Freigeben über


Aufbewahrungsbezeichnungen automatisch anwenden, um Inhalte beizubehalten oder zu löschen

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Hinweis

Dieses Szenario wird für regulatorische Datensätze oder Standardbezeichnungen für eine Organisationsstruktur wie eine Dokumentenmappe oder Bibliothek in SharePoint oder einen Ordner in Exchange nicht unterstützt. Für diese Szenarien ist eine veröffentlichte Richtlinie für Aufbewahrungsbezeichnungen erforderlich.

Eines der leistungsstärksten Features von Aufbewahrungsbezeichnungen ist die Möglichkeit, diese automatisch auf Inhalte anzuwenden, die bestimmte Bedingungen erfüllen. In diesem Fall müssen die Personen in Ihrer Organisation die Bezeichnungen nicht selber anwenden. Das wird von Microsoft 365 erledigt.

Das automatische Anwenden von Aufbewahrungsbezeichnungen ist aus den folgenden Gründen besonders effektiv:

  • Sie müssen die Benutzer nicht schulen, damit sie alle Ihre Klassifizierungen kennen.
  • Sie müssen sich nicht darauf verlassen, dass die Benutzer alle Inhalte richtig klassifizieren.
  • Benutzer müssen nicht mehr über Governance-Richtlinien Bescheid wissen, sondern können sich stattdessen auf ihre Arbeit konzentrieren.

Sie können Aufbewahrungsbezeichnungen automatisch auf Inhalte anwenden, wenn auf diese Inhalte noch keine Aufbewahrungsbezeichnungen angewendet wurden und sie vertrauliche Informationen, Schlüsselwörter oder durchsuchbare Eigenschaften aufweisen oder trainierbaren Klassifizierungsmerkmalen entsprechen. Sie können auch automatisch eine Aufbewahrungsbezeichnung auf Cloudanlagen anwenden, die in SharePoint oder OneDrive gespeichert sind.

Folgende Prozesse können eine Aufbewahrungsbezeichnung entsprechend dieser Bedingungen automatisch anwenden:

Diagramm der Rollen und Aufgaben für automatisch angewendete Bezeichnungen.

Befolgen Sie für die beiden Administratorschritte die nachfolgenden Anweisungen.

Hinweis

Automatische Richtlinien verwenden dienstseitige Bezeichnungen mit Bedingungen, um Aufbewahrungsbezeichnungen automatisch auf Elemente anzuwenden. Sie können eine Aufbewahrungsbezeichnung auch automatisch mit einer Bezeichnungsrichtlinie anwenden. Gehen Sie dazu folgendermaßen vor:

  • Anwenden einer Aufbewahrungsbezeichnung auf ein Microsoft Syntex-Modell
  • Anwenden einer Standard-Aufbewahrungsbezeichnung für SharePoint und Outlook
  • Anwenden einer Aufbewahrungsbezeichnung auf E-Mails mithilfe von Outlook-Regeln

Informationen zu diesen Szenarien finden Sie unter Aufbewahrungsbezeichnungen veröffentlichen und in Apps anwenden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Informationen zum Simulationsmodus

Sie können eine Richtlinie für automatische Bezeichnungen im Simulationsmodus ausführen, wenn sie für eine der folgenden Bedingungen konfiguriert ist:

Ähnlich wie im Simulationsmodus für Richtlinien für die automatische Bezeichnung von Vertraulichkeitsbezeichnungen können Sie mit dieser Ergänzung die Bereitstellung für automatische Bezeichnungen wie den WhatIf-Parameter für PowerShell ausführen. Die Ergebnisse werden so angezeigt, als ob die Richtlinie für die automatische Bezeichnung Die ausgewählte Bezeichnung mit den von Ihnen definierten Bedingungen angewendet hätte. Anschließend können Sie ihre Bedingungen bei Bedarf auf Genauigkeit verfeinern und die Simulation erneut ausführen.

Mit dem Simulationsmodus können Sie auch den Umfang Ihrer Richtlinie zum automatischen Bezeichnen vor dem Einsatz schrittweise vergrößern. Sie können z. B. mit einem einzigen Ort, wie z. B. einer Microsoft Office SharePoint Online-Website, mit einer einzigen Dokumentbibliothek beginnen. Erweitern Sie dann mit iterativen Änderungen den Geltungsbereich auf mehrere Standorte und dann auf einen anderen Standort, z. B. OneDrive.

Typischer Workflow für eine Richtlinie für automatische Bezeichnungen:

  1. Erstellen und konfigurieren Sie eine Aufbewahrungsrichtlinie für automatische Bezeichnungen.

  2. Führen Sie die Richtlinie im Simulationsmodus aus, und warten Sie, bis sie abgeschlossen ist.

  3. Überprüfen Sie die Ergebnisse, und verfeinern Sie ggf. Ihre Richtlinie, und führen Sie die Simulation erneut aus. Warten Sie, bis der Vorgang erneut abgeschlossen ist.

  4. Wiederholen Sie Schritt 3 nach Bedarf.

  5. Stellen Sie in der Produktion bereit, indem Sie die Richtlinie aktivieren.

Im Gegensatz zum Simulationsmodus zum automatischen Anwenden von Vertraulichkeitsbezeichnungen:

  • Der Simulationsmodus ist optional und muss nicht abgeschlossen werden, bevor Sie die Richtlinie aktivieren. Sie können die Richtlinie sogar aktivieren, während die Simulation noch ausgeführt wird.
  • Nach Abschluss der Simulation laufen die Ergebnisse automatisch innerhalb von sieben Tagen ab. Anschließend müssen Sie die Simulation neu starten, um Beispiele für Ihre Richtlinie anzuzeigen.

Weitere Überlegungen zum Simulationsmodus für automatisch angewendete Aufbewahrungsbezeichnungsrichtlinien:

  • In einem Zeitraum von 12 Stunden können maximal 30 Simulationsaufträge aktiv sein.
  • Pro Postfach können maximal 100 Elementproben gesammelt werden.
  • Wenn Sie adaptive Bereiche für Ihre Richtlinie verwenden:
    • Maximal 20.000 Standorte (eine beliebige Kombination aus Websites und Postfächern) werden unterstützt.
    • Da diese Bereiche dynamische Abfragen verwenden, die täglich ausgeführt werden und einige Tage dauern können, bis sie vollständig ausgefüllt sind, warten Und bestätigen Sie ihre Mitgliedschaft , bevor Sie mit der Simulation beginnen.
    • Für die Microsoft 365-Gruppenpostfächer & Standort werden in AuxPrimary-Postfächern gespeicherte Elemente nicht unterstützt.
  • Möglicherweise müssen Ihnen zusätzliche Berechtigungen zugewiesen werden, um die Simulationsergebnisse anzuzeigen. Informationen zu den erforderlichen Rollen finden Sie im nächsten Abschnitt , Bevor Sie beginnen.
  • Die Simulation zählt alle Elemente, die zum Zeitpunkt der Simulation den Richtlinienkriterien entsprechen. Wenn die Richtlinie jedoch aktiviert ist, sind nur Inhalte, die noch nicht gekennzeichnet sind, für die automatische Anwendung von Aufbewahrungsbezeichnungen geeignet.
  • Obwohl die automatische Bezeichnung für typen vertraulicher Informationen für gesendete und empfangene E-Mails anstelle von in Postfächern gespeicherten E-Mails gilt, wird die Simulation für Exchange-Speicherorte für in Postfächern gespeicherte E-Mails ausgeführt. Mithilfe von Verlaufsdaten können Sie die Effektivität der von Ihnen ausgewählten Typen und Konfigurationen vertraulicher Informationen schneller bewerten.
  • Für die Microsoft 365-Gruppenpostfächer & Websites und OneDrive-Konten : Elemente, die in Vermittlungspostfächern gespeichert sind, werden für die Simulation nicht unterstützt.
  • Da die Simulationsergebnisse auf Elementen basieren, die zum Zeitpunkt der Ausführung des Simulationsauftrags an den angegebenen Orten verfügbar sind, sollten Sie beim Aktivieren der Richtlinie die folgenden Überlegungen berücksichtigen:
    • Elemente, die sich nicht mehr am angegebenen Speicherort befinden, werden nicht beschriftet.
    • Elemente, die den Richtlinienkriterien nicht mehr entsprechen, werden nicht bezeichnet.

Auf der Seite Bezeichnungsrichtlinien wird in der Spalte Status die Option In simulation für Richtlinien zur automatischen Bezeichnung angezeigt, die in der Simulation ausgeführt oder für simulation und abgeschlossen konfiguriert sind.

Die Simulation wird in der Regel innerhalb von ein oder zwei Tagen abgeschlossen, abhängig von der Menge der zu analysierenden Daten. Die abgeschlossene Simulation löst eine E-Mail-Benachrichtigung aus, die an den Benutzer gesendet wird, der für den Empfang von Aktivitätsbenachrichtigungen konfiguriert ist.

Um die Simulationsergebnisse anzuzeigen, wählen Sie die Richtlinie auf der Seite Bezeichnungsrichtlinien und im Flyoutbereich Simulation anzeigen aus. Anschließend können Sie alle Beispiele anzeigen, die Anzahl der übereinstimmenden Elemente und die Speicherorte überprüfen, die Richtlinie bearbeiten, die Richtlinie aktivieren oder die Simulation neu starten.

Sehen Sie sich das folgende Beispiel (keine Audiodaten) aus dem Microsoft Purview-Complianceportal an, in dem eine Richtlinie für automatische Bezeichnungen mit dem Namen Persönliche Informationen ausgewählt ist und Simulation anzeigen im Flyoutbereich ausgewählt ist. Dieser Bereich wird dann reduziert, um die Simulationsergebnisse der Richtlinie mit den verfügbaren Aktionen besser zu sehen, um die Richtlinie zu aktivieren oder neu zu starten, sie zu bearbeiten oder zu löschen. Die Simulationsergebnisse auf der Übersichtsseite werden in drei Abschnitten angezeigt: Simulation status, Gesamtüberstimmungen und Standorte. Wenn die Registerkarte Beispiele für Überprüfung ausgewählt ist, wird eine Liste der Dokumente angezeigt, die noch nicht nach Speicherort gefiltert wurden. Die Demonstration endet, aber in dieser Phase können Sie eines der aufgeführten Beispiele auswählen, um es im Vorschaubereich anzuzeigen, oder zuerst die Ergebnisse filtern.

Bevor Sie beginnen

Um sicherzustellen, dass Sie über Berechtigungen zum Erstellen und Bearbeiten von Aufbewahrungsbezeichnungen und deren Richtlinien verfügen, lesen Sie je nach verwendeter Lösung die Informationen zu Berechtigungen für die Datensatzverwaltung oder die Datenlebenszyklusverwaltung.

So führen Sie die Richtlinie im Simulationsmodus aus:

  • Die Überwachung von Microsoft 365 muss aktiviert sein. Wenn Sie die Überwachung aktivieren müssen oder sich nicht sicher sind, ob die Überwachung bereits aktiviert ist, lesen Sie Aktivieren oder Deaktivieren der Überwachungsprotokollsuche.
  • Um die Liste der Beispiele anzuzeigen, müssen Sie über die Rolle Datenklassifizierungslisten-Viewer verfügen, und zum Anzeigen von Datei- oder E-Mail-Inhalten in der Quellansicht müssen Sie über die Rolle Datenklassifizierungs-Inhaltsanzeige verfügen.

Stellen Sie sicher, dass Sie die Aufbewahrungsbezeichnungen erstellt haben, die Sie auf Elemente anwenden möchten.

Hinweis

Sie können die automatische Bezeichnung von Aufbewahrungsbezeichnungen auf Bilder erweitern. Weitere Informationen finden Sie unter Informationen zur optischen Zeichenerkennung in Microsoft Purview.

Erstellen einer Richtlinie für automatisch angewendete Aufbewahrungsbezeichnungen

Entscheiden Sie vor dem Erstellen ihrer Aufbewahrungsbezeichnungsrichtlinie, ob sie adaptiv oder statisch gestaltet werden soll. Weitere Informationen finden Sie unter Adaptive oder statische Richtlinienbereiche für die Aufbewahrung. Wenn Sie sich für die Verwendung einer adaptiven Richtlinie entscheiden, müssen Sie einen oder mehrere adaptive Bereiche erstellen, bevor Sie die Aufbewahrungsbezeichnungsrichtlinie erstellen, und sie dann während des Prozesses zum Erstellen der Aufbewahrungsbezeichnungsrichtlinie auswählen. Anweisungen finden Sie unter Konfigurationsinformationen für adaptive Bereiche.

Wenn Sie eine Richtlinie für die automatische Anwendung erstellen, wird eine gewählte Aufbewahrungsbezeichnung automatisch anhand festgelegter Bedingungen auf Inhalte angewendet.

Für diese Konfiguration können Sie das Microsoft Purview-Portal oder die ältere Microsoft Purview-Complianceportal verwenden.

  1. Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:

    • Melden Sie sich beim Microsoft Purview-Portal an, und führen Sie dann folgendes aus:

      Bei Verwendung der Datensatzverwaltung: Lösungen>Datensatzverwaltungsrichtlinien>>Bezeichnungsrichtlinien>Automatisches Anwenden einer Bezeichnung

      Bei Verwendung der Datenlebenszyklusverwaltung: Lösungen>Datenlebenszyklusverwaltungsrichtlinien>>Bezeichnungsrichtlinien>Automatisches Anwenden einer Bezeichnung

    • Melden Sie sich beim Microsoft Purview-Complianceportal an und dann:

      Bei Verwendung der Datensatzverwaltung: Registerkarte >Bezeichnungsrichtlinien für die Datensatzverwaltung>Automatisches Anwenden einer Bezeichnung

      Bei Verwendung der Datenlebenszyklusverwaltung:Richtlinien> für die Datenlebenszyklusverwaltung>Aufbewahrungsbezeichnungen>Automatisches Anwenden einer Bezeichnung

  2. Geben Sie einen Namen und eine Bezeichnung für diese Richtlinie für die automatische Kennzeichnung ein und wählen Sie dann Weiter aus.

  3. Wählen Sie für Auswählen des Inhaltstyps, den Sie auf dieses Label anwenden möchten eine der verfügbaren Bedingungen aus. Weitere Informationen zu den Auswahlmöglichkeiten finden Sie im Abschnitt Konfigurieren von Bedingungen für das automatische Anwenden von Datenaufbewahrungsbezeichnungen auf dieser Seite.

  4. Für die Seite Administratoreinheiten zuweisen: Wenn Ihr organization Verwaltungseinheiten in Microsoft Entra ID verwendet, kann eine Aufbewahrungsbezeichnungsrichtlinie, die keine SharePoint-Websites enthält, automatisch auf bestimmte Benutzer beschränkt werden, indem Verwaltungseinheiten ausgewählt werden. Wenn Ihrem Konto Verwaltungseinheiten zugewiesen wurden, müssen Sie mindestens eine Verwaltungseinheit auswählen.

    Wenn Sie die Richtlinie nicht mithilfe von Verwaltungseinheiten einschränken möchten oder Ihr organization keine Verwaltungseinheiten konfiguriert hat, behalten Sie den Standardwert Vollständiges Verzeichnis bei. Sie müssen vollständiges Verzeichnis auswählen, damit die Richtlinie den Speicherort für SharePoint-Websites enthält.

  5. Wählen Sie für die Seite Den Typ der Aufbewahrungsrichtlinie zum Erstellen auswählen die Option Adaptiv oder Statisch aus, je nachdem, welche Auswahl Sie in den Anweisungen Bevor Sie beginnen getroffen haben. Wenn Sie noch keine adaptiven Bereiche erstellt haben, können Sie adaptive Bereiche auswählen. Da jedoch keine adaptiven Bereiche ausgewählt werden können, können Sie die Richtlinienkonfiguration nicht mit dieser Option abschließen.

  6. Je nach dem von Ihnen ausgewählten Bereich:

    • Wenn Sie Adaptiv ausgewählt haben: Wählen Sie auf der Seite Adaptive Richtlinienbereiche und Speicherorte auswählen die Option Bereiche hinzufügen aus, und wählen Sie einen oder mehrere erstellte adaptive Bereiche aus. Wählen Sie dann einen oder mehrere Speicherorte aus. Die Speicherorte, die Sie auswählen können, hängt von den hinzugefügten Bereichstypen ab. Wenn Sie beispielsweise nur den Bereichstyp Benutzer hinzugefügt haben, können Sie Exchange-Postfächer auswählen, aber keine SharePoint-Websites.

    • Wenn Sie Statisch ausgewählt haben: Schalten Sie auf der Seite Speicherorte auswählen einen der Speicherorte ein oder aus. Sie können für jeden Speicherort die Standardeinstellung beibehalten, um die Richtlinie auf den gesamten Speicherort anzuwenden oder Ein- und Ausschlüsse angeben

    Informationen zu den Speicherortoptionen finden Sie unter Speicherorte.

  7. Befolgen Sie die Anweisungen, um eine Aufbewahrungsbezeichnung auszuwählen, unabhängig davon, ob die Richtlinie im Simulationsmodus ausgeführt oder aktiviert werden soll (falls zutreffend für die ausgewählte Bedingung), und überprüfen Und übermitteln Sie dann Ihre Konfigurationsoptionen.

Um eine vorhandene Richtlinie für Aufbewahrungsbezeichnungen zu bearbeiten (der Richtlinientyp ist Automatisch anwenden), wählen Sie diese aus und wählen dann die Option Bearbeiten aus, um die Konfiguration zur Bearbeitung der Aufbewahrungsrichtlinie zu starten.

Nach der Bezeichnung von Inhalten mit Hilfe einer automatischen Bezeichnungsrichtlinie kann die angewendete Bezeichnung nicht automatisch entfernt oder geändert werden, indem der Inhalt oder die Richtlinie geändert oder eine neue automatische Bezeichnungsrichtlinie angewendet wird. Weitere Informationen finden Sie unter Jeweils nur eine Aufbewahrungsbezeichnung.

Hinweis

Eine automatisch angewendete Richtlinie für Aufbewahrungsbezeichnungen ersetzt niemals eine auf Inhalte angewendete vorhandene Aufbewahrungsbezeichnung. Wenn Sie Inhalte mithilfe der von Ihnen konfigurierten Bedingungen neu bezeichnen möchten, müssen Sie die aktuelle Aufbewahrungsbezeichnung manuell von vorhandenen Inhalten entfernen.

Konfigurieren der Bedingungen für automatisch angewendete Aufbewahrungsbezeichnungen

Aufbewahrungsbezeichnungen können automatisch auf Inhalte angewendet werden, wenn diese folgende Bedingungen erfüllen:

Alternativ können Sie Aufbewahrungsbezeichnungen automatisch auf neu freigegebene Cloudanlagen anwenden.

Wenn Sie Aufbewahrungsbezeichnungen so konfigurieren, dass sie auf der Grundlage von vertraulichen Informationen, Schlüsselwörtern bzw. durchsuchbaren Eigenschaften oder trainierbaren Klassifizierern automatisch angewendet werden, verwenden Sie die folgende Tabelle, um zu ermitteln, wann Aufbewahrungsbezeichnungen automatisch angewendet werden können.

SharePoint-Elemente, die sich im Entwurf befinden oder nie veröffentlicht wurden, werden für dieses Szenario nicht unterstützt.

Exchange:

Bedingung Elemente während der Übertragung (gesendet oder empfangen) Vorhandene Elemente (ruhende Daten)
Typen vertraulicher Informationen Ja Nein
Bestimmte Schlüsselwörter oder durchsuchbare Eigenschaften Ja Ja
Trainierbare Klassifizierer Ja Ja (nur letzte sechs Monate)

SharePoint und OneDrive:

Bedingung Neue oder geänderte Elemente Vorhandene Elemente
Typen vertraulicher Informationen Ja Ja *
Bestimmte Schlüsselwörter oder durchsuchbare Eigenschaften Ja Ja
Trainierbare Klassifizierer Ja Ja (nur letzte sechs Monate)

Fußnote:

* Gilt nur für Bereits klassifizierte Inhalte, die Sie mithilfe des Inhalts-Explorers ermitteln können.

Automatisches Anwenden von Bezeichnungen auf Inhalte mit bestimmten Typen von vertraulichen Informationen

Wenn Sie Richtlinien für die automatische Anwendung von Aufbewahrungsbezeichnungen für vertrauliche Informationen erstellen, wird dieselbe Liste von Richtlinienvorlagen wie beim Erstellen einer Microsoft Purview-DLP-Richtlinie (Data Loss Prevention, Verhinderung von Datenverlust) angezeigt. Jede Vorlage ist für die Suche nach bestimmten Typen vertraulicher Informationen vorkonfiguriert. Im folgenden Beispiel wurden die Typen vertraulicher Informationen aus der Kategorie Datenschutz und aus der Vorlage "USA – Personenbezogene Daten (PII)" verwendet:

Richtlinienvorlagen mit vertraulichen Informationstypen.

Weitere Informationen zu den Typen vertraulicher Informationen finden Sie unter Informationen zu typen vertraulicher Informationen. Derzeit werden genaue Datenabgleiche basierende Typen vertraulicher Informationen und die Dokumentfingerabdrücke für dieses Szenario nicht unterstützt.

Nachdem Sie eine Richtlinienvorlage ausgewählt haben, können Sie alle Typen vertraulicher Informationen hinzufügen oder entfernen, und Sie können die Zuverlässigkeitsstufe und instance Anzahl ändern. Im vorherigen Beispielscreenshot wurden diese Optionen geändert, sodass eine Aufbewahrungsbezeichnung nur dann automatisch angewendet wird, wenn:

  • Der erkannte Typ vertraulicher Informationen besitzt eine Übereinstimmungsgenauigkeit (oder ein Konfidenzniveau) von mindestens mittlerer Konfidenz für zwei der Typen vertraulicher Informationen und hoher Konfidenz für einen Typ. Viele vertrauliche Informationstypen werden mit mehreren Mustern definiert. Dabei erfordert ein Muster mit einer höheren Übereinstimmungsgenauigkeit mehr Nachweise, um gefunden zu werden (z. B. Stichwörter, Datumsangaben oder Adressen), während ein Muster mit einer niedrigeren Übereinstimmungsgenauigkeit weniger Nachweise erfordert. Je niedriger das Konfidenzniveau, desto einfacher ist es für den Inhalt, die Bedingung zu erfüllen, aber mit dem Potenzial für mehr falsch-positive Ergebnisse.

  • Der Inhalt besteht aus zwischen einer und neun Instanzen von einem dieser drei Typen vertraulicher Informationen. Der Standardwert für den "nach"-Wert ist "Alle".

Weitere Informationen zu diesen Optionen finden Sie in der folgenden Anleitung in der DLP-Dokumentation Testen Ihrer Richtlinien zur Verhinderung von Datenverlust.

Wichtig

Bei vertraulichen Informationstypen gibt es zwei verschiedene Möglichkeiten, um die Parameter für die maximale Anzahl eindeutiger Instanzen zu definieren. Weitere Informationen finden Sie unter Unterstützte Werte für die Instanzenanzahl für SIT.

Folgendes ist bei der Verwendung von Typen vertraulicher Informationen zum automatischen Anwenden von Aufbewahrungsbezeichnungen zu beachten:

  • Wenn Sie benutzerdefinierte Typen vertraulicher Informationen verwenden, können diese vorhandene Elemente in SharePoint und OneDrive nicht automatisch beschriften.

Automatisches Anwenden von Bezeichnungen auf Inhalte mit Stichwörtern oder durchsuchbare Eigenschaften

Sie können Bezeichnungen automatisch auf Inhalte anwenden, indem Sie eine Abfrage verwenden, die bestimmte Wörter, Ausdrücke oder Werte von durchsuchbaren Eigenschaften enthält. Sie können Ihre Abfrage mithilfe von Suchoperatoren wie AND, OR und NOT verfeinern.

Abfrage-Editor.

Weitere Informationen zur Abfragesyntax, bei der die Keyword Query Language (KQL) angewendet wird, finden Sie unter Syntaxreferenz für die Keyword Query Language (KQL).

Abfragebasierte Richtlinien für die automatische Anwendung verwenden den gleichen Suchindex wie die eDiscovery-Inhaltssuche, um Inhalte zu identifizieren. Weitere Informationen zu den durchsuchbaren Eigenschaften, die Sie verwenden können, finden Sie unter Stichwortabfragen und Suchbedingungen für die Inhaltssuche.

Folgendes muss berücksichtigt werden, wenn Sie Stichwörter oder durchsuchbare Eigenschaften verwenden, um Aufbewahrungsbezeichnungen automatisch anzuwenden:

  • Für SharePoint werden durchforstete Eigenschaften und benutzerdefinierte Eigenschaften für diese KQL-Abfragen nicht unterstützt und Sie dürfen nur vordefinierte verwaltete Eigenschaften für Dokumente verwenden. Sie können jedoch Zuordnungen auf Mandantenebene mit den vordefinierten verwalteten Eigenschaften verwenden, die standardmäßig als Einschränkungen aktiviert sind (RefinableDate00-19, RefinableString00-99, RefinableInt00-49, RefinableDecimals00-09 und RefinableDouble00-09). Weitere Informationen finden Sie unter Übersicht über durchforstete und verwaltete Eigenschaften in SharePoint Server. Anweisungen finden Sie unter Erstellen einer neuen verwalteten Eigenschaft.

  • Wenn Sie eine benutzerdefinierte Eigenschaft einer der Einschränkungseigenschaften zuordnen, warten Sie 24 Stunden, bevor Sie sie in Ihrer KQL-Abfrage für eine Aufbewahrungsbezeichnung verwenden.

  • Verwaltete SharePoint-Eigenschaften können zwar durch die Verwendung von Aliasen umbenannt werden, Sie sollten diese aber nicht für KQL-Abfragen in Ihren Bezeichnungen verwenden. Sie müssen immer den tatsächlichen Namen der verwalteten Eigenschaft angeben, z. B "RefinableString01".

  • Um nach Werten zu suchen, die Leerzeichen oder Sonderzeichen enthalten, schließen Sie den Suchbegriff in doppelte Anführungszeichen (" ") ein; z. B. subject:"Financial Statements".

  • Verwenden Sie die Eigenschaft DocumentLink anstelle von Path, um ein Element auf der Grundlage seiner URL zuzuordnen.

  • Suffix-Platzhaltersuchen (z. B. *cat) oder Platzhaltersuchen mit Teilzeichenfolgen (z. B. *cat*) werden nicht unterstützt. Präfixsuchen mit Platzhaltern (z. B. cat*) werden jedoch unterstützt.

  • Beachten Sie, dass teilweise indizierte Elemente dafür verantwortlich sein können, dass Elemente, die eigentlich mit Bezeichnungen versehen werden sollten, nicht bezeichnet werden, oder dass Elemente mit Bezeichnungen versehen werden, von denen Sie erwarten, dass sie von der Bezeichnung ausgeschlossen werden, wenn Sie den Operator NOT verwenden. Weitere Informationen finden Sie unter Teilweise indizierte Elemente in der Inhaltssuche.

  • Wir empfehlen, keine Leerzeichen zwischen Wörtern in RefinableStrings-Werten in Dokumenten zu verwenden. RefinableString ist keine Wörterumbrucheigenschaft.

Beispiele für Abfragen:

Arbeitslast Beispiel
Exchange subject:"Financial Statements"
Exchange recipients:garthf@contoso.com
SharePoint contenttype:document
SharePoint site:https://contoso.sharepoint.com/sites/teams/procurement AND contenttype:document
Exchange oder SharePoint "customer information" OR "private"

Komplexerer Beispiele:

Die folgende Abfrage für SharePoint identifiziert Word-Dokumente oder Excel-Kalkulationstabellen, wenn diese Dateien die Stichwörter password, passwords oder pw enthalten:

(password OR passwords OR pw) AND (filetype:doc* OR filetype:xls*)

Die folgende Abfrage für Exchange identifiziert ein beliebiges Word-Dokument oder eine PDF-Datei, die das Wort nda oder den Ausdruck non disclosure agreement enthält, wenn diese Dokumente an eine E-Mail angefügt werden:

(nda OR "non disclosure agreement") AND (attachmentnames:.doc* OR attachmentnames:.pdf)

Die folgende Abfrage für SharePoint identifiziert Dokumente, die eine Kreditkartennummer enthalten:

sensitivetype:"credit card number"

Die folgende Abfrage enthält einige typische Stichwörter, die Ihnen dabei helfen sollen, Dokumente oder E-Mails mit rechtlichen Inhalten zu identifizieren:

ACP OR (Attorney Client Privilege*) OR (AC Privilege)

Die folgende Abfrage enthält typische Stichwörter, die Ihnen dabei helfen sollen, Dokumente oder E-Mails mit Personaldaten zu identifizieren:

(resume AND staff AND employee AND salary AND recruitment AND candidate)

Beachten Sie, dass dieses letzte Beispiel die bewährte Methode verwendet, immer Operatoren zwischen Schlüsselwörtern einzufügen. Ein Leerzeichen zwischen Schlüsselwörtern (oder zwei property:value Ausdrücken) entspricht der Verwendung von AND. Durch das hinzufügen von Operatoren ist es einfacher zu erkennen, dass diese Beispielabfrage nur Inhalte identifiziert, die alle diese Schlüsselwörter enthalten, anstatt Inhalte, die eines der Schlüsselwörter enthalten. Wenn Sie Inhalte identifizieren möchten, die einzelne der angegebenen Stichwörter enthalten, verwenden Sie OR anstelle von AND. Wie dieses Beispiel verdeutlicht, lässt sich die Abfrage einfacher interpretieren, wenn die Operatoren immer angegeben sind.

Aufzeichnungen und Transkripte für Microsoft Teams-Besprechungen

Um Microsoft-Besprechungsaufzeichnungen und Transkripts zu identifizieren, die in den OneDrive-Konten der Benutzer oder in SharePoint gespeichert sind, geben Sie Folgendes für den Schlüsselwortabfrage-Editor an:

ProgID:Media AND ProgID:Meeting

In den meisten Fällen werden Besprechungsaufzeichnungen und Transkripte auf OneDrive gespeichert. Für Kanalbesprechungen werden sie jedoch in SharePoint gespeichert. Weitere Informationen finden Sie unter Verwenden von OneDrive und SharePoint zum Speichern von Besprechungsaufzeichnungen.

Die Abfrage identifiziert Folgendes:

  • Ein Teams-Besprechungstranskript, wenn keine begleitende Aufzeichnung vorhanden ist
  • Aufzeichnung einer Teams-Besprechung und begleitendes Transkript

Da Videotranskripte mit dem Video in OneDrive oder SharePoint gespeichert werden, können sie nicht separat aufbewahrt werden, wenn eine Videodatei für Teams-Besprechungsaufzeichnungen vorhanden ist.

Identifizieren von Dateien und E-Mails mit einer Vertraulichkeitsbezeichnung

Um Dateien in SharePoint- oder OneDrive- und Exchange-E-Mails zu identifizieren, auf die eine bestimmte Vertraulichkeitsbezeichnung angewendet wurde, geben Sie Folgendes für den Abfrage-Editor für Schlüsselwörter ein:

InformationProtectionLabelId:<GUID>

Verwenden Sie zum Suchen der GUID das Cmdlet Get-Label aus dem Security & Compliance PowerShell:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Automatisches Anwenden von Bezeichnungen auf Inhalte mithilfe von trainierbare Klassifizierungen

Wichtig

Derzeit können trainierbare Klassifizierer für die automatische Bezeichnung nicht mit adaptiven Bereichen verwendet werden. Verwenden Sie stattdessen einen statischen Bereich.

Wenn Sie die Option für einen trainierbaren Klassifizierer auswählen, können Sie einen oder mehrere der vorab trainierten oder benutzerdefinierten trainierbaren Klassifizierer auswählen:

Trainierbare Klassifizierung auswählen.

Die verfügbaren vortrainierten Klassifikatoren werden häufig aktualisiert, so dass möglicherweise mehr Einträge zur Auswahl stehen, als in diesem Screenshot angezeigt werden.

Weitere Informationen über trainierbare Klassifizierer finden Sie unter Weitere Informationen zu trainierbaren Klassifizierern.

Um mithilfe dieser Option automatisch eine Bezeichnung anzuwenden, müssen sowohl SharePoint-Websites als auch Postfächer über mindestens 10 MB an Daten verfügen.

Folgendes ist bei der Verwendung von trainierbaren Klassifizierungsmerkmalen zum automatischen Anwenden von Aufbewahrungsbezeichnungen zu beachten:

  • Sie können SharePoint- und OneDrive-Elemente, die älter als sechs Monate sind, nicht automatisch beschriften.

Automatisches Anwenden von Bezeichnungen auf Cloudanlagen

Hinweis

Die Unterstützung für Cloudanlagen, die in Viva Engage freigegeben sind, befindet sich in der Vorschauphase.

Möglicherweise müssen Sie diese Option verwenden, wenn Sie alle Kopien von Dateien in Ihrem Mandanten erfassen und aufbewahren müssen, die über die Kommunikation von Benutzern gesendet werden, oder Dateien, auf die in Microsoft 365 Copilot oder Microsoft Copilot verwiesen wird. Sie verwenden diese Option in Verbindung mit Aufbewahrungsrichtlinien für die Kommunikationsdienste selbst. Exchange, Teams, Viva Engage und Copilot.

Wichtig

Wenn Sie eine Bezeichnung auswählen, die zum automatischen Anwenden von Aufbewahrungsbezeichnungen für Cloudanlagen verwendet werden soll, stellen Sie sicher, dass die Aufbewahrungseinstellung für Bezeichnungen Den Aufbewahrungszeitraum beginnen auf Basis von auf Wenn Elemente bezeichnet wurden festgelegt ist.

Cloudanlagen, manchmal auch als moderne Anlagen bezeichnet, sind ein Freigabemechanismus, der eingebettete Links zu Dateien verwendet, die in der Cloud gespeichert sind. Sie unterstützen zentralisierten Speicher für freigegebene Inhalte mit gemeinsamen Vorteilen wie der Versionskontrolle. Cloudanlagen sind keine angefügten Kopien einer Datei oder ein URL-Textlink zu einer Datei. Es wird jedoch auch Unterstützung für URL-Textlinks unterstützt. Möglicherweise ist es hilfreich, sich auf die visuellen Checklisten für unterstützte Cloudanlagen in Outlook, Teams und Viva Engage zu beziehen.

Wenn Sie die Option zum Anwenden einer Aufbewahrungsbezeichnung auf Cloudanlagen auswählen, wird aus Compliancegründen zum Zeitpunkt der Freigabe eine Kopie dieser Datei erstellt. Die ausgewählte Aufbewahrungsbezeichnung wird dann auf die Kopie angewendet, die dann mithilfe von eDiscovery identifiziertwerden kann. Den Benutzern ist die Kopie nicht bekannt, die in der Permanenten Aufbewahrungsbibliothek gespeichert ist. Die Aufbewahrungsbezeichnung wird nicht auf die Nachricht selbst oder auf die ursprüngliche Datei angewendet.

Wenn die Datei geändert und erneut freigegeben wird, wird eine neue Kopie der Datei als neue Version im permanenten Dokumentarchiv gespeichert. Weitere Informationen, einschließlich der Gründe, warum Sie die Bezeichnungseinstellung Wenn Elemente bezeichnet wurden verwenden sollten, finden Sie unter Funktionsweise der Aufbewahrung mit Cloudanlagen.

Die für diese Option unterstützten Cloudanlagen sind Dateien wie Dokumente, Videos und Bilder, die in SharePoint und OneDrive gespeichert sind. Für Teams werden Cloudanlagen, die in Chatnachrichten freigegeben werden, sowie Standard- und private Kanäle unterstützt. Für Viva Engage werden Cloudanlagen unterstützt, die für Benutzer in Storylines, Communitybeiträgen und Posteingangsnachrichten freigegeben werden. Für Copilot werden Dateien unterstützt, auf die in der Chatunterhaltung auf Benutzer verwiesen wird und auf die von Benutzern verwiesen wird.

Cloudanlagen, die über Besprechungseinladungen und andere Apps als Teams, Outlook, Viva Engage und Copilot freigegeben werden, werden nicht unterstützt. Die Cloudanlagen müssen von Benutzern oder Copilot freigegeben werden. Cloudanlagen, die über Bots gesendet werden, werden nicht unterstützt.

Obwohl für diese Option nicht erforderlich, sollten Sie sicherstellen, dass die Versionsverwaltung für Ihre SharePoint-Websites und OneDrive-Konten aktiviert ist, damit die freigegebene Version genau erfasst werden kann. Wenn die Versionsverwaltung nicht aktiviert ist, wird die letzte verfügbare Version beibehalten. Dokumente im Entwurf oder Dokumente, die noch nie veröffentlicht wurden, werden nicht unterstützt.

Wenn Sie eine Bezeichnung auswählen, die zum automatischen Anwenden von Aufbewahrungsbezeichnungen für Cloudanlagen verwendet werden soll, stellen Sie sicher, dass die Aufbewahrungseinstellung für Bezeichnungen Den Aufbewahrungszeitraum beginnen auf Basis von auf Wenn Elemente bezeichnet wurden festgelegt ist.

Wenn Sie die Speicherorte für diese Option konfigurieren, können Sie Folgendes auswählen:

  • Klassische SharePoint- und Kommunikationswebsites für freigegebene Dateien, die auf SharePoint-Kommunikationswebsites gespeichert sind, Teamwebsites, die nicht durch Microsoft 365-Gruppen verbunden sind, und klassische Websites.
  • Microsoft 365-Gruppen für freigegebene Dateien, die auf Teamwebsites gespeichert sind, die durch Microsoft 365 Gruppen verbunden sind.
  • OneDrive-Konten für freigegebene Dateien, die auf dem OneDrive der Benutzer gespeichert sind.

Sie müssen separate Aufbewahrungsrichtlinien erstellen, wenn Sie die ursprünglichen Dateien, E-Mail-Nachrichten oder Nachrichten von Teams und Copilot beibehalten oder löschen und Viva Engage möchten.

Hinweis

Wenn beibehaltene Cloudanlagen gleichzeitig mit den Nachrichten ablaufen sollen, die sie enthielten, konfigurieren Sie die Aufbewahrungsbezeichnung so, dass sie die gleichen Aufbewahrungs- und Löschaktionen und -zeitangaben wie Ihre Aufbewahrungsrichtlinien für Exchange, Teams und Copilot und Viva Engage hat.

Zu berücksichtigen bei der automatischen Anwendung von Aufbewahrungsetiketten auf Cloudanlagen:

  • Viva Engage muss sich im einheitlichen Modus befinden, um Cloudanlagen zu unterstützen.

  • Wenn Cloudanlagen und Links in einer Teams- oder Viva Engage Nachricht geändert werden, nachdem die Nachricht durch Bearbeiten der Nachricht gesendet wurde, werden diese geänderten Cloudanlagen und -links nicht für die Aufbewahrung unterstützt.

  • Wenn ein Benutzer einer Teams-Unterhaltung hinzugefügt wird und Zugriff auf den vollständigen Verlauf der Unterhaltung erhält, kann dieser Verlauf Cloudanlagen und URL-Textlinks enthalten. Wenn diese Anlagen innerhalb von 48 Stunden nach dem Hinzufügen des Benutzers zur Unterhaltung freigegeben wurden, werden aktuelle Kopien der Anlagen automatisch zur Aufbewahrung gekennzeichnet. Anlagen, die vor diesem Zeitraum freigegeben wurden, werden für neu hinzugefügte Benutzer nicht unterstützt.

  • Anlagen und Links, die außerhalb von Teams, Outlook, Viva Engage und Copilot freigegeben werden, werden nicht unterstützt, und die Anlagen und Links müssen Inhalte sein, die in SharePoint oder OneDrive gespeichert sind.

  • Cloudanlagen und -links in verschlüsselten E-Mails oder verschlüsselten Nachrichten werden nicht unterstützt.

  • Das Freigeben einer vorhandenen Viva Engage Nachricht für eine Anlage wird nicht unterstützt.

  • Spezifisch für freigegebene Dokumente aus URL-Textlinks:

    • Unterstützt im Nachrichtentext, aber nicht im E-Mail-Betreff oder im Teams-Kanal betreff, ankündigung oder unterüberschriften.
    • Nicht unterstützt für vorherige Antworten im selben Thread, nur die aktuelle Nachricht
    • Gesamtlimit von 25 Anlagen in einer einzelnen Nachricht, wobei dieser Höchstwert eine beliebige Kombination aus Cloudanlagen und freigegebenen Dokumenten aus URL-Textlinks sein kann.
    • Nicht mehr als 5.000 Zeichen im ursprünglichen E-Mail-Text oder in Teams-, Copilot- und Viva Engage-Nachrichten unterstützt
  • Die folgenden Elemente werden nicht als Anlagen unterstützt, die beibehalten werden können:

    • SharePoint-Websites, Seiten, Listen, Formulare, Ordner, Dokumentenmappen und OneNote-Seiten.
    • Dateien, die von Benutzern freigegeben werden, die zum Zeitpunkt der Freigabe keinen Zugriff auf diese Dateien haben.
    • Dateien, die gelöscht oder verschoben werden, bevor die Cloudanlage gesendet wird. Beispielsweise kopiert und fügt ein Benutzer eine zuvor freigegebene Anlage aus einer anderen Nachricht ein, ohne zuvor zu bestätigen, dass die Datei noch verfügbar ist. Oder, wenn jemand eine alte Nachricht weiterleitet, zumal die Datei zum jetzigen Zeitpunkt gelöscht ist.
    • Dateien, die von Gästen oder Benutzern außerhalb Ihrer Organisation freigegeben werden.
    • Dateien in E-Mail-Entwürfen und Nachrichten, die nicht gesendet werden.
    • Leere Dateien.

Wie lange es dauert, bis Aufbewahrungsbezeichnungen wirksam werden

Wenn Sie Aufbewahrungsbezeichnungen automatisch auf der Grundlage von vertraulichen Informationen, Schlüsselwörtern bzw. durchsuchbaren Eigenschaften oder trainierbaren Klassifizierern anwenden, kann es bis zu sieben Tage dauern, bis die Aufbewahrungsbezeichnungen angewendet werden:

Diagramm, in dem dargestellt wird, wann die Bezeichnungen für die automatische Anwendung wirksam werden.

Wenn die erwarteten Bezeichnungen nach sieben Tagen nicht angezeigt werden, überprüfen Sie den Status der automatisch angewendeten Richtlinie, indem Sie sie auf der Seite Bezeichnungsrichtlinien im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal auswählen. Wenn der Status Aus (Fehler) angezeigt wird und in den Details für die Standorte eine Meldung angezeigt wird, dass die Bereitstellung der Richtlinie (für SharePoint) oder der Versuch der Neuverteilung der Richtlinie (für OneDrive) länger als erwartet dauert, versuchen Sie, den PowerShell-Befehl Set-RetentionCompliancePolicy auszuführen, um die Richtlinienverteilung erneut zu versuchen:

  1. Herstellen einer Verbindung zur Security & Compliance Center-PowerShell.

  2. Führen Sie den folgenden Befehl aus:

    Set-RetentionCompliancePolicy -Identity <policy name> -RetryDistribution
    

Aktualisieren von Aufbewahrungsbezeichnungen und der entsprechenden Richtlinien

Für Richtlinien für die automatisch angewendeten Aufbewahrungsbezeichnungen, die für vertrauliche Informationen, Schlüsselwörter oder durchsuchbare Eigenschaften oder eine Übereinstimmung mit trainierbaren Klassifizierern konfiguriert sind: Wenn eine Aufbewahrungsbezeichnung aus der Richtlinie bereits auf Inhalte angewendet wird, wird zusätzlich zu den neu identifizierten Inhalten automatisch eine Änderung der Konfiguration der ausgewählten Bezeichnung und Richtlinie auf diesen Inhalt angewendet.

Für Richtlinien für die automatisch angewendeten Aufbewahrungsbezeichnungen, die für Cloudanlagen konfiguriert sind: Da diese Richtlinie für neu freigegebene Dateien und nicht für vorhandene Dateien gilt, wird eine Änderung der Konfiguration der ausgewählten Bezeichnung und Richtlinie automatisch nur auf neu freigegebene Inhalte angewendet.

Einige Einstellungen können nicht geändert werden, nachdem die Bezeichnung oder Richtlinie erstellt und gespeichert wurde. Dazu gehören:

  • Namen für Aufbewahrungskennzeichen und deren Richtlinien, der Bereichstyp (adaptiv oder statisch) und die Aufbewahrungseinstellungen mit Ausnahme des Aufbewahrungszeitraums.
  • Die Option zum Markieren von Elementen als Datensatz.

Löschen von Aufbewahrungsbezeichnungen.

Um eine Aufbewahrungsbezeichnung zu löschen, müssen alle drei Bedingungen gelten:

  • Die Bezeichnung ist in keiner Aufbewahrungsbezeichnungsrichtlinie enthalten.
  • Die Bezeichnung ist nicht für die ereignisbasierte Aufbewahrung konfiguriert.
  • Die Bezeichnung ist nicht so konfiguriert, dass Elemente als regulatorische Datensätze markiert werden.

Wenn alle diese Bedingungen erfüllt sind:

  • Sie können eine Aufbewahrungsbezeichnung jederzeit löschen, die Elemente nicht als Datensätze markiert (manchmal auch als "Standardaufbewahrungsbezeichnung" bezeichnet). Der Löschvorgang ist auch dann erfolgreich, wenn die Bezeichnung auf Elemente angewendet wird und die Aufbewahrungsbezeichnung dann aus diesen Elementen entfernt wird.

  • Sie können eine Aufbewahrungsbezeichnung löschen, die Elemente nur dann als Datensätze markiert, wenn die Bezeichnung nicht auf Elemente angewendet wird. Wenn die Bezeichnung auf Elemente angewendet wurde, schlägt der Löschvorgang fehl, und Sie sehen einen Link zum Inhalts-Explorer, um die bezeichneten Elemente zu identifizieren. Es kann bis zu zwei Tage dauern, bis der Inhalts-Explorer die elemente angezeigt hat, die beschriftet sind. In diesem Szenario wird die Aufbewahrungsbezeichnung möglicherweise gelöscht, ohne dass die Verknüpfung zum Inhaltsexplorer angezeigt wird.

Sperren der Richtlinie, um Änderungen vorzubeugen

Wenn Sie sicherstellen müssen, das niemand die Richtlinie deaktivieren, löschen oder weniger restriktiv machen kann, lesen Sie Verwenden der Erhaltungssperre zum Einschränken von Änderungen an Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungsrichtlinien.

Problembehandlung bei Aufbewahrungsbezeichnungsrichtlinien

Wenn Ihre Richtlinien für die automatische Anwendung von Aufbewahrungsbezeichnungen nicht wie erwartet funktionieren oder Fehler im Zusammenhang mit diesen Richtlinien angezeigt werden, verwenden Sie die folgenden Ressourcen zur Problembehandlung:

Wenn Sie auch das ältere Feature, MRM-Aufbewahrungstags und Aufbewahrungsrichtlinien verwenden, finden Sie weitere Informationen unter Automatisches Anwenden der Aufbewahrungsbezeichnung gilt nicht für Elemente in einem Postfach.

Nächste Schritte

So können Sie die Bezeichnungen nachverfolgen, die von Ihren Richtlinien für automatische Bezeichnungen angewendet werden:

Unter Verwenden von Aufbewahrungsbezeichnungen zum Verwalten des Lebenszyklus von in SharePoint gespeicherten Dokumenten finden Sie ein Beispielszenario, in dem eine automatisch angewendete Richtlinie für Aufbewahrungsbezeichnungen mit verwalteten Eigenschaften in SharePoint und die ereignisbasierte Aufbewahrung zum Starten des Aufbewahrungszeitraums verwendet wird.