Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Microsoft 365-Daten
Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.
Hinweis
Informationen zum automatischen Anwenden einer Vertraulichkeitsbezeichnung auf Daten, die außerhalb von Microsoft 365 und in der Data Map gespeichert sind, finden Sie unter Bezeichnungen in Microsoft Purview Data Map.
Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, können Sie diese Bezeichnung automatisch Microsoft 365-Elementen wie Dateien und E-Mails zuweisen, wenn die Daten den von Ihnen angegebenen Bedingungen entsprechen.
Diese Möglichkeit, Vertraulichkeitsbezeichnungen automatisch auf Inhalte anzuwenden, ist aus den folgenden Gründen wichtig:
Sie müssen die Benutzer nicht schulen, damit sie alle Ihre Klassifizierungen kennen.
Sie müssen sich nicht darauf verlassen, dass die Benutzer alle Inhalte richtig klassifizieren.
Benutzer müssen nicht mehr über Ihre Richtlinien Bescheid wissen, sondern können sich stattdessen auf ihre Arbeit konzentrieren.
Es gibt zwei unterschiedliche Methoden für die automatische Anwendung einer Vertraulichkeitsbezeichnung auf Inhalte in Microsoft 365:
Clientseitige Bezeichnung, wenn Benutzer Dokumente bearbeiten oder E-Mails verfassen (auch beantworten oder weiterleiten): Verwenden Sie ein Label, das für die automatische Bezeichnung für Dateien und E-Mails (einschließlich Word, Excel, PowerPoint und Outlook) konfiguriert ist.
Diese Methode unterstützt das Empfehlen einer Bezeichnung für Benutzer sowie das automatische Anwenden einer Bezeichnung. In beiden Fällen entscheidet der Benutzer aber, ob die Bezeichnung angenommen oder abgelehnt werden soll, um die richtige Bezeichnung von Inhalten zu gewährleisten. Diese clientseitige Beschriftung hat nur minimale Verzögerungen für Dokumente, da die Bezeichnung noch vor dem Speichern des Dokuments angewendet werden kann. Allerdings unterstützen nicht alle Client-Apps die automatische Bezeichnung.
Konfigurationsanweisungen finden Sie unter Konfigurieren der automatischen Bezeichnung von Office-Apps auf dieser Seite.
Dienstseitige Kennzeichnung, wenn der Inhalt bereits gespeichert (in SharePoint oder OneDrive) oder per E-Mail versandt (von Exchange Online verarbeitet) wurde: Verwenden Sie eine automatische Bezeichnungsrichtlinie.
Möglicherweise wird sie auch automatische Bezeichnung für ruhende Daten (Dokumente in Microsoft Office SharePoint Online und OneDrive) und Daten im Transit (E-Mails, die von Exchange gesendet oder empfangen werden) genannt. Bei Exchange sind keine ruhenden E-Mail-Nachrichten enthalten (Postfächer).
Da diese Bezeichnung eher von Diensten als von Anwendungen angewendet wird, müssen Sie sich keine Gedanken darüber machen, welche Apps-Benutzer über welche Version verfügen. Dies hat zur Folge, dass diese Funktion sofort in ihrer gesamten Organisation zur Verfügung steht, und sie eignet sich für Bezeichnungen jeder Größe. Richtlinien zum automatischen Bezeichnen unterstützen die empfohlene Bezeichnung nicht, da der Benutzer nicht mit dem Bezeichnungsprozess interagiert. Stattdessen führt der Administrator die Richtlinien als Simulation aus, um sicherzustellen, dass der Inhalt korrekt bezeichnet wird, bevor die Bezeichnung tatsächlich angewendet wird.
Konfigurationsanweisungen finden Sie unter Konfigurieren von Richtlinien zum automatischen Bezeichnen für Microsoft Office SharePoint Online, OneDrive und Exchange auf dieser Seite.
Speziell für die automatische Bezeichnung von Microsoft Office SharePoint Online und OneDrive gilt:
-
PDF-Dokumente und Office-Dateien für Word (.docx), PowerPoint (.pptx) und Excel (.xlsx) werden unterstützt.
- Diese Dateien können automatisch im Ruhezustand mit einer Bezeichnung versehen werden, bevor oder nachdem die Richtlinien für automatische Bezeichnungen erstellt wurden. Dateien können nicht automatisch beschriftet werden, wenn sie Teil einer offenen Sitzung sind (die Datei ist geöffnet).
- Anlagen von Listenelementen werden derzeit nicht unterstützt und werden nicht automatisch beschriftet.
- Maximal 100.000 automatisch bezeichnete Dateien in Ihrem Mandanten pro Tag.
- Maximal 100 Richtlinien für die automatische Bezeichnung pro Mandant, die jeweils auf bis zu 100 Speicherorte (SharePoint-Websites oder einzelne OneDrive-Benutzer oder -Gruppen) ausgerichtet sind, wenn Sie bestimmte Speicherorte mithilfe der Optionen Eingeschlossen oder Ausgeschlossen angeben. Wenn Sie die Standardkonfiguration Alle beibehalten, ist diese Konfiguration von den maximal 100 Standorten ausgenommen.
- Vorhandene Werte für „Geändert“, „Geändert von“ und das Datum werden aufgrund von Richtlinien für die automatische Bezeichnung nicht geändert – sowohl im Simulationsmodus als auch beim Anwenden von Bezeichnungen.
- Wenn das Etikett die Verschlüsselung anwendet, ist der Rechteverwaltungaussteller und Rechteverwaltungbesitzer das Konto, welches die Datei zuletzt geändert hat.
Spezifisch für die automatische Bezeichnung für Exchange gilt:
- PDF-Anlagen und Office-Anlagen werden auf die Bedingungen überprüft, die Sie in Ihrer Richtlinie für automatische Bezeichnungen angeben. Wenn es eine Übereinstimmung gibt, wird die E-Mail bezeichnet, aber nicht der Anhang.
- Wenn bei PDF-Dateien über die Bezeichnung eine Verschlüsselung angewendet wird, werden diese Dateien mithilfe der Nachrichtenverschlüsselung verschlüsselt, wenn Ihr Mandant für PDF-Anlagen aktiviert ist.
- Für diese Office-Dateien werden Word, PowerPoint und Excel unterstützt. Wenn das Label Verschlüsselung anwendet und diese Dateien unverschlüsselt sind, werden sie jetzt mithilfe der Nachrichtenverschlüsselung verschlüsselt. Die Verschlüsselungseinstellungen werden von der E-Mail übernommen.
- Informationen zum Bezeichnen und Schützen von E-Mails, die Teams-Voicemailnachrichten enthalten, finden Sie in den Konfigurationsanweisungen unter Aktivieren geschützter Voicemails in Ihrem organization.
- Wenn Sie über Exchange-E-Mailflussregeln oder Microsoft Purview Data Loss Prevention (DLP)-Richtlinien verfügen, welche die IRM-Verschlüsselung anwenden: Wenn Inhalte durch diese Regeln oder Richtlinien und durch eine Richtlinie zum automatischen Bezeichnen identifiziert werden, wird die Bezeichnung angewendet. Wenn diese Bezeichnung Verschlüsselung anwendet, werden die IRM-Einstellungen aus den Exchange-E-Mail-Flussregeln oder DLP-Richtlinien ignoriert. Wenn diese Bezeichnung jedoch keine Verschlüsselung anwendet, werden die IRM-Einstellungen aus den E-Mail-Flussregeln oder DLP-Richtlinien zusätzlich zu der Bezeichnung angewendet.
- E-Mails mit IRM-Verschlüsselung ohne Bezeichnung werden durch eine Bezeichnung mit beliebigen Verschlüsselungseinstellungen ersetzt, wenn eine Übereinstimmung mithilfe der automatischen Bezeichnung besteht.
- Eingehende E-Mails werden bezeichnet, wenn eine Übereinstimmung mit Ihren Bedingungen für die automatische Bezeichnung vorliegt. Damit dieses Ergebnis für Absender außerhalb Ihres organization gilt, muss der Exchange-Speicherort auf Alle eingeschlossen und Keine ausgeschlossen festgelegt werden. Wenn die Bezeichnung für die Verschlüsselung konfiguriert ist:
- Diese Verschlüsselung wird immer angewendet, wenn der Absender von Ihrem organization stammt.
- Standardmäßig wird diese Verschlüsselung nicht angewendet, wenn sich der Absender außerhalb Ihrer Organisation befindet, kann aber angewendet werden, indem Sie Zusätzliche Einstellungen für E-Mail konfigurieren und einen Rights Management-Besitzer angeben.
- Wenn die Bezeichnung Verschlüsselung anwendet, ist der Rights Management-Aussteller und Rights Management-Besitzer die Person, die die E-Mail sendet, wenn der Absender aus Ihrer eigenen Organisation stammt. Wenn sich der Absender außerhalb Ihrer Organisation befindet, können Sie einen Rights Management-Inhaber für eingehende E-Mails angeben, die gemäß Ihrer Richtlinie gekennzeichnet und verschlüsselt sind.
- Wenn die Bezeichnung so konfiguriert ist, dass Inhaltsmarkierungen mit Variablen angewendet werden, beachten Sie, dass diese Konfiguration bei eingehenden E-Mails dazu führen kann, dass die Namen von Personen außerhalb Ihrer organization angezeigt werden.
-
PDF-Dokumente und Office-Dateien für Word (.docx), PowerPoint (.pptx) und Excel (.xlsx) werden unterstützt.
Hinweis
Für einige Neukunden bieten wir die automatische Konfiguration von Standardeinstellungen für die automatische Kennzeichnung sowohl für die clientseitige als auch für die dienstseitige Kennzeichnung an. Auch wenn Sie für diese automatische Konfiguration nicht berechtigt sind, finden Sie es möglicherweise hilfreich, auf ihre Konfiguration zu verweisen. Beispielsweise können Sie vorhandene Bezeichnungen manuell konfigurieren und Ihre eigenen Richtlinien für die automatische Bezeichnung mit denselben Einstellungen erstellen, um Ihre Bezeichnungsbereitstellung zu beschleunigen.
Weitere Informationen finden Sie unter Standardbezeichnungen und Richtlinien für Microsoft Purview Information Protection.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vergleichen Sie das automatische Bezeichnen für Office-Anwendungen mit den Richtlinien für das automatische Bezeichnen
Verwenden Sie die folgende Tabelle, um die Unterschiede im Verhalten der beiden sich ergänzenden, automatischen Bezeichnungsmethoden zu erkennen:
Feature oder Verhalten | Bezeichnungseinstellung: automatische Bezeichnung von Dateien und E-Mails | Richtlinie: automatische Bezeichnung |
---|---|---|
App-Abhängigkeit | Ja (Mindestversionen) | Nein* |
Nach Speicherort einschränken | Nein | Ja |
Bedingungen: Freigabeoptionen und zusätzliche E-Mail-Optionen | Nein | Ja |
Bedingungen: Ausnahmen | Nein | Ja |
Unterstützung für PDF-Dateien | Nein | Ja |
Unterstützung für Bilder | Nein | Ja |
Empfehlungen, Richtlinien-Tooltipps und Benutzer-Außerkraftsetzungen | Ja | Nein |
Simulationsmodus | Nein | Ja |
Exchange-Anlagen auf Bedingungen geprüft | Nein | Ja |
Visuelle Markierungen anwenden | Ja | Ja (nur E-Mail) |
Außerkraftsetzen der IRM-Verschlüsselung ohne Bezeichnung angewendet | Ja, wenn der Benutzer das Mindestnutzungsrecht des Exportierens hat | Ja (nur E-Mail) |
Bezeichnen eingehender E-Mails | Nein | Ja |
Weisen Sie einen Rights Management-Inhaber für E-Mails zu, die von einer anderen Organisation gesendet werden | Nein | Ja |
Ersetzen Sie bei E-Mails die vorhandene Bezeichnung mit der gleichen oder einer niedrigeren Priorität | Nein | Ja (konfigurierbar) |
* Die automatische Bezeichnung ist aufgrund einer Back-End-Azure-Abhängigkeit derzeit nicht in allen Regionen verfügbar. Wenn Ihr Mandant diese Funktionalität nicht unterstützen kann, ist die Seite Automatische Bezeichnung nicht im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal sichtbar. Weitere Informationen finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land.
Bewerten mehrerer Kriterien, die für mehr als eine Bezeichnung zutreffen
Die Bezeichnungen werden für die Auswertung gemäß ihrer Position sortiert, die Sie im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal angeben: Die zuerst positionierte Bezeichnung hat die niedrigste Position (am wenigsten empfindlich, also niedrigste Priorität), und die zuletzt positionierte Bezeichnung hat die höchste Position (empfindlichste, also höchste Priorität). Die Bezeichnung mit der höchsten Bestellnummer ist ausgewählt.
Dieses Verhalten gilt auch für dienstseitige automatische Bezeichnungen (Richtlinien für automatische Bezeichnungen), wenn Unterbezeichnungen dieselbe übergeordnete Bezeichnung verwenden: Wenn nach der Auswertung und Sortierung mehr als eine Unterbezeichnung derselben übergeordneten Bezeichnung die Bedingungen für die automatische Bezeichnung erfüllt, wird die Unterbezeichnung mit der höchsten Bestellnummer ausgewählt und angewendet.
Bei der clientseitigen automatischen Bezeichnung (Einstellungen für die automatische Bezeichnung in der Bezeichnung) unterscheidet sich das Verhalten jedoch etwas. Wenn mehrere Unterbezeichnungen aus derselben übergeordneten Bezeichnung die Bedingungen erfüllen:
Wenn eine Datei noch nicht beschriftet ist, wird immer die Unterbezeichnung mit der höchsten Reihenfolge ausgewählt, die für die automatische Bezeichnung konfiguriert ist, und nicht die Unterbezeichnung mit der höchsten Reihenfolge, die für die empfohlene Bezeichnung konfiguriert ist. Wenn keine dieser Unterbezeichnungen für die automatische Bezeichnung konfiguriert ist, sondern nur für die empfohlene Bezeichnung, wird die Unterbezeichnung mit der höchsten Reihenfolge ausgewählt und empfohlen.
Wenn eine Datei bereits mit einer Untergeordneten Bezeichnung aus demselben übergeordneten Element beschriftet ist, wird keine Aktion ausgeführt, und die vorhandene Unterbezeichnung bleibt erhalten. Dieses Verhalten gilt auch, wenn die vorhandene Unterbezeichnung eine Standardbezeichnung war oder automatisch angewendet wurde.
Weitere Informationen zur Bezeichnungspriorität finden Sie unter Bezeichnungspriorität (Reihenfolge ist wichtig).
Überlegungen zu Bezeichnungskonfigurationen
Die folgenden Überlegungen gelten sowohl für die clientseitige Bezeichnung als auch für die dienstseitige Bezeichnung.
Konfigurieren Sie keine übergeordnete Bezeichnung, die automatisch angewendet oder empfohlen wird.
Denken Sie daran, dass Sie eine übergeordnete Bezeichnung (eine Bezeichnung mit Unterbezeichnungen) nicht auf Inhalt anwenden können. Stellen Sie sicher, dass Sie eine übergeordnete Bezeichnung nicht so konfigurieren, dass sie automatisch angewendet oder in Office-Apps empfohlen wird, und wählen Sie keine übergeordnete Bezeichnung für eine Richtlinie zum automatischen Bezeichnen aus. Wenn Sie dies tun, wird die übergeordnete Bezeichnung nämlich nicht auf den Inhalt angewendet.
Wenn Sie automatische Bezeichnungen mit Unterbezeichnungen verwenden möchten, stellen Sie sicher, dass Sie sowohl die übergeordnete Bezeichnung als auch die Unterbezeichnung veröffentlichen.
Weitere Informationen zu übergeordneten Bezeichnungen und Unterbezeichnungen finden Sie unter Unterbezeichnungen (Gruppierungsbezeichnungen).
Bezeichnungsbereich, der Dateien oder E-Mails ausschließt
Um automatisch eine Vertraulichkeitsbezeichnung auf Inhalte anzuwenden, muss der Bereich der Bezeichnung Dateien & andere Datenressourcen enthalten, um automatisch eine Bezeichnung auf Dokumente anzuwenden, und E-Mails , um automatisch eine Bezeichnung auf E-Mails anzuwenden.
Weitere Informationen, wenn Sie nur einen dieser Bezeichnungsbereiche auswählen, finden Sie unter Bereichsbezeichnungen nur auf Dateien oder E-Mails.
Wird eine vorhandene Bezeichnung überschrieben?
Obwohl es einige Szenarien gibt, in denen eine Vertraulichkeitsbezeichnung mit einer anderen Vertraulichkeitsbezeichnung überschrieben werden kann, entfernt eine Richtlinie für automatische Bezeichnungen niemals eine Vertraulichkeitsbezeichnung, sodass der Inhalt nicht mehr bezeichnet wird.
Standardverhalten, ob die automatische Bezeichnung eine vorhandene Bezeichnung überschreibt:
Wenn Inhalte manuell gekennzeichnet wurden, wird diese Bezeichnung nicht durch automatische Bezeichnung ersetzt.
Die automatische Bezeichnung ersetzt eine automatisch angewendete Vertraulichkeitsbezeichnung mit niedrigerer Priorität, jedoch keine Bezeichnung mit höherer Priorität.
Tipp
Beispielsweise heißt die Vertraulichkeitsbezeichnung oben in der Liste im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal Öffentlich mit einer Bestellnummer (Priorität) von 0, und die Vertraulichkeitsbezeichnung am Ende der Liste heißt Streng vertraulich mit einer Bestellnummer (Priorität von 4). Die Bezeichnung Streng vertraulich kann die Bezeichnung Öffentlich überschreiben, aber nicht umgekehrt.
Nur für Richtlinien zur automatischen E-Mail-Bezeichnung können Sie eine Einstellung auswählen, um eine vorhandene Vertraulichkeitsbezeichnung immer außer Kraft zu setzen, unabhängig davon, wie sie angewendet wurde.
Vorhandene Bezeichnung | Mit Bezeichnungseinstellung überschreiben: Automatisches Bezeichnen für Dateien und E-Mails | Mit Richtlinie überschreiben: Automatische Bezeichnung |
---|---|---|
Manuell angewendet, beliebige Priorität | Word, Excel, PowerPoint: Nein Outlook: Nein |
SharePoint und OneDrive: Nein Exchange: Standardmäßig nein, aber konfigurierbar |
Automatisch angewendete oder Standardbezeichnung aus Richtlinie, niedrigere Priorität | Word, Excel, PowerPoint: Ja * Outlook: Ja * |
SharePoint und OneDrive: Ja Exchange: Ja |
Automatisch angewendete oder Standardbezeichnung aus Richtlinie, höhere Priorität | Word, Excel, PowerPoint: Nein Outlook: Nein |
SharePoint und OneDrive: Nein Exchange: Standardmäßig nein, aber konfigurierbar |
* Es gibt eine Ausnahme für Untergeordnete Bezeichnungen, die dieselbe übergeordnete Bezeichnung verwenden.
Die konfigurierbare Einstellung für Richtlinien zur automatischen E-Mail-Bezeichnung befindet sich auf der Seite Zusätzliche Einstellungen für E-Mail. Diese Seite wird angezeigt, nachdem Sie eine Vertraulichkeitsbezeichnung für eine Richtlinie zur automatischen Bezeichnung ausgewählt haben, die den Exchange-Speicherort enthält.
Konfigurieren der automatischen Zuweisung von Bezeichnungen für Office-Apps
Überprüfen Sie die Mindestversionen, die für die automatische Bezeichnung in Office-Apps erforderlich sind .
Die Einstellungen für das automatische Bezeichnen für Office-Apps sind verfügbar, wenn Sie eine Vertraulichkeitsbezeichnung erstellen oder bearbeiten. Stellen Sie sicher, dass der Bezeichnungsbereich Dateien & anderen Datenassets ausgewählt ist, um Dokumente automatisch zu bezeichnen, und E-Mails ausgewählt ist, um E-Mails automatisch zu bezeichnen. Zum Beispiel:
Wenn Sie die Konfiguration durchlaufen, wird die Seite Automatische Bezeichnung für Dateien und E-Mails angezeigt, auf der Sie aus einer Liste mit vertraulichen Informationstypen oder trainierbaren Klassifizierungsmerkmalen auswählen können:
Wenn eine Vertraulichkeitsbezeichnung automatisch angewendet wird, wird dem Benutzer eine Benachrichtigung in der Office-App angezeigt. Zum Beispiel:
Konfigurieren von Typen vertraulicher Informationen für eine Bezeichnung
Wenn Sie die Option Typen vertraulicher Informationen auswählen, wird dieselbe Liste vertraulicher Informationstypen wie beim Erstellen einer Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) angezeigt. So können Sie z. B. auf alle Inhalte, die personenbezogene Informationen von Kunden enthalten, wie z. B. Kreditkartennummern, Sozialversicherungsnummern oder Personalausweisnummern, automatisch die Bezeichnung "Streng vertraulich" anwenden:
Ähnlich wie bei der Konfiguration von DLP-Richtlinien können Sie dann Ihre Bedingung verfeinern, indem Sie die Anzahl der Instanzen und die Übereinstimmungsgenauigkeit ändern. Zum Beispiel:
Weitere Informationen zu Konfidenzniveaus finden Sie in der DLP-Dokumentation: Weitere Informationen zu Konfidenzstufen
Wichtig
Bei vertraulichen Informationstypen gibt es zwei verschiedene Möglichkeiten, um die Parameter für die maximale Anzahl eindeutiger Instanzen zu definieren. Weitere Informationen finden Sie unter Unterstützte Werte für die Instanzenanzahl für SIT.
Darüber hinaus können Sie, ähnlich wie bei der Konfiguration der DLP-Richtlinien, auswählen, ob eine Bedingung alle vertraulichen Informationstypen oder nur einen dieser Typen erkennen muss. Und um Ihre Bedingungen flexibler oder komplexer zu gestalten, können Sie Gruppen hinzufügen und logische Operatoren zwischen den Gruppen verwenden.
Benutzerdefinierte sensible Informationstypen mit genauer Datenübereinstimmung
Sie können eine Vertraulichkeitsbezeichnung so konfigurieren, dass Typen vertraulicher Informationen basierend auf genauer Datenübereinstimmung für benutzerdefinierte Typen vertraulicher Informationen verwendet wird. Derzeit müssen Sie jedoch auch mindestens einen vertraulichen Informationstyp angeben, der EDM nicht verwendet. Beispielsweise einer der integrierten Typen vertraulicher Informationen, z. B. Kreditkartennummer.
Wenn Sie eine Vertraulichkeitsbezeichnung nur mit EDM für Ihre Bedingungen des vertraulichen Informationstyps konfigurieren, wird die Einstellung für die automatische Bezeichnung für die Bezeichnung automatisch deaktiviert.
Konfigurieren von trainierbaren Klassifizierungen für eine Bezeichnung
Wenn Sie diese Option mit Microsoft 365 Apps für Windows Version 2106 oder niedriger oder Microsoft 365 Apps für Mac Version 16.50 oder niedriger verwenden, stellen Sie sicher, dass Sie in Ihrem Mandanten mindestens eine andere Vertraulichkeitsbezeichnung veröffentlicht haben, die für automatisches Bezeichnen und die Option „Typen vertraulicher Informationen“ konfiguriert ist. Diese Anforderung ist nicht erforderlich, wenn Sie höhere Versionen auf diesen Plattformen verwenden.
Wenn Sie die Option Trainierbare Klassifizierer auswählen, wählen Sie mindestens einen der vortrainierten oder benutzerdefinierten trainierbaren Klassifizierer aus:
Die verfügbaren vortrainierten Klassifizierer werden häufig aktualisiert, sodass möglicherweise mehr Einträge ausgewählt werden müssen als die in diesem Screenshot angezeigten.
Weitere Informationen über diese Klassifizierer finden Sie unter Erfahren Sie mehr über trainierbare Klassifizierern.
Dem Benutzer wird das Anwenden einer Vertraulichkeitsbezeichnung empfohlen
Wenn Sie es vorziehen, können Sie Ihren Benutzern empfehlen, die Bezeichnung anzuwenden. Mithilfe dieser Option können Ihre Benutzer die Klassifizierung und alle zugehörigen Schutzmaßnahmen akzeptieren oder die Empfehlung zurückweisen, wenn die Bezeichnung für ihre Inhalte ungeeignet ist.
Wenn Sie die integrierte Bezeichnung mit den Desktopversionen von Word verwenden, haben Benutzer eine zusätzliche Option zum Anzeigen vertraulicher Inhalte mit der empfohlenen Bezeichnungsaufforderung. Wenn sie diese Schaltfläche auswählen, führt der Editor Bereich den Benutzer durch jede Erkennung. Der Benutzer kann dann die vertraulichen Daten entfernen oder sie besser verstehen, warum die Vertraulichkeitsbezeichnung empfohlen wurde. Wenn sie über diese zusätzlichen Informationen verfügen, haben Benutzer mehr Vertrauen, um die Schaltfläche Vertraulichkeit anwenden auszuwählen. Zum Beispiel:
Dieses Beispiel zeigt die standardmäßige empfohlene Bezeichnungsaufforderung, aber wie bei der automatischen Bezeichnung können Sie diesen Text so anpassen, dass er für Ihre Benutzer aussagekräftiger oder spezifischer ist. Fügen Sie beispielsweise den Namen Ihrer organization hinzu, oder verweisen Sie auf Ihre IT-Abteilung, um die Sichtbarkeit zu erhöhen und Benutzern mehr Sicherheit zu geben, dass dies keine generische Nachricht ist, die möglicherweise nicht auf sie anwendbar ist.
Tipp
Obwohl die Empfehlung einer Vertraulichkeitsbezeichnung den Workflow eines Benutzers unterbricht, ist dies eine sehr effiziente Möglichkeit, Benutzer im Moment über vertrauliche Daten aufzuklären, mit denen sie arbeiten. Um dies in Aktion zu sehen, watch das Video: Automatisches Klassifizieren & Schützen von Dokumenten & Daten
Die empfohlene Bezeichnung ist besonders leistungsfähig, wenn sie mit dieser Option gekoppelt ist, um die Benutzer durch jede instance vertraulicher Inhalte zu führen, die erkannt werden. Dies kann zu einer genaueren Bezeichnung führen, nicht nur für das unmittelbare Element, sondern auch für zukünftige Elemente, die eine manuelle Bezeichnung erfordern, oder für geänderte Elemente, die jetzt möglicherweise neu beschriftet werden müssen.
Anwenden automatischer oder empfohlener Bezeichnungen
Nicht alle Office-Apps unterstützen die automatische und empfohlene Bezeichnung. Weitere Informationen finden Sie unter Unterstützung der Funktion Vertraulichkeitsbezeichnungen in Apps.
Weitere Überlegungen:
Sie können keine automatische Zuweisung von Bezeichnungen für Dokumente und E-Mails verwenden, die zuvor manuell bezeichnet oder automatisch mit einer höheren Vertraulichkeit gekennzeichnet wurden. Denken Sie daran, dass Sie einem Dokument oder einer E-Mail-Nachricht nur eine einzige Vertraulichkeitsbezeichnung zuweisen können (zusätzlich zu einer einzigen Aufbewahrungsbezeichnung).
Sie können die empfohlenen Bezeichnungen für Dokumente oder E-Mails, die zuvor mit einer höheren Vertraulichkeit gekennzeichnet wurden, nicht verwenden. Wenn der Inhalt bereits mit einer höheren Vertraulichkeit gekennzeichnet ist, wird dem Benutzer die Eingabeaufforderung mit der Empfehlung und dem Richtlinientipp nicht angezeigt.
Bei empfohlenen Bezeichnungen in den Desktopversionen von Word wird der sensible Inhalt, der die Empfehlung ausgelöst hat, markiert, sodass Benutzer den sensiblen Inhalt überprüfen und entfernen können, anstatt die empfohlene Vertraulichkeitsbezeichnung anzuwenden.
Ausführliche Informationen dazu, wie diese Bezeichnungen in Office-Apps angewendet werden, Beispielscreenshots und wie vertrauliche Informationen erkannt werden, finden Sie unter Automatisches Anwenden oder Empfehlen von Vertraulichkeitsbezeichnungen für Ihre Dateien und E-Mails in Office.
Konvertieren Sie Ihre Bezeichnungseinstellungen in eine Richtlinie für die automatische Bezeichnung
Wenn die Bezeichnung Typen vertraulicher Informationen für die konfigurierten Bedingungen enthält, wird am Ende des Prozesses der Bezeichnungserstellung oder -bearbeitung eine Option zum automatischen Erstellen einer Richtlinie für die automatische Bezeichnung angezeigt, die auf denselben Einstellungen für die automatische Bezeichnung basiert.
Wenn die Bezeichnung jedoch trainierbare Klassifikatoren als Bedingung für die Bezeichnung enthält:
Wenn die Bezeichnungsbedingungen nur trainierbare Klassifizierer enthalten, wird die Option zum automatischen Erstellen einer Richtlinie für automatische Bezeichnungen nicht angezeigt.
Wenn die Bezeichnungsbedingungen trainierbare Klassifizierer und Vertraulichkeitsinformationstypen enthalten, wird eine Richtlinie für die automatische Bezeichnung nur für die Typen vertraulicher Informationen erstellt.
Obwohl eine Richtlinie für die automatische Bezeichnung automatisch für Sie erstellt wird, indem die Werte automatisch aufgefüllt werden, die Sie manuell auswählen müssten, wenn Sie die Richtlinie von Grund auf neu erstellt haben, können Sie die Werte weiterhin anzeigen und bearbeiten, bevor sie gespeichert werden.
Standardmäßig sind alle Speicherorte für SharePoint, OneDrive und Exchange in der Richtlinie für die automatische Bezeichnung enthalten. Wenn die Richtlinie gespeichert wird, wird sie im Simulationsmodus ausgeführt. Es gibt keine Überprüfung, ob Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben. Dies ist eine der Voraussetzungen für die automatische Bezeichnung, die auf Inhalte in SharePoint und OneDrive angewendet werden kann.
Konfigurieren von Richtlinien für die automatische Bezeichnung von Microsoft Office SharePoint Online, OneDrive und Exchange
Hinweis
Verwenden Sie keine Exchange-Richtlinien für die automatische Bezeichnung, um verschlüsselte E-Mails für Massensendungen zu senden. Diese Richtlinien sind nicht für diesen Zweck konzipiert und können zu Sendefehlern und Nichtzustellbestätigungen führen. Für dieses Szenario ist die Bezeichnungseinstellung zum automatischen Senden von E-Mails besser geeignet.
Vergewissern Sie sich, dass Sie die Voraussetzungen kennen, bevor Sie automatische Bezeichnungsrichtlinien konfigurieren.
Voraussetzungen für Richtlinien der automatischen Bezeichnung
Simulationsmodus:
- Die Überwachung von Microsoft 365 muss aktiviert sein. Wenn Sie die Überwachung aktivieren müssen oder sich nicht sicher sind, ob die Überwachung bereits aktiviert ist, lesen Sie Aktivieren oder Deaktivieren der Überwachungsprotokollsuche.
- Zum Anzeigen von Datei- oder E-Mail-Inhalten in der Quellansicht benötigen Sie die Rolle Datenklassifizierungs-Inhaltsanzeige, die in der Rollengruppe Inhalts-Explorer viewer enthalten ist, oder Information Protection und Information Protection-Ermittlerrollengruppen. Ohne die erforderliche Rolle wird der Vorschaubereich nicht angezeigt, wenn Sie auf der Registerkarte Zu überprüfende Elemente ein Element auswählen. Globale Administratoren verfügen standardmäßig nicht über diese Rolle.
Automatisches Bezeichnen von Dateien in Microsoft Office SharePoint Online und OneDrive:
- Sie haben Vertraulichkeitsbezeichnungen für Office-Dateien in Microsoft Office SharePoint Online und OneDrive aktiviert.
- Zum Zeitpunkt der Ausführung der Richtlinie zum automatischen Bezeichnen darf die Datei nicht von einem anderen Prozess oder Benutzer geöffnet sein. Eine Datei, die zur Bearbeitung ausgecheckt ist, fällt in diese Kategorie.
- Wenn Sie vertrauliche Informationstypen verwenden möchten:
- Die von Ihnen ausgewählten Typen vertraulicher Informationen gelten nur für Inhalte, die erstellt oder geändert werden, nachdem diese Informationstypen erstellt oder geändert wurden. Diese Einschränkung gilt für alle benutzerdefinierten Typen vertraulicher Informationen und alle neuen integrierten Informationstypen.
- Um neue benutzerdefinierte Typen sensibler Informationen zu testen, erstellen Sie diese, bevor Sie Ihre Richtlinie zum automatischen Bezeichnen erstellen, und erstellen Sie dann neue Dokumente mit Beispieldaten zum Testen.
- Wenn Sie Dokumenteigenschaften als Bedingung verwenden möchten (Document-Eigenschaft ist), verwendet diese Option verwaltete SharePoint-Eigenschaften auf die gleiche Weise wie sie für DLP-Richtlinien verwendet werden. Genaue Zeichenfolgen-Übereinstimmungen verwenden; RegEx-Muster werden nicht unterstützt. Weitere Informationen zu verwalteten Eigenschaften als Suchmethode finden Sie unter Verwalten des Suchschemas in SharePoint.
Eine oder mehrere Vertraulichkeitsbezeichnungen wurden erstellt und veröffentlicht (für mindestens einen Benutzer), den Sie für Ihre Richtlinie zum automatischen Bezeichnen auswählen können. Für diese Bezeichnungen:
- Es spielt keine Rolle, ob das automatische Bezeichnen in den Bezeichnungseinstellungen der Office-Anwendungen ein- oder ausgeschaltet ist, da diese Bezeichnungseinstellungen die Richtlinien für die automatische Bezeichnung ergänzen, wie in der Einführung erläutert.
- Wenn die Etiketten, die Sie für die automatische Beschriftung verwenden möchten, so konfiguriert sind, dass sie visuelle Markierungen (Kopfzeilen, Fußzeilen, Wasserzeichen) verwenden, beachten Sie, dass diese nicht auf Dokumente angewendet werden.
- Wenn die Bezeichnungen Verschlüsselung anwenden:
- Wenn die Richtlinie für automatische Beschriftung Speicherorte für SharePoint oder OneDrive enthält, muss die Bezeichnung für die Einstellung als Jetzt Berechtigungen zuweisen konfiguriert und Benutzerzugriff auf Inhalte läuft ab auf Nie festgelegt werden.
- Wenn die Richtlinie für automatische Beschriftung nur für Exchange gilt, kann die Bezeichnung als Jetzt Berechtigungen zuweisen oder Benutzer Berechtigungen zuweisen lassen (für die Optionen "Nicht vorwärts" oder "Nur verschlüsseln") konfiguriert werden. Sie können ein Label nicht automatisch anwenden, das für die Anwendung von S/MIME-Schutz konfiguriert ist.
Informationen zum Simulationsmodus
Der Simulationsmodus wird für Richtlinien zur automatischen Bezeichnung unterstützt und in den Workflow eingebunden. Sie können Dokumente und E-Mails erst dann automatisch bezeichnen, wenn Ihre Richtlinie mindestens eine Simulation ausgeführt hat.
Der Simulationsmodus unterstützt bis zu 4.000.000 übereinstimmende Dateien. Wenn mehr als diese Anzahl von Dateien mit einer Richtlinie für automatische Bezeichnungen übereinstimmen, können Sie die Richtlinie nicht aktivieren, um die Bezeichnungen anzuwenden. In diesem Fall müssen Sie die Richtlinie für die automatische Bezeichnung neu konfigurieren, damit weniger Dateien übereinstimmen, und die Simulation erneut ausführen. Diese maximale Anzahl von 4.000.000 übereinstimmenden Dateien gilt nur für den Simulationsmodus und nicht für eine Richtlinie für automatische Bezeichnungen, die bereits aktiviert ist, um Vertraulichkeitsbezeichnungen anzuwenden.
Workflow für die Richtlinie zum automatischen Bezeichnen:
Erstellen und konfigurieren Sie eine Richtlinie zum automatischen Bezeichnen.
Führen Sie die Richtlinie im Simulationsmodus aus. Dies kann bis zu 12 Stunden dauern. Die abgeschlossene Simulation löst eine E-Mail-Benachrichtigung aus, die an den Benutzer gesendet wird, der für den Empfang von Aktivitätsbenachrichtigungen konfiguriert ist.
Überprüfen Sie die Ergebnisse, und verfeinern Sie Ihre Richtlinie bei Bedarf. Beispielsweise müssen Sie die Richtlinienregeln bearbeiten, um falsch positive Ergebnisse zu reduzieren, oder einige Websites entfernen, damit die Anzahl der übereinstimmenden Dateien 4.000.000 nicht überschreitet. Führen Sie den Simulationsmodus erneut aus, und warten Sie, bis er erneut abgeschlossen ist.
Wiederholen Sie Schritt 3 nach Bedarf.
Stellen Sie die Richtlinie in der Produktion bereit.
Die simulierte Bereitstellung wird für einen bestimmten Zeitpunkt wie der WhatIf-Parameter für PowerShell ausgeführt. Die Ergebnisse werden so gemeldet, als ob die Richtlinie zum automatischen Bezeichnen Ihre ausgewählte Bezeichnung unter Verwendung der von Ihnen definierten Regeln angewendet hätte. Sie können dann bei Bedarf Ihre Genauigkeitsregeln verfeinern und die Simulation erneut ausführen. Da die automatische Bezeichnung für Exchange für E-Mails gilt, die gesendet und empfangen werden, und nicht für E-Mails, die in Postfächern gespeichert sind, erwarten Sie jedoch nicht, dass die Ergebnisse für E-Mails in einer Simulation konsistent sind, es sei denn, Sie können die genau gleichen E-Mail-Nachrichten zu senden und zu empfangen.
Mit dem Simulationsmodus können Sie auch den Umfang Ihrer Richtlinie zum automatischen Bezeichnen vor dem Einsatz schrittweise vergrößern. Sie können z. B. mit einem einzigen Ort, wie z. B. einer Microsoft Office SharePoint Online-Website, mit einer einzigen Dokumentbibliothek beginnen. Erweitern Sie dann mit iterativen Änderungen den Geltungsbereich auf mehrere Standorte und dann auf einen anderen Standort, z. B. OneDrive.
Schließlich können Sie den Simulationsmodus verwenden, um einen Näherungswert für die Zeit zu erhalten, die für die Ausführung Ihrer Richtlinie zum automatischen Bezeichnen benötigt wird, um Ihnen bei der Planung und Terminierung zu helfen, wann diese ohne Simulationsmodus ausgeführt werden soll.
Hinweis
Wenn die Simulationsergebnisse basierend auf den konfigurierten Bedingungen für automatische Richtlinien und dem aktuellen Dateiinhalt keine erwarteten Dateien enthalten, liegt dies möglicherweise daran, dass die Dateien nach ausführung der Simulation aktualisiert wurden. Überprüfen Sie, ob die Dateien aktualisiert wurden, und führen Sie die Simulation erneut aus, um zu bestätigen, dass sie beschriftet werden.
Erstellen einer Richtlinie für die automatische Bezeichnung
Für diese Konfiguration können Sie das Microsoft Purview-Portal oder die ältere Microsoft Purview-Complianceportal verwenden.
Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:
Anmelden beim Microsoft Purview-Portal>Lösungen>> Information Protection Richtlinien fürautomatische Bezeichnungen>.
Melden Sie sich beim Microsoft Purview-Complianceportal>Solutions>Information Protection>Auto-Labeling an:
Hinweis
Wenn die Option für automatische Bezeichnungen nicht angezeigt wird, ist diese Funktionalität aufgrund einer Back-End-Azure-Abhängigkeit derzeit nicht in Ihrer Region verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Azure-Abhängigkeiten nach Land.
Wählen Sie + Richtlinie für die automatische Bezeichnung erstellen aus. Dadurch wird die Konfiguration für neue Richtlinien gestartet:
Für die Seite Wählen Sie eine Bezeichnung zum automatischen Bezeichnen aus: Wählen Sie + Wählen Sie eine Bezeichnung aus, eine Bezeichnung aus dem Bereich Wählen Sie ein Vertraulichkeitsbezeichnung und dann Weiter aus.
Wählen Sie für die Seite Informationen auswählen, auf die diese Bezeichnung angewendet werden soll, eine der Vorlagen aus, z. B. Finanzen oder Datenschutz. Sie können Ihre Suche mithilfe des Such- oder Dropdownfelds für Länder oder Regionen verfeinern. Sie können aber auch Benutzerdefinierte Richtlinie auswählen, wenn die Vorlagen Ihren Anforderungen nicht entsprechen. Wählen Sie Weiter aus.
Für die Seite Benennen Sie Ihre Richtlinie zum automatischen Bezeichnen: Geben Sie einen eindeutigen Namen und optional eine Beschreibung an, um die automatisch angewandte Bezeichnung, die Speicherorte und Bedingungen zu identifizieren, die den zu bezeichnenden Inhalt identifizieren.
Für die Seite Zuweisen von Administratoreinheiten: Wenn Ihr organization Verwaltungseinheiten in Microsoft Entra ID verwendet, können Richtlinien für die automatische Bezeichnung für Exchange und OneDrive automatisch auf bestimmte Benutzer beschränkt werden, indem Sie Verwaltungseinheiten auswählen. Wenn Ihrem Konto Verwaltungseinheiten zugewiesen wurden, müssen Sie mindestens eine Verwaltungseinheit auswählen.
Wenn Sie die Richtlinie nicht mithilfe von Verwaltungseinheiten einschränken möchten oder Ihr organization keine Verwaltungseinheiten konfiguriert hat, behalten Sie den Standardwert Vollständiges Verzeichnis bei.
Hinweis
Wenn Sie eine vorhandene Richtlinie bearbeiten und die Verwaltungseinheiten ändern, müssen Sie die Speicherorte jetzt im nächsten Schritt neu konfigurieren.
Für die Seite Wählen Sie Speicherorte aus, an denen Sie die Bezeichnung anwenden möchten: Wählen Sie Speicherorte für Exchange, SharePoint und OneDrive aus, und legen Sie diese fest. Wenn Sie die Standardeinstellung Alle eingeschlossen für die ausgewählten Standorte nicht beibehalten möchten, wählen Sie den Link aus, um bestimmte Instanzen auszuwählen, die eingeschlossen werden sollen, oder wählen Sie den Link aus, um bestimmte auszuschließende Instanzen auszuwählen. Wählen Sie dann Weiter aus.
Hinweis
Für Organisationen, die Verwaltungseinheiten verwenden:
- Wenn Sie im vorherigen Schritt die Option zur Verwendung von Verwaltungseinheiten ausgewählt haben, ist der Speicherort für SharePoint-Websites nicht mehr verfügbar. Nur Richtlinien für automatische Bezeichnungen für Exchange und OneDrive unterstützen Verwaltungseinheiten.
- Wenn Sie die Optionen Eingeschlossen oder Ausgeschlossen verwenden, werden nur Benutzer aus den im vorherigen Schritt ausgewählten Verwaltungseinheiten angezeigt und können sie auswählen.
Wenn Sie die Optionen Eingeschlossen oder Ausgeschlossen verwenden:
Für den Exchange-Standort wird die Richtlinie entsprechend der Absenderadresse der angegebenen Empfänger angewendet. In den meisten Fällen sollten Sie die Standardeinstellung Alle eingeschlossen beibehalten, mit Keine ausgeschlossen. Diese Konfiguration eignet sich auch dann, wenn Sie einen Test für eine Teilmenge von Benutzern durchführen. Anstatt hier Ihre Teilmenge von Benutzern anzugeben, verwenden Sie die erweiterten Regeln im nächsten Schritt, um Bedingungen zum Einschließen oder Ausschließen von Empfängern in Ihrer Organisation zu konfigurieren. Andernfalls, wenn Sie die Standardeinstellungen hier ändern:
- Wenn Sie die Standardeinstellung Alle eingeschlossen ändern und stattdessen bestimmte Benutzer oder Gruppen auswählen, sind E-Mails, die von außerhalb Ihrer Organisation gesendet werden, von der Richtlinie ausgenommen.
- Wenn Sie die Standardeinstellung Alle eingeschlossen beibehalten, aber Benutzer oder Gruppen angeben, die ausgeschlossen werden sollen, sind E-Mails, die von diesen ausgeschlossenen Benutzer gesendet werden, von der Richtlinie ausgenommen, nicht aber E-Mails, die diese Benutzer erhalten.
Für den OneDrive-Speicherort müssen Sie Benutzer oder Gruppen angeben. Zuvor mussten Sie Websites nach URLs angeben. Alle vorhandenen OneDrive-URL-Websites in Richtlinien für automatische Bezeichnungen funktionieren weiterhin, aber bevor Sie neue OneDrive-Speicherorte angeben können, oder für eingeschränkte Administratoren müssen Sie zuerst alle vorhandenen Website-URLs löschen. Gruppen unterstützt: Verteilergruppen, Microsoft 365-Gruppen, E-Mail-aktivierte Sicherheitsgruppen und Sicherheitsgruppen.
Für die Seite Allgemeine oder erweiterte Regeln einrichten: Behalten Sie die Standardeinstellung Allgemeine Regeln bei, um Regeln zu definieren, mit denen zu bezeichnende Inhalte für alle ausgewählten Speicherorte identifiziert werden. Wenn Sie unterschiedliche Regeln pro Standort benötigen, einschließlich einiger Regeln, die nur für Exchange oder SharePoint-Websites und OneDrive-Konten verfügbar sind, wählen Sie Erweiterte Regeln aus. Wählen Sie dann Weiter aus.
Die Regeln verwenden Bedingungen, die vertrauliche Informationstypen, trainierbare Klassifizierer, Freigabeoptionen und andere Bedingungen enthalten:
- Wenn Sie einen Vertraulichen Informationstyp oder einen trainierbaren Klassifizierer als Bedingung auswählen möchten, wählen Sie unter Inhalt enthältdie Option Hinzufügen und dann Typen vertraulicher Informationen oder Trainierbare Klassifizierer aus.
- Um Freigabeoptionen als Bedingung auszuwählen, wählen Sie unter Inhalt wird freigegeben entweder nur mit Personen innerhalb meiner organization oder mit Personen außerhalb meiner organization aus.
- Weitere Bedingungen, die Sie auswählen können:
- Anlage oder Dateierweiterung ist
- Anlagen- oder Dokumentname enthält Wörter oder Ausdrücke
- Anlage- oder Dokumenteigenschaft ist
- Anlagen- oder Dokumentgröße ist gleich oder größer als
Wenn Ihr Standort Exchange ist und Sie Erweiterte Regeln ausgewählt haben, gibt es zusätzliche Bedingungen, die Sie auswählen können:
- IP-Adresse des Absenders lautet
- Empfängerdomäne lautet
- Empfänger lautet
- Anlage ist passwortgeschützt
- Der Inhalt einer E-Mail-Anlage konnte nicht vollständig gescannt werden
- Der Inhalt einer E-Mail-Anlage wurde nicht vollständig gescannt
- Kopfzeile stimmt mit Mustern überein
- Betreff stimmt mit Mustern überein
- Empfängeradresse enthält Wörter
- Empfängeradresse stimmt mit Mustern überein
- Absenderadresse stimmt mit Mustern überein
- Absenderdomäne ist
- Empfänger ist Mitglied von
- Absender ist
Wenn Ihr Standort SharePoint-Websites oder OneDrive-Konten ist und Sie Erweiterte Regeln ausgewählt haben, können Sie eine weitere Bedingung auswählen:
- Dokument erstellt von
Je nachdem, welche Einstellungen Sie bisher ausgewählt haben, können Sie nun neue Regeln unter Verwendung von Bedingungen und Ausnahmen erstellen.
Die Konfigurationsoptionen für Typen sensibler Informationen sind die gleichen wie die, die Sie für das automatische Bezeichnen von Office-Anwendungen auswählen. Wenn Sie weitere Informationen benötigen, lesen Sie Konfigurieren sensibler Informationstypen für eine Bezeichnung.
Wenn Sie alle erforderlichen Regeln definiert und bestätigt haben, dass der Status „Aktiviert“ lautet, wählen Sie Weiter aus, um mit der Auswahl einer Bezeichnung fortzufahren, die automatisch angewendet werden soll.
Wenn Ihre Richtlinie den Exchange-Speicherort enthält: Geben Sie optionale Konfigurationen auf der Seite Zusätzliche Einstellungen für E-Mail an:
Vorhandene Bezeichnungen mit gleicher oder niedrigerer Priorität automatisch ersetzen: Gilt sowohl für eingehende als auch für ausgehende E-Mails. Wenn Sie diese Einstellung auswählen, wird sichergestellt, dass immer eine übereinstimmende Vertraulichkeitsbezeichnung angewendet wird. Wenn Sie diese Einstellung nicht auswählen, wird keine passende Vertraulichkeitsbezeichnung auf E-Mails angewendet, die eine vorhandene Vertraulichkeitsbezeichnung mit einer höheren Priorität haben oder die manuell gekennzeichnet wurden.
Verschlüsselung auf E-Mails anwenden, die von außerhalb Ihrer Organisation empfangen werden: Wenn Sie diese Option auswählen, müssen Sie einen Rights Management-Eigentümer zuweisen, um sicherzustellen, dass eine autorisierte Person in Ihrer Organisation die Nutzungsrechte „Vollzugriff“ für E-Mails hat, die von außerhalb Ihrer Organisation und Ihrer Richtlinienbezeichnungen mit Verschlüsselung gesendet werden. Diese Rolle wird möglicherweise benötigt, um die Verschlüsselung später zu entfernen oder Benutzern in Ihrer Organisation andere Nutzungsrechte zuzuweisen.
Geben Sie für Rights Management-Besitzer zuweisen einen einzelnen Benutzer mit einer E-Mail-Adresse an, die Ihrer Organisation gehört. Geben Sie keinen E-Mail-Kontakt, ein freigegebenes Postfach oder einen Gruppentyp an, da diese für diese Rolle nicht unterstützt werden.
Für die Seite Entscheiden, ob Sie die Richtlinie jetzt oder später testen möchten: Wählen Sie Richtlinie im Simulationsmodus ausführen aus, wenn Sie bereit sind, die Richtlinie zum automatischen Anwenden von Bezeichnungen jetzt im Simulationsmodus auszuführen. Entscheiden Sie dann, ob die Richtlinie automatisch aktiviert werden soll, wenn sie 7 Tage lang nicht bearbeitet wird:
Wenn Sie die Simulation noch nicht ausführen möchten, wählen Sie Richtlinie deaktiviert lassen.
Auf der Seite Zusammenfassung: Überprüfen Sie die Konfiguration Ihrer Richtlinie für die automatische Bezeichnung, nehmen Sie die erforderlichen Änderungen vor, und schließen Sie die Konfiguration ab.
Unter Informationsschutz>Automatisches Bezeichnen wird jetzt Ihre Richtlinie zum automatischen Bezeichnen im Abschnitt Simulation oder Aus angezeigt, je nachdem, ob Sie ausgewählt haben, dass die Richtlinie im Simulationsmodus ausgeführt wird oder nicht. Wählen Sie Ihre Richtlinie aus, um die Details der Konfiguration und des Status zu sehen (z. B. Richtliniensimulation wird noch ausgeführt). Wählen Sie für Richtlinien im Simulationsmodus die Registerkarte Zu überprüfende Elemente aus, um zu sehen, welche E-Mails oder Dokumente mit den von Ihnen angegebenen Regeln übereinstimmen.
Sie können Ihre Richtlinie direkt über diese Oberfläche ändern:
Wählen Sie für eine Richtlinie im Abschnitt Aus die Schaltfläche Bearbeiten aus.
Wählen Sie für Richtlinie im Abschnitt Simulation oben auf der Seite auf beiden Registerkarten die Option Richtlinie bearbeiten aus.
Wenn Sie die Richtlinie ohne Simulation ausführen möchten, wählen Sie die Option Richtlinie aktivieren aus.
Hinweis
Dateien ohne Inhalt (d. h. 0 Bytes) werden möglicherweise nicht bezeichnet.
Richtlinien für die automatische Bezeichnung werden fortlaufend ausgeführt, bis sie gelöscht werden. So beziehen die aktuellen Richtlinieneinstellungen beispielsweise neue und geänderte Dateien ein.
Überwachen der Richtlinie für die automatische Bezeichnung
Nachdem die Richtlinie für die automatische Bezeichnung aktiviert wurde, können Sie den Status des Bezeichnens für Dateien in den ausgewählten SharePoint- und OneDrive-Speicherorten anzeigen. E-Mails werden bei der Kennzeichnung nicht berücksichtigt, da sie automatisch gekennzeichnet werden, sobald sie gesendet werden.
Der Status des Bezeichnens umfasst die Dateien, die durch die Richtlinie bezeichnet werden sollen, die Dateien, die in den letzten sieben Tagen bezeichnet wurden sowie die Gesamtanzahl der bezeichneten Dateien. Da maximal 100.000 Dateien pro Tag beschriftet werden, erhalten Sie anhand dieser Informationen Einblick in den aktuellen Status der Bezeichnung für Ihre Richtlinie und die Anzahl der dateien, die noch beschriftet werden müssen.
Wenn Sie Ihre Richtlinie zum ersten Mal aufrufen, sehen Sie zunächst einen Wert von 0 für die zu kennzeichnenden Dateien, bis die neuesten Daten abgerufen werden. Diese Statusinformationen werden alle 48 Stunden aktualisiert, sodass Sie davon ausgehen können, dass Sie jeden zweiten Tag die aktuellsten Daten sehen. Wenn Sie eine Richtlinie für die automatische Bezeichnung auswählen, können Sie weitere Details zur Richtlinie in einem Flyoutbereich einsehen, darunter den Status des Bezeichnens für die 10 wichtigsten Sites. Die Informationen in diesem Flyoutbereich sind möglicherweise aktueller als die aggregierten Richtlinieninformationen, die auf der Hauptseite für die automatische Bezeichnung angezeigt werden.
Sie können die Ergebnisse der Richtlinie für die automatische Bezeichnung auch anzeigen, indem Sie Inhalts-Explorer verwenden, wenn Sie über die entsprechenden Berechtigungen verfügen:
- Mit der Rollengruppe Inhalts-Explorer-Listenanzeige können Sie die Bezeichnung einer Datei anzeigen, jedoch nicht die Inhalte der Datei.
- Mit der Rollengruppe "Inhalt Explorer Inhaltsanzeige" und den Rollengruppen "Information Protection" und "Information Protection Investigators" können Sie den Inhalt der Datei anzeigen.
Derzeit können eingeschränkte Administratoren jedoch keine Bezeichnungsaktivitäten für OneDrive im Aktivitäts-Explorer sehen.
Tipp
Sie können den Inhalts-Explorer auch verwenden, um Speicherorte zu identifizieren, die Dokumente mit vertraulichen Informationen, aber ohne Bezeichnungen enthalten. Anhand dieser Informationen können Sie diese Speicherorte ihrer Richtlinie zur automatischen Bezeichnung hinzufügen und die identifizierten Typen vertraulicher Informationen als Regeln aufnehmen.
PowerShell für automatische Bezeichnungsrichtlinien verwenden
Sie können Security & Compliance PowerShell verwenden, um automatische Bezeichnungsrichtlinien zu erstellen und zu konfigurieren. Dies bedeutet, dass Sie ein vollständiges Skript für die Erstellung und Wartung Ihrer Richtlinien für automatische Bezeichnungen erstellen können, was auch eine effizientere Methode zum Angeben mehrerer Speicherorte für SharePoint und OneDrive bietet.
Bevor Sie die Befehle in PowerShell ausführen, müssen Sie zunächst eine Verbindung zu Security & Compliance Center PowerShell herstellen.
So erstellen Sie eine neue automatische Bezeichnungsrichtlinie:
New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications
Mit diesem Befehl wird eine automatische Bezeichnungsrichtlinie für eine von Ihnen angegebene SharePoint-Website erstellt. Verwenden Sie bei einem OneDrive-Speicherort stattdessen den Parameter OneDriveLocation.
So fügen Sie einer vorhandenen automatischen Bezeichnungsrichtlinie weitere Websites hinzu:
$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications
Mit diesem Befehl werden die neuen SharePoint-URLs in einer Variablen angegeben, die dann der bestehenden automatischen Bezeichnungsrichtlinie hinzugefügt werden. Wenn Sie stattdessen OneDrive Speicherorte hinzufügen möchten, verwenden Sie den AddOneDriveLocation-Parameter mit einer anderen Variablen, z. B. $OneDriveLocations.
So erstellen Sie eine neue automatische Bezeichnungsrichtlinienregel:
New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint
Bei einer vorhandenen automatischen Bezeichnungsrichtlinie wird mit diesem Befehl eine neue Richtlinienregel erstellt, um den vertraulichen Informationstyp US-Sozialversicherungsnummer (SSN) zu ermitteln, der die Entitäts-ID a44669fe-0d48-453d-a9b1-2cc83f2cba77 hat. Entitäts-IDs anderer vertraulicher Informationstypen finden Sie unter Entitätsdefinitionen für vertrauliche Informationstypen.
Weitere Informationen zu den PowerShell-Cmdlets, die automatische Bezeichnungsrichtlinien unterstützen, deren verfügbare Parameter sowie einige Beispiele finden Sie in der folgenden Cmdlet-Hilfe:
- Get-AutoSensitivityLabelPolicy
- New-AutoSensitivityLabelPolicy
- New-AutoSensitivityLabelRule
- Remove-AutoSensitivityLabelPolicy
- Remove-AutoSensitivityLabelRule
- Set-AutoSensitivityLabelPolicy
- Set-AutoSensitivityLabelRule
Tipps zum Erhöhen der Kennzeichnungsreichweite
Obwohl die automatische Bezeichnung eine der effizientesten Methoden zum Klassifizieren, Bezeichnen und Schützen von Office- und PDF-Dateien ist, die Ihrem organization gehören, überprüfen Sie, ob Sie sie mit einer der folgenden Methoden ergänzen können, um die Reichweite ihrer Bezeichnungen zu erhöhen:
Für SharePoint-Dokumentbibliotheken können Sie eine Standardvertraulichkeitsbezeichnung für neue und bearbeitete Dateien anwenden. Weitere Informationen finden Sie unter Konfigurieren einer Standardvertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek.
Mit Microsoft Syntex können Sie eine Vertraulichkeitsbezeichnung auf ein Dokumentverständnismodell anwenden, sodass identifizierte Dokumente in einer SharePoint-Dokumentbibliothek automatisch bezeichnet werden.
Für Outlook-Nachrichten können Sie eine Vertraulichkeitsbezeichnung basierend auf Anlagen anwenden, die beschriftet sind.
Wenn Sie den Microsoft Purview Information Protection-Client verwenden:
- Für Dateien in lokalen Datenspeichern wie Netzwerkfreigaben und SharePoint Server-Bibliotheken: Verwenden Sie den Scanner, um vertrauliche Informationen in diesen Dateien zu erkennen und sie entsprechend zu bezeichnen. Wenn Sie planen, diese Dateien in SharePoint in Microsoft 365 zu verschieben oder hochzuladen, verwenden Sie den Scanner, um die Dateien zu bezeichnen, bevor Sie diese in die Cloud verschieben.
Fördern Sie die manuelle Bezeichnung, nachdem Sie die Benutzer darüber geschult haben, welche Bezeichnungen angewendet werden sollen. Wenn Sie sicher sind, dass Benutzer wissen, welche Bezeichnung angewendet werden soll, erwägen Sie eine Standardbezeichnung und das obligatorische Bezeichnen als Richtlinieneinstellungen zu konfigurieren.
Erwägen Sie außerdem die Einstellung neue Dateien standardmäßig als vertraulich markieren in SharePoint einzurichten, um Gäste daran zu hindern, auf neu hinzugefügte Dateien zuzugreifen, bis mindestens eine DLP-Richtlinie den Inhalt der Datei überprüft hat.