Planen von Sicherheit, Compliance und Governance

Gilt für: Complianceadministrator

Verwenden Sie diesen Artikel, um Sicherheit, Compliance und Governance für in SharePoint Embedded gespeicherte Inhalte zu planen.

SharePoint Embedded-Inhalte befinden sich in der Microsoft 365-Grenze des verbrauchenden Mandanten.

Unterstützte Consumer-Microsoft 365-Mandanteneinstellungen und Microsoft Purview-Funktionen gelten für die dort gespeicherten App-Dokumente.

Governancemodell

SharePoint Embedded ist nur API und bietet keine integrierte Endbenutzeroberfläche.

Die besitzende Anwendung stellt die Benutzererfahrung bereit.

Complianceadministratoren und SharePoint Embedded-Administratoren erzwingen unterstützte Richtlinien für Container und Inhalte mithilfe von Microsoft Purview, unterstützten Administratorfunktionen und PowerShell.

Einige Complianceszenarien erfordern eine Benutzerinteraktion. Da SharePoint Embedded keine native Benutzeroberfläche enthält, muss die App die Benutzeroberfläche bereitstellen, wenn diese Szenarien erforderlich sind.

Mandantenverantwortung

Der Inhalt wird im verbrauchenden Mandanten gespeichert.

Daher steuern die Nutzung von Mandantenrichtlinien und Administratorentscheidungen den Inhalt.

Bei einer Unternehmens-BRANCHEN-App besitzt und nutzt der Unternehmensmandant die App.

Bei einer ISV-App steuert jeder Kundenmandant seine eigenen SharePoint Embedded-Inhalte.

Informationen zur Planung von Mandantenrollen finden Sie unter Grundlegendes zur App- und Mandantenarchitektur.

Entdecken von Anwendungen und Containern

Complianceadministratoren benötigen möglicherweise Containerdetails, um Richtlinien als Ziel zu verwenden.

Verwenden Sie diesen PowerShell-Ermittlungsflow, um Containerdetails für den Richtlinienbereich abzurufen:

  1. Zeigen Sie registrierte SharePoint Embedded-Anwendungen im Mandanten an.

    Get-SPOApplication
    
  2. Abrufen von Containern für eine Anwendung mithilfe der Anwendungs-ID.

    Get-SPOContainer -OwningApplicationId <OwningApplicationID>
    
  3. Rufen Sie Details für einen Container ab, einschließlich der URL der Containerwebsite.

    Get-SPOContainer -OwningApplicationId <ApplicationID> -Identity <ContainerID>
    

Details zum Cmdlet finden Sie unter Get-SPOContainer.

Microsoft Purview-Unterstützung

SharePoint Embedded unterstützt Microsoft Purview-Kompatibilitätsfeatures für inhalte, die auf der Plattform gespeichert sind.

SharePoint Embedded unterstützt die folgenden Microsoft Purview-Funktionen:

  • Überwachung
  • eDiscovery
  • Datenlebenszyklusverwaltung
  • Verhinderung von Datenverlust

Diese Funktionen funktionieren ähnlich wie SharePoint-Inhalte, mit Einschränkungen, bei denen die App Benutzerinteraktionen bereitstellen muss.

Überwachung

Überwachungsfunktionen Spiegel die vorhandene Überwachungsfunktionalität, die in SharePoint unterstützt wird.

Benutzer- und Administratorvorgänge, die in Anwendungen ausgeführt werden, die in SharePoint Embedded gehostet werden, werden erfasst, aufgezeichnet und im einheitlichen Überwachungsprotokoll des organization aufbewahrt.

Überwachungsereignisse im Zusammenhang mit SharePoint Embedded enthalten zusätzliche Daten zum Filtern von Ergebnissen:

  • ContainerInstanceId
  • ContainerTypeId

Verwenden Sie diese Eigenschaften, um SharePoint Embedded-Inhalte bei Überwachungssuchen zu isolieren.

Weitere Informationen finden Sie unter Überwachungslösungen in Microsoft Purview.

eDiscovery

Complianceadministratoren können Microsoft Purview-eDiscovery Tools verwenden, um SharePoint Embedded-Inhalte zu suchen, zu speichern und zu exportieren.

Um alle SharePoint Embedded-Inhalte zu durchsuchen, konfigurieren Sie die eDiscovery-Suche für alle SharePoint-Websites.

Dies schließt SharePoint-Websites und SharePoint Embedded-Container ein.

Um die eDiscovery-Suche auf bestimmte Container zu beschränken, wählen Sie Websites unter der Workload SharePoint-Websites aus, und geben Sie die Container-URL an.

Weitere Informationen finden Sie unter Microsoft Purview-eDiscovery Lösungen.

Datenlebenszyklusverwaltung

SharePoint Embedded unterstützt Aufbewahrungs- und Aufbewahrungsrichtlinien über die Microsoft Purview-Complianceportal.

Aufbewahrungsrichtlinien, die für alle SharePoint-Websites konfiguriert sind, gelten für alle SharePoint-Websites und alle Container in SharePoint Embedded.

Um eine Richtlinie selektiv für einen oder mehrere SharePoint Embedded-Container zu erzwingen, verwenden Sie beim Konfigurieren der Richtlinie die Container-URL.

Da SharePoint Embedded über keine integrierte Benutzeroberfläche verfügt, ist App-Unterstützung für Benutzerinteraktionsszenarien erforderlich, z. B. für Endbenutzer, die eine Aufbewahrungsbezeichnung über die App anwenden.

Weitere Informationen finden Sie unter Informationen zu Microsoft Purview-Datenlebenszyklusverwaltung.

Verhinderung von Datenverlust

Microsoft Purview Data Loss Prevention können vertrauliche Elemente identifizieren, überwachen und automatisch schützen, die in SharePoint Embedded-Anwendungen gespeichert sind.

DLP-Richtlinien können auf allen SharePoint-Websites und SharePoint Embedded-Containern erzwungen werden, indem die Richtlinie für alle Websites konfiguriert wird.

Administratoren können die DLP-Erzwingung auch auf bestimmte SharePoint Embedded-Container beschränken, indem sie Container-URLs angeben.

Einige DLP-Szenarien erfordern eine Benutzerinteraktion.

Beispielsweise kann eine DLP-Richtlinie, die die externe Freigabe verhindert, eine Außerkraftsetzung der geschäftlichen Begründung zulassen.

Die Client-App muss die Benutzerinteraktion bereitstellen, wenn das Szenario erforderlich ist.

Richtlinientipps für SharePoint Embedded-Dateien erfordern ggf. auch App-Unterstützung über Microsoft Graph.

Weitere Informationen finden Sie unter Informationen zur Verhinderung von Datenverlust.

Vertraulichkeitsbezeichnungen

Globale Administratoren und SharePoint Embedded-Administratoren können Vertraulichkeitsbezeichnungen für einen SharePoint Embedded-Container mithilfe von SharePoint PowerShell festlegen und entfernen.

Verwenden Sie dazu diesen Befehl:

Set-SPOContainer -Identity <ContainerID/ContainerSiteURL> -SensitivityLabel <SensitivityLabelGUID>

Die Bezeichnung wird auf Containerebene angewendet: Sie legt die Vertraulichkeit des Containers fest und steuert Containereinstellungen wie bedingten Zugriff und Gastfreigabe. Dateien, die bereits im Container vorhanden sind, werden nicht rückwirkend neu bezeichnet, und jede Datei trägt eine eigene Vertraulichkeitsbezeichnung. Informationen zum Beschriftungsverhalten auf Elementebene finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.

Downloadrichtlinie blockieren

SharePoint-Administratoren oder globale Administratoren können Dateidownloads aus SharePoint Embedded-Containern blockieren.

Verwenden Sie dazu diesen Befehl:

Set-SPOSite -Identity <ContainerSiteURL> -BlockDownloadPolicy $true

Zum Erzwingen dieser Richtlinie ist eine Erweiterte SharePoint-Verwaltung-Lizenz erforderlich.

Weitere Informationen finden Sie unter Blockieren der Downloadrichtlinie für SharePoint-Websites und OneDrive.

Bedingter Zugriff

SharePoint Embedded unterstützt grundlegende Richtlinienkonfigurationen für bedingten Zugriff.

Verwenden Sie dazu diesen Befehl:

  • AllowFullAccess
  • AllowLimitedAccess
  • BlockAccess

Diese Einstellungen sind verfügbar über:

Set-SPOContainer -Identity <ContainerSiteURL> -ConditionalAccessPolicy <SPOConditionalAccessPolicyType>

Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten.

Informationsbarrieren

Die fileStorageContainer Ressource verfügt über eine informationBarrier-Eigenschaft , mit der Sie die Informationsbarriere eines Containers verwalten können (Beta-Microsoft Graph-Endpunkt, März 2026). Verwenden Sie Segmente von Informationsbarrieren, um die Kommunikation und Zusammenarbeit zwischen Benutzergruppen einzuschränken, sofern dies gemäß der Konformitätsrichtlinie erforderlich ist.

Weitere Informationen finden Sie unter Informationsbarrieren in SharePoint.

Mandanteneinstellungen

Microsoft 365-Consumereinstellungen gelten für App-Dokumente, die in SharePoint Embedded gespeichert sind.

Dies umfasst unterstützte Sicherheits-, Compliance-, Risiko- und Governanceeinstellungen.

Ihre Anwendung sollte nicht davon ausgehen, dass jeder Nutzen-Mandant über die gleiche Richtlinienkonfiguration verfügt.

Entwerfen sie für Ergebnisse der Richtlinienerzwingung, blockierte Vorgänge und benutzerseitige Nachrichten.

Governance-Verantwortlichkeiten

Bereich App-Besitzer Nutzen des Mandantenadministrators
Benutzererfahrung für Dateien Stellen Sie die App-Benutzeroberfläche bereit. Überprüfen Sie die Richtlinienerwartungen.
Containerermittlung Machen Sie Bezeichner ggf. verfügbar. Verwenden Sie PowerShell und Verwaltungstools.
Purview-Richtlinien Behandeln sie richtliniengesteuerte UX-Anforderungen. Konfigurieren Sie Überwachung, eDiscovery, DLP, Aufbewahrung und Bezeichnungen.
Zugriffsmodell Anfordern der geringsten Rechte. Erteilen Sie die Zustimmung, und verwalten Sie Mandanteneinstellungen.
Konformitätsbeweis Beibehalten des App-Kontexts und der Überprüfbarkeit. Verwenden Sie einheitliche Überwachungsprotokolle und Purview-Tools.

Planungscheckliste

  • Identifizieren Sie den Besitzer der Mandantengovernance.
  • Inventarisieren von SharePoint Embedded-Anwendungen und -Containern.
  • Mitschreiben Container-URLs, die für zielorientierte Richtlinien erforderlich sind.
  • Planen Sie Überwachungssuchen mit ContainerInstanceId und ContainerTypeId.
  • Entscheiden Sie, ob Richtlinien für alle Standorte oder ausgewählten Container gelten.
  • Planen Sie die DLP-Benutzerinteraktion in der App.
  • Planen Sie bei Bedarf die Benutzerinteraktion mit der Aufbewahrungsbezeichnung in der App.
  • Entscheiden Sie, ob Vertraulichkeitsbezeichnungen für Container erforderlich sind.
  • Entscheiden Sie, ob eine Blockdownloadrichtlinie erforderlich ist.
  • Entscheiden Sie, ob Einstellungen für bedingten Zugriff erforderlich sind.
  • Überprüfen Sie die Lizenzierungsanforderungen für erweiterte Richtlinien.

Nächste Schritte

Überprüfen des Skalierungs-, Drosselungs- und Wiederholungsverhaltens: Verstehen von Grenzwerten und Aufrufmustern.