Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Complianceadministrator
Verwenden Sie diesen Artikel, um Sicherheit, Compliance und Governance für in SharePoint Embedded gespeicherte Inhalte zu planen.
SharePoint Embedded-Inhalte befinden sich in der Microsoft 365-Grenze des verbrauchenden Mandanten.
Unterstützte Consumer-Microsoft 365-Mandanteneinstellungen und Microsoft Purview-Funktionen gelten für die dort gespeicherten App-Dokumente.
Governancemodell
SharePoint Embedded ist nur API und bietet keine integrierte Endbenutzeroberfläche.
Die besitzende Anwendung stellt die Benutzererfahrung bereit.
Complianceadministratoren und SharePoint Embedded-Administratoren erzwingen unterstützte Richtlinien für Container und Inhalte mithilfe von Microsoft Purview, unterstützten Administratorfunktionen und PowerShell.
Einige Complianceszenarien erfordern eine Benutzerinteraktion. Da SharePoint Embedded keine native Benutzeroberfläche enthält, muss die App die Benutzeroberfläche bereitstellen, wenn diese Szenarien erforderlich sind.
Mandantenverantwortung
Der Inhalt wird im verbrauchenden Mandanten gespeichert.
Daher steuern die Nutzung von Mandantenrichtlinien und Administratorentscheidungen den Inhalt.
Bei einer Unternehmens-BRANCHEN-App besitzt und nutzt der Unternehmensmandant die App.
Bei einer ISV-App steuert jeder Kundenmandant seine eigenen SharePoint Embedded-Inhalte.
Informationen zur Planung von Mandantenrollen finden Sie unter Grundlegendes zur App- und Mandantenarchitektur.
Entdecken von Anwendungen und Containern
Complianceadministratoren benötigen möglicherweise Containerdetails, um Richtlinien als Ziel zu verwenden.
Verwenden Sie diesen PowerShell-Ermittlungsflow, um Containerdetails für den Richtlinienbereich abzurufen:
Zeigen Sie registrierte SharePoint Embedded-Anwendungen im Mandanten an.
Get-SPOApplicationAbrufen von Containern für eine Anwendung mithilfe der Anwendungs-ID.
Get-SPOContainer -OwningApplicationId <OwningApplicationID>Rufen Sie Details für einen Container ab, einschließlich der URL der Containerwebsite.
Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
Details zum Cmdlet finden Sie unter Get-SPOContainer.
Microsoft Purview-Unterstützung
SharePoint Embedded unterstützt Microsoft Purview-Kompatibilitätsfeatures für inhalte, die auf der Plattform gespeichert sind.
SharePoint Embedded unterstützt die folgenden Microsoft Purview-Funktionen:
- Überwachung
- eDiscovery
- Datenlebenszyklusverwaltung
- Verhinderung von Datenverlust
Diese Funktionen funktionieren ähnlich wie SharePoint-Inhalte, mit Einschränkungen, bei denen die App Benutzerinteraktionen bereitstellen muss.
Überwachung
Überwachungsfunktionen Spiegel die vorhandene Überwachungsfunktionalität, die in SharePoint unterstützt wird.
Benutzer- und Administratorvorgänge, die in Anwendungen ausgeführt werden, die in SharePoint Embedded gehostet werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll des organization aufbewahrt.
Überwachungsereignisse im Zusammenhang mit SharePoint Embedded enthalten zusätzliche Daten zum Filtern von Ergebnissen:
ContainerInstanceIdContainerTypeId
Verwenden Sie diese Eigenschaften, um SharePoint Embedded-Inhalte bei Überwachungssuchen zu isolieren.
Weitere Informationen finden Sie unter Überwachungslösungen in Microsoft Purview.
eDiscovery
Complianceadministratoren können Microsoft Purview-eDiscovery Tools verwenden, um SharePoint Embedded-Inhalte zu suchen, zu speichern und zu exportieren.
Um alle SharePoint Embedded-Inhalte zu durchsuchen, konfigurieren Sie die eDiscovery-Suche für alle SharePoint-Websites.
Dies schließt SharePoint-Websites und SharePoint Embedded-Container ein.
Um die eDiscovery-Suche auf bestimmte Container zu beschränken, wählen Sie Websites unter der Workload SharePoint-Websites aus, und geben Sie die Container-URL an.
Weitere Informationen finden Sie unter Microsoft Purview-eDiscovery Lösungen.
Datenlebenszyklusverwaltung
SharePoint Embedded unterstützt Aufbewahrungs- und Aufbewahrungsrichtlinien über die Microsoft Purview-Complianceportal.
Aufbewahrungsrichtlinien, die für alle SharePoint-Websites konfiguriert sind, gelten für alle SharePoint-Websites und alle Container in SharePoint Embedded.
Um eine Richtlinie selektiv für einen oder mehrere SharePoint Embedded-Container zu erzwingen, verwenden Sie beim Konfigurieren der Richtlinie die Container-URL.
Da SharePoint Embedded über keine integrierte Benutzeroberfläche verfügt, ist App-Unterstützung für Benutzerinteraktionsszenarien erforderlich, z. B. für Endbenutzer, die eine Aufbewahrungsbezeichnung über die App anwenden.
Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Datenlebenszyklusverwaltung.
Verhinderung von Datenverlust
Microsoft Purview Data Loss Prevention können vertrauliche Elemente identifizieren, überwachen und automatisch schützen, die in SharePoint Embedded-Anwendungen gespeichert sind.
DLP-Richtlinien können auf allen SharePoint-Websites und SharePoint Embedded-Containern erzwungen werden, indem die Richtlinie für alle Websites konfiguriert wird.
Administratoren können die DLP-Erzwingung auch auf bestimmte SharePoint Embedded-Container beschränken, indem sie Container-URLs angeben.
Einige DLP-Szenarien erfordern eine Benutzerinteraktion.
Beispielsweise kann eine DLP-Richtlinie, die die externe Freigabe verhindert, eine Außerkraftsetzung der geschäftlichen Begründung zulassen.
Die Client-App muss die Benutzerinteraktion bereitstellen, wenn das Szenario erforderlich ist.
Richtlinientipps für SharePoint Embedded-Dateien erfordern ggf. auch App-Unterstützung über Microsoft Graph.
Weitere Informationen finden Sie unter Informationen zur Verhinderung von Datenverlust.
Vertraulichkeitsbezeichnungen
Globale Administratoren und SharePoint Embedded-Administratoren können Vertraulichkeitsbezeichnungen für einen SharePoint Embedded-Container mithilfe von SharePoint PowerShell festlegen und entfernen.
Verwenden Sie dazu diesen Befehl:
Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>
Die Bezeichnung wird auf Containerebene angewendet: Sie legt die Vertraulichkeit des Containers fest und steuert Containereinstellungen wie bedingten Zugriff und Gastfreigabe. Dateien, die bereits im Container vorhanden sind, werden nicht rückwirkend neu bezeichnet, und jede Datei trägt eine eigene Vertraulichkeitsbezeichnung. Informationen zum Beschriftungsverhalten auf Elementebene finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.
Downloadrichtlinie blockieren
SharePoint-Administratoren oder globale Administratoren können Dateidownloads aus SharePoint Embedded-Containern blockieren.
Verwenden Sie dazu diesen Befehl:
Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true
Zum Erzwingen dieser Richtlinie ist eine Erweiterte SharePoint-Verwaltung-Lizenz erforderlich.
Weitere Informationen finden Sie unter Blockieren der Downloadrichtlinie für SharePoint-Websites und OneDrive.
Bedingter Zugriff
SharePoint Embedded unterstützt grundlegende Richtlinienkonfigurationen für bedingten Zugriff.
Verwenden Sie dazu diesen Befehl:
AllowFullAccessAllowLimitedAccessBlockAccess
Diese Einstellungen sind verfügbar über:
Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>
Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.
Informationsbarrieren
Die fileStorageContainer Ressource verfügt über eine informationBarrier-Eigenschaft , mit der Sie die Informationsbarriere eines Containers verwalten können (Beta-Microsoft Graph-Endpunkt, März 2026). Verwenden Sie Segmente von Informationsbarrieren, um die Kommunikation und Zusammenarbeit zwischen Benutzergruppen einzuschränken, sofern dies gemäß der Konformitätsrichtlinie erforderlich ist.
Weitere Informationen finden Sie unter Informationsbarrieren in SharePoint.
Mandanteneinstellungen
Microsoft 365-Consumereinstellungen gelten für App-Dokumente, die in SharePoint Embedded gespeichert sind.
Dies umfasst unterstützte Sicherheits-, Compliance-, Risiko- und Governanceeinstellungen.
Ihre Anwendung sollte nicht davon ausgehen, dass jeder Nutzen-Mandant über die gleiche Richtlinienkonfiguration verfügt.
Entwerfen sie für Ergebnisse der Richtlinienerzwingung, blockierte Vorgänge und benutzerseitige Nachrichten.
Governance-Verantwortlichkeiten
| Bereich | App-Besitzer | Nutzen des Mandantenadministrators |
|---|---|---|
| Benutzererfahrung für Dateien | Stellen Sie die App-Benutzeroberfläche bereit. | Überprüfen Sie die Richtlinienerwartungen. |
| Containerermittlung | Machen Sie Bezeichner ggf. verfügbar. | Verwenden Sie PowerShell und Verwaltungstools. |
| Purview-Richtlinien | Behandeln sie richtliniengesteuerte UX-Anforderungen. | Konfigurieren Sie Überwachung, eDiscovery, DLP, Aufbewahrung und Bezeichnungen. |
| Zugriffsmodell | Anfordern der geringsten Rechte. | Erteilen Sie die Zustimmung, und verwalten Sie Mandanteneinstellungen. |
| Konformitätsbeweis | Beibehalten des App-Kontexts und der Überprüfbarkeit. | Verwenden Sie einheitliche Überwachungsprotokolle und Purview-Tools. |
Planungscheckliste
- Identifizieren Sie den Besitzer der Mandantengovernance.
- Inventarisieren von SharePoint Embedded-Anwendungen und -Containern.
- Mitschreiben Container-URLs, die für zielorientierte Richtlinien erforderlich sind.
- Planen Sie Überwachungssuchen mit
ContainerInstanceIdundContainerTypeId. - Entscheiden Sie, ob Richtlinien für alle Standorte oder ausgewählten Container gelten.
- Planen Sie die DLP-Benutzerinteraktion in der App.
- Planen Sie bei Bedarf die Benutzerinteraktion mit der Aufbewahrungsbezeichnung in der App.
- Entscheiden Sie, ob Vertraulichkeitsbezeichnungen für Container erforderlich sind.
- Entscheiden Sie, ob eine Blockdownloadrichtlinie erforderlich ist.
- Entscheiden Sie, ob Einstellungen für bedingten Zugriff erforderlich sind.
- Überprüfen Sie die Lizenzierungsanforderungen für erweiterte Richtlinien.
Nächste Schritte
Überprüfen des Skalierungs-, Drosselungs- und Wiederholungsverhaltens: Verstehen von Grenzwerten und Aufrufmustern.