Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden

Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&.

Zusätzlich zur Verwendung von Vertraulichkeitsbezeichnungen zum Schutz von Dokumenten und E-Mails können Sie auch Vertraulichkeitsbezeichnungen verwenden, um Inhalte in den folgenden Containern zu schützen: Microsoft Teams-Websites, Microsoft 365-Gruppen (ehemals Office 365-Gruppen) und SharePoint-Websites. Verwenden Sie für diesen Schutz auf Containerebene die folgenden Bezeichnungseinstellungen:

  • Datenschutz (öffentlich oder privat) für Teamwebsites und Microsoft 365-Gruppen
  • Zugriff externer Benutzer
  • Externe Freigabe von SharePoint-Websites
  • Zugriff von nicht verwalteten Geräten aus
  • Authentifizierungskontexte
  • Standardfreigabelink für eine SharePoint-Website (nur PowerShell-Konfiguration)
  • Websitefreigabeeinstellungen (nur PowerShell-Konfiguration)
  • Standardbezeichnung für Kanalbesprechungen

Wichtig

Die Einstellungen für nicht verwaltete Geräte und Authentifizierungskontexte funktionieren in Verbindung mit bedingtem Zugriff in Azure Active Directory. Sie müssen dieses abhängige Feature konfigurieren, wenn Sie für diese Einstellungen eine Vertraulichkeitsbezeichnung verwenden möchten. Weitere Informationen hierzu finden Sie in den nachfolgenden Anweisungen.

Wenn Sie diese Vertraulichkeitsbezeichnung auf einen unterstützten Container anwenden, wendet die Bezeichnung automatisch die Vertraulichkeitskategorie und die konfigurierten Schutzeinstellungen auf die Website oder die Gruppe an.

Beachten Sie, dass einige Bezeichnungsoptionen Konfigurationseinstellungen auf Websitebesitzer erweitern können, die andernfalls auf Administratoren beschränkt sind. Wenn Sie die Bezeichnungseinstellungen für externe Freigabeoptionen und den Authentifizierungskontext konfigurieren und veröffentlichen, kann ein Websitebesitzer jetzt diese Optionen für eine Website festlegen und ändern, indem er die Vertraulichkeitsbezeichnung für ein Team oder eine Website anwendet oder ändert. Konfigurieren Sie diese spezifischen Bezeichnungseinstellungen nicht, wenn Sie nicht möchten, dass Websitebesitzer diese Änderungen vornehmen können.

Inhalte in diesen Containern erben jedoch nicht die Bezeichnungen für die Vertraulichkeitskategorie oder Einstellungen für Dateien und E-Mails, z. B. Inhaltsmarkierungen und Verschlüsselung. Aktivieren SieVertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive, damit Benutzer Bezeichnungen auf ihre Dokumente in SharePoint- oder Teamwebsites anwenden können.

Containerbezeichnungen unterstützen nicht die Anzeige anderer Sprachenund zeigen die ursprüngliche Sprache nur für den Bezeichnungsnamen und die Beschreibung an.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und auf SharePoint-Websites verwenden

Bevor Sie Vertraulichkeitsbezeichnungen aktivieren und für die neuen Einstellungen konfigurieren, können Benutzer Vertraulichkeitsbezeichnungen in ihren Apps anzeigen und anwenden. Beispielsweise aus Word:

Eine Vertraulichkeitsbezeichnung, die in der Word Desktop-App angezeigt wird.

Nachdem Sie Vertraulichkeitsbezeichnungen für Container aktiviert und konfiguriert haben, können Benutzer Vertraulichkeitsbezeichnungen außerdem für Microsoft Team-Websites, Microsoft 365-Gruppen und SharePoint-Websites anzeigen und anwenden. Beispielsweise, wenn eine neue Teamwebsite in SharePoint erstellt wird:

Eine Vertraulichkeitsbezeichnung beim Erstellen einer Teamwebsite aus SharePoint.

Nachdem eine Vertraulichkeitsbezeichnung auf eine Website angewendet wurde, müssen Sie über die folgende Rolle verfügen, um diese Bezeichnung in SharePoint oder Teams zu ändern:

  • Für eine Website mit Gruppenverbindung: Microsoft 365-Gruppenbesitzer
  • Für eine Website, die nicht mit einer Gruppe verbunden ist: SharePoint-Websiteadministrator

Hinweis

Vertraulichkeitsbezeichnungen für Container unterstützen freigegebene Teams-Kanäle. Wenn ein Team über freigegebene Kanäle verfügt, erbt es automatisch die Einstellungen für Vertraulichkeitsbezeichnungen von dem übergeordneten Team, und diese Bezeichnung kann nicht entfernt oder durch eine andere Bezeichnung ersetzt werden.

Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen

Falls Sie noch keine Vertraulichkeitsbezeichnungen für Container aktiviert haben, führen Sie die folgenden Schritte als einmaligen Vorgang aus:

  1. Weil dieses Feature die Azure AD-Funktionen nutzt, führen Sie zum Aktivieren der Vertraulichkeitsbezeichnungen die Anleitungen in der Azure AD-Dokumentation aus: Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Azure Active Directory (Vorschau).

  2. Sie müssen jetzt Ihre Vertraulichkeitsbezeichnungen mit Azure AD synchronisieren. Stellen Sie zunächst eine Verbindung mit Security & Compliance PowerShell her.

    Melden Sie sich beispielsweise in einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an.

  3. Führen Sie dann den folgenden Befehl aus, damit Ihre Vertraulichkeitsbezeichnungen mit Microsoft 365-Gruppen verwendet werden können:

    Execute-AzureAdLabelSync
    

Konfigurieren von Gruppen und Websiteeinstellungen

Nachdem Vertraulichkeitsbezeichnungen wie im vorherigen Abschnitt beschrieben für Container aktiviert wurden, können Sie die Schutzeinstellungen für Gruppen und Websites in der Konfiguration der Vertraulichkeitsbezeichnung konfigurieren. Bis Vertraulichkeitsbezeichnungen für Container aktiviert sind, sind die Einstellungen sichtbar, sie können jedoch nicht konfiguriert werden.

  1. Befolgen Sie die allgemeinen Anweisungen zum Erstellen oder Bearbeiten einer Vertraulichkeitsbezeichnung, und stellen Sie sicher, dass Sie Gruppenwebsites & für den Bereich der Bezeichnung auswählen:

    Option

    Wenn nur dieser Bereich für die Bezeichnung ausgewählt ist, wird die Bezeichnung nicht in Office-Apps angezeigt, sie Vetraulichkeitsbezeichnungen unterstützen, und kann nicht auf Dateien und E-Mails angewendet werden. Eine solche Trennung von Bezeichnungen kann zwar sowohl für Benutzer als auch Administratoren hilfreich sein, jedoch auch die Komplexität der Bereitstellung von Bezeichnungen erhöhen.

    Beispielsweise müssen Sie die Reihenfolge Ihrer Bezeichnungen sorgfältig überprüfen, da SharePoint erkennt, wenn ein Dokument mit Vertraulichkeitsbezeichnung auf eine Seite mit Vertraulichkeitsbezeichnung hochgeladen wird. In diesem Szenario werden automatisch ein Überwachungsereignis und eine E-Mail generiert, wenn das Dokument eine Vertraulichkeitsbezeichnung mit höherer Priorität hat als die der Website. Weitere Informationen findem Sie im Abschnitt Überwachung von Vertraulichkeitsbezeichnungsaktivitäten auf dieser Seite.

  2. Wählen Sie dann auf der SeiteDefinieren von Schutzeinstellungen für Gruppen und Websites eine oder beide der verfügbaren Optionen aus:

    • Einstellungen für den Datenschutz und Zugriff externer Benutzer, um die Einstellungen für den Datenschutz und den Zugriff externer Benutzer zu konfigurieren..
    • Einstellungen für externe Freigabe und bedingten Zugriff zum Konfigurieren der Steuerung der externen Freigabe von bezeichneten SharePoint-Sites und Einstellung zum Verwenden von bedingtem Azure AD-Zugriff, um bezeichnete SharePoint-Sites zu schützen.

    Wenn Sie außerdem eine vorhandene Bezeichnung bearbeiten, bei der der Bereich Elemente und Besprechungen umfasst, und Bezeichnungen zum Schutz von Besprechungen konfiguriert haben, können Sie eine Standardbezeichnung für Kanalbesprechungen und alle Kanalchats auswählen. Für Besprechungen ohne Kanal können Sie eine Standardbezeichnung als Richtlinieneinstellung auswählen.

  3. Wenn Sie Einstellungen für den Datenschutz und Zugriff externer Benutzer ausgewählt haben, konfigurieren Sie nun die folgenden Einstellungen:

    • Datenschutz: Behalten Sie die Standardeinstellung Öffentlich bei, wenn Sie möchten, dass jeder in Ihrer Organisation auf die Teamwebsite oder Gruppe, für die diese Bezeichnung angewendet wird, zugreifen kann.

      Wählen Sie Privat aus, wenn Sie möchten, dass der Zugriff nur auf genehmigte Mitglieder in Ihrer Organisation beschränkt wird.

      Wählen Sie Keine aus, wenn Sie den Inhalt im Container mit Vertraulichkeitsbezeichnungen schützen möchten, die Benutzer aber trotzdem selbst Datenschutzeinstellungen konfigurieren können sollen.

      Die Einstellungen von Öffentlich oder Privat setzen und sperren die Datenschutzeinstellung, wenn Sie diese Bezeichnung auf den Container aufbringen. Die von Ihnen gewählte Einstellung ersetzt alle vorherigen Datenschutzeinstellungen, die für das Team oder die Gruppe konfiguriert wurden, und sperrt den Datenschutzwert, so dass er nur geändert werden kann, wenn zuvor die Vertraulichkeitsbezeichnung vom Container entfernt wird. Nachdem Sie die Vertraulichkeitsbezeichnung entfernt haben, bleibt die Datenschutzeinstellung der Bezeichnung erhalten, aber Benutzer können sie jetzt wieder ändern.

    • Zugriff externer Benutzer: Legen Sie fest, ob der Gruppenbesitzer Gäste zur Gruppe hinzufügen kann.

  4. Wenn Sie Einstellungen für externe Freigabe und bedingten Zugriff ausgewählt haben, konfigurieren Sie jetzt die folgenden Einstellungen:

    • Externe Freigabe von bezeichneten SharePoint-Websites steuern: Wählen Sie diese Option, um dann entweder die externe Freigabe für jede beliebige Person, neue und bestehende Gäste, bestehende Gäste oder nur Personen in Ihrer Organisation auszuwählen. Weitere Informationen zu diesen Konfigurationen und Einstellungen finden Sie in der SharePoint-Dokumentation Externe Freigabe für eine Website aktivieren oder deaktivieren.

    • Bedingten Azure AD-Zugriff zum Schutz bezeichneter SharePoint-Sites verwenden: Wählen Sie diese Option nur aus, wenn in Ihrer Organisation Bedingter Azure Active Directory-Zugriff konfiguriert wurde und verwendet wird. Wählen Sie dann eine der folgenden Einstellungen aus:

      • Festlegen, ob Benutzer über nicht verwaltete Geräte auf SharePoint-Sites zugreifen können: Bei dieser Option wird das SharePoint-Feature genutzt, bei dem der bedingte Azure AD-Zugriff verwendet wird, um den Zugriff auf SharePoint- und OneDrive-Inhalte von nicht verwalteten Geräten aus zu blockieren oder einzuschränken. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten aus in der SharePoint-Dokumentation. Die Option, die Sie für diese Bezeichnungseinstellung festlegen, entspricht der Ausführung eines PowerShell-Befehls für eine Website, wie in den Schritten 3-5 im Abschnitt Blockieren oder Einschränken des Zugriffs auf eine bestimmte SharePoint-Website oder OneDrive in der SharePoint-Anleitung beschrieben.

        Weitere Konfigurationsinformationen finden Sie unter Weitere Informationen zu den Abhängigkeiten für die Option „Nicht verwaltete Geräte“ am Ende dieses Abschnitts.

      • Auswählen eines vorhandenen Authentifizierungskontexts: Mit dieser Option können Sie strengere Zugriffsbedingungen erzwingen, wenn Benutzer auf SharePoint-Websites zugreifen, auf die diese Bezeichnung angewendet wurde. Diese Bedingungen werden erzwungen, wenn Sie einen bestehenden Authentifizierungskontext auswählen, der für die Bereitstellung von bedingtem Zugriff in Ihrer Organisation erstellt und veröffentlicht wurde. Wenn die Benutzer die konfigurierten Bedingungen nicht erfüllen oder wenn sie Apps verwenden, die keine Authentifizierungskontexte unterstützen, wird ihnen der Zugriff verweigert.

        Weitere Konfigurationsinformationen finden Sie unter Weitere Informationen zu den Abhängigkeiten für die Option „Authentifizierungskontexte“ am Ende dieses Abschnitts.

        Beispiele für diese Bezeichnungskonfiguration:

        • Sie wählen einen Authentifizierungskontext aus, der so konfiguriert ist, dass mehrstufige Authentifizierung (MFA) erforderlich ist. Diese Bezeichnung wird dann auf eine SharePoint-Site angewendet, die streng vertrauliche Elemente enthält. Wenn Benutzer versuchen, aus einem nicht vertrauenswürdigen Netzwerk auf ein Dokument auf dieser Site zuzugreifen, wird ihnen daher der Hinweis angezeigt, dass sie zuerst die MFA-Authentifizierung durchführen müssen, bevor sie auf das Dokument zugreifen können.

        • Sie wählen einen Authentifizierungskontext aus, der für Nutzungsrichtlinien konfiguriert ist. Diese Bezeichnung wird dann auf eine SharePoint-Site angewendet, die Elemente enthält, die aus rechtlichen oder Compliancegründen die Annahme von Nutzungsbedingungen voraussetzen. Wenn also Benutzer versuchen, auf ein Dokument auf dieser Site zuzugreifen, werden ihnen Nutzungsbedingungen angezeigt, die sie akzeptieren müssen, bevor sie auf das ursprüngliche Dokument zugreifen können.

Wichtig

Wenn Sie eine Bezeichnung auf ein Team, eine Gruppe oder eine Website anwenden, werden nur diese Website- und Gruppeneinstellungen wirksam. Wenn der Bereich der Bezeichnung Dateien und E-Mails umfasst, werden andere Bezeichnungseinstellungen wie Verschlüsselung und Inhaltskennzeichnung nicht auf die Inhalte innerhalb des Teams, der Gruppe oder der Website angewendet.

Wenn Ihre Vertraulichkeitskennzeichnung noch nicht veröffentlicht wurde, veröffentlichen Sie diese jetzt, indem Sie sieeiner Richtlinie für Vertraulichkeitskennzeichnungen hinzufügen. Diejenigen Benutzer, denen eine Richtlinie zur Vertraulichkeitskennzeichnung zugeordnet ist, die diese Kennzeichnung beinhaltet, können diese für Websites und Gruppen auswählen.

Weitere Informationen zu den Abhängigkeiten für die Option „Nicht verwaltete Geräte“

Wenn Sie die abhängige Richtlinie für den bedingten Zugriff für SharePoint nicht so konfigurieren, wie unter App-erzwungene Einschränkungen angeführt, ist die von Ihnen angegebene Option wirkungslos. Darüber hinaus hat sie keine Auswirkungen, wenn sie weniger stark einschränkt als eine konfigurierte Einstellung auf Mandanten-Ebene. Wenn Sie eine organisationsweite Einstellung für nicht verwaltete Geräte konfiguriert haben, wählen Sie eine identische oder restriktivere Bezeichnungseinstellung aus

Wenn Ihr Mandant beispielsweise für Eingeschränkten, reinen Web-Zugriff zulassenkonfiguriert ist, hat die Bezeichnungseinstellung „Vollzugriff“ keine Auswirkungen, da sie weniger restriktiv ist. Wählen Sie für diese Mandantenebende die Bezeichnungseinstellung, die den Zugriff blockiert (stärker restriktiv) oder die Bezeichnungseinstellung für eingeschränkten Zugriff (diese entspricht der Mandanteneinstellung).

Da Sie die SharePoint-Einstellungen getrennt von der Bezeichnungskonfiguration konfigurieren können, wird in der Konfiguration der Vertraulichkeitsbezeichnung nicht überprüft, ob die Abhängigkeiten vorhanden sind. Diese Abhängigkeiten können konfiguriert werden, nachdem die Bezeichnung erstellt und veröffentlicht wurde, oder sogar, wenn die Bezeichnung bereits angewendet wurde. Wenn die Bezeichnung jedoch bereits angewendet wurde, wird die Bezeichnungseinstellung erst dann wirksam, wenn der Benutzer sich das nächste mal authentifiziert.

Weitere Informationen zu den Abhängigkeiten für die Option „Authentifizierungskontexte“

Um in der Dropdownliste zur Auswahl anzuzeigen, müssen Authentifizierungskontexte als Teil Ihrer Azure Active Directory-Konfiguration für bedingten Zugriff erstellt, konfiguriert und veröffentlicht werden. Weitere Informationen und Anweisungen finden Sie im Abschnitt Konfigurieren von Authentifizierungskontexten in der Dokumentation zu bedingtem Zugriff in Azure AD.

Nicht alle Apps unterstützen Authentifizierungskontexte. Wenn ein Benutzer mit einer nicht unterstützten App eine Verbindung mit der Site herstellt, die für einen Authentifizierungskontext konfiguriert ist, wird entweder eine Meldung angezeigt, dass der Zugriff verweigert wurde, oder er wird aufgefordert, sich zu authentifizieren, jedoch abgelehnt. Die folgenden Apps unterstützen derzeit Authentifizierungskontexte:

  • Office im Web, welches Outlook im Web umfasst

  • Microsoft Teams für Windows und macOS (ausgenommen Teams-Web-App)

  • Microsoft Planner

  • Microsoft 365 Apps für Word, Excel und PowerPoint; Mindestversionen:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Microsoft 365 Apps für Outlook; Mindestversionen:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • OneDrive-Synchronisierungs-App, Mindestversionen:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: 12.30
    • Android: Wird noch nicht unterstützt

Bekannte Einschränkungen:

  • Bei der OneDrive-Synchronisierungs-App: wird nur für OneDrive und nicht für andere Sites unterstützt.

  • Die folgenden Features und Apps sind möglicherweise nicht mit Authentifizierungskontexten kompatibel. Daher empfehlen wir Ihnen, zu überprüfen, ob diese weiterhin funktionieren, nachdem ein Benutzer erfolgreich mithilfe eines Authentifizierungskontexts auf eine Website zugegriffen hat:

    • Workflows, die Power Apps oder Power Automate verwenden
    • Apps von Drittanbietern

Zusätzlich zu den Bezeichnungseinstellungen für Websites und Gruppen, die Sie über das Microsoft Purview-Complianceportal konfigurieren können, können Sie auch den Standardfreigabelinktyp für eine Website konfigurieren. Vertraulichkeitsbezeichnungen für Dokumente können auch für einen Standardfreigabelinktyp konfiguriert werden. Diese Einstellungen, die dazu beitragen, eine übermäßige Freigabe zu verhindern, werden automatisch ausgewählt, wenn Benutzer die Schaltfläche Freigeben in ihren Office-Apps auswählen.

Weitere Informationen und Anweisungen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Konfigurieren des Standardfreigabelinktyps für Websites und Dokumente in SharePoint und OneDrive.

Konfigurieren von Websitefreigabeberechtigungen mithilfe erweiterter PowerShell-Einstellungen

Eine weitere erweiterte PowerShell-Einstellung, die Sie konfigurieren können, damit die Vertraulichkeitsbezeichnung auf eine SharePoint-Site angewendet wird, ist MembersCanShare. Diese Einstellung ist die entsprechende Konfiguration, die Sie im SharePoint Admin Center >festlegen können Websiteberechtigungen>Websitefreigabe>Ändern Sie, wie MitgliederFreigabeberechtigungen freigeben > können.

Die drei Optionen werden mit den entsprechenden Werten für die erweiterte PowerShell-Einstellung MembersCanShare aufgelistet:

Option über das SharePoint Admin Center Äquivalenter PowerShell-Wert für "MembersCanShare"
Websitebesitzer und -mitglieder können Dateien, Ordner und die Website freigeben. Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben. MemberShareAll
Websitebesitzer und -mitglieder sowie Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben. MemberShareFileAndFolder
Nur Websitebesitzer können Dateien, Ordner und die Website freigeben. MemberShareNone

Weitere Informationen zu diesen Konfigurationsoptionen finden Sie in der SharePoint-Communitydokumentation unter Freigabemöglichkeiten für Mitglieder ändern.

Beispiel, bei dem die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e ist:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Verwaltung von Vertraulichkeitsbezeichnungen

Verwenden Sie die folgende Anleitung zum Erstellen, Ändern oder Löschen von Vertraulichkeitsbezeichnungen, die für Websites und Gruppen konfiguriert sind.

Erstellen und Veröffentlichen von Bezeichnungen, die für Websites und Gruppen konfiguriert sind

Verwenden Sie die nachstehenden Anweisungen, um eine Bezeichnung für Ihre Benutzer zu veröffentlichen, wenn diese Bezeichnung für Website-und Gruppeneinstellungen konfiguriert ist:

  1. Nachdem Sie die Vertraulichkeitsbezeichnung erstellt und konfiguriert haben, fügen Sie diese Bezeichnung zu einer Bezeichnungsrichtlinie hinzu, die nur für einige Testbenutzer gilt.

  2. Warten Sie, bis die Änderung repliziert wurde:

    • Neue Bezeichnung: Warten Sie mindestens eine Stunde lang.
    • Vorhandene Bezeichnung: Warten Sie mindestens 24 Stunden lang.

    Weitere Informationen zum zeitlichen Verhalten von Bezeichnungen finden Sie unter Wann werden neue Bezeichnungen und Änderungen voraussichtlich wirksam.

  3. Verwenden Sie nach Ablauf dieser Zeit ein Testbenutzerkonto, um ein Team, eine Microsoft 365-Gruppe oder eine SharePoint-Website mit der Bezeichnung zu erstellen, die Sie in Schritt 1 erstellt haben.

  4. Wenn während des Erstellungsvorgangs keine Fehler auftreten, wissen Sie, dass Sie die Bezeichnung für alle Benutzer in Ihrem Mandanten veröffentlichen können.

Veröffentlichte Bezeichnungen ändern, die für Websites und Gruppen konfiguriert sind

Es wird empfohlen, die Website- und Gruppeneinstellungen für eine Vertraulichkeitsbezeichnung nicht zu ändern, nachdem sie auf Teams, Gruppen oder Websites angewendet wird. Denken Sie in diesem Fall daran, mindestens 24 Stunden zu warten, bis die Änderungen in alle Container mit der Bezeichnung übernommen wurden.

Wenn Ihre Änderungen die EinstellungZugriff für externe Benutzer einschließen, gilt außerdem:

  • Die neue Einstellung gilt für neue Benutzer, jedoch nicht für bestehende Benutzer. Wenn diese Einstellung beispielsweise zuvor ausgewählt war und Gastbenutzer auf die Website zugegriffen haben, können diese Gastbenutzer weiterhin auf die Website zugreifen, nachdem diese Einstellung in der Konfigurieren der Bezeichnungen deaktiviert wurde.

  • Die Datenschutzeinstellungen für die Gruppeneigenschaften "hiddenMembership" und "roleEnabled" werden nicht aktualisiert.

Veröffentlichte Bezeichnungen löschen, die für Websites und Gruppen konfiguriert sind

Wenn Sie eine Vertraulichkeitsbezeichnung löschen, deren Website- und Gruppeneinstellungen aktiviert sind, und diese Bezeichnung in einer oder mehreren Bezeichnungsrichtlinien enthalten ist, kann dies zu Erstellungsfehlern für neue Teams, Gruppen und Websites führen. Folgen Sie dieser Anleitung, um dieses Problem zu vermeiden:

  1. Entfernen Sie die Vertraulichkeitsbezeichnung aus allen Bezeichnungsrichtlinien, in denen die Bezeichnung enthalten ist.

  2. Warten Sie mindestens eine Stunde lang.

  3. Versuchen Sie nach dieser Wartezeit ein Team, eine Gruppe oder eine Website zu erstellen. Überprüfen Sie, dass die Bezeichnung nicht mehr angezeigt wird.

  4. Wenn die Vertraulichkeitsbezeichnung nicht angezeigt wird, kann sie jetzt bedenkenlos geändert oder gelöscht werden.

Anwenden von Vertraulichkeitsbezeichnungen auf Container

Jetzt können Sie die Vertraulichkeitsbezeichnung(en) auf folgende Container anwenden:

Sie können PowerShell verwenden, wenn Sie eine Vertraulichkeitsbezeichnung auf mehrere Websites anwenden möchten.

Anwenden von Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen

Jetzt können Sie die Vertraulichkeitsbezeichnung(en) auf Microsoft 365-Gruppen anwenden. Kehren Sie für weitere Anweisungen zur Azure AD-Dokumentation zurück:

Anwenden einer Vertraulichkeitsbezeichnung auf ein neues Team

Benutzer können Vertraulichkeitsbezeichnungen auswählen, wenn sie neue Teams in Microsoft Teams erstellen. Wenn sie die Bezeichnung aus der Dropdownliste Vertraulichkeit auswählen, kann sich die Datenschutzeinstellung entsprechend der Bezeichnungskonfiguration ändern. Abhängig von der für die Bezeichnung festgelegten Einstellung für den externen Benutzerzugriff können Benutzer Personen außerhalb der Organisation zum Team hinzufügen oder nicht.

Weitere Informationen Vertraulichkeitsbezeichnungen für Teams

Datenschutzeinstellung beim Erstellen eines neuen Teams.

Nachdem Sie das Team erstellt haben, wird die Vertraulichkeitsbezeichnung in der oberen rechten Ecke aller Kanäle angezeigt.

Die Vertraulichkeitsbezeichnung wird im Team angezeigt.

Der Dienst wendet auf die Microsoft 365-Gruppe und die verbundene SharePoint-Teamwebsite automatisch dieselbe Vertraulichkeitsbezeichnung an.

Anwenden einer Vertraulichkeitsbezeichnung auf eine neue Gruppe in Outlook im Web

Wenn Sie in Outlook im Web eine neue Gruppe erstellen, können Sie die Option Vertraulichkeit für veröffentlichte Bezeichnungen auswählen oder ändern:

Erstellen einer Gruppe und Auswählen einer Option unter „Vertraulichkeit“.

Anwenden einer Vertraulichkeitsbezeichnung auf eine neue Website

Administratoren und Endbenutzer können beim Erstellen moderner Teamwebsites und Kommunikationswebsites Vertraulichkeitsbezeichnungen auswählen, und Erweiterte Einstellungen erweitern:

Erstellen einer Website und Auswählen einer Option unter „Vertraulichkeit“.

In der Dropdownliste werden die Bezeichnungsnamen für die Auswahl angezeigt, und das Hilfesymbol zeigt alle Bezeichnungsnamen mit entsprechender QuickInfo an, was Benutzern dabei helfen kann, die richtige Bezeichnung auszuwählen.

Wenn die Bezeichnung angewendet wurde und Benutzer zur Website navigieren, werden der Name der Bezeichnung und die angewendeten Richtlinien angezeigt. So wurde dieser Website beispielsweise die Bezeichnung Vertraulich zugewiesen und die Datenschutzeinstellung auf Privat festgelegt:

Eine Website, auf die eine Vertraulichkeitsbezeichnung angewendet wurde.

Verwenden von PowerShell, um eine Vertraulichkeitsbezeichnung auf mehrere Websites anzuwenden

Sie können die Cmdlets Set-SPOSite und Set-SPOTenant mit dem ParameterSensitivityLabel aus der aktuellen SharePoint Online-Verwaltungsshell verwenden, um eine Vertraulichkeitsbezeichnung auf mehrere Websites anzuwenden. Sie können das gleiche Verfahren verwenden, um eine vorhandene Bezeichnung zu ersetzen. Die Websites können eine beliebige SharePoint-Websitesammlung oder eine OneDrive-Website sein.

Stellen Sie sicher, dass Sie über die Version 16.0.19418.12000 oder höher der SharePoint Online-Verwaltungsshell verfügen.

  1. Öffnen Sie eine PowerShell-Sitzung mit der Option als Administrator ausführen.

  2. Wenn Sie Ihre Bezeichnungs-GUID nicht kennen: Stellen Sie eine Verbindung mit Security & Compliance PowerShell her, und rufen Sie die Liste der Vertraulichkeitsbezeichnungen und deren GUIDs ab.

    Get-Label |ft Name, Guid
    
  3. Stellen Sie anschließend eine Verbindung mit SharePoint Online PowerShell her, und speichern Sie die GUID der Bezeichnung als Variable. Zum Beispiel:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Erstellen Sie eine neue Variable, die mehrere Websites identifiziert, die eine bestimmte Zeichenfolge in ihrer URL gemeinsam haben. Zum Beispiel:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Führen Sie den folgenden Befehl aus, um die Bezeichnung auf diese Websites anzuwenden. Anhand unserer Beispiele:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Mit dieser Reihe von Befehlen können Sie mehrere Websites in Ihrem Mandanten mit derselben Vertraulichkeitsbezeichnung beschriften. Daher verwenden Sie das Cmdlet „Set-SPOTenant“ anstelle des Cmdlets „Set-SPOSite“, das für die Konfiguration pro Website verwendet wird. Das Cmdlet „Set-SPOSite“ verwenden Sie hingegen, wenn Sie eine andere Bezeichnung auf bestimmte Websites anwenden müssen. Wiederholen Sie für jede dieser Websites den folgenden Befehl: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Vertraulichkeitsbezeichnungen im SharePoint Admin Center aufrufen und verwalten

Verwenden Sie aktive Websites im neuen SharePoint Admin Center, um die angewendeten Vertraulichkeitsbezeichnungen anzuzeigen, zu sortieren und zu durchsuchen. Möglicherweise müssen Sie zuerst die Spalte Vertraulichkeit hinzufügen:

Die Spalte „Vertraulichkeit“ auf der Seite „Aktive Websites“.

Weitere Informationen zum Verwalten von Websites auf der Seite „Aktive Websites“ sowie zum Hinzufügen einer Spalte finden Sie unter Verwalten von Websites im neuen SharePoint Admin Center.

Auf dieser Seite können Sie auch eine Bezeichnung ändern und anwenden:

  1. Wählen Sie den Websitenamen aus, um den Detailbereich zu öffnen.

  2. Wählen Sie die Registerkarte Richtlinien aus, und wählen Sie dann Bearbeiten für die Einstellung Vertraulichkeit aus.

  3. Wählen Sie im Bereich Vertraulichkeitseinstellung bearbeiten die Vertraulichkeitsbezeichnung aus, die Sie auf die Website anwenden möchten. Im Gegensatz zu Benutzer-Apps, bei denen Vertraulichkeitsbezeichnungen bestimmten Benutzern zugewiesen werden können, zeigt das Admin Center alle Containerbezeichnungen für Ihren Mandanten an. Nachdem Sie eine Vertraulichkeitsbezeichnung ausgewählt haben, wählen Sie Speichern aus.

Support für Vertraulichkeitsbezeichnungen

Wenn Sie Admin Center verwenden, die Vertraulichkeitsbezeichnungen unterstützen, werden mit Ausnahme des Azure Active Directory-Portals alle Vertraulichkeitsbezeichnungen für Ihren Mandanten angezeigt. Im Vergleich dazu können Benutzer-Apps und -Dienste, die Vertraulichkeitsbezeichnungen nach Veröffentlichungsrichtlinien filtern, dazu führen, dass eine Teilmenge dieser Bezeichnungen angezeigt wird. Das Azure Active Directory-Portal filtert die Bezeichnungen auch nach Veröffentlichungsrichtlinien.

Die folgenden Apps und Dienste unterstützen Vertraulichkeitsbezeichnungen, die für Websites und Gruppeneinstellungen konfiguriert sind:

  • Admin Center:

    • SharePoint Admin Center
    • Teams Admin Center
    • Microsoft 365 Admin Center
    • Microsoft Purview-Complianceportal
  • Benutzer-Apps und -Dienste:

    • SharePoint
    • Teams
    • Outlook im Web und für Windows, macOS, iOS und Android
    • Formulare
    • Stream
    • Planner

Die folgenden Apps und Dienste unterstützen derzeit keine Vertraulichkeitsbezeichnungen, die für Websites und Gruppeneinstellungen konfiguriert sind:

  • Admin Center:

    • Exchange Admin-Center
  • Benutzer-Apps und -Dienste:

    • Dynamics 365
    • Viva Engage
    • Project
    • Power BI
    • Meine Apps-Portal

Klassische Azure AD-Gruppenklassifizierung

Nachdem Sie Vertraulichkeitsbezeichnungen für Container aktiviert haben, werden die Gruppenklassifizierungen von Azure AD nicht mehr von Microsoft 365 unterstützt und nicht auf Websites angezeigt, die Vertraulichkeitsbezeichnungen unterstützen. Sie können ihre alten Klassifizierungen jedoch in Vertraulichkeitsbezeichnungen konvertieren.

Ein Beispiel dafür, wie Sie die alte Gruppenklassifizierung für Microsoft Office SharePoint Online verwendet haben könnten, finden Sie unter Klassifizierung "moderner" Microsoft Office SharePoint Online-Websites.

Diese Klassifizierungen wurden konfiguriert, indem Azure AD PowerShell oder die PnP-Kernbibliothek verwendet und Werte für die Einstellung ClassificationList festgelegt wurden. Wenn in Ihrem Mandanten Klassifizierungswerte definiert sind, werden sie angezeigt, wenn Sie den folgenden Befehl aus dem AzureADPreview PowerShell-Modul ausführen:

($setting["ClassificationList"])

Um Ihre alten Klassifizierungen in Vertraulichkeitsbezeichnungen umzuwandeln, führen Sie einen der folgenden Schritte aus:

  • Verwenden vorhandener Bezeichnungen: Geben Sie die gewünschten Bezeichnungseinstellungen für Websites und Gruppen an, indem Sie bereits veröffentlichte Vertraulichkeitsbezeichnungen bearbeiten.

  • Erstellen neuer Bezeichnungen: Geben Sie die gewünschten Bezeichnungseinstellungen für Websites und Gruppen an, indem Sie neue Vertraulichkeitsbezeichnungen mit den gleichen Namen wie Ihre bestehenden Klassifizierungen erstellen und veröffentlichen.

Gehen Sie dann wie folgt vor:

  1. Verwenden Sie PowerShell, um die Vertraulichkeitsbezeichnungen mithilfe von Namenszuordnung auf vorhandene Microsoft 365-Gruppen und SharePoint-Websites anzuwenden. Entsprechende Anweisungen finden Sie im nächsten Abschnitt.

  2. Entfernen Sie die alten Klassifizierungen der bestehenden Gruppen und Websites.

Sie können Benutzer zwar nicht daran hindern, neue Gruppen in Apps und Diensten, die noch keine Vertraulichkeitsbezeichnungen unterstützen, zu erstellen, aber Sie können wiederholt ein PowerShell-Skript ausführen, um nach neuen Gruppen zu suchen, die von Benutzern mit den alten Klassifizierungen erstellt wurden, und diese in Vertraulichkeitsbezeichnungen zu konvertieren.

Informationen zum Verwalten der Koexistenz von Vertraulichkeitsbezeichnungen und Azure AD-Klassifizierungen für Websites und Gruppen finden Sie unter Azure Active Directory Klassifizierung und Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.

Verwenden von PowerShell, um Klassifizierungen für Microsoft 365-Gruppen in Vertraulichkeitsbezeichnungen zu konvertieren

  1. Stellen Sie zunächst eine Verbindung mit Security & Compliance PowerShell her.

    Melden Sie sich beispielsweise bei einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an:

  2. Führen Sie das Cmdlet Get-Label aus, um die Liste der Vertraulichkeitsbezeichnungen und deren GUIDs abzurufen:

    Get-Label |ft Name, Guid
    
  3. Notieren Sie sich die GUIDs für die Vertraulichkeitsbezeichnungen, die Sie auf Ihre Microsoft 365-Gruppen anwenden möchten.

  4. Anschließend müssen Sie in einem separaten Windows PowerShell-Fenster eine Verbindung mit Exchange Online PowerShell herstellen.

  5. Verwenden Sie den folgenden Befehl als Beispiel, um die Liste der Gruppen abzurufen, die derzeit die Klassifizierung "Allgemein" aufweisen:

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Fügen Sie für jede Gruppe die neue Vertraulichkeitsbezeichnungs-GUID hinzu. Zum Beispiel:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Wiederholen Sie die Schritte 5 und 6 für die restlichen Gruppenklassifizierungen.

Überwachen von Vertraulichkeitsbezeichnungsaktivitäten

Wichtig

Wenn Sie die Bezeichnungstrennung verwenden, indem Sie nur den Bereich Gruppenwebsites für Bezeichnungen & auswählen, die Container schützen: Aufgrund des in diesem Abschnitt beschriebenen Überwachungsereignisses und der E-Mail-Adresse Detected document sensitivity mismatch (Detected document sensitivity mismatch audit event and email, detected document sensitivity mismatch audit event and email, in this section, consider labels before labels that have a scope for Items).

Wenn jemand ein Dokument auf eine Website hochlädt, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument eine Vertraulichkeitsbezeichnung mit höherer Priorität als die auf die Website angewendete Vertraulichkeitsbezeichnung aufweist, wird diese Aktion nicht blockiert. Angenommen, Sie haben die Bezeichnung Allgemein auf eine SharePoint-Website angewendet, und jemand lädt ein Dokument mit der Bezeichnung Vertraulich auf diese Site hoch. Da eine Vertraulichkeitsbezeichnung mit einer höheren Priorität Inhalte kennzeichnet, die eine höhere Vertraulichkeitsstufe aufweisen, als Inhalte mit einer niedrigeren Priorität, könnte dies ein Sicherheitsrisiko darstellen.

Obwohl die Aktion nicht blockiert ist, wird sie überwacht und generiert standardmäßig automatisch eine E-Mail-Nachricht an die Person, die das Dokument hochgeladen hat und den Websiteadministrator. Als Resultat können der Benutzer und der Administrator Dokumente mit abweichender Bezeichnungspriorität identifizieren und bei Bedarf Maßnahmen ergreifen. Löschen oder verschieben Sie zum Beispiel das hochgeladene Dokument von der Website.

Es würde kein Sicherheitsrisiko darstellen, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität aufweist als die auf die Website angewendete Vertraulichkeitsbezeichnung. Angenommen, ein Dokument, das als Allgemein bezeichnet ist, wird auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. In diesem Szenario wird kein Überwachungsereignis und keine E-Mail erzeugt.

Hinweis

Ebenso wie bei der Richtlinienoption, bei der Benutzer eine Begründung für das Ändern einer Bezeichnung in eine niedrigere Klassifizierung angeben müssen, werden Unterbezeichnungen für die gleiche übergeordnete Bezeichnung alle als dieselbe Priorität aufweisend betrachtet.

Um das Überwachungsprotokoll nach diesem Ereignis zu durchsuchen, suchen Sie nach Konflikt in Bezug auf die Vertraulichkeitsbezeichnung eines Dokuments aus der Kategorie Datei- und Seitenaktivitäten.

Die automatisch generierte E-Mail-Nachricht enthält den Betreff Inkompatible Vertraulichkeitskennzeichnung erkannt und in der E-Mail-Nachricht wird der Konflikt der Kennzeichnung mit einem Link zum hochgeladenen Dokument und der Website erläutert. Es enthält auch eine Zeile für Ihre eigene interne Dokumentation: HelpLink : Handbuch zur Problembehandlung. Sie müssen den Link für den Leitfaden zur Problembehandlung konfigurieren, indem Sie das Cmdlet Set-SPOTenant mit dem Parameter LabelMismatchEmailHelpLink verwenden. Zum Beispiel:

Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"

Die E-Mail-Nachricht enthält auch einen Microsoft-Dokumentationslink, der grundlegende Informationen für Benutzer zum Ändern der Vertraulichkeitsbezeichnung enthält: Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Dateien und E-Mails in Office

Mit Ausnahme der internen URL, die Sie angeben müssen, können diese automatisierten E-Mails nicht angepasst werden. Sie können jedoch verhindern, dass sie gesendet werden, wenn Sie den folgenden PowerShell-Befehl von Set-SPOTenant verwenden:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Wenn jemand einer Website oder Gruppe eine Vertraulichkeitsbezeichnung hinzufügt oder eine Vertraulichkeitsbezeichnung von einer Website oder Gruppe entfernt, werden diese Aktivitäten ebenfalls überwacht, jedoch wird nicht automatisch eine E-Mail erzeugt.

All diese Überwachungsereignisse sind in der Kategorie Vertraulichkeitsbezeichnungsaktivitäten zu finden. Anweisungen zum Durchsuchen des Überwachungsprotokolls finden Sie unter Durchsuchen des Überwachungsprotokolls im Complianceportal.

Deaktivieren von Vertraulichkeitsbezeichnungen für Container

Sie können Vertraulichkeitsbezeichnungen für Microsoft Teams, Office 365-Gruppen und SharePoint-Websites unter Verwendung der Anweisungen im Abschnitt Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell deaktivieren. Wenn Sie das Feature jedoch deaktivieren möchten, geben Sie in Schritt 5 $setting["EnableMIPLabels"] = "False"an.

Diese Aktion sorgt dafür, dass all diese Einstellungen nicht mehr für Gruppen und Websites verfügbar sind, wenn Sie Vertraulichkeitsbezeichnungen erstellen oder bearbeiten. Außerdem wird zurückgesetzt, welche Eigenschaft Container für ihre Konfiguration verwenden. Wenn Sie Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites aktivieren, wird die Eigenschaft, die aus Klassifizierung (für Azure AD-Gruppen Klassifizierung) verwendet wird, auf Vertraulichkeitumgestellt. Wenn Sie Vertraulichkeitsbezeichnungen für Container deaktivieren, ignorieren Container die Eigenschaft „Vertraulichkeit“ und verwenden wieder die Eigenschaft „Klassifizierung“.

Das bedeutet, dass alle Bezeichnungseinstellungen von Websites und Gruppen, die zuvor auf Container angewendet wurden, nicht erzwungen werden und Container die Bezeichnungen nicht mehr anzeigen.

Wenn diesen Containern Azure AD-Klassifizierungswerte zugewiesen wurden, werden die Container wieder auf die Verwendung der Klassifizierungen zurückgesetzt. Beachten Sie, dass alle neuen Websites oder Gruppen, die nach der Aktivierung des Features erstellt wurden, keine Bezeichnung oder Klassifizierung aufweisen. Für diese Container und alle neuen Container können Sie jetzt Klassifizierungswerte anwenden. Weitere Informationen finden Sie unter SharePoint "moderne" Website-Klassifizierung und Erstellen von Klassifizierungen für Office-Gruppen in Ihrer Organisation.

Weitere Ressourcen

Weitere Informationen zur Verwaltung von mit Teams verbundenen Websites und Kanalwebsites finden Sie unter Verwalten von mit Teams verbundenen Websites und Kanalwebsites.