dateien, die mit Verschlüsselung gekennzeichnet sind, und auch, wenn die Bezeichnungsänderung von einer Bezeichnung stammt, die keine Verschlüsselung auf eine Bezeichnung angewendet hat, die Verschlüsselung anwendet. Benutzern wird ein roter Kreis mit einem weißen Kreuzsymbol angezeigt, und sie werden aufgefordert, neue Änderungen als separate Kopie zu speichern. Stattdessen können sie die Datei schließen und erneut öffnen oder Office für das Web verwenden.

  • Vertraulichkeitsbezeichnungen, die für die automatische Bezeichnung konfiguriert sind, werden für Office im Web unterstützt, wenn die Bezeichnungseinstellungen für Bedingungen nur für vertrauliche Informationstypen gelten. Die automatische Bezeichnung wird für Office im Web nicht unterstützt, wenn die Bedingungen trainierbare Klassifizierer enthalten.

  • Benutzer können Probleme beim Speichern haben, nachdem sie offline oder in den Energiesparmodus geschaltet wurden, wenn sie anstelle von Office für das Web die Desktop- und mobilen Apps für Word, Excel oder PowerPoint verwenden. Wenn diese Benutzer ihre Office-App-Sitzung fortsetzen und versuchen, Änderungen zu speichern, wird eine Uploadfehlermeldung mit einer Option zum Speichern einer Kopie angezeigt, anstatt die ursprüngliche Datei zu speichern.

  • Dokumente, die wie folgt verschlüsselt wurden, können nicht in Office für das Web geöffnet werden:

    • Verschlüsselung, die einen lokalen Schlüssel verwendet ("Hold Your Own Key" oder HYOK)
    • Verschlüsselung, die mithilfe der Doppelschlüsselverschlüsselung angewendet wurde
    • Verschlüsselung, die unabhängig von einer Bezeichnung angewendet wurde, z. B. durch direktes Anwenden einer Rights Management-Schutzvorlage.
  • Bezeichnungen, die für andere Sprachen konfiguriert sind, werden nicht unterstützt und zeigen nur die ursprüngliche Sprache an.

  • Wenn Sie eine Bezeichnung löschen, die auf ein Dokument in SharePoint oder OneDrive angewendet wurde, anstatt die Bezeichnung aus der entsprechenden Bezeichnungsrichtlinie zu entfernen, wird das Dokument beim Herunterladen nicht mit einer Bezeichnung versehen oder verschlüsselt. Im Vergleich dazu bleibt das Dokument verschlüsselt, wenn das bezeichnete Dokument außerhalb von SharePoint oder OneDrive gespeichert wird, wenn die Bezeichnung gelöscht wird. Beachten Sie, dass Sie Bezeichnungen zwar während einer Testphase löschen können, es aber sehr selten ist, eine Bezeichnung in einer Produktionsumgebung zu löschen.

Aktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (anmelden)

Sie können die neuen Funktionen mithilfe der Microsoft Purview-Complianceportal oder mithilfe von PowerShell aktivieren. Anweisungen finden Sie in den folgenden Abschnitten.

Wie bei allen Konfigurationsänderungen auf Mandantenebene für SharePoint und OneDrive dauert es etwa 15 Minuten, bis die Änderung wirksam wird.

Verwenden sie die Microsoft Purview-Complianceportal, um die Unterstützung für Vertraulichkeitsbezeichnungen zu aktivieren.

Diese Option ist die einfachste Möglichkeit, Vertraulichkeitsbezeichnungen für SharePoint und OneDrive zu aktivieren, aber Sie müssen sich als globaler Administrator für Ihren Mandanten anmelden.

  1. Melden Sie sich beim Microsoft Purview-Complianceportal als globaler Administrator an, und navigieren Sie zu Lösungen>InformationProtection-Bezeichnungen>.

  2. Wenn eine Meldung zum Aktivieren der Möglichkeit zum Verarbeiten von Inhalten in Office-Onlinedateien angezeigt wird, wählen Sie Jetzt aktivieren aus:

    Aktivieren Sie die Schaltfläche Jetzt, um Vertraulichkeitsbezeichnungen für Office Online zu aktivieren.

    Der Befehl wird sofort ausgeführt, und wenn die Seite das nächste Mal aktualisiert wird, wird die Meldung oder Schaltfläche nicht mehr angezeigt.

Hinweis

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Funktionen für alle Ihre geografischen Standorte zu aktivieren. Ausführliche Informationen finden Sie im nächsten Abschnitt.

Verwenden von PowerShell zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen

Alternativ zur Verwendung der Microsoft Purview-Complianceportal können Sie die Unterstützung für Vertraulichkeitsbezeichnungen aktivieren, indem Sie das Cmdlet Set-SPOTenant aus SharePoint Online PowerShell verwenden.

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Unterstützung für alle Ihre geografischen Standorte zu aktivieren.

Vorbereiten der SharePoint Online-Verwaltungsshell

Bevor Sie den PowerShell-Befehl ausführen, um Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive zu aktivieren, stellen Sie sicher, dass Sie die SharePoint Online-Verwaltungsshell-Version 16.0.19418.12000 oder höher ausführen. Wenn Sie bereits über die neueste Version verfügen, können Sie mit dem nächsten Verfahren fortfahren, um den PowerShell-Befehl auszuführen.

  1. Wenn Sie eine frühere Version der SharePoint-Online-Verwaltungsshell aus dem PowerShell-Katalog installiert haben, können Sie das Modul aktualisieren, indem Sie das folgende Cmdlet ausführen.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell aus dem Microsoft Download Center installiert haben, können Sie auch zu Programme hinzufügen oder entfernen und die SharePoint Online-Verwaltungsshell deinstallieren.

  3. Wechseln Sie in einem Webbrowser zur Download Center-Seite, und laden Sie die neueste SharePoint Online-Verwaltungsshell herunter.

  4. Wählen Sie die gewünschte Sprache aus, und klicken Sie auf Download.

  5. Wählen Sie zwischen der x64- und der x86-Version der MSI-Datei aus. Laden Sie die x64-Datei herunter, wenn Sie die 64-Bit-Version von Windows oder die x86-Datei ausführen, wenn Sie die 32-Bit-Version ausführen. Wenn Sie es nicht wissen, lesen Sie Welche Version des Windows-Betriebssystems verwende ich?

  6. Nachdem Sie die Datei heruntergeladen haben, führen Sie die Datei aus, und führen Sie die Schritte im Setup-Assistenten aus.

Führen Sie den PowerShell-Befehl aus, um die Unterstützung für Vertraulichkeitsbezeichnungen zu aktivieren.

Verwenden Sie zum Aktivieren der neuen Funktionen das Cmdlet Set-SPOTenant mit dem Parameter EnableAIPIntegration :

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit globalen Administrator- oder SharePoint-Administratorrechten in Microsoft 365 eine Verbindung mit SharePoint her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

    Hinweis

    Wenn Sie über Microsoft 365 Multi-Geo verfügen, verwenden Sie den Parameter -Url mit Connect-SPOService, und geben Sie die Website-URL des SharePoint Online-Verwaltungscenters für einen Ihrer geografischen Standorte an.

  2. Führen Sie den folgenden Befehl aus, und drücken Sie Y , um dies zu bestätigen:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Für Microsoft 365 Multi-Geo: Wiederholen Sie die Schritte 1 und 2 für jeden Ihrer verbleibenden geografischen Standorte.

Veröffentlichen und Ändern von Vertraulichkeitsbezeichnungen

Wenn Sie Vertraulichkeitsbezeichnungen mit SharePoint und OneDrive verwenden, denken Sie daran, dass Sie beim Veröffentlichen neuer Vertraulichkeitsbezeichnungen oder beim Aktualisieren vorhandener Vertraulichkeitsbezeichnungen eine Replikationszeit einbehalten müssen. Dies ist besonders wichtig für neue Bezeichnungen, die Verschlüsselung anwenden.

Beispiel: Sie erstellen und veröffentlichen eine neue Vertraulichkeitsbezeichnung, die Verschlüsselung anwendet und sehr schnell in der Desktop-App eines Benutzers angezeigt wird. Der Benutzer wendet diese Bezeichnung auf ein Dokument an und lädt es dann in SharePoint oder OneDrive hoch. Wenn die Bezeichnungsreplikation für den Dienst nicht abgeschlossen wurde, werden die neuen Funktionen beim Hochladen nicht auf dieses Dokument angewendet. Daher wird das Dokument bei der Suche oder für eDiscovery nicht zurückgegeben, und das Dokument kann nicht in Office für das Web geöffnet werden.

Weitere Informationen zum zeitlichen Verhalten von Bezeichnungen finden Sie unter Wann werden neue Bezeichnungen und Änderungen voraussichtlich wirksam.

Aus Sicherheitsgründen empfehlen wir, neue Bezeichnungen zuerst nur für wenige Testbenutzer zu veröffentlichen, mindestens eine Stunde zu warten und dann das Verhalten der Bezeichnung auf SharePoint und OneDrive zu überprüfen. Warten Sie mindestens einen Tag, bevor Sie die Bezeichnung für mehr Benutzer verfügbar machen, indem Sie der vorhandenen Bezeichnungsrichtlinie entweder weitere Benutzer hinzufügen oder die Bezeichnung zu einer vorhandenen Bezeichnungsrichtlinie für Ihre Standardbenutzer hinzufügen. Zu dem Zeitpunkt, an dem die Standardbenutzer die Bezeichnung sehen, wurde sie bereits mit SharePoint und OneDrive synchronisiert.

SharePoint Information Rights Management (IRM) und Vertraulichkeitsbezeichnungen

SharePoint Information Rights Management (IRM) ist eine ältere Technologie zum Schutz von Dateien auf Listen- und Bibliotheksebene durch Anwenden von Verschlüsselung und Einschränkungen beim Herunterladen von Dateien. Diese ältere Schutztechnologie soll verhindern, dass nicht autorisierte Benutzer die Datei außerhalb von SharePoint öffnen.

Im Vergleich dazu bieten Vertraulichkeitsbezeichnungen zusätzlich zur Verschlüsselung die Schutzeinstellungen visueller Markierungen (Kopfzeilen, Fußzeilen, Wasserzeichen). Die Verschlüsselungseinstellungen unterstützen den gesamten Bereich der Nutzungsrechte , um einzuschränken, was Benutzer mit dem Inhalt tun können, und die gleichen Vertraulichkeitsbezeichnungen werden für viele Szenarien unterstützt. Die Verwendung derselben Schutzmethode mit konsistenten Einstellungen für Workloads und Apps führt zu einer konsistenten Schutzstrategie.

Sie können jedoch beide Schutzlösungen zusammen verwenden, und das Verhalten sieht wie folgt aus:

  • Wenn Sie eine Datei mit einer Vertraulichkeitsbezeichnung hochladen, die Verschlüsselung anwendet, kann SharePoint den Inhalt dieser Dateien nicht verarbeiten, sodass die gemeinsame Dokumenterstellung, eDiscovery, DLP und Suche für diese Dateien nicht unterstützt werden.

  • Wenn Sie eine Datei mit Office für das Web bezeichnen, werden alle Verschlüsselungseinstellungen der Bezeichnung erzwungen. Für diese Dateien werden gemeinsame Dokumenterstellung, eDiscovery, DLP und Suche unterstützt.

  • Wenn Sie eine Datei herunterladen, die mit Office für das Web bezeichnet wird, wird die Bezeichnung beibehalten, und alle Verschlüsselungseinstellungen der Bezeichnung werden anstelle der IRM-Einschränkungseinstellungen erzwungen.

  • Wenn Sie eine Office- oder PDF-Datei herunterladen, die nicht mit einer Vertraulichkeitsbezeichnung verschlüsselt ist, werden IRM-Einstellungen angewendet.

  • Wenn Sie eine der zusätzlichen IRM-Bibliothekseinstellungen aktiviert haben, die verhindern, dass Benutzer Dokumente hochladen, die IRM nicht unterstützen, werden diese Einstellungen erzwungen.

Mit diesem Verhalten können Sie sicher sein, dass alle Office- und PDF-Dateien vor nicht autorisiertem Zugriff geschützt sind, wenn sie heruntergeladen werden, auch wenn sie nicht beschriftet sind. Beschriftete Dateien, die hochgeladen werden, profitieren jedoch nicht von den neuen Funktionen.

Suchen nach Dokumenten nach Vertraulichkeitsbezeichnung

Verwenden Sie die verwaltete Eigenschaft InformationProtectionLabelId , um alle Dokumente in SharePoint oder OneDrive zu suchen, die eine bestimmte Vertraulichkeitsbezeichnung aufweisen. Verwenden Sie die folgende Syntax: InformationProtectionLabelId:<GUID>

Wenn Sie beispielsweise nach allen Dokumenten suchen möchten, die als "Vertraulich" bezeichnet wurden und die GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e" aufweist, geben Sie Folgendes in das Suchfeld ein:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

Die Suche findet keine bezeichneten Dokumente in einer komprimierten Datei, z. B. einer .zip-Datei.

Verwenden Sie das Cmdlet Get-Label , um die GUIDs für Ihre Vertraulichkeitsbezeichnungen abzurufen:

  1. Stellen Sie zunächst eine Verbindung mit Office 365 Security & Compliance PowerShell her.

    Melden Sie sich beispielsweise in einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an.

  2. Führen Sie dann den folgenden Befehl aus:

    Get-Label |ft Name, Guid
    

Weitere Informationen zur Verwendung verwalteter Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint.

Entfernen der Verschlüsselung für ein bezeichnetes Dokument

Es kann selten vorkommen, dass ein SharePoint-Administrator die Verschlüsselung aus einem in SharePoint gespeicherten Dokument entfernen muss. Jeder Benutzer, dem das Rights Management-Nutzungsrecht Export oder Vollzugriff für dieses Dokument zugewiesen ist, kann die Verschlüsselung entfernen, die vom Azure Rights Management-Dienst aus Azure Information Protection angewendet wurde. Beispielsweise können Benutzer mit einem dieser Nutzungsrechte eine Bezeichnung, die die Verschlüsselung anwendet, durch eine Bezeichnung ohne Verschlüsselung ersetzen. Ein Superuser kann die Datei auch herunterladen und eine lokale Kopie ohne verschlüsselung speichern.

Alternativ kann ein globaler Administrator oder SharePoint-Administrator das Cmdlet Unlock-SPOSensitivityLabelEncryptedFile ausführen, das sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung entfernt. Dieses Cmdlet wird auch ausgeführt, wenn der Administrator nicht über Zugriffsberechtigungen für die Website oder Datei verfügt oder wenn der Azure Rights Management-Dienst nicht verfügbar ist.

Beispiel:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Voraussetzungen:

  • SharePoint Online-Verwaltungsshell, Version 16.0.20616.12000 oder höher.

  • Die Verschlüsselung wurde von einer Vertraulichkeitsbezeichnung mit vom Administrator definierten Verschlüsselungseinstellungen angewendet (die Einstellungen berechtigungen jetzt zuweisen bezeichnen). Die Doppelschlüsselverschlüsselung wird für dieses Cmdlet nicht unterstützt.

Der Begründungstext wird dem Überwachungsereignisvertraulichkeitsbezeichnung aus Datei entfernt hinzugefügt, und die Entschlüsselungsaktion wird auch in der Protokollierung der Schutznutzung für Azure Information Protection aufgezeichnet.

Deaktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (Abmelden)

Wenn Sie diese neuen Funktionen deaktivieren, werden Dateien, die Sie hochgeladen haben, nachdem Sie Vertraulichkeitsbezeichnungen für SharePoint und OneDrive aktiviert haben, weiterhin durch die Bezeichnung geschützt, da die Bezeichnungseinstellungen weiterhin erzwungen werden. Wenn Sie vertraulichkeitsbezeichnungen auf neue Dateien anwenden, nachdem Sie diese neuen Funktionen deaktiviert haben, funktionieren die Volltextsuche, eDiscovery und die gemeinsame Dokumenterstellung nicht mehr.

Um diese neuen Funktionen zu deaktivieren, müssen Sie PowerShell verwenden. Geben Sie mithilfe der SharePoint Online-Verwaltungsshell und des Cmdlets Set-SPOTenant denselben EnableAIPIntegration-Parameter an, wie im Abschnitt Verwenden von PowerShell zum Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen beschrieben. Legen Sie dieses Mal jedoch den Parameterwert auf false fest, und drücken Sie Y , um dies zu bestätigen:

Set-SPOTenant -EnableAIPIntegration $false

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie diesen Befehl für jeden Ihrer geografischen Standorte ausführen.

Nächste Schritte

Nachdem Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, sollten Sie erwägen, Dateien automatisch mit einer oder beiden der folgenden Bezeichnungsmethoden zu bezeichnen:

Müssen Sie Ihre gekennzeichneten und verschlüsselten Dokumente mit Personen außerhalb Ihrer Organisation teilen? Informationen hierzu finden Sie unter Teilen verschlüsselter Dokumente mit externen Benutzern.