Erkunden von Vertraulichkeitsbezeichnungsrichtlinien

  • 6 Minuten

Nachdem eine Organisation ihre Vertraulichkeitsbezeichnungen erstellt hat, muss sie diese veröffentlichen, um sie ihren zugewiesenen Benutzern und Diensten zur Verfügung zu stellen. Die Benutzer und Dienste können dann die Vertraulichkeitsbezeichnungen auf Office-Dokumente, E-Mails und andere Elemente anwenden, die Vertraulichkeitsbezeichnungen unterstützen.

Wenn Sie sich an eine frühere Schulung erinnern, veröffentlichen Sie Aufbewahrungsbezeichnungen an Speicherorten, z. B. in Exchange-Postfächern. Im Gegensatz dazu veröffentlichen Sie Vertraulichkeitsbezeichnungen für Benutzer und Gruppen. Apps, für die Vertraulichkeitsbezeichnungen unterstützt werden, können sie diesen Benutzern und Gruppen als angewandte Bezeichnungen anzeigen, oder als Bezeichnungen, die angewandt werden können.

Wenn eine Organisation eine Bezeichnungsrichtlinie konfiguriert, hat sie folgende Möglichkeiten:

  • Entscheiden, welchen Benutzern und Gruppen die Bezeichnungen angezeigt werden. Sie können Bezeichnungen für einen bestimmten Benutzer oder eine E-Mail-aktivierte Sicherheitsgruppe, Verteilergruppe oder Microsoft 365-Gruppe (die über eine dynamische Mitgliedschaft verfügen kann) in Microsoft Entra ID veröffentlichen.

  • Wenden Sie eine Standardbezeichnung auf Dokumente und E-Mails an. Sie können eine Standardbezeichnung auf alle neuen Dokumente und nicht bezeichneten E-Mails anwenden, die von den in der Bezeichnungsrichtlinie enthaltenen Benutzern und Gruppen erstellt wurden. Sie können dieselbe oder eine andere Standardbezeichnung auf Container anwenden, wenn Sie Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites aktivieren. Mit dieser Einstellung wendet der Microsoft Entra ID Protection-Client für einheitliche Bezeichnungen auch die Standardbezeichnung auf vorhandene Dokumente an, die keine Bezeichnungen aufweisen. Ein Benutzer kann die Standardbezeichnung immer ändern, wenn sie für sein Dokument oder seine E-Mail nicht die richtige Bezeichnung ist.

    Eine Organisation sollte erwägen, eine Standardbezeichnung zu verwenden, um eine Basisebene von Schutzeinstellungen für ihren Inhalt festzulegen. Ohne Benutzerschulungen und andere Steuerelemente kann diese Einstellung aber auch zu ungenauen Bezeichnungen führen. Es empfiehlt sich nicht, eine Bezeichnung auszuwählen, die Verschlüsselung als Standardbezeichnung auf Dokumente anwendet. Beispielsweise müssen viele Organisationen Dokumente an externe Benutzer senden und freigeben, die möglicherweise nicht über Apps verfügen, die die Verschlüsselung unterstützen. Oder sie dürfen kein Konto verwenden, das Sie autorisieren können. Weitere Informationen zu diesem Szenario finden Sie unter gemeinsame Nutzung verschlüsselter Dokumente mit externen Benutzern.

  • Begründung für das Ändern einer Bezeichnung anfordern. Sie können festlegen, dass Benutzer eine Begründung für das Ändern einer Bezeichnung angeben, wenn sie:

    • Versuchen, eine Bezeichnung zu entfernen.
    • Es durch eine Bezeichnung ersetzen, die eine niedrigere Nummer aufweist.

    Beispiel: Ein Benutzer öffnet ein Dokument mit der Bezeichnung "Vertraulich" (Ordnungszahl 3) und ersetzt diese Bezeichnung durch die Bezeichnung "Öffentlich" (Ordnungszahl 1). Administratoren können die Begründung zusammen mit der Änderung der Bezeichnung im Aktivitäts-Explorer lesen.

    Screenshot des Fensters mit Vertraulichkeitsbezeichnung mit der erforderlichen Begründungsoption.

  • Benutzer müssen eine Bezeichnung mit einer Option für E-Mails und Dokumente und eine andere für Container anwenden. Diese Optionen, die auch als obligatorische Bezeichnung bezeichnet werden, stellen sicher, dass Benutzer eine Bezeichnung anwenden müssen, bevor sie Dokumente speichern, E-Mails senden und neue Gruppen oder Websites erstellen können.

    • Bei Containern müssen Sie beim Erstellen der Gruppe oder Website eine Bezeichnung zuweisen.
    • Für Dokumente und E-Mails umfassen die Methoden zum Zuweisen einer Bezeichnung:
      • Manuell vom Benutzer.
      • Automatisch aufgrund einer Bedingung, die Sie konfigurieren.
      • Automatisch als Systemstandard (die zuvor beschriebene Standardbezeichnungsoption).

    Die folgende Abbildung zeigt ein Beispiel für eine Eingabeaufforderung, die in Outlook angezeigt wird, wenn ein Benutzer eine Bezeichnung zuweisen muss.

    Hinweis

    Obligatorische Bezeichnungen für Dokumente und E-Mails sind nicht für alle Anwendungen und Plattformen verfügbar. Weitere Informationen finden Sie unter Von Benutzern fordern, dass sie eine Bezeichnung auf ihre E-Mails und Dokumente anwenden.

  • Stellen Sie einen Hilfelink zu einer benutzerdefinierten Hilfeseite bereit. Wenn Ihre Benutzer nicht sicher sind, was Ihre Vertraulichkeitsbezeichnungen bedeuten oder wie sie sie verwenden sollten, können Sie eine URL für weitere Informationen angeben. Diese URL wird unten im Menü Vertraulichkeitsbezeichnung in den Office-Apps angezeigt.

    Screenshot mit der Option „Weitere Informationen“ am unteren Rand des Menüs für Vertraulichkeitsbezeichnungen in Office-Apps.

Nachdem Sie eine Bezeichnungsrichtlinie erstellt haben, die Benutzern und Gruppen neue Vertraulichkeitsbezeichnungen zuweist, sehen die Benutzer diese Bezeichnungen in ihren Office-Apps. Erlauben Sie bis zu 24 Stunden, bis die neuesten Änderungen in Ihrer gesamten Organisation repliziert wurden.

Es gibt keine Beschränkung für die Anzahl der Vertraulichkeitsbezeichnungen, die eine Organisation erstellen und veröffentlichen kann – mit einer Ausnahme: Wenn die Bezeichnung Verschlüsselung anwendet, beträgt die maximale Anzahl von Bezeichnungen, die Sie erstellen können, 500.

Warnung

Als bewährte Methode zur Verringerung des Verwaltungsaufwands und zur Reduzierung der Komplexität für Ihre Benutzer sollten Sie versuchen, die Anzahl der Bezeichnungen auf ein Minimum zu beschränken. Bei realen Bereitstellungen wurde eine deutliche Verringerung der Effektivität festgestellt, wenn Benutzer mehr als fünf Hauptbezeichnungen oder mehr als fünf Unterbezeichnungen pro Hauptbezeichnung haben.

Priorität der Bezeichnungsrichtlinien (Reihenfolge wesentlich)

Eine Organisation macht ihre Vertraulichkeitsbezeichnungen für Benutzer verfügbar, indem sie sie in einer Vertraulichkeitsbezeichnungsrichtlinie veröffentlicht. Diese Richtlinien werden in einer Liste auf der Registerkarte Vertraulichkeitsrichtlinien auf der Seite Bezeichnungsrichtlinien angezeigt. Genau wie Vertraulichkeitsbezeichnungen ist die Reihenfolge der Vertraulichkeitsbezeichnungsrichtlinien wichtig, da sie deren Priorität widerspiegelt. Die Bezeichnungsrichtlinie mit der niedrigsten Priorität wird oben angezeigt, und die Bezeichnungsrichtlinie mit der höchsten Priorität wird unten angezeigt.

Eine Bezeichnungsrichtlinie besteht aus:

  • Einer Gruppe von Beschriftungen.
  • Die Benutzer und Gruppen, denen Sie die Richtlinie zuweisen.
  • Der Bereich der Richtlinie und die Richtlinieneinstellungen für diesen Bereich (wie eine Standardbezeichnung für Dateien und E-Mails).

Sie können einen Benutzer in mehrere Bezeichnungsrichtlinien einschließen. Sie erhalten alle Vertraulichkeitsbezeichnungen und Einstellungen aus diesen Richtlinien. Wenn es einen Konflikt in den Einstellungen mehrerer Richtlinien gibt, wendet das System die Einstellungen aus der Richtlinie mit der höchsten Priorität (niedrigste Position) an. Mit anderen Worten: Die höchste Priorität hat für jede Einstellung Vorrang.

Tipp

Wenn Ihnen die für einen Benutzer oder eine Gruppe erwartete Bezeichnungs oder Bezeichnungsrichtlinieneinstellung nicht angezeigt wird, überprüfen Sie die Reihenfolge der Vertraulichkeitsbezeichnungsrichtlinien. Möglicherweise müssen Sie die Richtlinie nach unten verschieben. Um die Bezeichnungsrichtlinien neu anzuordnen, wählen Sie eine Vertraulichkeitsbezeichnungsrichtlinie aus, wählen Sie die Auslassungspunkte rechts davon aus, und wählen Sie dann Nach oben verschieben oder Nach unten verschieben.

Screenshot des Richtlinienprioritätsfensters mit der Option zum Verschieben von Richtlinien nach oben oder unten.

Hinweis

Wenn bei einem Benutzer, dem mehrere Richtlinien zugewiesen sind, ein Einstellungskonflikt auftritt, wendet das System die Einstellung aus der Richtlinie mit der höchsten Priorität (niedrigste Position) an.