Freigeben über

Konfigurieren von SharePoint mit einer Vertraulichkeitsbezeichnung zum Erweitern von Berechtigungen auf heruntergeladene Dokumente

  • Artikel

Microsoft 365-Lizenzierungsleitfaden für Sicherheit & Compliance

Hinweis

Die folgenden Funktionen zum Erweitern von SharePoint-Berechtigungen werden schrittweise in der Vorschauversion eingeführt und können sich ändern.

Wenn SharePoint für Vertraulichkeitsbezeichnungen aktiviert ist, können Sie Dokumentbibliotheken so konfigurieren, dass die vorhandenen SharePoint-Websiteberechtigungen auf Dokumente erweitert werden, wenn sie aus der Bibliothek heruntergeladen werden. Anschließend werden alle zuvor nicht bezeichneten Dateien aus dieser Bibliothek weiterhin mit den aktuellen SharePoint-Berechtigungen für den Benutzer geschützt, obwohl die Dateien die ursprüngliche SharePoint-Grenze verlassen haben.

Beispielsweise wählen Sie die Bezeichnung Vertraulich \ Vertrauenswürdige Personen als Vertraulichkeitsbezeichnung aus, um Berechtigungen für eine Dokumentbibliothek zu erweitern. In dieser Bibliothek ist eine Website so konfiguriert, dass nur Leseberechtigungen für eine bestimmten Gruppe von Benutzern zugelassen werden. Ein Benutzer aus dieser Gruppe lädt eine Datei von der Website herunter, und diese Datei wird jetzt als Vertraulich \ Vertrauenswürdig Personen bezeichnet. Auch wenn sich die Datei nicht mehr in SharePoint befindet, kann dieser Benutzer den Inhalt nur anzeigen und nicht bearbeiten oder die Bezeichnung entfernen. Nur Benutzer mit Zugriff auf die Datei in SharePoint haben Zugriff auf die heruntergeladene Datei. Benutzer ohne Zugriff auf die Datei in SharePoint können diese heruntergeladene Datei nicht öffnen, unabhängig davon, wo sie gespeichert ist.

Darüber hinaus verfügt die Datei über eine Just-In-Time-Schutzebene, da der Benutzer, der die Datei heruntergeladen hat, sie auch unter den folgenden Umständen nicht öffnen kann:

  • Berechtigungen für diesen Benutzer werden aus der Datei entfernt.
  • Die Datei wird von der Website gelöscht.
  • Die Website ist nicht mehr aktiv.
  • Die Datei wird auf eine andere Website verschoben.

Wenn die SharePoint-Berechtigungen für den Benutzer geändert werden, werden diese Änderungen für die heruntergeladene Datei wider.

Wenn sich diese bezeichneten Dateien in der Dokumentbibliothek befinden, sind sie auch vor Kopier- und Verschiebungsaktionen geschützt:

  • Die Dateien können nicht auf eine andere Website kopiert oder verschoben werden.
  • Die Dateien können nur dann in eine andere Dokumentbibliothek innerhalb derselben Website kopiert oder verschoben werden, wenn der Benutzer über SharePoint-Berechtigungen zum Erstellen oder Löschen von Listen verfügt.

Die angegebene Vertraulichkeitsbezeichnung wird auf alle Dateien ohne Bezeichnung und auf Dateien angewendet, die mit bezeichnungen versehen sind, aber die Bezeichnungskonfiguration keine Verschlüsselung anwendet. Dateien, die mit OneDrive synchronisiert werden, erhalten ebenfalls eine Bezeichnung.

Für vorhandene Dateien, die beschriftet, aber nicht verschlüsselt sind, wird eine manuell angewendete Bezeichnung ebenfalls durch die angegebene Bezeichnung ersetzt. Eine kurze Zusammenfassung der möglichen Ergebnisse finden Sie auf dieser Seite unter Wird eine vorhandene Bezeichnung überschrieben .

Derzeit können Microsoft 365 Copilot nicht auf ungeöffnete Dateien zugreifen, die mit dieser Konfiguration bezeichnet sind.

Da unverschlüsselte Dateien neu bezeichnet werden können, eignet sich diese Bezeichnungskonfiguration gut für Organisationen, die sich zu einem frühen Zeitpunkt in ihrer Bezeichnungsbereitstellung befinden und noch keine Dateien auf SharePoint-Websites mit anderen Methoden beschriftet haben.

Wird eine vorhandene Bezeichnung überschrieben?

Zusammenfassung der Ergebnisse:

Vorhandene Bezeichnung Überschreiben mit Bibliotheksbezeichnung zum Erweitern von Berechtigungen
Bezeichnung, die mit beliebigen Methoden (manuell, automatisch, Standardbezeichnung aus der Richtlinie) angewendet wird, und Bezeichnungskonfiguration wendet keine Verschlüsselung, keine Priorität an. Ja
Bezeichnung, die mit allen Methoden (manuell, automatisch, Standardbezeichnung aus richtlinie) angewendet wird, und Bezeichnungskonfiguration wendet verschlüsselung, jede Priorität an. Nein

Anforderungen

  • Sie haben Vertraulichkeitsbezeichnungen erstellt und veröffentlicht , die für die Benutzer veröffentlicht werden, die die Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek auswählen. Bezeichnungen erfordern die folgende Konfiguration:

    • Der Bezeichnungsbereich von Dateien und anderen Datenressourcen

    • Die Zugriffssteuerung ist mit der Verschlüsselungseinstellung Benutzern das Zuweisen von Berechtigungen erlauben, wenn sie die Bezeichnung anwenden ausgewählt, und das Kontrollkästchen In Word, PowerPoint und Excel, Benutzer zur Angabe von Berechtigungen auffordern ist aktiviert. Diese Einstellung wird manchmal als "benutzerdefinierte Berechtigungen" bezeichnet.

      Hinweis

      In dieser Anwendung der Bezeichnung werden Benutzer nicht zur Eingabe von Berechtigungen aufgefordert, aber ihre SharePoint-Berechtigungen werden automatisch angewendet, wenn eine Datei von der Website heruntergeladen, kopiert oder verschoben wird.

  • Sie haben Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert. Um diese status zu überprüfen, können Sie in der SharePoint Online-Verwaltungsshell ausführen(Get-SPOTenant).EnableAIPIntegration, um zu bestätigen, dass der Wert auf True festgelegt ist.

  • Ihr Mandant wurde für die gemeinsame Dokumenterstellung für Dateien aktiviert, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind.

  • Um Vertraulichkeitsbezeichnungen für PDF-Dateien zu unterstützen, haben Sie Unterstützung für PDF-Dateien in SharePoint hinzugefügt. Um diese status zu überprüfen, können Sie in der SharePoint Online-Verwaltungsshell ausführen(Get-SPOTenant).EnableSensitivityLabelforPDF, um zu bestätigen, dass der Wert auf True festgelegt ist.

  • Windows-Apps von Microsoft 365 Apps for Enterprise, die Dateien herunterladen, erfordern eine Mindestversion von 2402 aus dem aktuellen Kanal, monatlichen Enterprise-Kanal oder Semi-Annual Enterprise Channel.

  • SharePoint Information Rights Management (IRM) ist für die Bibliothek nicht aktiviert. Diese ältere Technologie ist nicht kompatibel mit der Verwendung einer Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek. Wenn eine Bibliothek für IRM aktiviert ist, können Sie keine Vertraulichkeitsbezeichnung auswählen.

  • Websiteadministratorberechtigungen sind erforderlich, um die Vertraulichkeitsbezeichnung in SharePoint anzuwenden und zu ändern.

  • Dateien müssen Inhalte enthalten, die beschriftet werden sollen.

Wenn Sie eine Liste der Dateitypen überprüfen müssen, die von Vertraulichkeitsbezeichnungen in SharePoint unterstützt werden, finden Sie weitere Informationen unter Unterstützte Dateitypen.

Zuordnung von SharePoint-Berechtigungen zu Nutzungsrechten

Verwenden Sie die folgende Tabelle, um zu verstehen, wie die SharePoint-Berechtigungen für einen Benutzer auf Rechteverwaltungs-Nutzungsrechte und Berechtigungsstufen erweitert werden, wenn eine Datei heruntergeladen oder kopiert und außerhalb der Website verschoben wird.

SharePoint-Berechtigung Angewendete Nutzungsrechte Berechtigungsstufen
Owner Vollständige Kontrolle über den Inhalt, alle Berechtigungen und die angewendete Vertraulichkeitsbezeichnung:

VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER *		 Besitzer
Bearbeiten Vollständige Kontrolle über den Inhalt, aber die angewendete Vertraulichkeitsbezeichnung kann nicht geändert werden:

VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA		 Editor
Lesen Kann den Inhalt anzeigen, aber den Inhalt oder die angewendete Vertraulichkeitsbezeichnung nicht ändern:

VIEW, VIEWRIGHTSDATA		 Viewer

* Derzeit werden diese Nutzungsrechte nicht angewendet. Daher kann der Benutzer die Vertraulichkeitsbezeichnung ändern, aber nicht entfernen.

Begrenzungen

Wenn Sie diese Konfiguration verwenden, gelten die folgenden Einschränkungen:

  • Benutzer können Vertraulichkeitsbezeichnungen, die nicht für die Anwendung der Verschlüsselung konfiguriert sind, nicht manuell anwenden.

  • Benutzer können heruntergeladene Dateien nicht offline öffnen. sie müssen in der Lage sein, eine Verbindung mit dem ursprünglichen Standort herzustellen.

  • Benutzer können heruntergeladene Dateien nicht öffnen, wenn die ursprüngliche SharePoint-Website, der ursprüngliche Ordner oder die ursprüngliche Datei gelöscht wird.

  • Dateien, die mit dieser Konfiguration bezeichnet sind, können nicht auf eine andere Website verschoben oder kopiert werden.

  • Dateien, die mit dieser Konfiguration bezeichnet sind, können nur in eine andere Dokumentbibliothek innerhalb derselben Website verschoben oder kopiert werden, wenn Benutzer über SharePoint-Berechtigungen zum Erstellen oder Löschen von Listen verfügen. Die Bezeichnung wird für die kopierte oder verschobene Datei nicht beibehalten.

  • Diese Konfiguration kann eine zuvor manuell angewendete Bezeichnung außer Kraft setzen, wenn die Bezeichnung nicht für die Anwendung der Verschlüsselung konfiguriert ist.

  • Dateien, die mit dieser Konfiguration beschriftet sind, werden im Inhalts-Explorer derzeit nicht als bezeichnet angezeigt.

  • Microsoft 365 Copilot können auf die bezeichneten Dateien verweisen, wenn Benutzer über SharePoint-Leseberechtigungen für sie verfügen, aber diese Dateien nicht zusammenfassen. Da Dateien nicht zusammengefasst werden können, können sie auch nicht von Copilot zum Generieren neuer Inhalte verwendet werden.

Hinweis

Wie bei allen Dateien, die mit Azure Rights Management verschlüsselt sind, kann ein Superbenutzer verschlüsselte Dokumente öffnen, wenn dies erforderlich ist, da auf den ursprünglichen Speicherort nicht mehr zugegriffen werden kann.

Konfigurieren einer SharePoint-Dokumentbibliothek für eine Vertraulichkeitsbezeichnung, die Berechtigungen auf heruntergeladene Dokumente erweitert

Diese Konfiguration erfordert zunächst, dass Sie die Funktion für den Mandanten mithilfe von PowerShell mit der SharePoint Online-Verwaltungsshell aktivieren. Anschließend wird ein neues Kontrollkästchen für Dokumentbibliothekseinstellungen verfügbar.

Führen Sie den PowerShell-Befehl aus, um die Unterstützung zum Erweitern von SharePoint-Berechtigungen zu aktivieren.

Stellen Sie sicher, dass Sie die SharePoint Online-Verwaltungsshell Version 16.0.25430.12000 oder höher ausführen.

Verwenden Sie zum Aktivieren der neuen Funktionen das Cmdlet Set-SPOTenant mit dem Parameter ExtendPermissionsToUnprotectedFiles :

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos mit SharePoint-Administratorrechten in Microsoft 365 eine Verbindung mit SharePoint her. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.

    Hinweis

    Wenn Sie über Microsoft 365 Multi-Geo verfügen, verwenden Sie den Parameter „-Url“ mit Connect-SPOService, und geben Sie die Website-URL des SharePoint Online-Verwaltungscenters für einen Ihrer geografischen Standorte an.

  2. Führen Sie den folgenden Befehl aus, und drücken Sie Y , um dies zu bestätigen:

    Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true

  3. Für Microsoft 365 Multi-Geo: Wiederholen Sie die Schritte 1 und 2 für jeden Ihrer verbleibenden geografischen Standorte.

Wie bei allen Konfigurationsänderungen auf Mandantenebene für SharePoint dauert es etwa 15 Minuten, bis die Änderung wirksam wird.

Konfigurieren von SharePoint-Dokumentbibliotheken mit einer Standardbezeichnung zum Erweitern von Berechtigungen

Befolgen Sie für jede SharePoint-Dokumentbibliothek, die über diese Konfiguration verfügen soll, die Anweisungen unter Hinzufügen einer Vertraulichkeitsbezeichnung zur SharePoint-Dokumentbibliothek, und aktivieren Sie das Kontrollkästchen Schutz beim Herunterladen, Kopieren oder Verschieben erweitern:

Das Kontrollkästchen

Dieses Kontrollkästchen wird erst angezeigt, wenn der vorherige PowerShell-Befehl abgeschlossen wurde.

Nachdem Sie eine Vertraulichkeitsbezeichnung ausgewählt haben, die Verschlüsselung mit benutzerdefinierten Berechtigungen anwendet, speichern Sie die Konfiguration.

Hinweis

Dieses Feature schließt sich gegenseitig aus mit der Option, eine Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek auszuwählen, die Vertraulichkeitsbezeichnungen ohne Verschlüsselung unterstützt, und Vertraulichkeitsbezeichnungen, die mit der Option Berechtigungen jetzt zuweisen konfiguriert sind (manchmal auch als "vom Administrator definierte Berechtigungen" bezeichnet).

Die ausgewählte Vertraulichkeitsbezeichnung wird auf alle Dateien angewendet, die keine Bezeichnung haben, und auf Dateien, die mit bezeichnungen versehen sind, aber die Bezeichnungskonfiguration keine Verschlüsselung anwendet. In der Spalte Vertraulichkeit für die Dokumentbibliothek wird die ausgewählte Bezeichnung für vorhandene, neue und bearbeitete Dateien angezeigt. Benutzern wird die ausgewählte Bezeichnung angezeigt, wenn sie die Datei zur Bearbeitung öffnen, aber aufgrund der Bezeichnung keine Änderungen an berechtigungen auftreten.

Nachdem die Bibliothek mit der Vertraulichkeitsbezeichnung konfiguriert wurde, werden alle vorhandenen Dateien neu synchronisiert, wenn die Bibliothek über den OneDrive-Synchronisation-Client synchronisiert wird. Der Neusynchronisierungsprozess kann eine Weile dauern, und bis er abgeschlossen ist, wird der erweiterte Schutz nicht angewendet.

Wichtig

In der SharePoint-Dokumentbibliothek, die Sie für die Vertraulichkeitsbezeichnung konfiguriert haben, können Benutzer die angewendete Vertraulichkeitsbezeichnung in ihren Office-Apps nicht entfernen und nur ändern, wenn die Ersatzbezeichnung eine Verschlüsselung anwendet.

Überwachen der Anwendung der Vertraulichkeitsbezeichnung, die SharePoint-Berechtigungen erweitert

Da diese Konfiguration die Funktionalität einer Standard-Vertraulichkeitsbezeichnung für eine Dokumentbibliothek erweitert, überwachen Sie deren Konfiguration auf die gleiche Weise. Die GUID der Vertraulichkeitsbezeichnung identifiziert die Verschlüsselungskonfiguration für benutzerdefinierte Berechtigungen. Es gibt kein separates Bezeichnungsüberwachungsereignis für das Herunterladen, Kopieren oder Verschieben einer Datei.

Deaktivieren dieses Features

Wenn Sie möchten, dass eine bestimmte SharePoint-Dokumentbibliothek berechtigungen nicht mehr mit einer Vertraulichkeitsbezeichnung erweitert, deaktivieren Sie das Kontrollkästchen Schutz beim Herunterladen, Kopieren oder Verschieben erweitern als SharePoint-Dokumentbibliothekseinstellung. Gehen Sie dann wie folgt vor:

  • Dateien in der Dokumentbibliothek, die zuvor mit dieser Konfiguration bezeichnet wurden, rückgängig machen entweder zu ihrer ursprünglichen Bezeichnung, die keine Verschlüsselung angewendet hat, oder ohne Bezeichnung, wenn dies ihre ursprüngliche status war, bevor das Kontrollkästchen aktiviert wurde.

  • Dateien, die mit OneDrive synchronisiert werden, werden neu synchronisiert und auf ähnliche Weise mit ihrer vorherigen Bezeichnung status rückgängig machen. Der Neusynchronisierungsprozess kann eine Weile dauern, und bis er abgeschlossen ist, bleibt der erweiterte Schutz erhalten.

  • Beschriftete Dateien, die jetzt heruntergeladen werden, behalten ihre Bezeichnung bei.

Wenn Sie dieses Feature auf Mandantenebene deaktivieren möchten, wenn es zuvor aktiviert und konfiguriert wurde, deaktivieren Sie zunächst das Kontrollkästchen Schutz beim Herunterladen, Kopieren oder Verschieben erweitern in allen Dokumentbibliotheken, in denen es ausgewählt wurde. Verwenden Sie dann dasselbe Set-SPOTenant-Cmdlet mit dem ExtendPermissionsToUnprotectedFiles-Parameter , aber legen Sie den Wert auf false fest. Gehen Sie dann wie folgt vor:

  • Das Kontrollkästchen Schutz beim Herunterladen, Kopieren oder Verschieben erweitern ist nicht mehr als SharePoint-Dokumentbibliothekseinstellung sichtbar.

Wenn Sie das Feature auf Mandantenebene deaktivieren, ohne zuerst das Kontrollkästchen für eine Dokumentbibliothek zu deaktivieren, bleibt die Konfiguration ohne das Kontrollkästchen, um sie zu deaktivieren.

Führen Sie in diesem Szenario zum Deaktivieren der Konfiguration den PowerShell-Befehl aus, um die Unterstützung zum Erweitern von SharePoint-Berechtigungen so zu aktivieren , dass das Kontrollkästchen erneut angezeigt wird, damit Sie es deaktivieren können. Wenn Sie die Unterstützung auf Mandantenebene nicht erneut aktivieren möchten, wenden Sie sich an Microsoft-Support, um Sie über PowerShell-Befehle zu informieren, um die Konfiguration für eine bestimmte Dokumentbibliothek zu entfernen.

Nächste Schritte

Obwohl diese Konfiguration sofortigen Schutz im großen Stil für in SharePoint gespeicherte Dateien bietet, berücksichtigt sie nicht die Dateiinhalte, die möglicherweise eine höhere Schutzebene erfordern. Erwägen Sie, diese Bezeichnungsmethode durch automatische Bezeichnungen zu ergänzen, bei der die Inhaltsuntersuchung verwendet wird, um Vertraulichkeitsbezeichnungen mit Verschlüsselung anzuwenden.

Übersicht über Microsoft Syntex Advanced Management