Anwenden von Sicherheits- und Compliancekontrollen

Gilt für: Nutzen des Mandantenadministrators – Complianceadministrator/Sicherheitsadministrator/SharePoint-Administrator

Wenden Sie Sicherheits- und Konformitätskontrollen auf SharePoint Embedded-Inhalte an, indem Sie Microsoft Purview und unterstützte SharePoint-Verwaltungsfeatures verwenden.

SharePoint Embedded verwendet Microsoft 365-Compliance- und Datengovernancefunktionen, damit Organisationen Inhalte schützen, steuern und untersuchen können, die in eingebetteten Anwendungen gespeichert sind.

Einige Complianceszenarien erfordern, dass die besitzende Anwendung die Endbenutzererfahrung bereitstellt, da SharePoint Embedded nur API ist und nicht über eine eigene Benutzeroberfläche verfügt.

Wichtig

Koordinieren Sie Konformitätssteuerelemente mit dem Besitzer der SharePoint Embedded-App. Eine Richtlinie kann Inhalte schützen, aber das App-Verhalten muss von der besitzenden App implementiert werden, um die Auswirkungen dieser Richtlinien zu behandeln.

Bevor Sie beginnen

Bestätigen Sie diese Voraussetzungen.

  • Sie können mit der erforderlichen Kompatibilitätsrolle auf Microsoft Purview zugreifen.
  • Sie können auf SharePoint-Verwaltungstools zugreifen, wenn Containerdetails benötigt werden.
  • Sie können die SharePoint Embedded-Anwendung und die Container im Bereich identifizieren.
  • Sie können Containerwebsite-URLs für zielorientierte Richtlinien abrufen.
  • App-Besitzer verstehen die Auswirkungen von Richtlinien auf ihre Benutzererfahrung.
  • Rechtliche, Datensatzverwaltung und Sicherheitsbeteiligte genehmigen den Steuerungsentwurf.

Informationen zu unterstützten Kontrollen finden Sie unter Planen von Sicherheit, Compliance und Governance.

Abrufen von Containerdetails für den Richtlinienbereich

Viele Complianceaufgaben benötigen eine Container-URL oder einen Containerbezeichner.

Verwenden Sie PowerShell, um Anwendungs- und Containerdetails abzurufen.

  1. Zeigen Sie sharePoint Embedded-Anwendungen an, die im Mandanten registriert sind.

    Get-SPOApplication
    
  2. Abrufen von Containern für eine Anwendung.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. Ruft Details für einen Container ab.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

Verwenden Sie die URL der Containerwebsite, um Richtlinien für bestimmte SharePoint Embedded-Container als Ziel zu verwenden.

Details zum Cmdlet finden Sie unter Get-SPOContainer.

Anwenden von Überwachungssteuerelementen

Überwachungsfunktionen für SharePoint Embedded Spiegel vorhandene SharePoint-Überwachungsfunktionen. Benutzer- und Administratorvorgänge, die in SharePoint Embedded-Anwendungen ausgeführt werden, werden im einheitlichen Überwachungsprotokoll erfasst.

Verwenden Sie die Microsoft Purview-Überwachung, um Aktivitäten zu durchsuchen und Datei-, Benutzer-, App- und Administratorvorgänge zu untersuchen.

Microsoft Purview überwacht Suchergebnisse für SharePoint Embedded-Aktivitäten, einschließlich der Felder ContainerInstanceId und ContainerTypeId.

Informationen zu Überprüfungsschritten finden Sie unter Überprüfen von Überwachungsereignissen. Eine ausführliche Liste der Überwachungsereignisse für Containertyp und Containertypregistrierung finden Sie unter SharePoint Embedded-Überwachungsprotokollereignisse.

Anwenden von eDiscovery

Complianceadministratoren können Microsoft Purview-eDiscovery verwenden, um in SharePoint Embedded gehostete Inhalte zu suchen, zu speichern und zu exportieren.

So durchsuchen Sie alle SharePoint Embedded-Inhalte mit SharePoint-Inhalten:

  1. Öffnen Sie die eDiscovery-Benutzeroberfläche in Microsoft Purview.
  2. Konfigurieren Sie die Suche.
  3. Wählen Sie Alle SharePoint-Websites für die SharePoint-Workload aus.
  4. Führen Sie die Suche aus.
  5. Überprüfen Sie die Ergebnisse gemäß Ihrem eDiscovery-Prozess.

Microsoft Purview-eDiscovery Suche konfiguriert, bei der Alle SharePoint-Websites ausgewählt sind, um alle SharePoint Embedded-Container einzuschließen.

So beschränken Sie die Suche auf ausgewählte SharePoint Embedded-Container:

  1. Rufen Sie die URL der Containerwebsite ab.
  2. Wählen Sie in der Workload SharePoint-Websites bestimmte Websites aus.
  3. Fügen Sie die Container-URL hinzu.
  4. Führen Sie die Suche aus, und überprüfen Sie sie.

Microsoft Purview-eDiscovery mithilfe von Websites auswählen unter der Workload SharePoint-Websites suchen, um eine bestimmte Container-URL als Ziel zu verwenden.

Eine Produktanleitung finden Sie unter Microsoft Purview-eDiscovery Lösungen.

Anwenden von Aufbewahrungs- und Aufbewahrungsaufbewahrung

SharePoint Embedded unterstützt Aufbewahrungs- und Aufbewahrungsrichtlinien für Inhalte, die in Anwendungen über Microsoft Purview gespeichert sind. Verwenden Sie die folgenden Bereichsoptionen:

Umfang Effekt
Alle SharePoint-Websites Gilt für SharePoint-Websites und SharePoint Embedded-Container.
Ausgewählte Standorte Gilt für bestimmte SharePoint-Speicherorte, einschließlich ausgewählter SharePoint Embedded-Container-URLs.

Verwenden Sie einen breiten Bereich, wenn eine Richtlinie für alle SharePoint- und SharePoint Embedded-Inhalte gilt.

Verwenden Sie ausgewählte Container-URLs, wenn eine Richtlinie nur für bestimmte Daten gilt.

Microsoft Purview-Aufbewahrungsrichtlinie, die für Alle Websites konfiguriert ist und sie auf allen SharePoint-Websites und SharePoint Embedded-Containern erzwingt.

Microsoft Purview-Aufbewahrungsrichtlinie, die auf ausgewählte SharePoint Embedded-Container-URLs festgelegt ist.

Hinweis

SharePoint Embedded bietet keine native Endbenutzerschnittstelle für Interaktionen mit Aufbewahrungsbezeichnungen. Wenn Benutzer Aufbewahrungsbezeichnungen in einer App anwenden oder darauf reagieren müssen, muss die besitzende App diese Erfahrung bereitstellen.

Informationen zu Microsoft Purview-Datenlebenszyklusverwaltung finden Sie unter Informationen zu Microsoft Purview-Datenlebenszyklusverwaltung.

Anwenden von DLP-Richtlinien

Verwenden Sie Microsoft Purview Data Loss Prevention (DLP), um vertrauliche Elemente zu identifizieren, zu überwachen und automatisch zu schützen, die in SharePoint Embedded-Anwendungen gespeichert sind.

So wenden Sie DLP allgemein an:

  1. Erstellen oder bearbeiten Sie eine DLP-Richtlinie in Microsoft Purview.
  2. Wählen Sie die Workload SharePoint-Websites aus.
  3. Wählen Sie Alle Websites aus, wenn die Richtlinie alle SharePoint-Websites und SharePoint Embedded-Container enthalten soll.
  4. Konfigurieren sie Regeln, Aktionen und Warnungen.
  5. Testen und aktivieren Sie die Richtlinie entsprechend Ihrem Rolloutprozess.

So wenden Sie DLP auf ausgewählte SharePoint Embedded-Container an:

  1. Rufen Sie die Container-URLs ab.
  2. Konfigurieren Sie die DLP-Richtlinie für ausgewählte SharePoint-Speicherorte.
  3. Fügen Sie die Container-URLs hinzu.
  4. Überprüfen Sie das Richtlinienverhalten mit dem App-Besitzer.

Microsoft Purview DLP-Richtlinie, die für Alle Websites konfiguriert ist, um alle SharePoint-Websites und SharePoint Embedded-Container einzuschließen.

Microsoft Purview DLP-Richtlinie, die auf ausgewählte SharePoint Embedded-Container-URLs festgelegt ist.

Einige DLP-Szenarien erfordern eine Benutzerinteraktion, z. B. die geschäftliche Begründung für die Außerkraftsetzung oder Richtlinientipps.

Da SharePoint Embedded keine native Benutzeroberfläche bereitstellt, muss die Client-App die erforderliche Benutzeroberfläche implementieren, häufig mithilfe von Microsoft Graph, falls zutreffend.

Weitere Informationen zu DLP finden Sie unter Informationen zur Verhinderung von Datenverlust.

Anwenden von Vertraulichkeitsbezeichnungen auf Container

Globale Administratoren und SharePoint Embedded-Administratoren können Vertraulichkeitsbezeichnungen für SharePoint Embedded-Container mit SharePoint PowerShell festlegen oder entfernen.

Legen Sie eine Bezeichnung fest:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Entfernen Sie eine Bezeichnung mithilfe des unter Verwalten von Containern mit PowerShell dokumentierten Befehls für die unterstützte Containerbezeichnung.

Vor dem Anwenden von Bezeichnungen:

  • Vergewissern Sie sich, dass die Bezeichnung veröffentlicht wurde.
  • Vergewissern Sie sich, dass die Bezeichnung für den Container geeignet ist.
  • Bestätigen Sie das App-Verhalten mit dem App-Besitzer.
  • Bestätigen Sie die Complianceanforderungen mit Datenbesitzern.

Informationen zu Bezeichnungskonzepten finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.

Anwenden der Richtlinie zum Blockieren des Downloads

SharePoint-Administratoren und globale Administratoren können Dateidownloads aus SharePoint Embedded-Containern mit dem SharePoint-Websiterichtlinien-Cmdlet blockieren.

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Zum Erzwingen dieser Richtlinie ist eine Erweiterte SharePoint-Verwaltung-Lizenz erforderlich.

Lesen Sie die SharePoint-Dokumentation, bevor Sie sie in der Produktion aktivieren.

Weitere Informationen finden Sie unter Blockieren der Downloadrichtlinie für SharePoint-Websites und OneDrive.

Richtlinie für bedingten Zugriff anwenden

SharePoint Embedded unterstützt grundlegende Richtlinienkonfigurationen für bedingten Zugriff.

Der ConditionalAccessPolicy Parameter unterstützt die folgenden Werte:

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

Verwenden Sie dieses SharePoint PowerShell-Cmdlet:

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Überprüfen Sie die Mandantenzugriffsrichtlinien, bevor Sie den Containerzugriff ändern.

Testen Sie das App-Verhalten für Web-, Desktop- und mobile Clients.

Entsprechende Anleitungen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.

Zuständigkeiten klären

Sicherheits- und Compliancekontrollen umfassen häufig mehrere Teams.

Team Responsibilities
Complianceadministratoren Konfigurieren Sie Purview-Überwachung, eDiscovery, Aufbewahrung, DLP und Richtlinienbereich.
SharePoint Embedded-Administratoren Rufen Sie Containerdetails ab, und wenden Sie unterstützte Containereinstellungen an.
SharePoint Embedded-App-Besitzer Implementieren Sie App-Benutzeroberflächen für Richtlinientipps, Außerkraftsetzungen, Bezeichnungen und Fehlerbehandlung.
Sicherheitsadministratoren Weitere Informationen finden Sie unter Bedingter Zugriff und Zugriffsbeschränkungen.
Rechts- oder Aufzeichnungsteams Genehmigung von Aufbewahrungs-, Aufbewahrungs- und Löschentscheidungen.

Dokumentieren Sie den Besitzer für jedes Steuerelement vor dem Rollout.

Überprüfen des Richtlinienverhaltens

Nach dem Anwenden eines Steuerelements:

  1. Vergewissern Sie sich, dass die Richtlinie veröffentlicht oder aktiviert ist.
  2. Vergewissern Sie sich, dass die Zielcontainer-URL oder der Bereich für alle Websites korrekt ist.
  3. Bitten Sie den App-Besitzer, allgemeine Benutzerworkflows zu testen.
  4. Überprüfen Sie Überwachungsdatensätze auf richtlinienbezogene Aktivitäten.
  5. Überprüfen Sie DLP-Warnungen, eDiscovery-Ergebnisse oder den Aufbewahrungsstatus, sofern zutreffend.
  6. Notieren Sie sich die Änderung in Ihrem Compliance-Betriebsprotokoll.

Tipp

Pilotsteuerelemente für eine kleine Gruppe von Containern, bevor sie auf alle SharePoint-Websites und SharePoint Embedded-Container angewendet werden.

Nächste Schritte

Lesen Sie den Leitfaden zur Problembehandlung unter Problembehandlung.