Sicherheit und Compliance

SharePoint Embedded von Microsoft bietet eine schnellere Möglichkeit, sichere und konforme Dokumente zu erstellen, die in verschiedenen Anwendungen gespeichert sind. SharePoint Embedded verwendet die umfassenden Compliance- und Datengovernancelösungen von Microsoft, um Organisationen dabei zu unterstützen, Risiken zu verwalten, vertrauliche Daten zu schützen und zu steuern und auf gesetzliche Anforderungen zu reagieren. Sicherheits- und Compliancelösungen funktionieren auf der SharePoint Embedded-Plattform auf ähnliche Weise wie heute auf der Microsoft 365 (Microsoft 365)-Plattform, sodass Daten auf sichere, geschützte Weise gespeichert werden, die den Geschäfts- und Compliancerichtlinien der Kunden entspricht, während Compliance- und SharePoint-Administratoren die Durchsetzung kritischer Sicherheits- und Compliancerichtlinien für den Inhalt erleichtern.

In diesem Artikel werden die Sicherheits- und Konformitätsrichtlinien beschrieben, die derzeit für Inhalte unterstützt werden, die sich auf der SharePoint Embedded-Plattform befinden, sowie deren Funktionen und Einschränkungen.

Da SharePoint Embedded standardmäßig über keine Benutzeroberfläche verfügt, werden einige Complianceszenarien, die eine Benutzerinteraktion erfordern, nicht nativ unterstützt. Die besitzende Anwendung, die den Container steuert, kann diese Szenarien unterstützen und Endbenutzern mithilfe vorhandener Microsoft-Graph-API die optimale Benutzererfahrung bieten.

Compliancerichtlinien mit Microsoft Purview

Derzeit unterstützt SharePoint Embedded die folgenden Compliancefeatures unter Microsoft Purview. Sie können die folgenden Schritte ausführen, um die Details eines Containers abzurufen, auf den die Richtlinie angewendet werden muss.

1. Zeigen Sie eine Liste der registrierten SharePoint Embedded-Anwendungen an, die im angegebenen Mandanten registriert sind:

   Get-SPOApplication
   

2. Abrufen einer Liste von Containern in einer SharePoint Embedded-Anwendung durch Angabe der in Schritt 1 zurückgegebenen ApplicationID

   Get-SPOContainer -OwningApplicationId <OwningApplicationID>
   

3. Rufen Sie die Details eines Containers einschließlich ContainerSiteURL ab, indem Sie die in Schritt 2 zurückgegebene ContainerID angeben.

   Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity<ContainerID>
   

Informationen zum Abrufen von ContainerSiteURL zum Festlegen der verschiedenen In diesem Artikel beschriebenen Konformitätsrichtlinien auf Containerebene finden Sie unter Get-SPOContainer.

Überwachung

Die von SharePoint Embedded bereitgestellten Überwachungsfunktionen Spiegel die vorhandenen Überwachungsfunktionen, die derzeit in SharePoint unterstützt werden. Alle Benutzer- und Administratorvorgänge, die in verschiedenen in SharePoint Embedded gehosteten Anwendungen ausgeführt werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll Ihrer organization aufbewahrt. Weitere Informationen zur Überwachung finden Sie unter Überwachungslösungen in Microsoft Purview.

Zusätzlich zu vorhandenen Dateieigenschaften werden Überwachungsereignisse im Zusammenhang mit SharePoint Embedded mit den folgenden weiteren Daten protokolliert, um die Überwachungssuchergebnisse zu filtern, um die relevanten SharePoint Embedded-Inhalte zu isolieren:

• ContainerInstanceId
• ContainerTypeId

eDiscovery

Complianceadministratoren können eDiscovery-Tools in Microsoft Purview verwenden, um auf der SharePoint Embedded-Plattform gehostete Inhalte zu durchsuchen/zu speichern/zu exportieren. Weitere Informationen zu eDiscovery finden Sie unter Microsoft Purview-eDiscovery Lösungen.

Um eine eDiscovery-Suche für alle eingebetteten SharePoint-Inhalte auszuführen, sollten Administratoren beim Konfigurieren der eDiscovery-Suche in Microsoft Purview die Option "Alle" SharePoint-Websites auswählen. Dies ermöglicht die Suche nach Inhalten, die in allen SharePoint-Websites und allen SharePoint Embedded-Containern gespeichert sind.

Um die eDiscovery-Suche auf einen oder mehrere SharePoint Embedded-Container zu beschränken, können Administratoren unter der Workload "SharePoint-Websites"Websites auswählen und die gewünschte Container-URL angeben.

Datenlebenszyklusverwaltung (Data Lifecycle Management, DLM)

SharePoint Embedded unterstützt Aufbewahrungs- und Aufbewahrungsrichtlinien für In seinen Anwendungen gespeicherte Inhalte mithilfe der Microsoft Purview-Complianceportal. Weitere Informationen zu DLM finden Sie unter Informationen zu Microsoft Purview-Datenlebenszyklusverwaltung.

Die vorhandene Aufbewahrungsrichtlinie wird auf alle SharePoint Embedded-Container angewendet, wenn die Richtlinie für "Alle Websites" konfiguriert ist. Ebenso erzwingt das Erstellen einer neuen Aufbewahrungs-/Aufbewahrungsrichtlinie für alle SharePoint-Websites automatisch die Richtlinie für alle SharePoint-Websites und alle Container in SharePoint Embedded.

Um die Richtlinie selektiv für einen oder mehrere SharePoint Embedded-Container zu erzwingen, kopieren Sie die Container-URL, und konfigurieren Sie die Richtlinie so, dass sie selektiv nur für diese Container erzwungen wird.

Da SharePoint Embedded über keine integrierte Benutzeroberfläche verfügt, werden DLM-Szenarien, die eine Benutzerinteraktion erfordern, nicht nativ unterstützt. Wenn ein Endbenutzer instance versucht, mithilfe einer SharePoint Embedded-Anwendung (App) eine Aufbewahrungsbezeichnung auf einen Container anzuwenden, muss die App, die den Zugriff auf den Container regelt, diese Funktionalität zur Bereitstellung dieser Funktionalität verwenden. In solchen Fällen können Graph-APIs für DLM-Funktionen verwendet werden.

Schutz vor Datenverlust (DLP)

Mithilfe von Microsoft Purview können Administratoren vertrauliche Elemente, die in Anwendungen gespeichert sind, mithilfe von SharePoint Embedded identifizieren, überwachen und automatisch schützen. Weitere Informationen zu DLP finden Sie unter Informationen zur Verhinderung von Datenverlust.

Wie Aufbewahrungsrichtlinien können DLP-Richtlinien für alle SharePoint-Websites und SharePoint Embedded-Container erzwungen werden, indem Sie die Richtlinie für "Alle Websites" konfigurieren.

Administratoren können die Erzwingung einer DLP-Richtlinie auch auf bestimmte SharePoint Embedded-Container beschränken, indem sie während der Richtlinienkonfiguration die relevanten Container-URLs angeben.

Mehrere Szenarien, die heutzutage von DLP unterstützt werden, erfordern eine Benutzerinteraktion, die von SharePoint Embedded nicht nativ unterstützt wird. Für instance kann eine DLP-Richtlinie, die die externe Freigabe verhindert, basierend auf ihrer Konfiguration den Endbenutzern ermöglichen, eine geschäftliche Begründung anzugeben, um die Richtlinie außer Kraft zu setzen. Die Client-App, die dieses mit DLP-Kennzeichnung gekennzeichnete Dateielement rendert, muss solche Benutzerinteraktionen unterstützen.

Richtlinientipps werden heute für Dateien angezeigt, die in SharePoint gehostet werden, sodass Benutzer über DLP-gekennzeichnete Dateielemente und entsprechende Einschränkungen auf dem Laufenden gehalten werden. Analog dazu kann die Client-App, wenn Richtlinientipps für in SharePoint Embedded gehostete Dateien angezeigt werden, mehr Unterstützung bereitstellen, indem sie zu diesem Zweck die vorhandenen Graph-APIs verwendet.

Sicherheitsfeatures

Vertraulichkeitsbezeichnungen in Containern

Globale Administratoren und SharePoint-Administratoren können Vertraulichkeitsbezeichnungen für einen SharePoint Embedded-Container mithilfe des neu erstellten SharePoint PowerShell-Cmdlets festlegen und entfernen:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Weitere Informationen zum Festlegen von Vertraulichkeitsbezeichnungen finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.

Downloadrichtlinie blockieren

Die Downloadrichtlinie blockieren ermöglicht dem SharePoint-Administrator oder globalen Administrator, das Herunterladen von Dateien aus SharePoint Embedded-Containern mithilfe des folgenden SharePoint PowerShell-Cmdlets zu blockieren.

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Zum Erzwingen dieser Richtlinie ist eine SharePoint Advanced Management (SAM)-Lizenz erforderlich. Lesen Sie die vollständige Dokumentation zu erweiterten Funktionen unter Downloadrichtlinie für SharePoint-Websites und OneDrive blockieren.

Richtlinie für bedingten Zugriff

SharePoint Embedded unterstützt grundlegende Richtlinienkonfigurationen für bedingten Zugriff, z. B.:

• AllowFullAccess: Ermöglicht vollzugriff über Desktop-Apps, mobile Apps und das Web
• AllowLimitedAccess: Ermöglicht eingeschränkten, reinen Webzugriff
• BlockAccess: Blockiert Den Zugriff

Diese Einstellungen sind mit dem folgenden PowerShell-Cmdlet verfügbar. Die AuthorizationContext wird auch in Kürze unterstützt.

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Weitere Informationen zur Richtlinie für bedingten Zugriff finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.