Erstellen und Verwalten von Vertraulichkeitsbezeichnungen

  • 8 Minuten

Mit Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass die Produktivität der Benutzer und ihre Fähigkeit zur Zusammenarbeit nicht beeinträchtigt werden. Mit Vertraulichkeitsbezeichnungen können Teams-Administratoren vertrauliche organisatorische Inhalte, die während der Zusammenarbeit in Teams erstellt werden, schützen und den Zugriff darauf regeln.

Organisationen können Vertraulichkeitsbezeichnungen verwenden, um:

  • Bieten Sie Schutzeinstellungen, die Verschlüsselung und Inhaltsmarkierungen umfassen.

  • Schützen von Inhalten in Office-Apps auf verschiedenen Plattformen und Geräten.

  • Schützen von Inhalten in Drittanbieter-Apps und -Diensten mithilfe von Microsoft Defender for Cloud Apps.

  • Schützen von Containern, die Teams, Microsoft 365-Gruppen und SharePoint-Seiten enthalten.

  • Vertraulichkeitsbezeichnungen auf Power BI ausweiten.

  • Erweitern Sie Vertraulichkeitsbezeichnungen auf Ressourcen in der Microsoft Purview-Datenzuordnung.

  • Erweitern von Vertraulichkeitsbezeichnungen auf Drittanbieter-Apps und -Dienste.

  • Klassifizieren von Inhalten ohne Verwendung von Schutzeinstellungen.

Bezeichnungsbereiche

Bei der Erstellung einer Vertraulichkeitsbezeichnung werden Sie gebeten, den Bereich dieser Bezeichnung zu konfigurieren. Dadurch werden zwei Dinge festgelegt:

  • Welche Bezeichnungseinstellungen Sie für diese Bezeichnung konfigurieren können

  • Wo die Bezeichnung für andere Benutzer sichtbar ist

Sie können die Vertraulichkeitsbezeichnungen auf die folgenden Bereiche anwenden:

  • Dateien und E-Mails: E-Mails und Office-Dateien

  • Gruppen und Websites: Microsoft Teams Websites, Microsoft 365 Gruppen und SharePoint Websites

  • Schematisierte Datenressourcen

    Screenshot „Bereichsoptionen für Vertraulichkeitsbezeichnungen“.

Einstellungen für Vertraulichkeitsbezeichnungen für Gruppen und Websites (Container)

Vertraulichkeitsbezeichnungen können auf Elementebene (Dateien und E-Mails) oder auf Containerebene angewendet werden, z. B. auf Microsoft Teams Websites, Microsoft 365 Gruppen und SharePoint Websites. Für die Klassifizierung und den Schutz auf Containerebene können Sie die folgenden Einstellungen für Bezeichnungen verwenden:

  • Datenschutz (öffentlich oder privat) für Teamwebsites und Microsoft 365-Gruppen

  • Zugriff externer Benutzer

  • Externe Freigabe von SharePoint-Websites

  • Zugriff von nicht verwalteten Geräten aus

  • Authentifizierungskontexte (in der Vorschau)

  • Standardfreigabelink für eine SharePoint-Website (nur PowerShell-Konfiguration)

  • In der Vorschau: Einstellungen für Site-Freigabe (Nur PowerShell-Konfiguration)

Einstellungen für den Datenschutz und den Zugriff externer Nutzer*innen

Einstellungen für Datenschutz und Zugriff für externe Nutzer*innen konfigurieren.

  • Datenschutz: Behalten Sie die Standardeinstellung Öffentlich bei, wenn Sie möchten, dass jeder in Ihrer Organisation auf die Teamwebsite oder Gruppe, für die diese Bezeichnung angewendet wird, zugreifen kann.

    Wählen Sie Privat aus, wenn Sie möchten, dass der Zugriff nur auf genehmigte Mitglieder in Ihrer Organisation beschränkt wird.

    Wählen Sie Keine aus, wenn Sie den Inhalt im Container mit Vertraulichkeitsbezeichnungen schützen möchten, die Benutzer aber trotzdem selbst Datenschutzeinstellungen konfigurieren können sollen.

    Die Einstellungen von Öffentlich oder Privat setzen und sperren die Datenschutzeinstellung, wenn Sie diese Bezeichnung auf den Container aufbringen. Die von Ihnen gewählte Einstellung ersetzt alle vorherigen Datenschutzeinstellungen, die für das Team oder die Gruppe konfiguriert wurden, und sperrt den Datenschutzwert, so dass er nur geändert werden kann, wenn zuvor die Vertraulichkeitsbezeichnung vom Container entfernt wird. Nachdem Sie die Vertraulichkeitsbezeichnung entfernt haben, bleibt die Datenschutzeinstellung der Bezeichnung erhalten, aber Benutzer können sie jetzt wieder ändern.

  • Zugriff für externe Nutzer*innen: Legen Sie fest, ob Gruppenbesitzer*innen Gäste zur Gruppe hinzufügen können.

    Screenshot „Einstellungen für Datenschutz und Zugriff externer Benutzer“.

Einstellungen für die externe Freigabe von Geräten und den Gerätezugriff

So konfigurieren Sie die Einstellungen Externe Freigabe von gekennzeichneten SharePoint-Websites steuern und Azure AD bedingten Zugriff zum Schutz gekennzeichneter SharePoint-Websites verwenden.

  • Externe Freigabe von bezeichneten SharePoint-Websites steuern: Wählen Sie diese Option, um dann entweder die externe Freigabe für jede beliebige Person, neue und bestehende Gäste, bestehende Gäste oder nur Personen in Ihrer Organisation auszuwählen.

  • Bedingten Azure AD-Zugriff zum Schutz bezeichneter SharePoint-Websites verwenden: Wählen Sie diese Option nur aus, wenn in Ihrer Organisation Bedingter Azure Active Directory-Zugriff konfiguriert wurde und verwendet wird. Wählen Sie dann einen der folgenden Einstellungen aus:

    • Festlegen, ob Benutzer über nicht verwaltete Geräte auf SharePoint-Sites zugreifen können: Bei dieser Option wird das SharePoint-Feature genutzt, bei dem der bedingte Azure AD-Zugriff verwendet wird, um den Zugriff auf SharePoint- und OneDrive-Inhalte von nicht verwalteten Geräten aus zu blockieren oder einzuschränken.

    • Auswählen eines bestehenden Authentifizierungskontextes: Derzeit in der Vorschau verfügbar; mit dieser Option können Sie strengere Zugriffsbedingungen für Situationen festlegen, in denen Benutzer auf SharePoint-Sites zugreifen, auf die diese Bezeichnung angewendet wurde. Diese Bedingungen werden erzwungen, wenn Sie einen bestehenden Authentifizierungskontext auswählen, der für die Bereitstellung von bedingtem Zugriff in Ihrer Organisation erstellt und veröffentlicht wurde. Wenn die Benutzer die konfigurierten Bedingungen nicht erfüllen oder wenn sie Apps verwenden, die keine Authentifizierungskontexte unterstützen, wird ihnen der Zugriff verweigert.

      Screenshot „Einstellungen für externe Gerätefreigabe und Gerätezugriff“.

Wenn Sie diese Vertraulichkeitsbezeichnung auf einen unterstützten Container anwenden, wendet die Bezeichnung die konfigurierten Optionen automatisch auf die verbundene Website oder Gruppe an. Der Inhalt dieser Container erbt jedoch nicht die Beschriftungen für die Klassifizierung und Einstellungen wie visuelle Markierungen oder Verschlüsselung.

  • Stellen Sie sicher, dass Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, damit Nutzer*innen ihre Dokumente in SharePoint Websites oder Teamsites bezeichnen können.

    Screenshot „Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive wurden aktiviert.“

  • Sie können diese Bezeichnung automatisch Dateien und E-Mails zuweisen, wenn sie den von Ihnen festgelegten Bedingungen entsprechen. Weitere Informationen finden Sie unter Automatische Anwendung einer Vertraulichkeitsbezeichnung auf Inhalte.

    Screenshot „Diese Bezeichnung automatisch Dateien und E-Mails zuweisen, wenn sie den Bedingungen entsprechen.“

Vertraulichkeitsbezeichnungen für Gruppen und Websites aktivieren

Konfigurationsoptionen für Website- und Gruppeneinstellungen werden erst angezeigt, wenn Sie diese Funktion aktivieren. Folgen Sie den Schritten, um das Feature in Azure AD zu aktivieren.

  1. Öffnen Sie ein Windows PowerShell-Fenster auf Ihrem Computer.

  2. Melden Sie sich mit den Administratoranmeldeinformationen bei Azure AD an.

    Import-Module AzureADPreview
Connect-AzureAD

  3. Rufen Sie die aktuellen Gruppeneinstellungen für die Azure AD-Organisation ab.

    $Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id

    Hinweis

    Wenn Sie noch keine Gruppeneinstellungen für diese Azure AD-Organisation erstellt haben, müssen Sie die Einstellungen erst erstellen. Folgen Sie den Schritten in Azure Active Directory Cmdlets für die Konfiguration von Gruppeneinstellungen, um Gruppeneinstellungen für diese Azure AD-Organisation zu erstellen.

  4. Aktivieren Sie das Feature:

    $Setting["EnableMIPLabels"] = "True"

  5. Speichern Sie dann die Änderungen und übernehmen Sie die Einstellungen:

    Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

    Hinweis

    Wenn Sie vor September 2019 Vertraulichkeitsbezeichnungen verwendet haben, müssen Sie auch Ihre Vertraulichkeitsbezeichnungen mit Azure AD synchronisieren. Eine Anleitung finden Sie unter Wie Sie Vertraulichkeitsbezeichnungen für Container aktivieren und Bezeichnungen synchronisieren.

Erstellen und Veröffentlichen von Vertraulichkeitsbezeichnungen

Der globale Administrator kann Vertraulichkeitsbezeichnungen über das Microsoft Purview-Complianceportal erstellen und verwalten. Beachten Sie die Anleitung unter Vertraulichkeitsbezeichnungen erstellen und veröffentlichen.

  1. Wechseln Sie zum Microsoft Purview-Complianceportal > Information Protection.

  2. Wählen Sie die Registerkarte Bezeichnungen und dann + Bezeichnung erstellen aus, um den Assistenten „Neue Vertraulichkeitsbezeichnung“ zu starten.

  3. Geben Sie auf der Seite Benennen und erstellen Sie eine QuickInfo für Ihre Bezeichnung Informationen an.

  4. Wählen Sie auf der Seite Definieren Sie den Geltungsbereich für diese Bezeichnung Gruppen und Websites oder andere Geltungsbereiche aus.

    Die ausgewählten Optionen bestimmen den Geltungsbereich der Bezeichnung für die Einstellungen, die Sie konfigurieren können und wo sie bei der Veröffentlichung sichtbar sind

  5. Folgen Sie den Aufforderungen des Assistenten für die Einstellungen der Bezeichnung, um die Erstellung abzuschließen.

    Screenshot der Registerkarte „Website- und Gruppeneinstellungen“.

Sobald Sie eine Vertraulichkeitsbezeichnung erstellt haben, müssen Sie die Vertraulichkeitsbezeichnung veröffentlichen, indem Sie eine Richtlinie für die Bezeichnung erstellen. Diejenigen Benutzer, denen eine Richtlinie zur Vertraulichkeitskennzeichnung zugeordnet ist, die diese Kennzeichnung beinhaltet, können diese für Websites und Gruppen auswählen.

Wenn Sie eine Bezeichnung auf ein Team, eine Gruppe oder eine Website anwenden, werden nur diese Website- und Gruppeneinstellungen wirksam. Andere Bezeichnungseinstellungen (z. B. Verschlüsselung und Inhaltskennzeichnung) werden nicht auf die Inhalte innerhalb des Teams, der Gruppen oder der Website angewendet.

Vertraulichkeitsbezeichnungen mit Teams verwenden

Administratoren können eine Vertraulichkeitsbezeichnung erstellen, die es Nutzern*innen ermöglicht, bei der Teamerstellung Teams mit einer bestimmten Datenschutzeinstellung (öffentlich oder privat) zu erstellen.

Die IT-Abteilung erstellt zum Beispiel eine Vertraulichkeitsbezeichnung namens "Vertraulich" mit der Richtlinie, dass jedes Team, das mit dieser Bezeichnung erstellt wird, ein privates Team sein muss. Wenn Nutzer*innen ein neues Team erstellen und die Bezeichnung Vertraulich wählen, ist die einzige verfügbare Datenschutzoption Privat. Andere Datenschutzoptionen wie Öffentlich und Orgaweit sind deaktiviert.

Screenshot „Vertraulich – Vertraulichkeitsbezeichnung“.

Wenn das Team erstellt wird, ist die Vertraulichkeitsbezeichnung in der oberen rechten Ecke der Kanäle im Team sichtbar.

Screenshot des Fensters „Vertraulichkeitsbezeichnung im Teamkanal“.

Teambesitzer*innen können jederzeit die Vertraulichkeitsbezeichnung und die Datenschutzeinstellungen des Teams ändern, indem sie das Team aufrufen und dann auf Team bearbeiten klicken.

Screenshot der Seite „Meinen Teamkanal bearbeiten“.

Hinweis

Microsoft 365 unterstützt die alten Klassifizierungen für neue Microsoft 365-Gruppen und SharePoint-Websites nicht mehr, wenn Sie Vertraulichkeitsbezeichnungen für Container aktivieren. Bestehende Gruppen und Websites, die Vertraulichkeitsbezeichnungen unterstützen, zeigen weiterhin die alten Klassifizierungswerte an, es sei denn, Sie konvertieren sie zur Verwendung von Vertraulichkeitsbezeichnungen. Weitere Informationen finden Sie unter Azure Active Directory-Klassifizierung und Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.

Weitere Informationen finden Sie unter: