Teams für den Schutz vertraulicher Daten konfigurieren

  • Artikel

InformationssymbolEinige Features in diesem Artikel erfordern Microsoft Syntex – SharePoint Advanced Management

In diesem Artikel sehen wir uns das Einrichten eines Teams an, in dem vertrauliche Daten geschützt sind. Bevor Sie die Schritte in diesem Artikel ausführen, müssen Sie die Schritte unter Bereitstellen von Microsoft Teams mit Basisschutz abgeschlossen haben. Die "Vertraulich"-Stufe bietet den folgenden zusätzlichen Schutz gegenüber der Basisstufe:

  • Eine Vertraulichkeitsbezeichnung für das Team, die es Ihnen ermöglicht, die Gastfreigabe ein- oder auszuschalten und den Zugriff auf SharePoint-Inhalte für nicht verwaltete Geräte auf die Webebene zu beschränken. Diese Bezeichnung wird auch als Standardbezeichnung für Dateien verwendet.
  • Einen restriktiveren standardmäßigen Freigabe-Linktyp
  • Nur Teambesitzer können private Kanäle erstellen.

Videodemonstration

Schauen Sie sich dieses Video an, um eine exemplarische Vorgehensweise für die in diesem Artikel beschriebenen Verfahren zu finden.

Gastfreigabe

Je nach Art des Unternehmens ist möglicherweise die Gastfreigabe für Teams erforderlich, in denen vertrauliche Daten vorhanden sind. Wenn Sie die Zusammenarbeit mit Personen außerhalb Ihrer Organisation in einem solchen Team planen, empfiehlt es sich, die Gastfreigabe zu aktivieren. Microsoft 365 umfasst eine Vielzahl von Sicherheits- und Compliance-Features, um vertrauliche Inhalte sicher freigeben zu können. Dies ist in der Regel eine sicherere Option als das direkte Senden von Inhalten an Personen außerhalb Ihrer Organisation.

Details zur sicheren Freigabe für Gäste finden Sie in den folgenden Ressourcen:

Für das Zulassen oder Blockieren des Gastfreigabe verwenden wir eine Kombination aus einer Vertraulichkeitsbezeichnung für das Team und Steuerelementen für die Freigabe auf Team- und Websiteebene für die zugeordnete SharePoint-Website, die beide später behandelt werden.

Vertraulichkeitsbezeichnungen

Für die sensible Schutzebene verwenden wir eine Vertraulichkeitsbezeichnung, um das Team zu klassifizieren. Wir verwenden diese Bezeichnung auch, um einzelne Dateien im Team zu klassifizieren. (Es kann auch für Dateien an anderen Dateispeicherorten wie SharePoint oder OneDrive verwendet werden.)

Als ersten Schritt müssen Sie Vertraulichkeitsbezeichnungen für Microsoft Teams aktivieren. Weitere Informationen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites.

Wenn Sie in Ihrer Organisation bereits über Vertraulichkeitsbezeichnungen verfügen, überlegen Sie, wie sich diese Bezeichnung in Ihre allgemeine Bezeichnungsstrategie einfügt. Sie können den Namen oder die Einstellungen bei Bedarf an die Anforderungen Ihrer Organisation anpassen.

Sobald Sie Vertraulichkeitsbezeichnungen für Microsoft Teams aktiviert haben, besteht der nächste Schritt darin, die erforderliche Bezeichnung zu erstellen.

Erstellen einer Vertraulichkeitsbezeichnung

  1. Öffnen Sie das Microsoft Purview Complianceportal.
  2. Erweitern Sie unter Lösungenden Eintrag Informationsschutz.
  3. Wählen Sie Bezeichnung erstellen aus.
  4. Weisen Sie der Bezeichnung einen Namen zu. Wir empfehlen Vertraulich, Sie können aber auch einen anderen Namen auswählen, falls dieser bereits verwendet wird.
  5. Fügen Sie einen Anzeigenamen und eine Beschreibung hinzu, und wählen Sie dann Weiter aus.
  6. Wählen Sie auf der Seite Bereich für diese Bezeichnung definierendie Option Elemente, Dateien, E-Mails und Gruppen & Websites aus. Deaktivieren Sie das Kontrollkästchen Besprechungen .
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Seite Schutzeinstellungen für bezeichnete Elemente auswählen die Option Weiter aus.
  9. Wählen Sie auf der Seite Automatische Bezeichnung für Dateien und E-Mailsdie Option Weiter aus.
  10. Wählen Sie auf der Seite Schutzeinstellungen für Gruppen und Websites definierendie Optionen Datenschutz und Zugriff externer Benutzer sowie Externe Freigabe und bedingter Zugriff aus, und wählen Sie Weiter aus.
  11. Wählen Sie auf der Seite Definieren von Einstellungen für Datenschutz und den Zugriff externer Benutzer unter Datenschutz die Option Privat aus.
  12. Wenn Sie Gastzugriffe zulassen wollen, wählen Sie unter Externer Benutzerzugriff die Option Zulassen, dass Microsoft 365-Gruppenbesitzer Personen außerhalb Ihrer Organisation als Gäste zur Gruppe hinzufügen.
  13. Wählen Sie Weiter aus.
  14. Wählen Sie auf der Seite Einstellungen für externe Freigabe und bedingten Zugriff definierendie Option Externe Freigabe von beschrifteten SharePoint-Websites steuern aus.
  15. Wählen Sie unter Inhalt kann geteilt werden mit die Option Neue und bestehende Gäste aus, wenn Sie den Gastzugriff erlauben wollen, oder anderenfalls Nur Personen in Ihrer Organisation.
  16. Wählen Sie Microsoft Entra bedingten Zugriff verwenden aus, um bezeichnete SharePoint-Websites zu schützen.
  17. Wählen Sie die Option Bestimmen, ob Benutzer von nicht verwalteten Geräten aus auf SharePoint-Websites zugreifen können , und wählen Sie dann Eingeschränkten Zugriff nur im Web zulassen aus.
  18. Wählen Sie Weiter aus.
  19. Wählen Sie auf der Seite Automatische Bezeichnung für schematisierte Datenressourcen die Option Weiter aus.
  20. Wählen Sie Bezeichnung erstellen und dann Fertig aus.

Nachdem Sie die Bezeichnung erstellt haben, müssen Sie sie für die Benutzer veröffentlichen, die sie verwenden sollen. Für sensiblen Schutz stellen wir die Bezeichnung allen Benutzern zur Verfügung. Sie veröffentlichen die Bezeichnung im Microsoft Purview-Complianceportal auf der Seite Bezeichnungsrichtlinien unter Informationsschutz. Wenn bereits eine Richtlinie vorhanden ist, die für alle Benutzer gilt, fügen Sie diese Bezeichnung zu dieser Richtlinie hinzu. Wenn Sie eine neue Richtlinie erstellen müssen, lesen Sie Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie.

Teams-Einstellungen

Eine weitere Konfiguration des sensiblen Szenarios erfolgt im Team selbst und auf der SharePoint-Website, die dem Team zugeordnet ist, daher besteht der nächste Schritt darin, ein Team zu erstellen.

Wir erstellen das Team im Teams Admin Center.

So erstellen Sie ein Team für vertrauliche Informationen

  1. Erweitern Sie im Teams Admin Center die Option Teams , und wählen Sie Teams verwalten aus.
  2. Wählen Sie Hinzufügen.
  3. Geben Sie einen Namen und eine Beschreibung für das Team ein.
  4. Fügen Sie einen oder mehrere Besitzer für das Team hinzu. (Behalten Sie sich selbst als Besitzer bei, damit Sie eine Standard-Vertraulichkeitsbezeichnung für Dateien auswählen und die unten angegebenen Einstellungen für die Websitefreigabe festlegen können.)
  5. Wählen Sie in der Dropdownliste Vertraulichkeit die Vertraulichkeitsbezeichnung aus, die Sie für vertrauliche Informationen erstellt haben.
  6. Wählen Sie Anwenden aus.

Einstellungen für private Kanäle

Auf dieser Ebene wird die Möglichkeit der Erstellung privater Kanäle auf Teambesitzer eingeschränkt.

So schränken Sie die Erstellung privater Kanäle ein

  1. Wählen Sie im Teams Admin Center das Team aus, das Sie erstellt haben, und wählen Sie dann Bearbeiten aus.
  2. Erweitern Sie Nachrichtenberechtigungen.
  3. Legen Sie Private Kanäle hinzufügen und bearbeiten auf Aus fest.
  4. Wählen Sie Anwenden aus.

Einstellungen für freigegebene Kanäle

Freigegebene Kanäle haben keine Einstellungen auf Teamebene. Die Einstellungen für freigegebene Kanäle, die Sie im Teams Admin Center und im Microsoft Entra Admin Center konfigurieren, gelten für einzelne Benutzer.

SharePoint-Einstellungen

Jedes Mal, wenn Sie ein neues Team mit der vertraulichen Bezeichnung erstellen, müssen in SharePoint drei Schritte ausgeführt werden:

  • Aktualisieren Sie die Gastfreigabeeinstellungen für die Website im SharePoint Online Admin Center, um den standardmäßigen Freigabelink auf Bestimmte Personen zu aktualisieren.
  • Aktualisieren Sie die Website-Freigabeeinstellungen auf der Website selbst, um zu verhindern, dass Mitglieder die Website freigeben.
  • Wählen Sie eine Standard-Vertraulichkeitsbezeichnung für die Dokumentbibliothek aus, die mit dem Team verbunden ist.

Die Einstellungen für die Websitefreigabe und die Standard-Vertraulichkeitsbezeichnung müssen auf der Website selbst konfiguriert werden und können nicht über das SharePoint Admin Center oder über PowerShell eingerichtet werden.

So aktualisieren Sie den Standardfreigabelinktyp der Website

  1. Öffnen Sie das SharePoint Online Admin Center, und wählen Sie unter WebsitesAktive Websitesaus.
  2. Klicken Sie auf die dem Team zugeordnete Website.
  3. Wählen Sie auf der Registerkarte Einstellungen unter Externe Dateifreigabedie Option Weitere Freigabeeinstellungen aus.
  4. Deaktivieren Sie unter "Standardmäßiger Freigabe-Linktyp" das Kontrollkästchen Identisch mit der Einstellung auf Organisationsebene, und wählen Sie Bestimmte Personen (nur die Personen, die der Benutzer angibt) aus.
  5. Klicken Sie auf Speichern.

Wenn Sie dies als Teil des Teamerstellungsprozesses in Form eines Skripts festlegen möchten, können Sie Set-SPOSite mit dem Parametern -DefaultSharingLinkType Direct verwenden, um den Standardfreigabelink in Bestimmte Personen zu ändern.

Beachten Sie, dass, wenn Sie dem Team private oder freigegebene Kanäle hinzufügen, jeder eine neue SharePoint-Website mit den Standardeinstellungen für die Freigabe erstellt. Sie können sie im SharePoint Admin Center aktualisieren, indem Sie die Websites auswählen, die dem Team zugeordnet sind.

Freigabeeinstellungen für Websites

Um sicherzustellen, dass die SharePoint-Website nicht für Personen freigegeben wird, die keine Mitglieder des Teams sind, beschränken wir diese Freigabe auf Besitzer. Dies ist nur für die SharePoint Website erforderlich, die mit dem Team erstellt wurde. Zusätzliche Websites, die als Teil privater oder freigegebener Kanäle erstellt wurden, können nicht außerhalb des Teams oder Kanals freigegeben werden.

Sie müssen ein Teambesitzer sein, um diese Aufgabe ausführen zu können.

So beschränken Sie die Websitefreigabe auf die Besitzer

  1. Gehen Sie in Teams zur Registerkarte Allgemein des Teams, das Sie aktualisieren möchten.
  2. Wählen Sie in der Symbolleiste für das Team Dateien aus.
  3. Wählen Sie die Auslassungspunkte und dann In SharePoint öffnen aus.
  4. Wählen Sie auf der Symbolleiste der zugrunde liegenden SharePoint-Website das Einstellungssymbol und dann Websiteberechtigungen aus.
  5. Wählen Sie im Bereich Websiteberechtigungen unter Websitefreigabe die Option Ändern, wie Mitglieder freigeben können.
  6. Wählen Sie unter Freigabeberechtigungendie Option Websitebesitzer und -mitglieder aus. Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben, und wählen Sie dann Speichern aus.

Auswählen einer Standard-Vertraulichkeitsbezeichnung für Dateien

Wir verwenden die Vertraulichkeitsbezeichnung, die wir als Standard-Vertraulichkeitsbezeichnung für die Websitedokumentbibliothek erstellt haben, die mit Teams verbunden ist. Dadurch wird die hochsensible Bezeichnung automatisch auf alle neuen bezeichnungskompatiblen Dateien angewendet, die in die Bibliothek hochgeladen werden. (Hierfür ist eine Microsoft Syntex – SharePoint Advanced Management-Lizenz erforderlich.)

Sie müssen ein Teambesitzer sein, um diese Aufgabe ausführen zu können.

So legen Sie eine Standard-Vertraulichkeitsbezeichnung für eine Dokumentbibliothek fest

  1. Navigieren Sie in Teams zum Kanal Allgemein des Teams, das Sie aktualisieren möchten.

  2. Wählen Sie in der Symbolleiste für das Team Dateien aus.

  3. Wählen Sie In SharePoint öffnen aus.

  4. Öffnen Sie auf der SharePoint-Website Einstellungen , und wählen Sie dann Bibliothekseinstellungen aus.

  5. Wählen Sie im Flyoutbereich Bibliothekseinstellungendie Option Vertraulichkeitsbezeichnungen standard aus, und wählen Sie dann im Dropdownfeld die Vertraulichkeitsbezeichnung aus.

Weitere Informationen zur Funktionsweise von Standardbibliotheksbezeichnungen finden Sie unter Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek und Hinzufügen einer Vertraulichkeitsbezeichnung zur SharePoint-Dokumentbibliothek.

Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien