Vertraulichkeitsbezeichnungen automatisch anwenden

  • 6 Minuten

Wenn Sie ein Empfindlichkeitsetikett erstellen, können Sie dieses Etikett automatisch Dateien und E-Mails zuweisen, wenn es den von Ihnen angegebenen Bedingungen entspricht. Die Möglichkeit, Vertraulichkeitsbezeichnungen automatisch auf Inhalte anzuwenden, ist aus den folgenden Gründen wichtig:

  • Sie müssen die Benutzer nicht schulen, damit sie alle Ihre Klassifizierungen kennen.
  • Sie müssen sich nicht darauf verlassen, dass die Benutzer alle Inhalte richtig klassifizieren.
  • Die Benutzer müssen nicht mehr über Ihre Richtlinien informiert werden. Sie können sich stattdessen auf ihre Arbeit konzentrieren.

Es gibt zwei unterschiedliche Methoden für die automatische Anwendung einer Vertraulichkeitsbezeichnung auf Inhalte in Microsoft 365:

  • Clientseitige Bezeichnung, wenn Benutzer Dokumente bearbeiten oder E-Mails verfassen (auch beantworten oder weiterleiten). Verwenden Sie eine Bezeichnung, die Sie für die automatische Bezeichnung von Dateien und E-Mails konfiguriert haben (einschließlich Word, Excel, PowerPoint und Outlook).

    Diese Methode unterstützt die Empfehlung einer Bezeichnung für Benutzer und die automatische Anwendung einer Bezeichnung. In beiden Fällen entscheidet der Benutzer aber, ob die Bezeichnung angenommen oder abgelehnt werden soll, um die richtige Bezeichnung von Inhalten zu gewährleisten. Diese clientseitige Bezeichnung hat eine minimale Verzögerung für Dokumente zur Folge, da Sie die Bezeichnung bereits vor dem Speichern des Dokuments anbringen können. Allerdings unterstützen nicht alle Client-Anwendungen die automatische Bezeichnung. Die integrierte Bezeichnung unterstützt diese Fähigkeit bei einigen Versionen von Office und auch beim Microsoft Entra ID Protection Unified Labeling Client.

    Eine Anleitung zur Konfiguration finden Sie unter So konfigurieren Sie die automatische Bezeichnung für Office-Anwendungen.

  • Dienstseitige Bezeichnung, wenn Sie bereits Inhalte gespeichert (in SharePoint oder OneDrive) oder per E-Mail verschickt (von Exchange Online verarbeitet) haben. Verwenden Sie eine Richtlinie für automatische Bezeichnung.

    Diese Methode wird auch als automatische Bezeichnung für Daten im Ruhezustand (Dokumente in SharePoint und OneDrive) und für Daten im Transit (E-Mails, die Exchange sendet oder empfängt) bezeichnet. Exchange umfasst keine E-Mails im Ruhezustand (Postfächer).

    Da die Dienste diese Bezeichnung nicht nach Anwendungen vornehmen, müssen Sie sich keine Gedanken darüber machen, welche Anwendungen die Benutzer haben und welche Version. Dadurch macht das System diese Fähigkeit im gesamten Unternehmen sofort verfügbar. Es eignet sich auch für die Bezeichnung in großem Maßstab. Richtlinien für automatische Bezeichnung unterstützen keine empfohlenen Bezeichnungen, da der Benutzer nicht in den Bezeichnungsprozess eingreift. Stattdessen führt der Administrator die Richtlinien als Simulation aus, um sicherzustellen, dass der Inhalt korrekt bezeichnet wird, bevor die Bezeichnung tatsächlich angewendet wird.

    Anleitungen zur Konfiguration finden Sie unter So konfigurieren Sie Richtlinien für die automatische Bezeichnung von SharePoint, OneDrive und Exchange.

    Die folgenden Bedingungen sind spezifisch für die automatische Bezeichnung für SharePoint und OneDrive:

    • Zu den unterstützten Office-Dateien gehören Word- (.docx), PowerPoint- (.pptx) und Excel- (.xlsx) Dateien.
      • Das System kann diese Dateien im Ruhezustand automatisch kennzeichnen, bevor oder nachdem Sie die Richtlinien für die automatische Bezeichnung erstellt haben. Das System kann keine Dateien automatisch kennzeichnen, die Teil einer offenen Sitzung sind (die Datei ist geöffnet).
      • Das System unterstützt derzeit keine Anhänge zu Listenelementen und kann diese nicht automatisch kennzeichnen.
    • Maximal 25.000 automatisch bezeichnete Dateien in Ihrem Mandanten pro Tag.
    • Maximal 100 Richtlinien für automatische Bezeichnung pro Mandant, die jeweils auf bis zu 100 Sites (SharePoint oder OneDrive) ausgerichtet sind, wenn sie einzeln angegeben werden. Sie können auch alle Websites angeben, und diese Konfiguration ist von der Höchstzahl von 100 Websites ausgenommen.
    • Aufgrund der Richtlinien für die automatische Bezeichnung ändert das System die vorhandenen Werte für "geändert", "geändert von" und "letztes Änderungsdatum" nicht. Diese Bedingung gilt sowohl für den Simulationsmodus als auch für das Anbringen von Bezeichnungen.
    • Wenn die Bezeichnung die Verschlüsselung anwendet, sind sowohl der Rights Management Issuer als auch der Rights Management Owner das Konto, das die Datei zuletzt geändert hat.

    Die folgenden Bedingungen gelten speziell für die automatische Bezeichnung für Exchange:

    • Anders als bei der manuellen Bezeichnung oder der automatischen Bezeichnung mit Office-Anwendungen scannt das System PDF-Anhänge und Office-Anhänge auf die Bedingungen, die Sie in Ihrer Richtlinie für die automatische Bezeichnung festlegen. Wenn es eine Übereinstimmung gibt, kennzeichnet das System die E-Mail, aber nicht den Anhang.
      • Wenn die Bezeichnung PDF-Dateien verschlüsselt, werden diese Dateien, falls sie unverschlüsselt sind, jetzt mit Nachrichtenverschlüsselung verschlüsselt, wenn Sie Ihren Mandanten für PDF-Anhänge aktiviert haben. Die Dateien übernehmen die angewandten Verschlüsselungseinstellungen aus der E-Mail.
      • Zu den unterstützten Office-Dateien gehören Word-, PowerPoint- und Excel-Dateien. Wenn das Label Verschlüsselung anwendet und diese Dateien unverschlüsselt sind, werden sie jetzt mithilfe der Nachrichtenverschlüsselung verschlüsselt. Die Dateien erben die Verschlüsselungseinstellungen aus der E-Mail.
    • Wenn Sie Exchange Mail Flow-Regeln oder Microsoft Purview Data Loss Prevention (DLP)-Richtlinien haben, die IRM-Verschlüsselung anwenden: Wenn das System Inhalte anhand dieser Regeln oder Richtlinien und einer Richtlinie für automatische Bezeichnung identifiziert, wendet es die Bezeichnung an. Wenn diese Bezeichnung Verschlüsselung anwendet, ignoriert das System die IRM-Einstellungen aus den Exchange-Mailflussregeln oder DLP-Richtlinien. Wenn diese Bezeichnung jedoch keine Verschlüsselung vorsieht, wendet das System zusätzlich zur Bezeichnung die IRM-Einstellungen aus den Mailflow-Regeln oder DLP-Richtlinien an.
    • Wenn eine E-Mail IRM-verschlüsselt ist, aber keine Bezeichnung hat, verwendet Exchange die automatische Bezeichnung, um eine Bezeichnung mit allen Verschlüsselungseinstellungen hinzuzufügen, wenn es eine Übereinstimmung gibt.
    • Das System kennzeichnet eingehende E-Mails, wenn eine Übereinstimmung mit Ihren Bedingungen für die automatische Bezeichnung vorliegt. Wenn Sie die Bezeichnung für Verschlüsselung konfiguriert haben, wendet das System immer diese Verschlüsselung an, wenn der Absender von Ihrer Organisation stammt. Standardmäßig wendet das System diese Verschlüsselung nicht an, wenn sich der Absender außerhalb Ihres Unternehmens befindet. Sie können sie jedoch vom System anwenden lassen, indem Sie Zusätzliche Einstellungen für E-Mail konfigurieren und einen Rechteverwaltungsbesitzer angeben.
    • Wenn die Bezeichnung Verschlüsselung anwendet, sind sowohl der Rights Management Issuer als auch der Rights Management Owner die Person, die die E-Mail sendet, wenn der Absender aus Ihrer eigenen Organisation stammt. Wenn sich der Absender außerhalb Ihres Unternehmens befindet, können Sie einen Rights Management-Besitzer für eingehende E-Mails angeben, die von Ihrer Richtlinie gekennzeichnet und verschlüsselt wurden.
    • Wenn Sie die Bezeichnung so konfiguriert haben, dass es dynamische Markierungen anwendet, zeigt das System bei eingehenden E-Mails die Namen von Personen außerhalb Ihres Unternehmens an.

Die Implementierung der automatischen und empfohlenen Bezeichnung in Office-Anwendungen hängt davon ab, ob Sie die von Microsoft in Office integrierte Bezeichnung oder den einheitlichen Bezeichnungs-Client Microsoft Entra ID Protection verwenden. Allerdings in beiden Fällen:

  • Sie können die automatische Bezeichnung nicht für Dokumente und E-Mails verwenden, die Sie zuvor manuell oder automatisch mit einer höheren Vertraulichkeit gekennzeichnet haben. Denken Sie daran, dass Sie einem Dokument oder einer E-Mail-Nachricht nur eine einzige Vertraulichkeitsbezeichnung zuweisen können (zusätzlich zu einer einzigen Aufbewahrungsbezeichnung).
  • Sie können die empfohlene Bezeichnung nicht für Dokumente oder E-Mails verwenden, die Sie zuvor mit einer höheren Vertraulichkeit gekennzeichnet haben. Bei diesen Dokumenten oder E-Mails kann der Benutzer die Eingabeaufforderung mit der Empfehlung und dem Richtlinienhinweis nicht sehen.

Spezifisch für integrierte Bezeichnungen:

  • Nicht alle Office-Apps unterstützen automatische (und empfohlene) Bezeichnungen. Weitere Informationen finden Sie unter Unterstützung der Funktion Vertraulichkeitsbezeichnungen in Apps.
  • Bei empfohlenen Bezeichnungen in den Desktop-Versionen von Word kennzeichnet das System den vertraulichen Inhalt, der die Empfehlung ausgelöst hat. Auf diese Weise können die Benutzer den vertraulichen Inhalt überprüfen und entfernen, anstatt die empfohlene Vertraulichkeitsbezeichnung anzuwenden.

Speziell für den Microsoft Entra ID Protection Unified Labeling Client:

  • Automatische und empfohlene Bezeichnungen gelten für Word, Excel und PowerPoint beim Speichern eines Dokuments, und für Outlook beim Senden einer E-Mail.
  • Damit Outlook die empfohlenen Bezeichnungen unterstützt, müssen Sie zunächst eine erweiterte Richtlinieneinstellung konfigurieren.
  • Das System kann sensible Informationen im Textteil von Dokumenten und E-Mails sowie in Kopf- und Fußzeilen erkennen. Es kann jedoch keine sensiblen Informationen in der Betreffzeile oder in E-Mail-Anhängen erkennen.

Zusätzliche Informationen. Weitere Informationen darüber, wie das System diese Bezeichnungen anwendet, finden Sie unter Vertraulichkeitsbezeichnungen automatisch auf Ihre Dateien und E-Mails in Office anwenden oder empfehlen.

Konvertieren Sie Ihre Bezeichnungseinstellungen in eine Richtlinie für automatische Bezeichnung

Am Ende des Bezeichnungserstellungs- oder -bearbeitungsprozesses zeigt das System eine automatische Bezeichnungsoption an, wenn die Bezeichnung vertrauliche Informationstypen für die konfigurierten Bedingungen enthält. Die Option ermöglicht die automatische Erstellung einer Richtlinie für automatische Bezeichnung auf der Grundlage der gleichen Einstellungen für die automatische Bezeichnung.

Wenn die Bezeichnung jedoch trainierbare Klassifikatoren als Bedingung für die Bezeichnung enthält:

  • Wenn die Bezeichnungsbedingungen nur trainierbare Klassifikatoren enthalten, wird die Option zur automatischen Erstellung einer Richtlinie für automatische Bezeichnung nicht angezeigt.
  • Wenn die Label-Bedingungen trainierbare Klassifikatoren und Vertraulichkeitsinformationstypen enthalten, erstellt das System eine Richtlinie für automatische Bezeichnung nur für die Vertraulichkeitsinformationstypen.

Das System erstellt automatisch eine Richtlinie für automatische Bezeichnung, indem es die Werte automatisch ausfüllt, die Sie manuell auswählen müssten, wenn Sie die Richtlinie von Grund auf neu erstellen würden. In diesem Szenario können Sie die Werte immer noch anzeigen und bearbeiten, bevor Sie die Richtlinie speichern.

Standardmäßig umfasst eine automatisch gekennzeichnete Richtlinie alle Speicherorte für SharePoint, OneDrive und Exchange. Wenn Sie die Richtlinie speichern, wird sie im Simulationsmodus ausgeführt. Im Simulationsmodus prüft das System nicht, ob Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben. Diese Prüfung wird nicht durchgeführt, obwohl diese Bedingung eine der Voraussetzungen dafür ist, dass die automatische Bezeichnung auf Inhalte in SharePoint und OneDrive angewendet werden kann.

Ausführen einer Richtlinie im Simulationsmodus

Der Simulationsmodus ist einzigartig für die automatische Bezeichnung von Richtlinien und in den Arbeitsablauf integriert. Sie können Dokumente und E-Mails erst dann automatisch kennzeichnen, wenn Ihre Richtlinie mindestens eine Simulation durchgeführt hat.

Der Simulationsmodus unterstützt bis zu 1.000.000 übereinstimmende Dateien. Wenn das System mehr als diese Anzahl von Dateien aus einer Richtlinie für automatische Bezeichnung abgleicht, können Sie die Richtlinie nicht aktivieren, um die Bezeichnungen anzuwenden. In diesem Fall müssen Sie die Richtlinie für automatische Bezeichnung neu konfigurieren, so dass das System weniger Dateien abgleicht, und dann die Simulation erneut durchführen. Diese Höchstzahl von 1.000.000 abgeglichenen Dateien gilt nur für den Simulationsmodus. Sie gilt nicht für eine Richtlinie zur automatischen Bezeichnung, die Sie bereits aktiviert haben, um Vertraulichkeitsbezeichnungen anzuwenden.

Der Arbeitsablauf für die Ausführung einer Richtlinie für automatische Bezeichnung im Simulationsmodus umfasst die folgenden Schritte:

  1. Erstellen und konfigurieren Sie eine Richtlinie für automatische Bezeichnung.
  2. Führen Sie die Richtlinie im Simulationsmodus aus. Dies kann bis zu 12 Stunden dauern. Die abgeschlossene Simulation löst eine E-Mail-Benachrichtigung aus, die das System an den Benutzer sendet, der für den Empfang von Aktivitätswarnungen konfiguriert ist.
  3. Überprüfen Sie die Ergebnisse, und verfeinern Sie Ihre Richtlinie bei Bedarf. So kann es beispielsweise erforderlich sein, die Richtlinienregeln zu bearbeiten, um Fehlalarme zu reduzieren, oder einige Websites zu entfernen, damit die Anzahl der übereinstimmenden Dateien 1.000.000 nicht überschreitet. Führen Sie den Simulationsmodus erneut aus, und warten Sie, bis er erneut abgeschlossen ist.
  4. Wiederholen Sie Schritt 3 nach Bedarf.
  5. Stellen Sie die Richtlinie in der Produktion bereit.

Die simulierte Bereitstellung wird wie der WhatIf-Parameter für PowerShell ausgeführt. Die Ergebnisse werden so angezeigt, als ob die Richtlinie für automatische Bezeichnung die ausgewählte Bezeichnung unter Verwendung der von Ihnen definierten Regeln anwenden würde. Sie können dann bei Bedarf Ihre Genauigkeitsregeln verfeinern und die Simulation erneut ausführen. Da sich die automatische Bezeichnung für Exchange jedoch auf gesendete und empfangene E-Mails und nicht auf in Postfächern gespeicherte E-Mails bezieht, können Sie keine konsistenten Ergebnisse für E-Mails in einer Simulation erwarten, es sei denn, Sie können genau dieselben E-Mails senden und empfangen.

Im Simulationsmodus können Sie auch den Umfang Ihrer Richtlinie für automatische Bezeichnung vor der Bereitstellung schrittweise erweitern. Sie können zum Beispiel mit einem einzigen Standort, wie einer SharePoint-Site, mit einer einzigen Dokumentenbibliothek beginnen. Erweitern Sie dann mit iterativen Änderungen den Geltungsbereich auf mehrere Standorte und dann auf einen anderen Standort, z. B. OneDrive.

Der Simulationsmodus schließlich ermöglicht es Ihnen, eine ungefähre Schätzung der für die Ausführung Ihrer Richtlinie für automatische Bezeichnung benötigten Zeit vorzunehmen. Diese Informationen können Ihnen bei der Planung helfen, wann Sie das Programm ohne Simulationsmodus ausführen wollen.