Schutz von Informationen, die den Datenschutzbestimmungen unterliegen

In Ihrem Abonnement können eine Reihe von Informationsschutzsteuerelementen verwendet werden, um die Anforderungen und Vorschriften zur Datenschutzkonformität zu erfüllen. Dazu gehören die Datenschutz-Grundverordnung (DSGVO), HIPAA-HITECH (USA Health Care Privacy Act), California Consumer Protection Act (CCPA) und der Brazil Data Protection Act (LGPD).

Diese Steuerelemente befinden sich in den folgenden Lösungsbereichen:

  • Vertraulichkeitsbezeichnungen
  • Microsoft Purview Data Loss Prevention (DLP)
  • Microsoft Purview-Nachrichtenverschlüsselung
  • Zugriffssteuerungen für Teams und Websites

Wichtige Dienste zum Schutz personenbezogener Daten, die den Datenschutzbestimmungen unterliegen.

Hinweis

Diese Lösung beschreibt Sicherheits- und Compliancefeatures zum Schutz von Informationen, die datenschutzrechtlichen Bestimmungen unterliegen. Eine vollständige Liste der Sicherheitsfeatures in Microsoft 365 finden Sie in der Microsoft 365-Sicherheitsdokumentation. Eine vollständige Liste der Compliancefeatures in Microsoft 365 finden Sie in der Microsoft Purview-Dokumentation.

Datenschutzbestimmungen, die auswirkungen auf Informationsschutzkontrollen haben

Hier ist eine Beispielliste mit Datenschutzbestimmungen, die sich auf Informationsschutzkontrollen beziehen können:

  • DSGVO Artikel 5(1)(f))
  • DSGVO-Artikel (32)(1)(a)
  • LGPD Artikel 46
  • HIPAA-HITECH (45 CFR 164.312(e)(1))
  • HIPAA-HITECH (45 C.F.R. 164.312(e)(2)(ii))

Weitere Informationen zu den oben genannten Themen finden Sie im Artikel "Bewerten von Datenschutzrisiken" und "Identifizieren vertraulicher Elemente ".

Datenschutzbestimmungen für den Informationsschutz empfehlen:

  • Schutz vor Verlust oder unbefugtem Zugriff, Nutzung und/oder Übertragung.
  • Risikobasierte Anwendung von Schutzmechanismen.
  • Verwendung der Verschlüsselung, falls zutreffend.

Möglicherweise möchte Ihre Organisation Microsoft 365-Inhalte auch für andere Zwecke schützen, z. B. andere Complianceanforderungen oder aus geschäftlichen Gründen. Die Einrichtung Ihres Informationsschutzschemas für den Datenschutz sollte im Rahmen der allgemeinen Planung, Implementierung und Verwaltung des Informationsschutzes erfolgen.

Um Ihnen die ersten Schritte mit einem Informationsschutzschema in Microsoft 365 zu erleichtern, enthält der folgende Abschnitt eine kurze Liste der zugehörigen Funktionen und Verbesserungsmaßnahmen für Microsoft 365. Die Liste enthält Funktionen und Verbesserungsmaßnahmen, die für Datenschutzbestimmungen gelten. Die Liste enthält jedoch keine älteren Technologien, wenn es eine neuere Funktion gibt, die die ältere weitgehend ersetzt. Information Rights Management (IRM) für SharePoint und OneDrive ist beispielsweise nicht in der Liste enthalten, aber Vertraulichkeitsbezeichnungen sind enthalten.

Verwalten des Informationsschutzes in Microsoft 365

Microsoft Information Protection-Lösungen umfassen eine Reihe integrierter Funktionen in Microsoft 365, Microsoft Azure und Microsoft Windows. In Microsoft 365 umfassen Informationsschutzlösungen Folgendes:

Darüber hinaus sind der Schutz auf Website- und Bibliotheksebene wichtige Mechanismen, die in jedes Schutzschema einbezogen werden müssen.

Informationen zu anderen Informationsschutzfunktionen außerhalb von Microsoft 365 finden Sie unter:

Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection ermöglichen es Ihnen, die Daten Ihrer Organisation zu klassifizieren und zu schützen, ohne die Produktivität der Benutzer und deren Fähigkeit zur Zusammenarbeit zu beeinträchtigen.

Vertraulichkeitsbezeichnungen in Microsoft 365.

Voraussetzungen für Vertraulichkeitsbezeichnungen

Führen Sie diese Aktivitäten aus, bevor Sie eine der unten hervorgehobenen Funktionen für Vertraulichkeitsbezeichnungen implementieren:

  1. Verstehen Sie Folgendes:

    • Den Geschäftsanforderungen Legen Sie die geschäftlichen Gründe für die Anwendung von Vertraulichkeitsbezeichnungen in Ihrem Unternehmen fest. Zum Beispiel Ihre Datenschutzanforderungen für den Informationsschutz.
    • Vertraulichkeitsbezeichnungsfunktionen. Vertraulichkeitsbezeichnungen können komplex werden. Lesen Sie daher unbedingt die Dokumentation zu Vertraulichkeitsbezeichnungen , bevor Sie beginnen.
    • Wichtige Dinge, die Sie sich merken sollten Vertraulichkeitsbezeichnungen werden in der Microsoft Purview-Complianceportal verwaltet, aber die Ziel- und Anwendungsoptionen unterscheiden sich erheblich.
      • Es gibt Vertraulichkeitsbezeichnungen für Websites, Gruppen und Teams auf Containerebene (die Einstellungen gelten nicht für Inhalte innerhalb des Containers). Diese werden für Benutzer und Gruppen veröffentlicht, die sie anwenden, wenn eine Website, Eine Gruppe oder ein Team bereitgestellt wird.
      • Es gibt Vertraulichkeitsbezeichnungen für aktive Inhalte. Diese werden auch für Benutzer oder Gruppen veröffentlicht, die sie entweder manuell anwenden, oder sie werden automatisch angewendet, wenn:
        • Die Datei wird entweder auf dem Desktop des Benutzers oder auf einer SharePoint-Website geöffnet/bearbeitet/gespeichert.
        • Eine E-Mail wird entworfen und gesendet.
      • Es gibt Vertraulichkeitsbezeichnungen für die automatische Anwendung auf ruhenden Dateien in SharePoint und OneDrive sowie E-Mails, die über Exchange übertragen werden. Diese sind entweder auf alle Websites oder bestimmte Websites ausgerichtet und gelten automatisch für die ruhenden Dateien in diesen Umgebungen.
  2. Rationalisieren der aktuellen Vertraulichkeitsbezeichnung mit früheren oder alternativen Methoden

    • Azure Information Protection

      Das aktuelle Vertraulichkeitsbezeichnungsschema muss möglicherweise mit jeder vorhandenen Azure Information Protection-Bezeichnungsimplementierung in Einklang gebracht werden.

    • Ome

      Wenn Sie planen, moderne Vertraulichkeitsbezeichnungen für den E-Mail-Schutz zu verwenden, und vorhandene E-Mail-Verschlüsselungsmethoden wie OME vorhanden sind, können sie koexistieren, aber Sie sollten die Szenarien verstehen, in denen beide angewendet werden sollten. Weitere Informationen finden Sie unter Office 365 neuen Funktionen der Nachrichtenverschlüsselung (OME), die eine Tabelle enthält, in der der moderne Schutz von Vertraulichkeitsbezeichnungen mit dem OME-basierten Schutz verglichen wird.

  3. Planen Sie die Integration in ein umfassenderes Informationsschutzschema. Zusätzlich zur Koexistenz mit OME können Vertraulichkeitsbezeichnungen entlang von Funktionen wie Microsoft Purview Data Loss Prevention (DLP) und Microsoft Defender for Cloud Apps verwendet werden. Siehe "Schützen Ihrer Daten mit Microsoft Purview ", um Ihre Datenschutzziele im Zusammenhang mit dem Datenschutz zu erreichen.

  4. Entwickeln Sie ein Klassifizierungs- und Steuerungsschema für Vertraulichkeitsbezeichnungen. Siehe Datenklassifizierung und Vertraulichkeitsbezeichnungtaxonomie.

Allgemeine Hinweise

  1. Schemadefinition. Bevor Sie technische Funktionen zum Anwenden von Bezeichnungen und Schutz verwenden, arbeiten Sie in Ihrer gesamten Organisation daran, ein Klassifizierungsschema zu definieren. Möglicherweise verfügen Sie bereits über ein Klassifizierungsschema, das das Hinzufügen personenbezogener Daten erleichtert.

  2. Erste Schritte. Entscheiden Sie zunächst über die Anzahl und die Namen der zu implementierenden Bezeichnungen. Führen Sie diese Aktivität aus, ohne sich Gedanken darüber zu machen, welche Technologie verwendet werden soll und wie Bezeichnungen angewendet werden. Wenden Sie dieses Schema überall in Ihrer Organisation an, einschließlich Daten, die sich lokal und in anderen Clouddiensten befinden.

  3. Zusätzliche Empfehlungen Berücksichtigen Sie beim Entwerfen und Implementieren von Richtlinien, Bezeichnungen und Bedingungen folgende Empfehlungen:

    • Verwenden Sie ein vorhandenes Klassifizierungsschema (falls vorhanden). Viele Organisationen verwenden die Datenklassifizierung bereits in irgendeiner Form. Bewerten Sie das vorhandene Bezeichnungsschema sorgfältig und verwenden Sie es, wenn möglich, wie es ist. Die Verwendung vertrauter Bezeichnungen, die für Ihre Endbenutzer erkennbar sind, wird die Akzeptanz fördern.
    • Beginnen Sie klein. Die Anzahl der Beschriftungen, die Sie erstellen können, ist praktisch nicht begrenzt. Eine große Anzahl von Bezeichnungen und Unterbezeichnungen kann die Akzeptanz jedoch verlangsamen.
    • Verwenden Sie Szenarien und Anwendungsfälle. Identifizieren Sie häufige Anwendungsfälle in Ihrer Organisation und Nutzungsszenarien, die aus den Datenschutzbestimmungen abgeleitet sind, denen Sie unterliegen. Überprüfen Sie, ob die anvisierte Bezeichnungs- und Klassifizierungskonfiguration in der Praxis funktioniert.
    • Stellen Sie jede Anforderung für eine neue Bezeichnung in Frage. Benötigt jedes Szenario oder jeder Anwendungsfall wirklich eine neue Bezeichnung oder können Sie das verwenden, was Sie bereits haben? Die Mindestanzahl von Bezeichnungen verbessert die Akzeptanz.
    • Verwenden Sie Unterbezeichnungen für wichtige Abteilungen. Einige Abteilungen haben bestimmte Anforderungen, die bestimmte Bezeichnungen erfordern. Definieren Sie diese Bezeichnungen als Unterbezeichnungen für eine vorhandene Bezeichnung, und erwägen Sie die Verwendung bereichsbezogener Richtlinien, die Benutzergruppen statt global zugewiesen sind.
    • Berücksichtigen Sie bereichsbezogene Richtlinien. Richtlinien, die auf Teilmengen von Benutzern ausgerichtet sind, verhindern eine Überladung von Bezeichnungen. Eine bereichsbezogene Richtlinie ermöglicht das Zuweisen rollen- oder abteilungsspezifischer Bezeichnungen oder Unterbezeichnungen nur Mitarbeitern, die für diese bestimmte Abteilung arbeiten.
    • Verwenden Sie aussagekräftige Bezeichnungsnamen. Versuchen Sie nicht, Jargon, Standards oder Akronymen als Bezeichnungsnamen zu verwenden. Versuchen Sie, Namen zu verwenden, die beim Endbenutzer anklangen, um die Akzeptanz zu verbessern. Statt Bezeichnungen wie PII, PCI, HIPAA, LBI, MBI und HBI zu verwenden, sollten Sie Namen wie Non-Business, Public, General, Confidential und Highly Confidential in Betracht ziehen.

Erstellen und Bereitstellen von Vertraulichkeitsbezeichnungen für Websites, Gruppen und Teams

Wenn Sie Vertraulichkeitsbezeichnungen im Microsoft Purview-Complianceportal erstellen, können Sie diese jetzt auf diese Container anwenden:

  • Microsoft Teams-Websites
  • Microsoft 365-Gruppen (früher Office 365 Gruppen)
  • Microsoft Office SharePoint Online-Websites

Verwenden Sie die folgenden Bezeichnungseinstellungen zum Schutz von Inhalt in diesen Containern:

  • Datenschutz (öffentlich oder privat) von mit einer Microsoft 365-Gruppe verbundenen Teams-Websites
  • Zugriff externer Benutzer
  • Zugriff von nicht verwalteten Geräten aus

Um die externe Freigabe für Container zu verhindern, die zum Speichern von Inhalten mit vertraulichen personenbezogenen Daten verwendet werden, markieren Sie die Dateien, die die Daten enthalten, als privat und erfordern verwaltete Geräte.

Erstellen und Bereitstellen von Vertraulichkeitsbezeichnungen für Inhalte

Vertraulichkeitsbezeichnungen, die auf Dateien angewendet werden, ermöglichen es Ihnen, deren Inhalt zu verschlüsseln, den Inhalt zu kennzeichnen und andere Steuerelemente für Office-Anwendungen zu definieren, einschließlich Outlook und Office im Web.

Wenn Sie bereit sind, die Daten Ihrer Organisation mit Vertraulichkeitsbezeichnungen zu schützen, gehen Sie wie folgt vor:

  1. Erstellen Sie die Bezeichnungen. Erstellen und benennen Sie Ihre Vertraulichkeitsbezeichnungen gemäß der Klassifizierungstaxonomie Ihrer Organisation für unterschiedliche Vertraulichkeitsstufen von Inhalten. Weitere Informationen zum Entwickeln einer Klassifizierungtaxonomie finden Sie im Whitepaper "Datenklassifizierung und Vertraulichkeitsbezeichnungtaxonomie".
  2. Legen Sie fest, wozu jede einzelne Bezeichnung dient. Konfigurieren Sie die Schutzeinstellungen, die mit den einzelnen Bezeichnungen verknüpft werden sollen. Sie können z. B. festlegen, dass für Inhalte mit niedriger Vertraulichkeit (z. B. eine Bezeichnung "Allgemein") nur eine Kopf- oder Fußzeile angewendet wird, während für Inhalte mit höherer Vertraulichkeit (z. B. eine Bezeichnung "Vertraulich") ein Wasserzeichen und die Verschlüsselung aktiviert sein sollten.
  3. Veröffentlichen Sie die Bezeichnungen. Nachdem Sie die Vertraulichkeitsbezeichnungen konfiguriert haben, können Sie sie mithilfe einer Bezeichnungsrichtlinie veröffentlichen. Legen Sie fest, welche Benutzer und Gruppen die Bezeichnungen haben sollen und welche Richtlinieneinstellungen verwendet werden. Eine einzelne Bezeichnung ist wiederverwendbar. Sie definieren es einmal und können es dann in mehrere Bezeichnungsrichtlinien einschließen, die verschiedenen Benutzern zugewiesen sind.

Nachdem Sie Vertraulichkeitsbezeichnungen aus dem Microsoft Purview-Complianceportal veröffentlicht haben, werden sie in Office-Apps angezeigt, damit Benutzer Inhalte während der Erstellung oder Bearbeitung klassifizieren und schützen können.

Bereitstellungsablauf für Vertraulichkeitsbezeichnungen in Microsoft 365.

Für den Datenschutz wenden Sie manuell eine Vertraulichkeitsbezeichnung mit Verschlüsselung und anderen Regeln auf E-Mails oder Inhalte an, die vertrauliche persönliche Informationen enthalten.

Hinweis

Vertraulichkeitsbezeichnungen mit aktivierter Verschlüsselung auf E-Mails weisen einige überlappende Funktionen mit OME auf. Weitere Informationen finden Sie im Vergleich zu sicheren E-Mail-Szenarien mit OME und Vertraulichkeitsbezeichnungen.

Clientseitige automatische Bezeichnung, wenn Benutzer Dokumente bearbeiten oder E-Mails verfassen

Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, können Sie diese Bezeichnung automatisch Inhalten einschließlich E-Mails zuweisen, wenn sie den von Ihnen angegebenen Bedingungen entsprechen.

Die Möglichkeit, Vertraulichkeitsbezeichnungen automatisch auf Inhalte anzuwenden, ist aus den folgenden Gründen wichtig:

  • Sie müssen die Benutzer nicht schulen, damit sie alle Ihre Klassifizierungen kennen.
  • Sie müssen sich nicht darauf verlassen, dass die Benutzer alle Inhalte richtig klassifizieren.
  • Benutzer müssen nicht mehr über Ihre Richtlinien Bescheid wissen, sondern können sich stattdessen auf ihre Arbeit konzentrieren.

Die automatische Bezeichnung unterstützt das Empfehlen einer Bezeichnung für Benutzer sowie das automatische Anwenden einer Bezeichnung. In beiden Fällen entscheidet der Benutzer aber, ob die Bezeichnung angenommen oder abgelehnt werden soll, um die richtige Bezeichnung von Inhalten zu gewährleisten.

Diese clientseitige Beschriftung hat nur minimale Verzögerungen für Dokumente, da die Bezeichnung noch vor dem Speichern des Dokuments angewendet werden kann. Allerdings unterstützen nicht alle Client-Apps die automatische Bezeichnung. Diese Funktion wird vom Azure Information Protection Client für einheitliche Bezeichnungen und einigen Versionen von Office-Apps unterstützt.

Konfigurationsanweisungen finden Sie unter Konfigurieren der automatischen Bezeichnung für Office-Apps.

Für den Datenschutz wenden Sie Vertraulichkeitsbezeichnungen automatisch auf Inhalte an, die vertrauliche persönliche Informationen enthalten.

Dienstseitige automatische Bezeichnung, wenn Inhalte bereits gespeichert sind

Diese Methode wird Autoklassifizierung mit Vertraulichkeitsbezeichnungen genannt. Möglicherweise hören Sie es auch als automatische Bezeichnung für ruhende Daten (für Dokumente in SharePoint und OneDrive) und Daten während der Übertragung (für E-Mails, die von Exchange gesendet oder empfangen werden). Bei Exchange enthält es keine E-Mails in ruhenden Postfächern.

Da diese Bezeichnung vom Dienst selbst und nicht von der Benutzeranwendung angewendet wird, müssen Sie sich keine Gedanken darüber machen, über welche Apps Benutzer verfügen und welche Version. Dies hat zur Folge, dass diese Funktion sofort in ihrer gesamten Organisation zur Verfügung steht, und sie eignet sich für Bezeichnungen jeder Größe. Richtlinien zum automatischen Bezeichnen unterstützen die empfohlene Bezeichnung nicht, da der Benutzer nicht mit dem Bezeichnungsprozess interagiert. Stattdessen führt der Administrator die Richtlinien im Simulationsmodus aus, um sicherzustellen, dass der Inhalt korrekt bezeichnet wird, bevor die Bezeichnung tatsächlich angewendet wird.

Konfigurationsanweisungen finden Sie unter Konfigurieren von Richtlinien für automatische Bezeichnungen für SharePoint, OneDrive und Exchange.

Für den Datenschutz innerhalb von Websites, die bedenklich sind, pushen Sie Vertraulichkeitsbezeichnungen für die automatische Verschlüsselung von Inhalten, die vertrauliche persönliche Informationen enthalten.

Verhinderung von Datenverlust

Sie können die Verhinderung von Datenverlust (Data Loss Prevention, DLP) in Microsoft Purview verwenden, um riskante, unbeabsichtigte oder unangemessene Freigaben zu erkennen, zu warnen und zu blockieren, z. B. die Freigabe von Daten, die persönliche Informationen enthalten, sowohl intern als auch extern.

DLP ermöglicht Folgendes:

  • Identifizieren und überwachen Sie riskante Freigabeaktivitäten.
  • Informieren Sie Benutzer mit kontextbezogenen Anleitungen, um die richtigen Entscheidungen zu treffen.
  • Erzwingen sie Datenverwendungsrichtlinien für Inhalte, ohne die Produktivität zu beeinträchtigen.
  • Integration in Klassifizierung und Bezeichnung, um Daten zu erkennen und zu schützen, wenn sie freigegeben werden.

Unterstützte Workloads für DLP

Mit einer DLP-Richtlinie im Microsoft Purview-Complianceportal können Sie vertrauliche Elemente an vielen Standorten in Microsoft 365 identifizieren, überwachen und automatisch schützen, z. B. Exchange Online, SharePoint, OneDrive und Microsoft Teams.

Sie können beispielsweise jedes Dokument identifizieren, das eine Kreditkartennummer enthält, die auf einer beliebigen OneDrive-Website gespeichert ist, oder Sie können nur die OneDrive-Websites bestimmter Personen überwachen.

Sie können auch vertrauliche Elemente in den lokal installierten Versionen von Excel, PowerPoint und Word überwachen und schützen, einschließlich der Möglichkeit, vertrauliche Elemente zu identifizieren und DLP-Richtlinien anzuwenden. DLP bietet eine kontinuierliche Überwachung, wenn Personen Inhalte aus diesen Office-Apps freigeben.

Unterstützte Workloads für DLP.

Diese Abbildung zeigt ein Beispiel für den Schutz personenbezogener Daten durch DLP.

Beispiel für den Schutz personenbezogener Daten mithilfe von DLP.

DLP wird verwendet, um ein Dokument oder eine E-Mail zu identifizieren, das eine Integritätsaufzeichnung enthält, und blockiert dann automatisch den Zugriff auf dieses Dokument oder blockiert das Senden der E-Mail. DLP benachrichtigt den Empfänger dann mit einem Richtlinientipp und sendet eine Benachrichtigung an den Endbenutzer und Administrator.

Planen von DLP

Eine vollständige Anleitung zur Planung ihrer DLP-Implementierung finden Sie unter "Planen der Verhinderung von Datenverlust (Data Loss Prevention, DLP) ".

DLP-Richtlinien

DLP-Richtlinien werden im Microsoft Purview-Complianceportal konfiguriert und geben die Schutzebene, die gesuchten Informationen und die Zielarbeitslasten an. Jede DLP-Richtlinie erfordert Folgendes:

  1. Wählen Sie aus, was Überwacht werden soll.
  2. Wählen Sie aus, wo überwacht werden soll.
  3. Wählen Sie die Bedingungen aus, die erfüllt werden müssen, damit eine Richtlinie auf ein Element angewendet werden soll.
  4. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Richtlinienbedingungen erfüllt sind.

Weitere Informationen zu DLP-Richtlinien und deren Design finden Sie unter:

Schutzstufen für den Datenschutz

Die folgende Tabelle enthält drei Konfigurationen zur Erhöhung des Schutzes mithilfe von DLP.

Datenschutzstufen mit DLP.

Die erste Konfiguration, Awareness, kann als Ausgangspunkt und mindestes Schutzniveau verwendet werden, um die Complianceanforderungen für Datenschutzbestimmungen zu erfüllen.

Hinweis

Mit zunehmendem Schutzgrad nimmt die Fähigkeit der Benutzer, Informationen freizugeben und auf sie zuzugreifen, in einigen Fällen ab und kann sich potenziell auf ihre Produktivität oder die Fähigkeit auswirken, tägliche Aufgaben auszuführen.

Um Ihren Mitarbeitern zu helfen, in einer sichereren Umgebung weiterhin produktiv zu sein, wenn sie das Schutzniveau erhöhen, nehmen Sie sich die Zeit, um sie zu schulen und über neue Sicherheitsrichtlinien und -verfahren zu informieren.

Beispiel für die Verwendung von Vertraulichkeitsbezeichnungen mit DLP

Vertraulichkeitsbezeichnungen können mit DLP zusammenarbeiten, um Datenschutz in einer streng regulierten Umgebung bereitzustellen. Hier sind die wichtigsten Schritte der integrierten Bereitstellung:

  1. Gesetzliche und anderweitige geschäftliche Anforderungen für den Datenschutz sind dokumentiert.
  2. Zieldatenquellen, -typen und -besitz sind im Verhältnis zu Datenschutzbedenken gekennzeichnet.
  3. Es wird eine allgemeine Strategie zum Erfüllen von Anforderungen und zum Schutz und zur Steuerung von Datenschutz-Hotspots eingerichtet.
  4. Es wird ein stufenweiser Aktionsplan zur Bewältigung der Datenschutzkontrollstrategie eingerichtet.

Nachdem diese Elemente ermittelt wurden, können Sie vertrauliche Informationstypen, Ihre Vertraulichkeitsbezeichnungstaxonomie und DLP-Richtlinien zusammen verwenden. Diese Abbildung zeigt ein Beispiel.

Beispiel für Vertraulichkeitsbezeichnungen, die mit DLP arbeiten.

Anzeigen einer größeren Version dieses Bilds

Hier sind einige Datenschutzszenarien, in denen DLP und Vertraulichkeitsbezeichnungen zusammen verwendet werden, wie in der Abbildung dargestellt.

Szenario Prozess
A
  1. Vertraulichkeitsbezeichnungen für Inhalte werden von einem Administrator für Benutzer und Gruppen für die manuelle oder automatische Anwendung von Inhalten und E-Mails veröffentlicht.
  2. Benutzer A wendet die Bezeichnungen manuell oder automatisch an, wenn er mit Inhalten interagiert, wobei Verschlüsselung oder andere Einstellungen angewendet werden.
  3. Benutzer A sendet eine geschützte E-Mail oder Datei an Benutzer B, einen Gastbenutzer.
B DLP-Richtlinie, die von einem Administrator für Benutzer A veröffentlicht wurde, verhindert, dass Benutzer A die E-Mail und/oder Datei an Benutzer B sendet.
C Die Vertraulichkeitsbezeichnung mit der Einstellung "Besitzer kann keine Gäste einladen" wird für Benutzer A veröffentlicht, der ein Teams-Team oder eine SharePoint-Website bereitstellt. Ein anderer Benutzer der Website versucht selektiv, eine Datei für Benutzer B freizugeben, aber DLP blockiert sie.
D Vertraulichkeitsbezeichnung für die automatische Anwendung auf Websiteinhalte wird auf einer oder mehreren Websites veröffentlicht, wodurch eine weitere Schutzebene bereitgestellt wird, was zu einer geschützten Website führt.

neue Funktionen Office 365 Nachrichtenverschlüsselung (OME)

Personen häufig E-Mails verwenden, um vertrauliche Elemente wie Patientendaten oder Kunden- und Mitarbeiterinformationen auszutauschen. Die E-Mail-Nachrichtenverschlüsselung sorgt dafür, dass nur vorgesehene Empfänger verschlüsselte Nachrichten ansehen können.

Mit OME können Sie verschlüsselte Nachrichten zwischen Personen innerhalb und außerhalb Ihrer Organisation senden und empfangen. OME arbeitet mit Outlook.com, Yahoo!, Gmail und anderen E-Mail-Diensten zusammen. OME trägt dazu bei, dass nur die vorgesehenen Empfänger Nachrichteninhalte anzeigen können.

Für den Datenschutz verwenden Sie OME, um interne Nachrichten zu schützen, die vertrauliche Elemente enthalten. Office 365 Nachrichtenverschlüsselung ist ein Onlinedienst, der auf Microsoft Azure Rights Management (Azure RMS) basiert, das Teil von Azure Information Protection ist. Dazu gehören Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien, um Ihre E-Mails zu schützen. Sie können Nachrichten mithilfe von Vorlagen für die Rechteverwaltung, der Option "Nicht weiterleiten" und der Option "Nur verschlüsseln" verschlüsseln.

Sie können auch Nachrichtenflussregeln definieren, um diesen Schutz anzuwenden. Sie können z. B. eine Regel erstellen, die die Verschlüsselung aller Nachrichten erfordert, die an einen bestimmten Empfänger adressiert sind, oder die bestimmte Schlüsselwörter in der Betreffzeile enthält, und außerdem angeben, dass Empfänger den Inhalt der Nachricht nicht kopieren oder drucken können.

Darüber hinaus hilft Ihnen die erweiterte OME-Nachrichtenverschlüsselung , Compliance-Verpflichtungen zu erfüllen, die flexiblere Kontrollen über externe Empfänger und deren Zugriff auf verschlüsselte E-Mails erfordern. Mit der erweiterten OME-Nachrichtenverschlüsselung in Microsoft 365 können Sie vertrauliche E-Mails, die außerhalb der Organisation freigegeben wurden, mit automatischen Richtlinien steuern, die vertrauliche Informationstypen erkennen.

Wenn Sie für den Datenschutz E-Mails für eine externe Partei freigeben müssen, können Sie ein Ablaufdatum angeben und Nachrichten widerrufen. Sie können nur widerrufen und ein Ablaufdatum für Nachrichten festlegen, die an externe Empfänger gesendet werden.

Vergleich sicherer E-Mail-Szenarien mit OME und Vertraulichkeitsbezeichnungen

OME und Vertraulichkeitsbezeichnungen, die auf E-Mails mit Verschlüsselung angewendet werden, weisen gewisse Überschneidungen auf. Daher ist es wichtig zu verstehen, für welche Szenarien beide gelten können, wie in dieser Tabelle dargestellt.

Szenario Vertraulichkeitsbezeichnungen Ome
Interne + Partner
Sichere Kommunikation und Zusammenarbeit zwischen internen Benutzern und vertrauenswürdigen Partnern
Empfehlung – Bezeichnungen mit vollständig angepasster Klassifizierung und Schutz Ja – Nur verschlüsseln oder Nicht weiterleiten-Schutz ohne Klassifizierung
Externe Parteien
Sichere Kommunikation und Zusammenarbeit mit externen/Consumer-Benutzern
Ja – vordefinierte Empfänger in der Bezeichnung Empfehlen – Just-in-Time-Schutz basierend auf Empfängern
Interne + Partner mit Ablauf/Sperrung
Steuern des Zugriffs auf E-Mails und Inhalte mit internen Benutzern und vertrauenswürdigen Partnern mit Ablauf und Sperrung
Empfehlung : Vollständig angepasster Schutz mit Zugriffsdauer, Benutzer können Dateien manuell nachverfolgen und widerrufen Nein – kein Widerruf oder Ablauf für interne E-Mails
Externe Parteien mit Ablauf/Widerruf
Steuern des Zugriffs auf E-Mails und Inhalte mit externen/Consumer-Benutzern mit Ablauf und Sperrung
Ja – Benutzer können Dateien manuell nachverfolgen Empfehlung (E5) – Administratoren können E-Mails aus dem Security & Compliance Center widerrufen
Automatisches Bezeichnen
Die Organisation möchte E-Mails/Anlagen automatisch mit bestimmten vertraulichen Inhalten und/oder bestimmten Empfängern schützen.
Empfehlung (E5) – Automatische Bezeichnung in Exchange- und Outlook-Clients, Erweiterung von Nachrichtenflussregeln und DLP-Richtlinien Ja – Nachrichtenflussregeln und DLP-Richtlinie mit "Nur verschlüsseln" oder "Nicht weiterleiten"-Schutz

Zwischen diesen beiden Methoden gibt es auch Unterschiede bei den Endbenutzer- und Administratorerfahrungen.

Teams mit Schutz für streng vertrauliche Daten

Informationen zu Organisationen, die planen, personenbezogene Daten, die datenschutzrechtlichen Bestimmungen unterliegen, in Teams zu speichern, finden Sie unter Konfigurieren eines Teams mit Sicherheitsisolation. Hier finden Sie ausführliche Anleitungen und Konfigurationsschritte für:

  • Identitäts- und Gerätezugriff
  • Erstellen eines privaten Teams
  • Sperrung der zugrunde liegenden Teamwebsiteberechtigungen
  • Eine gruppenbasierte Vertraulichkeitsbezeichnung mit Verschlüsselung