Microsoft 365-Administratoren stehen viele Tools zur Verfügung, mit denen sie Dokumente und E-Mails sichern können. Eines dieser Tools ist die Vertraulichkeitsbezeichnung. Ich werde im Detail erklären, was eine Vertraulichkeitsbezeichnung ist, wie man sie einrichtet und testet, ob sie gut funktioniert.
Inhaltsverzeichnis:
- Was ist eine Vertraulichkeitsbezeichnung?
- Dunkle Seite der Vertraulichkeitsbezeichnungen
- Anforderungen von Bezeichnungen
- Erstellen von Bezeichnungen
- Veröffentlichung von Vertraulichkeitsbezeichnungen
- Testen
- Entfernen einer Vertraulichkeitsbezeichnung
Was ist eine Vertraulichkeitsbezeichnung?
Eine Vertraulichkeitsbezeichnung ist eine Art digitaler Stempel, der Ihren Geschäftsdokumenten (wie DOCX oder XLSX) oder Ihren E-Mails hinzugefügt wird, um sie zu sichern. Sie können je nach den Anforderungen Ihres Unternehmens mehrere Bezeichnungen einrichten, zum Beispiel:
- Bezeichnungen für das gesamte Unternehmen oder für bestimmte Gruppen oder Benutzer erstellen.
- Unterschiedliche Zugriffsebenen für unterschiedliche Gruppen angeben.
- Bestimmte Aktionen für E-Mails oder Dokumente erlauben oder verweigern (z. B. könnten Sie Benutzer daran hindern, ein Dokument zu kopieren, herunterzuladen oder zu drucken).
Sie könnten sagen, dass Sie keine Bezeichnungen benötigen, da Sie bereits eine rollenbasierte Zugriffskontrolle auf Ihre SharePoint-Inhalte eingeführt haben und niemand Zugriff auf Dokumente haben sollte, die beispielsweise nur für eine andere Abteilung bestimmt sind. Hier kommen die einzigartigen Funktionen der Vertraulichkeitsbezeichnungen ins Spiel. Mit einer Vertraulichkeitsbezeichnung können Sie Benutzer daran hindern, bestimmte Dokumente herunterzuladen. Und selbst wenn sie diese herunterladen, schränkt eine Vertraulichkeitsbezeichnung den Zugriff weiterhin ein.
Für die meisten Organisationen ist es sinnvoll, je nach Vertraulichkeit der Daten mehrere Bezeichnungen zu erstellen. Es ist auch sinnvoll, Ihren kritischen Unternehmensressourcen streng geheime Vertraulichkeitseinstellungen zuzuweisen, um sie beispielsweise schreibgeschützt und nur ausgewählten Personen zugänglich zu machen. Das Hinzufügen von Vertraulichkeitsbezeichnungen zu Dokumenten, die Sie mit anderen Personen teilen möchten oder die öffentlich zugängliche Daten enthalten, ist jedoch möglicherweise keine gute Idee.
Bevor ich mich mit der Einrichtung von Vertraulichkeitsbezeichnungen befasse, ein paar Worte zu ihrer “dunklen Seite”.
Dunkle Seite der Vertraulichkeitsbezeichnungen
Obwohl diese sicherheitsorientierte Funktion äußerst nützlich ist, kann sie Ihnen das Leben etwas schwerer machen. Es hängt natürlich alles davon ab, wie Sie die Bezeichnungen konfigurieren.
Erstens muss Ihr Outlook/Word/Excel usw. jedes Mal, wenn Sie ein Dokument oder eine E-Mail mit einer Vertraulichkeitsbezeichnung öffnen, mit Azure Information Protection (AIP) kommunizieren, sodass der Zugriff auf Ihre Ressourcen länger dauert.
Vertraulichkeitsbezeichnungen sind intelligent. Wenn sie beispielsweise das Kopieren von Inhalten verhindern, bedeutet dies, dass nicht nur Ihre Tastenkombination Strg+C blockiert wird. Sie werden die Screenshot-Funktion ebenfalls nicht verwenden können. Die Bezeichnungen blockieren auch OCR-Software und erlauben keine Bildschirmfreigabe über Teams (das Dokument wird geschwärzt). Mit anderen Worten, sie bewältigen fast jedes Szenario, abgesehen vom Fotografieren mit einem externen Gerät. Aus Sicherheitssicht ist das eine großartige Funktion, bis Sie während eines Online-Meetings ein Dokument mit einer Vertraulichkeitsbezeichnung besprechen müssen und sich herausstellt, dass niemand es sehen kann.
Schließlich habe ich Situationen gesehen, in denen Dokumente mit Vertraulichkeitsbezeichnungen äußerst seltsame Probleme verursacht haben. Zum Beispiel:
- Microsoft Word informiert Sie, dass Sie nicht auf das Dokument zugreifen können, da es an jemand anderen ausgecheckt ist, obwohl es an Sie ausgecheckt ist.
- Microsoft Word oder Outlook stürzt beim Speichern oder Öffnen eines Dokuments oder einer E-Mail mit einer Vertraulichkeitsbezeichnung ab.
Sind die Bezeichnungen die Mühe wert? Definitiv! Denken Sie nur daran, dass es keine gute Idee ist, Dokumente übermäßig zu schützen, wenn Sie Wert auf Produktivität legen.
Anforderungen von Vertraulichkeitsbezeichnungen
Wenn Ihre Organisation Azure Information Protection-Bezeichnungen verwendet, die über das Azure-Portal konfiguriert werden, sollten Sie zur einheitlichen Bezeichnungsplattform migrieren.
Um zu sehen, ob AIP in Ihrem Tenant aktiviert ist, gehen Sie zu https://portal.azure.com und dann zu Azure Information Protection. Sie sollten eine Benachrichtigung sehen, dass die Azure Information Protection-Bezeichnungen am 1. April 2021 das Ende der Nutzungsdauer erreicht haben.
Wenn Sie auf die oben angezeigte Benachrichtigung klicken, werden Sie zur neuen Seite der Vertraulichkeitsbezeichnungen weitergeleitet:
Für Tenants, die nach dem 1. April 2021 erstellt wurden, sind die einheitlichen Bezeichnungen standardmäßig aktiviert. Für Tenants, die vor diesem Datum erstellt wurden, müssen Sie die Funktion der einheitlichen Bezeichnungen aktivieren.
Erstellen von Vertraulichkeitsbezeichnungen
Um die Einstellungen Ihrer Bezeichnungen zu verwalten, gehen Sie zum Microsoft 365 Compliance Center > Information protection (Informationsschutz):
In den meisten Fällen möchten Sie die Möglichkeit aktivieren, mit Vertraulichkeitsbezeichnungen geschützte Office 365-Inhalte zu verarbeiten, die in OneDrive for Business oder SharePoint gespeichert sind. Dadurch können Sie Funktionen wie Co-Authoring, eDiscovery, DLP oder Suche nutzen:
Der erste Schritt zur Verwendung von Vertraulichkeitsbezeichnungen besteht darin, eine Bezeichnung zu erstellen:
Geben Sie als Nächstes Folgendes an:
- Name der Bezeichnung – sichtbar im Microsoft 365 Compliance Center,
- Anzeigename – sichtbar für Benutzer z. B. in Microsoft Word,
- Beschreibung für Benutzer – die QuickInfo, die angezeigt wird, wenn Benutzer mit der Maus über die Vertraulichkeitsbezeichnung fahren,
- Beschreibung für Administratoren – die im Microsoft 365 Compliance Center verfügbare Beschreibung.
Jetzt können Sie den Geltungsbereich für die Bezeichnung definieren. Ich werde sie nur auf Dateien und E-Mails anwenden.
Als Nächstes können Sie zwei Optionen verwenden. Mit der ersten können Sie steuern, wer auf den Inhalt zugreifen kann, auf den Ihre Bezeichnung angewendet wurde. Die zweite kann den Namen der Bezeichnung zu Kopf-, Fußzeilen und Wasserzeichen in Ihren Dokumenten hinzufügen.
Im Schritt Encryption (Verschlüsselung) können Sie Berechtigungen für Inhalte mit angewendeter Bezeichnung festlegen. Da der Hauptgrund für dieses Verfahren darin besteht, die Dateien zu sichern, sollten Sie die Verschlüsselungseinstellungen konfigurieren. In den meisten Fällen werden Sie die Option Never expires (läuft nie ab) verwenden, da Benutzer damit ohne zeitliche Begrenzung auf Dateien zugreifen können.
Sie können auch den Offlinezugriff auf eine Datei zulassen oder verweigern. Ohne den Offlinezugriff muss sich ein Benutzer jedes Mal neu authentifizieren, wenn er ein Dokument oder eine E-Mail öffnen möchte.
Wählen Sie schließlich aus, welche Benutzer oder Gruppen auf Dokumente mit der angewandten Bezeichnung zugreifen können sollen. Wenn Sie auf Assign permissions (Berechtigungen zuweisen) klicken, wird auf der rechten Seite ein Assistent geöffnet.
Zuweisung von Berechtigungen
Sie haben mehrere Möglichkeiten, die richtige Zielgruppe auszuwählen. Klicken Sie auf Add users or groups (Benutzer oder Gruppen hinzufügen), um eine einzelne Microsoft 365-Gruppe auszuwählen. Klicken Sie als Nächstes auf Choose permissions (Berechtigungen auswählen), um die Zugriffsebene für die Gruppe zu definieren. Sie können aus 4 vordefinierten Ebenen wählen: Co-Owner (Mitbesitzer), Co-Author (Mitautor), Reviewer (Prüfer), Viewer (Anzeigender), oder mit der Option Custom (Benutzerdefiniert) eine nicht standardmäßige Ebene festlegen.
In diesem Beispiel wähle ich den Berechtigungssatz Co-Author. Denken Sie daran, auf Save (Speichern) zu klicken, um Ihre Einstellungen zu übernehmen.
Klicken Sie auf Next (Weiter), wenn Sie fertig sind.
Inhaltsmarkierung
Mit der Inhaltsmarkierung können Sie einem Dokument eindeutige Informationen zu den angewandten Bezeichnungen direkt hinzufügen. Sie können wählen, ob Sie ein Wasserzeichen, eine Kopf- und eine Fußzeile hinzufügen möchten und was diese sagen sollen.
Im nächsten Schritt können Sie das automatische Bezeichnen aktivieren. Auf diese Weise können bestimmte Gruppen oder Dokumente, die auf bestimmten Websites erstellt wurden, automatisch mit Ihrer Vertraulichkeitsbezeichnung versehen werden. Dies kann nützlich sein, wenn Sie sicherstellen möchten, dass niemand das Sichern von Dokumenten vergisst. Andererseits kann das automatische Bezeichnen zu Problemen führen, wenn Sie beabsichtigen, einige Dokumente außerhalb Ihrer Organisation freizugeben.
Als Nächstes können Sie Schutzeinstellungen für Gruppen und Websites definieren. Diese Einstellungen gelten im Gegensatz zu den vorherigen für Teams, Gruppen oder Websites und nicht für die darin gespeicherten Dokumente.
Im vorletzten Schritt können Sie Spalten in Ihrer Datenbank automatisch bezeichnen. Diese Option erfordert eine vorherige Einrichtung und befindet sich in der Vorschau, also tue ich so, als wäre sie nicht hier.
Im letzten Schritt geht es um die Überprüfung Ihrer Konfiguration. Prüfen Sie Ihre Einstellungen, klicken Sie auf Create label (Bezeichnung erstellen) und dann auf Done (Fertig).
Die Benutzer können die Bezeichnung noch nicht verwenden, Sie müssen sie zuerst veröffentlichen.
Veröffentlichung der Vertraulichkeitsbezeichnung
Um die Bezeichnung zu veröffentlichen, gehen Sie zu Label policies (Bezeichnungsrichtlinien) und klicken Sie auf Publish label (Bezeichnung veröffentlichen).
Klicken Sie als Nächstes auf Choose sensitivity labels to publish (Zu veröffentlichende Vertraulichkeitsbezeichnungen auswählen) und wählen Sie die zuvor erstellte Bezeichnung aus. Klicken Sie auf Add (Hinzufügen) und Next (Weiter).
Wählen Sie aus, für welche Gruppen oder Benutzer die Bezeichnung verfügbar sein soll. Klicken Sie erneut auf Done (Fertig) und Next (Weiter).
Als Nächstes können Sie verschiedene Richtlinieneinstellungen verwenden:
- Benutzer müssen eine Begründung angeben, um eine Bezeichnung zu entfernen oder eine Klassifizierung zu verringern.
- Benutzer auffordern, eine Bezeichnung auf ihre E-Mails und Dokumente anzuwenden.
- Benutzer auffordern, eine Bezeichnung auf Ihren Power BI-Inhalten anzuwenden.
- Benutzern einen Link zu einer benutzerdefinierten Hilfeseite bereitstellen.
Im nächsten Schritt können Sie die Standardbezeichnung auf Dokumente anwenden. Wenn Sie die Standardoption None (Keine) beibehalten, werden Benutzer die Wahl haben, die Bezeichnung anzuwenden oder das Dokument ohne erweiterten Schutz zu verwenden. In zwei weiteren Schritten des Assistenten können Sie die Standardbezeichnungen für E-Mails und Power BI konfigurieren.
Jetzt können Sie Ihre Bezeichnungsrichtlinie benennen und eine Beschreibung eingeben.
Überprüfen Sie abschließend Ihre Richtlinie. Klicken Sie auf Done (Fertig), wenn alles eingestellt ist.
Es kann bis zu 24 Stunden dauern, bis die Bezeichnungsrichtlinie effektiv veröffentlicht wird. Ich habe eine Bezeichnung gesehen, die in 50 Minuten veröffentlicht wurde und auch solche, bei der es 14 Stunden gedauert hat, also ist auch jeder Wert dazwischen möglich. Sie können mithilfe von Outlook im Internet oder Word Online überprüfen, ob die Richtlinie funktioniert.
Testen
Nachdem ich die Vertraulichkeitsbezeichnung Confidential (Vertraulich) erstellt, für das Vertriebs- und Marketingteam veröffentlicht und auf ihre Bereitstellung gewartet habe, habe ich getestet, ob sie ordnungsgemäß funktioniert.
E-Mails
Wenn Lynne (Benutzerin ohne zugewiesene Bezeichnungen) Outlook im Web startet und eine neue Testnachricht erstellt, gibt es keine Option, Vertraulichkeitsbezeichnungen anzuwenden:
Auf der anderen Seite kann Megan (Mitglied vom Vertriebs- und Marketingteam) die Schaltfläche Sensitivity (Vertraulichkeit) sehen. Wenn darauf geklickt wird, werden alle für diese bestimmte Benutzerin verfügbaren Vertraulichkeitsbezeichnungen angezeigt. Wie Sie sehen können, habe ich ein paar zusätzliche veröffentlicht, damit die Bezeichnung Confidential nicht einsam ist. Wenden wir die Bezeichnung Confidential an, um die E-Mail zu verschlüsseln, und senden wir sie an Lynne (Benutzerin ohne Berechtigungen) und John, der Berechtigungen für so ziemlich alles hat.
Alles, was Lynne sehen kann, ist eine Benachrichtigung, dass sie nicht über die Berechtigungen verfügt. Das ist das erwartete Verhalten. Wenn Sie direkt über die E-Mail schauen, zeigt Outlook, dass die Bezeichnung angewendet wurde, genau wie im Schritt Inhaltsmarkierung angegeben. Diese Informationen waren übrigens auch für die Absenderin sichtbar, bevor die E-Mail rausging.
Das Senden der E-Mail mit einer Vertraulichkeitsbezeichnung an ein anderes Postfach ohne Berechtigungen kann zu einer weiteren Benachrichtigung über den Nachrichtenschutz führen. Durch Klicken auf Read the message (Nachricht lesen) kann ein Benutzer nicht auf den ursprünglichen Nachrichtentext zugreifen. Selbst wenn eine E-Mail an einen falschen Empfänger gesendet wird, führt dies zu keinem Sicherheitsvorfall, da nur berechtigte Benutzer sie öffnen können.
Dahingegen wird ein anderer Empfänger, John, keine Probleme haben, die Nachricht wie jede standardmäßige E-Mail ohne Bezeichnung zu öffnen. Der einzige sichtbare Unterschied für diese E-Mails ist die Kopf- und Fußzeile, die Sie im Schritt Inhaltsmarkierung eingerichtet haben. Der Benutzer kann die Bezeichnung nicht löschen, aber er kann ohne Probleme auf die Nachricht antworten.
Dokumente
Alle Tests in diesem Teil des Artikels wurden mit Word Online (https://www.office.com) durchgeführt. Dateien wurden auf OneDrive for Business gespeichert. Beachten Sie, dass dies in SharePoint Online oder beim Versuch, eine Datei lokal zu öffnen (die z. B. als Anlage gesendet wurde), genauso funktionieren wird.
Um ein Dokument zu verschlüsseln, verwenden Sie die Schaltfläche Sensitivity (Vertraulichkeit) und wählen Sie eine Bezeichnung aus.
Nach dem Anbringen der Vertraulichkeitsbezeichnung (vorausgesetzt, Sie haben sie im Schritt Inhaltsmarkierung eingerichtet) werden Sie entsprechende Informationen in der Kopf- und Fußzeile des Dokuments sehen. Außerdem werden Sie auf jeder Seite ein Wasserzeichen sehen, sofern Sie es ebenfalls eingerichtet haben. Wenn Sie die Kopf- oder Fußzeile nicht sehen, gehen Sie zu View (Ansicht) > Header & Footer (Kopf- und Fußzeile) oder klicken Sie auf Reading View (Leseansicht), um diese Elemente anzuzeigen.
Wenn Sie nun das Dokument an einen Benutzer senden, der keine Berechtigungen für diese Bezeichnung hat (oder wenn er versucht, eine solche Datei in SharePoint Online zu öffnen), erhält er die folgende Benachrichtigung:
Entfernen der Bezeichnung
Da ich die Richtlinieneinstellungen auf “Benutzer müssen eine Begründung angeben, um eine Bezeichnung zu entfernen oder eine Klassifizierung zu verringern” festgelegt habe, muss jedes Mal, wenn jemand eine Bezeichnung ändern oder entfernen möchte, angegeben werden, warum er dies tut.
Um eine Bezeichnung zu entfernen, öffnen Sie ein Dokument, gehen Sie zu Sensitivity (Vertraulichkeit) und klicken Sie auf den Namen der aktuell angewendeten Bezeichnung. Das Popup Justification Required (Begründung erforderlich) wird angezeigt. Wählen Sie eine geeignete Option aus und klicken Sie auf Change (Ändern). Die Bezeichnung sollte an dieser Stelle entfernt werden.
Die Änderung der Bezeichnung und die Begründung werden protokolliert und im Aktivitäten-Explorer gespeichert.
Verantwortlicher für Ihre personenbezogenen Daten ist CodeTwo sp. z o.o. sp. k.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.