Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden
Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.
Zusätzlich zur Verwendung von Vertraulichkeitsbezeichnungen zum Schutz von Dokumenten und E-Mails können Sie auch Vertraulichkeitsbezeichnungen verwenden, um Inhalte in den folgenden Containern zu schützen: Microsoft Teams-Websites, Microsoft 365-Gruppen (ehemals Office 365-Gruppen) und SharePoint-Websites. Verwenden Sie für diesen Schutz auf Containerebene die folgenden Bezeichnungseinstellungen:
- Datenschutz (öffentlich oder privat) für Teamwebsites und Microsoft 365-Gruppen
- Zugriff externer Benutzer
- Externe Freigabe von SharePoint-Websites
- Zugriff von nicht verwalteten Geräten aus
- Authentifizierungskontexte
- Verhindern der Ermittlung privater Teams für Benutzer mit dieser Funktion
- Steuerung freigegebener Kanäle für Team-Einladungen
- Standardfreigabelink für eine SharePoint-Website (nur PowerShell-Konfiguration)
- Websitefreigabeeinstellungen (nur PowerShell-Konfiguration)
- Standardbezeichnung für Kanalbesprechungen
Wichtig
Die Einstellungen für nicht verwaltete Geräte und Authentifizierungskontexte funktionieren in Verbindung mit Microsoft Entra bedingten Zugriff. Sie müssen dieses abhängige Feature konfigurieren, wenn Sie für diese Einstellungen eine Vertraulichkeitsbezeichnung verwenden möchten. Weitere Informationen hierzu finden Sie in den nachfolgenden Anweisungen.
Wenn Sie diese Vertraulichkeitsbezeichnung auf einen unterstützten Container anwenden, wendet die Bezeichnung automatisch die Vertraulichkeitskategorie und die konfigurierten Schutzeinstellungen auf die Website oder die Gruppe an.
Beachten Sie, dass einige Bezeichnungsoptionen Konfigurationseinstellungen auf Websitebesitzer erweitern können, die andernfalls auf Administratoren beschränkt sind. Wenn Sie die Bezeichnungseinstellungen für externe Freigabeoptionen und den Authentifizierungskontext konfigurieren und veröffentlichen, kann ein Websitebesitzer jetzt diese Optionen für eine Website festlegen und ändern, indem er die Vertraulichkeitsbezeichnung für ein Team oder eine Website anwendet oder ändert. Konfigurieren Sie diese spezifischen Bezeichnungseinstellungen nicht, wenn Sie nicht möchten, dass Websitebesitzer diese Änderungen vornehmen können.
Inhalte in diesen Containern erben jedoch nicht die Bezeichnungen für die Vertraulichkeitskategorie oder Einstellungen für Dateien und E-Mails, z. B. Inhaltsmarkierungen und Verschlüsselung. Aktivieren SieVertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive, damit Benutzer Bezeichnungen auf ihre Dokumente in SharePoint- oder Teamwebsites anwenden können.
Containerbezeichnungen unterstützen nicht die Anzeige anderer Sprachenund zeigen die ursprüngliche Sprache nur für den Bezeichnungsnamen und die Beschreibung an.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und auf SharePoint-Websites verwenden
Bevor Sie Vertraulichkeitsbezeichnungen aktivieren und für die neuen Einstellungen konfigurieren, können Benutzer Vertraulichkeitsbezeichnungen in ihren Apps anzeigen und anwenden. Beispielsweise aus Word:
Nachdem Sie Vertraulichkeitsbezeichnungen für Container aktiviert und konfiguriert haben, können Benutzer Vertraulichkeitsbezeichnungen außerdem für Microsoft Team-Websites, Microsoft 365-Gruppen und SharePoint-Websites anzeigen und anwenden. Beispielsweise, wenn eine neue Teamwebsite in SharePoint erstellt wird:
Nachdem eine Vertraulichkeitsbezeichnung auf eine Website angewendet wurde, müssen Sie über die folgende Rolle verfügen, um diese Bezeichnung in SharePoint oder Teams zu ändern:
- Für eine Website mit Gruppenverbindung: Microsoft 365-Gruppenbesitzer
- Für eine Website, die nicht mit einer Gruppe verbunden ist: SharePoint-Websiteadministrator
Hinweis
Vertraulichkeitsbezeichnungen für Container unterstützen freigegebene Teams-Kanäle. Wenn ein Team über freigegebene Kanäle verfügt, erbt es automatisch die Einstellungen für Vertraulichkeitsbezeichnungen von dem übergeordneten Team, und diese Bezeichnung kann nicht entfernt oder durch eine andere Bezeichnung ersetzt werden.
Aktivieren von Vertraulichkeitsbezeichnungen für Container und Synchronisieren von Bezeichnungen
Falls Sie noch keine Vertraulichkeitsbezeichnungen für Container aktiviert haben, führen Sie die folgenden Schritte als einmaligen Vorgang aus:
Da dieses Feature Microsoft Entra Funktionalität verwendet, befolgen Sie die Anweisungen aus der Microsoft Entra Dokumentation, um die Unterstützung von Vertraulichkeitsbezeichnungen zu aktivieren: Zuweisen von Vertraulichkeitsbezeichnungen zu Microsoft 365-Gruppen in Microsoft Entra ID.
Sie müssen nun Ihre Vertraulichkeitsbezeichnungen mit Microsoft Entra ID synchronisieren. Zuerst müssen Sie eine Verbindung zur Security & Compliance PowerShell herstellen.
Melden Sie sich beispielsweise in einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an.
Führen Sie dann den folgenden Befehl aus, damit Ihre Vertraulichkeitsbezeichnungen mit Microsoft 365-Gruppen verwendet werden können:
Execute-AzureAdLabelSync
Konfigurieren von Gruppen und Websiteeinstellungen
Nachdem Vertraulichkeitsbezeichnungen wie im vorherigen Abschnitt beschrieben für Container aktiviert wurden, können Sie die Schutzeinstellungen für Gruppen und Websites in der Konfiguration der Vertraulichkeitsbezeichnung konfigurieren. Bis Vertraulichkeitsbezeichnungen für Container aktiviert sind, sind die Einstellungen sichtbar, sie können jedoch nicht konfiguriert werden.
Befolgen Sie die allgemeinen Anweisungen für die Erstellung oder Bearbeitung einer Vertraulichkeitsbezeichnung und stellen Sie sicher, dass als Bereich für die Bezeichnung Gruppen und Websiten ausgewählt ist:
Wenn nur dieser Bereich für die Bezeichnung ausgewählt ist, wird die Bezeichnung nicht in Office-Apps angezeigt, sie Vetraulichkeitsbezeichnungen unterstützen, und kann nicht auf Dateien und E-Mails angewendet werden. Eine solche Trennung von Bezeichnungen kann zwar sowohl für Benutzer als auch Administratoren hilfreich sein, jedoch auch die Komplexität der Bereitstellung von Bezeichnungen erhöhen.
Beispielsweise müssen Sie die Reihenfolge Ihrer Bezeichnungen sorgfältig überprüfen, da SharePoint erkennt, wenn ein Dokument mit Vertraulichkeitsbezeichnung auf eine Seite mit Vertraulichkeitsbezeichnung hochgeladen wird. In diesem Szenario werden automatisch ein Überwachungsereignis und eine E-Mail generiert, wenn das Dokument eine Vertraulichkeitsbezeichnung mit höherer Priorität hat als die der Website. Weitere Informationen findem Sie im Abschnitt Überwachung von Vertraulichkeitsbezeichnungsaktivitäten auf dieser Seite.
Wählen Sie dann auf der Seite Schutzeinstellungen für Gruppen und Websites definieren die Optionen aus, die Sie konfigurieren möchten:
- Einstellungen für den Datenschutz und Zugriff externer Benutzer, um die Einstellungen für den Datenschutz und den Zugriff externer Benutzer zu konfigurieren..
- Einstellungen für externe Freigabe und bedingten Zugriff zum Konfigurieren der Einstellung Externe Freigabe von bezeichneten SharePoint-Websites steuern und Verwenden Microsoft Entra bedingten Zugriffs zum Schützen bezeichneter SharePoint-Websites.
- Private Teams-Auffindbarkeits- und freigegebene Kanalsteuerelemente , um die Einstellungen zu konfigurieren, um zu verhindern, dass Benutzer, die private Teams entdecken können, ein privates Team mit dieser Vertraulichkeitsbezeichnung finden, und Kanalfreigabesteuerelemente für Einladungen an andere Teams.
Wenn Sie außerdem eine vorhandene Bezeichnung bearbeiten, bei der der Bereich Elemente und Besprechungen umfasst, und Bezeichnungen zum Schutz von Besprechungen konfiguriert haben, können Sie eine Standardbezeichnung für Kanalbesprechungen und alle Kanalchats auswählen. Für Besprechungen ohne Kanal können Sie eine Standardbezeichnung als Richtlinieneinstellung auswählen.
Wenn Sie Einstellungen für den Datenschutz und Zugriff externer Benutzer ausgewählt haben, konfigurieren Sie nun die folgenden Einstellungen:
Datenschutz: Behalten Sie die Standardeinstellung Öffentlich bei, wenn Sie möchten, dass jeder in Ihrer Organisation auf die Teamwebsite oder Gruppe, für die diese Bezeichnung angewendet wird, zugreifen kann.
Wählen Sie Privat aus, wenn Sie möchten, dass der Zugriff nur auf genehmigte Mitglieder in Ihrer Organisation beschränkt wird.
Wählen Sie Keine aus, wenn Sie den Inhalt im Container mit Vertraulichkeitsbezeichnungen schützen möchten, die Benutzer aber trotzdem selbst Datenschutzeinstellungen konfigurieren können sollen.
Die Einstellungen von Öffentlich oder Privat setzen und sperren die Datenschutzeinstellung, wenn Sie diese Bezeichnung auf den Container aufbringen. Die von Ihnen gewählte Einstellung ersetzt alle vorherigen Datenschutzeinstellungen, die für das Team oder die Gruppe konfiguriert wurden, und sperrt den Datenschutzwert, so dass er nur geändert werden kann, wenn zuvor die Vertraulichkeitsbezeichnung vom Container entfernt wird. Nachdem Sie die Vertraulichkeitsbezeichnung entfernt haben, bleibt die Datenschutzeinstellung der Bezeichnung erhalten, aber Benutzer können sie jetzt wieder ändern.
Zugriff externer Benutzer: Legen Sie fest, ob der Gruppenbesitzer Gäste zur Gruppe hinzufügen kann.
Wenn Sie Einstellungen für externe Freigabe und bedingten Zugriff ausgewählt haben, konfigurieren Sie jetzt die folgenden Einstellungen:
Externe Freigabe von bezeichneten SharePoint-Websites steuern: Wählen Sie diese Option, um dann entweder die externe Freigabe für jede beliebige Person, neue und bestehende Gäste, bestehende Gäste oder nur Personen in Ihrer Organisation auszuwählen. Weitere Informationen zu diesen Konfigurationen und Einstellungen finden Sie in der SharePoint-Dokumentation Externe Freigabe für eine Website aktivieren oder deaktivieren.
Verwenden sie Microsoft Entra bedingten Zugriff, um bezeichnete SharePoint-Websites zu schützen: Wählen Sie diese Option nur aus, wenn Ihr organization konfiguriert wurde und Microsoft Entra bedingten Zugriff verwendet. Wählen Sie dann eine der folgenden Einstellungen aus:
Bestimmen, ob Benutzer von nicht verwalteten Geräten aus auf SharePoint-Websites zugreifen können: Diese Option verwendet das SharePoint-Feature, das Microsoft Entra bedingten Zugriff verwendet, um den Zugriff auf SharePoint- und OneDrive-Inhalte von nicht verwalteten Geräten zu blockieren oder einzuschränken. Weitere Informationen finden Sie unter Steuern des Zugriffs von nicht verwalteten Geräten aus in der SharePoint-Dokumentation. Die Option, die Sie für diese Bezeichnungseinstellung festlegen, entspricht der Ausführung eines PowerShell-Befehls für eine Website, wie in den Schritten 3-5 im Abschnitt Blockieren oder Einschränken des Zugriffs auf eine bestimmte SharePoint-Website oder OneDrive in der SharePoint-Anleitung beschrieben.
Weitere Konfigurationsinformationen finden Sie unter Weitere Informationen zu den Abhängigkeiten für die Option „Nicht verwaltete Geräte“ am Ende dieses Abschnitts.
Auswählen eines vorhandenen Authentifizierungskontexts: Mit dieser Option können Sie strengere Zugriffsbedingungen erzwingen, wenn Benutzer auf SharePoint-Websites zugreifen, auf die diese Bezeichnung angewendet wurde. Diese Bedingungen werden erzwungen, wenn Sie einen bestehenden Authentifizierungskontext auswählen, der für die Bereitstellung von bedingtem Zugriff in Ihrer Organisation erstellt und veröffentlicht wurde. Wenn die Benutzer die konfigurierten Bedingungen nicht erfüllen oder wenn sie Apps verwenden, die keine Authentifizierungskontexte unterstützen, wird ihnen der Zugriff verweigert.
Weitere Konfigurationsinformationen finden Sie unter Weitere Informationen zu den Abhängigkeiten für die Option „Authentifizierungskontexte“ am Ende dieses Abschnitts.
Beispiele für diese Bezeichnungskonfiguration:
Sie wählen einen Authentifizierungskontext aus, der so konfiguriert ist, dass mehrstufige Authentifizierung (MFA) erforderlich ist. Diese Bezeichnung wird dann auf eine SharePoint-Site angewendet, die streng vertrauliche Elemente enthält. Wenn Benutzer versuchen, aus einem nicht vertrauenswürdigen Netzwerk auf ein Dokument auf dieser Site zuzugreifen, wird ihnen daher der Hinweis angezeigt, dass sie zuerst die MFA-Authentifizierung durchführen müssen, bevor sie auf das Dokument zugreifen können.
Sie wählen einen Authentifizierungskontext aus, der für Nutzungsrichtlinien konfiguriert ist. Diese Bezeichnung wird dann auf eine SharePoint-Site angewendet, die Elemente enthält, die aus rechtlichen oder Compliancegründen die Annahme von Nutzungsbedingungen voraussetzen. Wenn also Benutzer versuchen, auf ein Dokument auf dieser Site zuzugreifen, werden ihnen Nutzungsbedingungen angezeigt, die sie akzeptieren müssen, bevor sie auf das ursprüngliche Dokument zugreifen können.
Wenn Sie Private Teams-Auffindbarkeit und Steuerelemente für freigegebene Kanäle ausgewählt haben:
Verwenden Sie für die Auffindbarkeit privater Teams das Kontrollkästchen Benutzern erlauben, private Teams zu ermitteln, auf die diese Bezeichnung angewendet wurde , wenn Sie eine Teams-Richtlinie konfiguriert haben, die die Ermittlung privater Teams zulässt:
- Wenn das Kontrollkästchen aktiviert ist (Standardeinstellung), ist ein privates Team mit der angewendeten Vertraulichkeitsbezeichnung für einen Benutzer erkennbar, der private Teams ermitteln darf.
- Wenn das Kontrollkästchen deaktiviert ist, bleibt ein privates Team mit angewendeter Vertraulichkeitsbezeichnung ausgeblendet und ist nicht für alle Benutzer auffindbar.
Wenn für freigegebene Teams-Kanäle eine Vertraulichkeitsbezeichnung angewendet wurde, können Sie zulassen oder verhindern, dass andere Teams zu den freigegebenen Kanälen des ursprünglichen Teams eingeladen werden. Weitere Informationen zu freigegebenen Kanälen finden Sie unter Freigegebene Kanäle in Microsoft Teams.
Wichtig
Diese Optionen für freigegebene Teams-Kanäle hängen von den Einstellungen auf der vorherigen Seite datenschutz- und externer Benutzerzugriff ab. Wenn Sie eine Option auswählen, die nicht mit diesen vorherigen Einstellungen kompatibel ist, wird eine Überprüfungsmeldung angezeigt, um Ihre Auswahl zu ändern. Alternativ können Sie in der Konfiguration zurückkehren, um die abhängige Einstellung zu ändern.
Zu den Optionen gehören nur Intern, nur dieselbe Bezeichnung und nur Privates Team. Nur die letzte Option kann möglicherweise zuvor eingeladene Teams entfernen, und keine der Optionen wirkt sich auf Einladungen an einzelne Benutzer aus.
Die Website- und Gruppeneinstellungen werden wirksam, wenn Sie die Bezeichnung auf ein Team, eine Gruppe oder eine Website anwenden. Wenn der Bereich der Bezeichnung Dateien und E-Mails umfasst, werden andere Bezeichnungseinstellungen wie Verschlüsselung und Inhaltskennzeichnung nicht auf die Inhalte innerhalb des Teams, der Gruppe oder der Website angewendet.
Wenn Ihre Vertraulichkeitskennzeichnung noch nicht veröffentlicht wurde, veröffentlichen Sie diese jetzt, indem Sie sieeiner Richtlinie für Vertraulichkeitskennzeichnungen hinzufügen. Diejenigen Benutzer, denen eine Richtlinie zur Vertraulichkeitskennzeichnung zugeordnet ist, die diese Kennzeichnung beinhaltet, können diese für Websites und Gruppen auswählen.
Weitere Informationen zu den Abhängigkeiten für die Option „Nicht verwaltete Geräte“
Wenn Sie die abhängige Richtlinie für den bedingten Zugriff für SharePoint nicht so konfigurieren, wie unter App-erzwungene Einschränkungen angeführt, ist die von Ihnen angegebene Option wirkungslos. Darüber hinaus hat sie keine Auswirkungen, wenn sie weniger stark einschränkt als eine konfigurierte Einstellung auf Mandanten-Ebene. Wenn Sie eine organisationsweite Einstellung für nicht verwaltete Geräte konfiguriert haben, wählen Sie eine identische oder restriktivere Bezeichnungseinstellung aus
Wenn Ihr Mandant beispielsweise für Eingeschränkten, reinen Web-Zugriff zulassenkonfiguriert ist, hat die Bezeichnungseinstellung „Vollzugriff“ keine Auswirkungen, da sie weniger restriktiv ist. Wählen Sie für diese Mandantenebende die Bezeichnungseinstellung, die den Zugriff blockiert (stärker restriktiv) oder die Bezeichnungseinstellung für eingeschränkten Zugriff (diese entspricht der Mandanteneinstellung).
Da Sie die SharePoint-Einstellungen getrennt von der Bezeichnungskonfiguration konfigurieren können, wird in der Konfiguration der Vertraulichkeitsbezeichnung nicht überprüft, ob die Abhängigkeiten vorhanden sind. Diese Abhängigkeiten können konfiguriert werden, nachdem die Bezeichnung erstellt und veröffentlicht wurde, oder sogar, wenn die Bezeichnung bereits angewendet wurde. Wenn die Bezeichnung jedoch bereits angewendet wurde, wird die Bezeichnungseinstellung erst dann wirksam, wenn der Benutzer sich das nächste mal authentifiziert.
Weitere Informationen zu den Abhängigkeiten für die Option „Authentifizierungskontexte“
Um in der Dropdownliste zur Auswahl anzuzeigen, müssen Authentifizierungskontexte als Teil Ihrer Microsoft Entra Konfiguration für bedingten Zugriff erstellt, konfiguriert und veröffentlicht werden. Weitere Informationen und Anweisungen finden Sie im Abschnitt Konfigurieren von Authentifizierungskontexten in der Dokumentation Microsoft Entra bedingten Zugriff.
Nicht alle Apps unterstützen Authentifizierungskontexte. Wenn ein Benutzer mit einer nicht unterstützten App eine Verbindung mit der Site herstellt, die für einen Authentifizierungskontext konfiguriert ist, wird entweder eine Meldung angezeigt, dass der Zugriff verweigert wurde, oder er wird aufgefordert, sich zu authentifizieren, jedoch abgelehnt. Die folgenden Apps unterstützen derzeit Authentifizierungskontexte:
Office im Web, welches Outlook im Web umfasst
Microsoft Teams für Windows und macOS (ausgenommen Teams-Web-App)
Microsoft Planner
Microsoft 365 Apps für Word, Excel und PowerPoint; Mindestversionen:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 2.48.303
- Android: 16.0.13924.10000
Microsoft 365 Apps für Outlook; Mindestversionen:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 4.2109.0
- Android: 4.2025.1
OneDrive-Synchronisierungs-App, Mindestversionen:
- Windows: 21.002
- macOS: 21.002
- iOS: 12.30
- Android: Wird noch nicht unterstützt
Bekannte Einschränkungen:
Bei der OneDrive-Synchronisierungs-App: wird nur für OneDrive und nicht für andere Sites unterstützt.
Die folgenden Features und Apps sind möglicherweise nicht mit Authentifizierungskontexten kompatibel. Daher empfehlen wir Ihnen, zu überprüfen, ob diese weiterhin funktionieren, nachdem ein Benutzer erfolgreich mithilfe eines Authentifizierungskontexts auf eine Website zugegriffen hat:
- Workflows, die Power Apps oder Power Automate verwenden
- Apps von Drittanbietern
Konfigurieren von Einstellungen für den Standardfreigabelinktyp für eine Website mithilfe erweiterter PowerShell-Einstellungen
Zusätzlich zu den Bezeichnungseinstellungen für Websites und Gruppen, die Sie über das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal konfigurieren können, können Sie auch den Standardfreigabelinktyp für eine Website konfigurieren. Vertraulichkeitsbezeichnungen für Dokumente können auch für einen Standardfreigabelinktyp konfiguriert werden. Diese Einstellungen, die dazu beitragen, eine übermäßige Freigabe zu verhindern, werden automatisch ausgewählt, wenn Benutzer die Schaltfläche Freigeben in ihren Office-Apps auswählen.
Weitere Informationen und Anweisungen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Konfigurieren des Standardfreigabelinktyps für Websites und Dokumente in SharePoint und OneDrive.
Konfigurieren von Websitefreigabeberechtigungen mithilfe erweiterter PowerShell-Einstellungen
Eine weitere erweiterte PowerShell-Einstellung, die Sie konfigurieren können, damit die Vertraulichkeitsbezeichnung auf eine SharePoint-Site angewendet wird, ist MembersCanShare. Diese Einstellung ist die entsprechende Konfiguration, die Sie im SharePoint Admin Center >festlegen können Websiteberechtigungen>Websitefreigabe>Ändern Sie, wie MitgliederFreigabeberechtigungen freigeben > können.
Die drei Optionen werden mit den entsprechenden Werten für die erweiterte PowerShell-Einstellung MembersCanShare aufgelistet:
Option über das SharePoint Admin Center | Äquivalenter PowerShell-Wert für "MembersCanShare" |
---|---|
Websitebesitzer und -mitglieder können Dateien, Ordner und die Website freigeben. Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben. | MemberShareAll |
Websitebesitzer und -mitglieder sowie Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben. | MemberShareFileAndFolder |
Nur Websitebesitzer können Dateien, Ordner und die Website freigeben. | MemberShareNone |
Weitere Informationen zu diesen Konfigurationsoptionen finden Sie in der SharePoint-Communitydokumentation unter Freigabemöglichkeiten für Mitglieder ändern.
Beispiel, bei dem die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e ist:
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}
Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.
Verwaltung von Vertraulichkeitsbezeichnungen
Verwenden Sie die folgende Anleitung zum Erstellen, Ändern oder Löschen von Vertraulichkeitsbezeichnungen, die für Websites und Gruppen konfiguriert sind.
Erstellen und Veröffentlichen von Bezeichnungen, die für Websites und Gruppen konfiguriert sind
Verwenden Sie die nachstehenden Anweisungen, um eine Bezeichnung für Ihre Benutzer zu veröffentlichen, wenn diese Bezeichnung für Website-und Gruppeneinstellungen konfiguriert ist:
Nachdem Sie die Vertraulichkeitsbezeichnung erstellt und konfiguriert haben, fügen Sie diese Bezeichnung zu einer Bezeichnungsrichtlinie hinzu, die nur für einige Testbenutzer gilt.
Warten Sie, bis die Änderung repliziert wurde:
- Neue Bezeichnung: Warten Sie mindestens eine Stunde, es sei denn, Ihre konfigurierten Einstellungen enthalten Steuerelemente für freigegebene Teams-Kanäle. Wenn dies der Fall ist, warten Sie mindestens 24 Stunden.
- Vorhandene Bezeichnung: Warten Sie mindestens 24 Stunden.
Weitere Informationen zum zeitlichen Verhalten von Bezeichnungen finden Sie unter Wann werden neue Bezeichnungen und Änderungen voraussichtlich wirksam.
Verwenden Sie nach Ablauf dieser Zeit ein Testbenutzerkonto, um ein Team, eine Microsoft 365-Gruppe oder eine SharePoint-Website mit der Bezeichnung zu erstellen, die Sie in Schritt 1 erstellt haben.
Wenn während des Erstellungsvorgangs keine Fehler auftreten, wissen Sie, dass Sie die Bezeichnung für alle Benutzer in Ihrem Mandanten veröffentlichen können.
Veröffentlichte Bezeichnungen ändern, die für Websites und Gruppen konfiguriert sind
Es wird empfohlen, die Website- und Gruppeneinstellungen für eine Vertraulichkeitsbezeichnung nicht zu ändern, nachdem sie auf Teams, Gruppen oder Websites angewendet wird. Wenn sie dies tun, denken Sie daran, mindestens 24 Stunden zu warten, bis die Änderungen in allen Containern repliziert wurden, auf die die Bezeichnung angewendet wurde.
Wenn Ihre Änderungen die EinstellungZugriff für externe Benutzer einschließen, gilt außerdem:
Die neue Einstellung gilt für neue Benutzer, jedoch nicht für bestehende Benutzer. Wenn diese Einstellung beispielsweise zuvor ausgewählt war und Gastbenutzer auf die Website zugegriffen haben, können diese Gastbenutzer weiterhin auf die Website zugreifen, nachdem diese Einstellung in der Konfigurieren der Bezeichnungen deaktiviert wurde.
Die Datenschutzeinstellungen für die Gruppeneigenschaften "hiddenMembership" und "roleEnabled" werden nicht aktualisiert.
Veröffentlichte Bezeichnungen löschen, die für Websites und Gruppen konfiguriert sind
Wenn Sie eine Vertraulichkeitsbezeichnung löschen, deren Website- und Gruppeneinstellungen aktiviert sind, und diese Bezeichnung in einer oder mehreren Bezeichnungsrichtlinien enthalten ist, kann dies zu Erstellungsfehlern für neue Teams, Gruppen und Websites führen. Folgen Sie dieser Anleitung, um dieses Problem zu vermeiden:
Entfernen Sie die Vertraulichkeitsbezeichnung aus allen Bezeichnungsrichtlinien, in denen die Bezeichnung enthalten ist.
Warten Sie mindestens eine Stunde.
Versuchen Sie nach dieser Wartezeit ein Team, eine Gruppe oder eine Website zu erstellen. Überprüfen Sie, dass die Bezeichnung nicht mehr angezeigt wird.
Wenn die Vertraulichkeitsbezeichnung nicht angezeigt wird, kann sie jetzt bedenkenlos geändert oder gelöscht werden.
Anwenden von Vertraulichkeitsbezeichnungen auf Container
Jetzt können Sie die Vertraulichkeitsbezeichnung(en) auf folgende Container anwenden:
- Microsoft 365-Gruppe in Microsoft Entra ID
- Microsoft-Teams-Teamwebsite
- Microsoft 365 Gruppe in Outlook im Web
- SharePoint-Website
Sie können PowerShell verwenden, wenn Sie eine Vertraulichkeitsbezeichnung auf mehrere Websites anwenden möchten.
Anwenden von Vertraulichkeitsbezeichnungen auf Microsoft 365-Gruppen
Jetzt können Sie die Vertraulichkeitsbezeichnung(en) auf Microsoft 365-Gruppen anwenden. Kehren Sie zur Microsoft Entra Dokumentation zurück, um Anweisungen zu erhalten:
Zuweisen einer Bezeichnung zu einer neuen Gruppe im Azure-Portal
Zuweisen einer Bezeichnung zu einer vorhandenen Gruppe im Azure-Portal
Entfernen einer Bezeichnung von einer vorhandenen Gruppe im Azure-Portal.
Anwenden einer Vertraulichkeitsbezeichnung auf ein neues Team
Benutzer können Vertraulichkeitsbezeichnungen auswählen, wenn sie neue Teams in Microsoft Teams erstellen. Wenn sie die Bezeichnung aus der Dropdownliste Vertraulichkeit auswählen, kann sich die Datenschutzeinstellung entsprechend der Bezeichnungskonfiguration ändern. Abhängig von der für die Bezeichnung festgelegten Einstellung für den externen Benutzerzugriff können Benutzer Personen außerhalb der Organisation zum Team hinzufügen oder nicht.
Weitere Informationen Vertraulichkeitsbezeichnungen für Teams
Nachdem Sie das Team erstellt haben, wird die Vertraulichkeitsbezeichnung in der oberen rechten Ecke aller Kanäle angezeigt.
Der Dienst wendet auf die Microsoft 365-Gruppe und die verbundene SharePoint-Teamwebsite automatisch dieselbe Vertraulichkeitsbezeichnung an.
Anwenden einer Vertraulichkeitsbezeichnung auf eine neue Gruppe in Outlook im Web
Wenn Sie in Outlook im Web eine neue Gruppe erstellen, können Sie die Option Vertraulichkeit für veröffentlichte Bezeichnungen auswählen oder ändern:
Anwenden einer Vertraulichkeitsbezeichnung auf eine neue Website
Administratoren und Endbenutzer können beim Erstellen moderner Teamwebsites und Kommunikationswebsites Vertraulichkeitsbezeichnungen auswählen, und Erweiterte Einstellungen erweitern:
In der Dropdownliste werden die Bezeichnungsnamen für die Auswahl angezeigt, und das Hilfesymbol zeigt alle Bezeichnungsnamen mit entsprechender QuickInfo an, was Benutzern dabei helfen kann, die richtige Bezeichnung auszuwählen.
Wenn die Bezeichnung angewendet wurde und Benutzer zur Website navigieren, werden der Name der Bezeichnung und die angewendeten Richtlinien angezeigt. So wurde dieser Website beispielsweise die Bezeichnung Vertraulich zugewiesen und die Datenschutzeinstellung auf Privat festgelegt:
Verwenden von PowerShell, um eine Vertraulichkeitsbezeichnung auf mehrere Websites anzuwenden
Sie können die Cmdlets Set-SPOSite und Set-SPOTenant mit dem ParameterSensitivityLabel aus der aktuellen SharePoint Online-Verwaltungsshell verwenden, um eine Vertraulichkeitsbezeichnung auf mehrere Websites anzuwenden. Sie können das gleiche Verfahren verwenden, um eine vorhandene Bezeichnung zu ersetzen. Die Websites können eine beliebige SharePoint-Websitesammlung oder eine OneDrive-Website sein.
Stellen Sie sicher, dass Sie über die Version 16.0.19418.12000 oder höher der SharePoint Online-Verwaltungsshell verfügen.
Öffnen Sie eine PowerShell-Sitzung mit der Option als Administrator ausführen.
Wenn Sie die GUID Ihrer Bezeichnung nicht kennen: Stellen Sie eine Verbindung zur Security & Compliance PowerShell her, und rufen Sie die Liste der Vertraulichkeitsbezeichnungen und deren GUIDs ab.
Get-Label |ft Name, Guid
Stellen Sie anschließend eine Verbindung mit SharePoint Online PowerShell her, und speichern Sie die GUID der Bezeichnung als Variable. Zum Beispiel:
$Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
Erstellen Sie eine neue Variable, die mehrere Websites identifiziert, die eine bestimmte Zeichenfolge in ihrer URL gemeinsam haben. Zum Beispiel:
$sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
Führen Sie den folgenden Befehl aus, um die Bezeichnung auf diese Websites anzuwenden. Anhand unserer Beispiele:
$sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
Mit dieser Reihe von Befehlen können Sie mehrere Websites in Ihrem Mandanten mit derselben Vertraulichkeitsbezeichnung beschriften. Daher verwenden Sie das Cmdlet „Set-SPOTenant“ anstelle des Cmdlets „Set-SPOSite“, das für die Konfiguration pro Website verwendet wird. Das Cmdlet „Set-SPOSite“ verwenden Sie hingegen, wenn Sie eine andere Bezeichnung auf bestimmte Websites anwenden müssen. Wiederholen Sie für jede dieser Websites den folgenden Befehl: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"
Vertraulichkeitsbezeichnungen im SharePoint Admin Center aufrufen und verwalten
Verwenden Sie aktive Websites im neuen SharePoint Admin Center, um die angewendeten Vertraulichkeitsbezeichnungen anzuzeigen, zu sortieren und zu durchsuchen. Möglicherweise müssen Sie zuerst die Spalte Vertraulichkeit hinzufügen:
Weitere Informationen zum Verwalten von Websites auf der Seite „Aktive Websites“ sowie zum Hinzufügen einer Spalte finden Sie unter Verwalten von Websites im neuen SharePoint Admin Center.
Auf dieser Seite können Sie auch eine Bezeichnung ändern und anwenden:
Wählen Sie den Websitenamen aus, um den Detailbereich zu öffnen.
Wählen Sie die Registerkarte Richtlinien aus, und wählen Sie dann Bearbeiten für die Einstellung Vertraulichkeit aus.
Wählen Sie im Bereich Vertraulichkeitseinstellung bearbeiten die Vertraulichkeitsbezeichnung aus, die Sie auf die Website anwenden möchten. Im Gegensatz zu Benutzer-Apps, bei denen Vertraulichkeitsbezeichnungen bestimmten Benutzern zugewiesen werden können, zeigt das Admin Center alle Containerbezeichnungen für Ihren Mandanten an. Nachdem Sie eine Vertraulichkeitsbezeichnung ausgewählt haben, wählen Sie Speichern aus.
Support für Vertraulichkeitsbezeichnungen
Wenn Sie Admin Center verwenden, die Vertraulichkeitsbezeichnungen unterstützen, werden mit Ausnahme der Microsoft Entra Admin Center alle Vertraulichkeitsbezeichnungen für Ihren Mandanten angezeigt. Im Vergleich dazu können Benutzer-Apps und -Dienste, die Vertraulichkeitsbezeichnungen nach Veröffentlichungsrichtlinien filtern, dazu führen, dass eine Teilmenge dieser Bezeichnungen angezeigt wird. Der Microsoft Entra Admin Center filtert die Bezeichnungen auch gemäß den Veröffentlichungsrichtlinien.
Die folgenden Apps und Dienste unterstützen Vertraulichkeitsbezeichnungen, die für Websites und Gruppeneinstellungen konfiguriert sind:
Admin Center:
- SharePoint Admin Center
- Teams Admin Center
- Microsoft 365 Admin Center
- Microsoft Purview-Portal
- Microsoft Purview-Complianceportal
Benutzer-Apps und -Dienste:
- SharePoint
- Teams
- Outlook im Web und für Windows, macOS, iOS und Android
- Formulare
- Stream
- Planner
Die folgenden Apps und Dienste unterstützen derzeit keine Vertraulichkeitsbezeichnungen, die für Websites und Gruppeneinstellungen konfiguriert sind:
Admin Center:
- Exchange Admin-Center
Benutzer-Apps und -Dienste:
- Dynamics 365
- Viva Engage
- Project
- Power BI
- Meine Apps-Portal
Klassische Microsoft Entra-Gruppenklassifizierung
Nachdem Sie Vertraulichkeitsbezeichnungen für Container aktiviert haben, werden die Gruppenklassifizierungen aus Microsoft Entra ID von Microsoft 365 nicht mehr unterstützt und nicht auf Websites angezeigt, die Vertraulichkeitsbezeichnungen unterstützen. Sie können ihre alten Klassifizierungen jedoch in Vertraulichkeitsbezeichnungen konvertieren.
Ein Beispiel dafür, wie Sie die alte Gruppenklassifizierung für Microsoft Office SharePoint Online verwendet haben könnten, finden Sie unter Klassifizierung "moderner" Microsoft Office SharePoint Online-Websites.
Diese Klassifizierungen wurden mithilfe von Microsoft Graph PowerShell oder der PnP Core-Bibliothek konfiguriert und werte für die ClassificationList
Einstellung definiert.
($setting["ClassificationList"])
Um Ihre alten Klassifizierungen in Vertraulichkeitsbezeichnungen umzuwandeln, führen Sie einen der folgenden Schritte aus:
Verwenden vorhandener Bezeichnungen: Geben Sie die gewünschten Bezeichnungseinstellungen für Websites und Gruppen an, indem Sie bereits veröffentlichte Vertraulichkeitsbezeichnungen bearbeiten.
Erstellen neuer Bezeichnungen: Geben Sie die gewünschten Bezeichnungseinstellungen für Websites und Gruppen an, indem Sie neue Vertraulichkeitsbezeichnungen mit den gleichen Namen wie Ihre bestehenden Klassifizierungen erstellen und veröffentlichen.
Gehen Sie dann wie folgt vor:
Verwenden Sie PowerShell, um die Vertraulichkeitsbezeichnungen mithilfe von Namenszuordnung auf vorhandene Microsoft 365-Gruppen und SharePoint-Websites anzuwenden. Entsprechende Anweisungen finden Sie im nächsten Abschnitt.
Entfernen Sie die alten Klassifizierungen der bestehenden Gruppen und Websites.
Sie können Benutzer zwar nicht daran hindern, neue Gruppen in Apps und Diensten, die noch keine Vertraulichkeitsbezeichnungen unterstützen, zu erstellen, aber Sie können wiederholt ein PowerShell-Skript ausführen, um nach neuen Gruppen zu suchen, die von Benutzern mit den alten Klassifizierungen erstellt wurden, und diese in Vertraulichkeitsbezeichnungen zu konvertieren.
Informationen zum Verwalten der Koexistenz von Vertraulichkeitsbezeichnungen und Microsoft Entra Klassifizierungen für Websites und Gruppen finden Sie unter Microsoft Entra Klassifizierung und Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen.
Verwenden von PowerShell, um Klassifizierungen für Microsoft 365-Gruppen in Vertraulichkeitsbezeichnungen zu konvertieren
Stellen Sie zunächst mit einem Complianceadministratorkonto eine Verbindung mit Security & Compliance PowerShell her.
Führen Sie das Cmdlet Get-Label aus, um die Liste der Vertraulichkeitsbezeichnungen und deren GUIDs abzurufen:
Get-Label |ft Name, Guid
Notieren Sie sich die GUIDs für die Vertraulichkeitsbezeichnungen, die Sie auf Ihre Microsoft 365-Gruppen anwenden möchten.
Anschließend müssen Sie in einem separaten Windows PowerShell-Fenster eine Verbindung mit Exchange Online PowerShell herstellen.
Verwenden Sie den folgenden Befehl als Beispiel, um die Liste der Gruppen abzurufen, die derzeit die Klassifizierung "Allgemein" aufweisen:
$Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
Fügen Sie für jede Gruppe die neue Vertraulichkeitsbezeichnungs-GUID hinzu. Zum Beispiel:
foreach ($g in $groups) {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
Wiederholen Sie die Schritte 5 und 6 für die restlichen Gruppenklassifizierungen.
Überwachen von Vertraulichkeitsbezeichnungsaktivitäten
Wichtig
Wenn Sie die Bezeichnungstrennung verwenden, indem Sie nur den Bereich Gruppen & Websites für Bezeichnungen auswählen, die Container schützen: Aufgrund des in diesem Abschnitt beschriebenen Überwachungsereignisses erkannter Vertraulichkeitskonflikt zwischen Dokumenten und E-Mails sollten Bezeichnungen vor Bezeichnungen sortiert werden, die einen Bereich für Dateien & anderen Datenressourcen haben.
Wenn jemand ein Dokument auf eine Website hochlädt, die mit einer Vertraulichkeitsbezeichnung geschützt ist, und das Dokument eine Vertraulichkeitsbezeichnung mit höherer Priorität als die auf die Website angewendete Vertraulichkeitsbezeichnung aufweist, wird diese Aktion nicht blockiert. Angenommen, Sie haben die Bezeichnung Allgemein auf eine SharePoint-Website angewendet, und jemand lädt ein Dokument mit der Bezeichnung Vertraulich auf diese Site hoch. Da eine Vertraulichkeitsbezeichnung mit einer höheren Priorität Inhalte kennzeichnet, die eine höhere Vertraulichkeitsstufe aufweisen, als Inhalte mit einer niedrigeren Priorität, könnte dies ein Sicherheitsrisiko darstellen.
Obwohl die Aktion nicht blockiert ist, wird sie überwacht und generiert standardmäßig automatisch eine E-Mail-Nachricht an die Person, die das Dokument hochgeladen hat und den Websiteadministrator. Als Resultat können der Benutzer und der Administrator Dokumente mit abweichender Bezeichnungspriorität identifizieren und bei Bedarf Maßnahmen ergreifen. Löschen oder verschieben Sie zum Beispiel das hochgeladene Dokument von der Website.
Es würde kein Sicherheitsrisiko darstellen, wenn die auf ein Dokument angewendete Vertraulichkeitsbezeichnung eine niedrigere Priorität aufweist als die auf die Website angewendete Vertraulichkeitsbezeichnung. Angenommen, ein Dokument, das als Allgemein bezeichnet ist, wird auf eine Website hochgeladen, die mit Vertraulich bezeichnet ist. In diesem Szenario wird kein Überwachungsereignis und keine E-Mail erzeugt.
Hinweis
Ebenso wie bei der Richtlinienoption, bei der Benutzer eine Begründung für das Ändern einer Bezeichnung in eine niedrigere Klassifizierung angeben müssen, werden Unterbezeichnungen für die gleiche übergeordnete Bezeichnung alle als dieselbe Priorität aufweisend betrachtet.
Um das Überwachungsprotokoll nach diesem Ereignis zu durchsuchen, suchen Sie nach Konflikt in Bezug auf die Vertraulichkeitsbezeichnung eines Dokuments aus der Kategorie Datei- und Seitenaktivitäten.
Die automatisch generierte E-Mail-Nachricht enthält den Betreff Inkompatible Vertraulichkeitskennzeichnung erkannt und in der E-Mail-Nachricht wird der Konflikt der Kennzeichnung mit einem Link zum hochgeladenen Dokument und der Website erläutert. Es enthält auch eine Zeile für Ihre eigene interne Dokumentation: HelpLink : Handbuch zur Problembehandlung. Sie müssen den Link für den Leitfaden zur Problembehandlung konfigurieren, indem Sie das Cmdlet Set-SPOTenant mit dem Parameter LabelMismatchEmailHelpLink verwenden. Zum Beispiel:
Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"
Die E-Mail-Nachricht enthält auch einen Microsoft-Dokumentationslink, der grundlegende Informationen für Benutzer zum Ändern der Vertraulichkeitsbezeichnung enthält: Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Dateien und E-Mails in Office
Mit Ausnahme der internen URL, die Sie angeben müssen, können diese automatisierten E-Mails nicht angepasst werden. Sie können jedoch verhindern, dass sie gesendet werden, wenn Sie den folgenden PowerShell-Befehl von Set-SPOTenant verwenden:
Set-SPOTenant -BlockSendLabelMismatchEmail $True
Wenn jemand einer Website oder Gruppe eine Vertraulichkeitsbezeichnung hinzufügt oder eine Vertraulichkeitsbezeichnung von einer Website oder Gruppe entfernt, werden diese Aktivitäten ebenfalls überwacht, jedoch wird nicht automatisch eine E-Mail erzeugt.
Alle diese Überwachungsereignisse finden Sie im Abschnitt Vertraulichkeitsbezeichnungsaktivitäten in der Dokumentation zu Überwachungsprotokollaktivitäten.
Deaktivieren von Vertraulichkeitsbezeichnungen für Container
Sie können Vertraulichkeitsbezeichnungen für Microsoft Teams, Office 365-Gruppen und SharePoint-Websites unter Verwendung der Anweisungen im Abschnitt Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell deaktivieren. Wenn Sie das Feature jedoch deaktivieren möchten, geben Sie in Schritt 5 $setting["EnableMIPLabels"] = "False"
an.
Diese Aktion sorgt dafür, dass all diese Einstellungen nicht mehr für Gruppen und Websites verfügbar sind, wenn Sie Vertraulichkeitsbezeichnungen erstellen oder bearbeiten. Außerdem wird zurückgesetzt, welche Eigenschaft Container für ihre Konfiguration verwenden. Durch das Aktivieren von Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites wird die eigenschaft von Klassifizierung (für Microsoft Entra Gruppenklassifizierung verwendet) in Vertraulichkeit umgestellt. Wenn Sie Vertraulichkeitsbezeichnungen für Container deaktivieren, ignorieren Container die Eigenschaft „Vertraulichkeit“ und verwenden wieder die Eigenschaft „Klassifizierung“.
Das bedeutet, dass alle Bezeichnungseinstellungen von Websites und Gruppen, die zuvor auf Container angewendet wurden, nicht erzwungen werden und Container die Bezeichnungen nicht mehr anzeigen.
Wenn auf diese Container Microsoft Entra Klassifizierungswerte angewendet werden, rückgängig machen die Container die Klassifizierungen erneut verwenden. Beachten Sie, dass alle neuen Websites oder Gruppen, die nach der Aktivierung des Features erstellt wurden, keine Bezeichnung oder Klassifizierung aufweisen. Für diese Container und alle neuen Container können Sie jetzt Klassifizierungswerte anwenden. Weitere Informationen finden Sie unter SharePoint "moderne" Website-Klassifizierung und Erstellen von Klassifizierungen für Office-Gruppen in Ihrer Organisation.
Weitere Ressourcen
Weitere Informationen zur Verwaltung von mit Teams verbundenen Websites und Kanalwebsites finden Sie unter Verwalten von mit Teams verbundenen Websites und Kanalwebsites.