Informationen zu Vertraulichkeitsbezeichnungen

  • Artikel

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Hinweis

Wenn Sie nach Informationen zu Vertraulichkeitsbezeichnungen suchen, die in Ihren Office-Anwendungen angezeigt werden, lesen Sie den Abschnitt Vertraulichkeitsbezeichnungen auf Dateien und E-Mails in Office anwenden.

Die Informationen auf dieser Seite richten sich an IT-Administratoren, die diese Bezeichnungen erstellen und konfigurieren können.

Um ihre Arbeit zu erledigen, arbeiten Personen in Ihrem organization mit anderen innerhalb und außerhalb der organization zusammen. Dies bedeutet, dass Inhalte nicht mehr hinter einer Firewall verbleiben, sie können sich überall, auf Geräten, Apps und Diensten bewegen. Beim Roaming soll dies auf sichere, geschützte Weise durchgeführt werden, die den Geschäfts- und Konformitätsrichtlinien Ihres organization entspricht.

Mit Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass Produktivität und Zusammenarbeit der Benutzer nicht beeinträchtigt werden.

Das folgende Beispiel aus Excel zeigt, wie Benutzern möglicherweise eine angewendete Vertraulichkeitsbezeichnung auf der Fensterleiste angezeigt wird, und wie sie die Bezeichnung mithilfe der Vertraulichkeitsleiste ändern können, die in den neuesten Versionen von Office verfügbar ist. Die Bezeichnungen sind auch über die Schaltfläche Vertraulichkeit auf der Registerkarte Start im Menüband verfügbar.

Vertraulichkeitsbezeichnung auf dem Excel-Menüband und in der Statusleiste.

Um Vertraulichkeitsbezeichnungen anwenden zu können müssen die Benutzer mit ihrem Microsoft 365-Geschäfts-, -Schul- oder -Unikonto angemeldet sein.

Hinweis

Bei Mandanten der US-Regierung werden Vertraulichkeitsbezeichnungen für alle Plattformen unterstützt.

Wenn Sie den Microsoft Purview Information Protection-Client und den Scanner verwenden, lesen Sie die Beschreibung des Azure Information Protection Premium Government-Diensts.

Sie können Vertraulichkeitsbezeichnungen zu Folgendem verwenden:

  • Bieten Sie Schutzeinstellungen, die Verschlüsselung und Inhaltsmarkierungen umfassen. Z. B. können die Benutzer eine Vertraulichkeitsbezeichnung auf ein Dokument oder eine E-Mail anwenden, und durch diese Bezeichnung kann der Inhalt verschlüsselt und ein Vertraulichkeitswasserzeichen angewendet werden. Zu den Inhaltsmarkierungen gehören Kopf- und Fußzeilen sowie Wasserzeichen, und die Verschlüsselung kann auch einschränken, welche Aktionen autorisierte Personen an den Inhalten vornehmen können.

  • Schützen von Inhalten in Office-Apps auf verschiedenen Plattformen und Geräten. Unterstützt von Word, Excel, PowerPoint und Outlook in den Office-Desktop-Anwendungen und Office im Web. Unterstützt auf Windows, MacOS, iOS, und Android.

  • Schützen von Inhalten in Drittanbieter-Apps und -Diensten mithilfe von Microsoft Defender for Cloud Apps. Mit Defender for Cloud Apps können Sie Inhalte in Apps und Diensten von Drittanbietern wie SalesForce, Box oder DropBox erkennen, klassifizieren, bezeichnen und schützen, auch wenn die Drittanbieter-App oder der Drittanbieterdienst Vertraulichkeitsbezeichnungen nicht liest oder unterstützt.

  • Schützen von Containern, die Teams, Microsoft 365-Gruppen und SharePoint-Seiten enthalten. Legen Sie z. B. Datenschutzeinstellungen fest, externen Benutzerzugriff und externe Freigabe, Zugriff über nicht verwaltete Geräte und Steuern, wie Kanäle für andere Teams freigegeben werden können.

  • Schützen Sie Besprechungen und Chats , indem Sie Besprechungseinladungen und alle Antworten bezeichnen (und optional verschlüsseln) und Teams-spezifische Optionen für die Besprechung und den Chat erzwingen.

  • Erweitern Sie Vertraulichkeitsbezeichnung auf Power BI: Wenn Sie diese Funktion aktivieren, können Sie Kennzeichnungen in Power BI anwenden und anzeigen und Daten schützen, wenn sie außerhalb des Dienstes gespeichert werden.

  • Erweitern von Vertraulichkeitsbezeichnungen auf Ressourcen in Azure Purview Data Map: Wenn Sie diese sich derzeit in der Vorschau befindende Funktion aktivieren, können Sie Ihre Vertraulichkeitsbezeichnungen auf Dateien und schematisierte Datenassets in Azure Purview Data Map anwenden. Zu den schematisierten Datenressourcen gehören SQL, Azure SQL, Azure Synapse, Azure Cosmos DB und AWS RDS.

  • Erweitern von Vertraulichkeitsbezeichnungen auf Drittanbieter-Apps und -Dienste. Mit dem Microsoft Information Protection SDK können Drittanbieter-Apps Vertraulichkeitsbezeichnungen lesen und Schutzeinstellungen anwenden.

  • Bezeichnen Sie Inhalte, ohne Schutzeinstellungen zu verwenden. Sie können auch einfach eine Bezeichnung anwenden, um die Vertraulichkeit der Daten zu identifizieren. Diese Aktion bietet Benutzern eine visuelle Zuordnung der Datenempfindlichkeit Ihrer organization, und die Bezeichnungen können Nutzungsberichte und Aktivitätsdaten für Daten mit unterschiedlichen Vertraulichkeitsstufen generieren. Anhand dieser Informationen können Sie jederzeit auswählen, dass später Schutzeinstellungen angewendet werden.

  • Schützen Sie Daten, wenn Microsoft Copilot für Microsoft 365 Benutzern zugewiesen ist. Copilot erkennt Vertraulichkeitsbezeichnungen und integriert sie in die Benutzerinteraktionen, um den Schutz von bezeichneten Daten zu gewährleisten. Weitere Informationen finden Sie im folgenden Abschnitt Vertraulichkeitsbezeichnungen und Microsoft Copilot für Microsoft 365.

In allen diesen Fällen können Ihnen Vertraulichkeitsbezeichnungen aus Microsoft Purview dabei helfen, die richtigen Aktionen an den richtigen Inhalten auszuführen. Mit Vertraulichkeitsbezeichnungen können Sie die Vertraulichkeit von Daten in Ihren organization identifizieren, und die Bezeichnung kann Schutzeinstellungen erzwingen, die für die Vertraulichkeit dieser Daten geeignet sind. Dieser Schutz verbleibt dann beim Inhalt.

Weitere Informationen zu diesen und anderen Szenarien, die von Vertraulichkeitsbezeichnungen unterstützt werden, finden Sie unter Allgemeine Szenarien für Vertraulichkeitsbezeichnungen. Es werden ständig neue Funktionen entwickelt, die Vertraulichkeitsbezeichnungen unterstützen. Daher kann es nützlich sein, die Microsoft 365-Roadmap zu überprüfen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bedeutung von Vertraulichkeitsbezeichnungen

Wenn Sie einem Dokument oder einer E-Mail eine Vertraulichkeitsbezeichnung zuweisen, gleicht dies einem auf den Inhalt angebrachten Stempel wie z. B.:

  • Anpassbar. Speziell für Ihr Unternehmen und Ihre geschäftlichen Anforderungen können Sie Kategorien für verschiedene Ebenen von vertraulichen Inhalten in Ihrem Unternehmen erstellen. Sie können z. B. mit Bezeichnungen wie „Privat“, „Öffentlich“, „Allgemein“, „Vertraulich“ und „Hochgradig vertraulich“ beginnen.

  • Klartext. Da die Bezeichnung in den Metadaten des Inhalts als Klartext gespeichert ist, können Apps und Dienste von Drittanbietern ihn lesen und dann bei Bedarf ihre eigenen Schutzaktionen anwenden.

  • Persistent. Da die Beschriftung in den Metadaten für Dateien und E-Mails gespeichert wird, verbleibt die Beschriftung beim Inhalt, unabhängig davon, wo dieser gespeichert oder abgelegt wird. Die bezeichnungsidentifikation, die für Ihre organization eindeutig ist, ist die Grundlage für die Anwendung und Erzwingung von Richtlinien, die Sie konfigurieren.

Für die Benutzer in Ihrer Organisation erscheint ein Vertraulichkeitsbezeichnung wie ein Tag auf den von ihnen verwendeten Apps und kann einfach in ihre bestehenden Arbeitsabläufe integriert werden. Ihre Vertraulichkeitsbezeichnungen sind in Apps für Benutzer aus anderen Organisationen oder Für Gäste nicht sichtbar.

Für jedes Element, das Vertraulichkeitsbezeichnungen unterstützt, kann eine einzelne Vertraulichkeitsbezeichnung von Ihrem organization darauf angewendet werden. Auf Dokumente und E-Mails kann sowohl eine Vertraulichkeitsbezeichnung als auch eine Aufbewahrungsbezeichnung angewendet werden.

Vertraulichkeitsbezeichnung, die auf eine E-Mail angewendet wird.

Wirkung von Vertraulichkeitsbezeichnungen

Nachdem eine Vertraulichkeitsbezeichnung auf eine E-Mail, Besprechungseinladung oder ein Dokument angewendet wurde, werden alle konfigurierten Schutzeinstellungen für diese Bezeichnung für den Inhalt erzwungen. Sie können eine Vertraulichkeitsbezeichnung konfigurieren, um:

  • Steuern Sie den Zugriff auf Inhalte, indem Sie die Verschlüsselung für E-Mails, Besprechungseinladungen und Dokumente verwenden, um zu verhindern, dass nicht autorisierte Personen auf diese Daten zugreifen. Sie können zusätzlich auswählen, welche Benutzer oder Gruppen über Berechtigungen zum Ausführen welcher Aktionen verfügen, und wie lange diese Berechtigungen gültig sind. Sie können z. B. festlegen, dass alle Benutzer in Ihrer Organisation ein Dokument ändern dürfen, während eine bestimmte Gruppe in einer anderen Organisation das Dokument nur ansehen kann. Alternativ können Sie, statt Berechtigungen durch einen Administrator zu definieren, Ihren Benutzern das Zuweisen von Berechtigungen für den Inhalt erlauben, wenn sie die Bezeichnung anwenden.

    Weitere Informationen zu den Einstellungen für die verschlüsselungsbasierte Zugriffssteuerung beim Erstellen oder Bearbeiten einer Vertraulichkeitsbezeichnung finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Verschlüsselung in Vertraulichkeitsbezeichnungen.

  • Markieren Sie den Inhalt , wenn Sie Office-Apps verwenden, indem Sie Wasserzeichen, Kopfzeilen oder Fußzeilen zu E-Mails, Besprechungseinladungen oder Dokumenten hinzufügen, auf die die Bezeichnung angewendet wurde. Wasserzeichen können auf Dokumente, aber nicht auf E-Mails oder Besprechungseinladungen angewendet werden. Beispielkopfzeile und Wasserzeichen:

    Auf Dokument angewendetes Wasserzeichen und Kopfzeile.

    Dynamische Markierungen werden auch durch die Verwendung von Variablen unterstützt. Fügen Sie z. B. den Bezeichnungsnamen oder den Dokumentnamen in die Kopf- oder Fußzeile oder das Wasserzeichen ein. Weitere Informationen finden Sie unter Dynamische Markierungen mit Variablen.

    Müssen Sie überprüfen, wann Inhaltsmarkierungen angebracht werden? Siehe Wenn Office-Apps Markierungen und Verschlüsselungen auf Inhalte anwenden.

    Wenn Sie Vorlagen oder Workflows haben, die auf bestimmten Dokumenten basieren, testen Sie diese Dokumente mit den ausgewählten Inhaltsmarkierungen, bevor Sie die Bezeichnung für Benutzer verfügbar machen. Beachten Sie einige Einschränkungen in Bezug auf die Länge von Zeichenfolgen:

    Wasserzeichen sind auf 255 Zeichen beschränkt. Kopf-und Fußzeilen sind (mit Ausnahme von Excel) auf 1024 Zeichen beschränkt. Bei Excel liegt der Höchstwert bei 255 Zeichen für Kopf-und Fußzeilen, aber in dieser Beschränkung sind nicht sichtbare Zeichen, wie z. B. Formatierungscodes, enthalten. Wenn dieser Grenzwert erreicht ist, wird die eingegebene Zeichenfolge nicht in Excel angezeigt.

  • Schützen von Inhalten in Containern, z. B. Websites und Gruppen, wenn Sie die Funktion aktivieren umVertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites (Public Preview) zu verwenden.

    Sie können Schutzeinstellungen für Gruppen und Seiten erst konfigurieren, wenn Sie diese Funktion aktiviert haben. Diese Bezeichnungskonfiguration führt nicht dazu, dass Dokumente oder E-Mails automatisch mit Bezeichnungen versehen werden. Stattdessen werden die Inhalte geschützt, indem die Bezeichnungseinstellungen den Zugriff auf den Container steuern, in dem Inhalte gespeichert sind. Zu diesen Einstellungen gehören Datenschutzeinstellungen, Zugriff auf externe Benutzer und externe Freigabe, Zugriff von nicht verwalteten Geräten, Auffindbarkeit privater Teams und Freigabesteuerungen für Kanäle.

  • Bezeichnung automatisch auf Dateien und E-Mails anwenden oder eine Bezeichnung empfehlen. Wählen Sie aus, wie Vertrauliche Informationen identifiziert werden sollen, die Sie bezeichnen möchten, und die Bezeichnung kann automatisch angewendet werden, oder Sie können Benutzer auffordern, die von Ihnen empfohlene Bezeichnung mit einem Richtlinientipp anzuwenden. Wenn Sie eine Bezeichnung empfehlen, können Sie die Eingabeaufforderung anpassen, aber das folgende Beispiel zeigt den automatisch generierten Text:

    Standardaufforderung für einen Benutzer, eine erforderliche Vertraulichkeitsbezeichnung in Excel zuzuweisen.

    Weitere Informationen zu Automatisches Bezeichnen für Dateien und E-Mails-Einstellungen beim Erstellen oder Bearbeiten einer Vertraulichkeitsbezeichnung finden Sie unter Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte für Office-Apps, und Bezeichnen in Azure Purview Data Map.

  • Legen Sie den Standardfreigabelinktyp für SharePoint Websites und einzelne Dokumente fest. Legen Sie den Standardbereich und die Standardberechtigungen für die Freigabe von Dokumenten aus SharePoint und OneDrive fest, um zu verhindern, dass Benutzer zu viele Dokumente freigeben.

Weitere Bezeichnungskonfigurationen finden Sie unter Verwalten von Vertraulichkeitsbezeichnungen für Office-Apps.

Bezeichnungsbereiche

Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, werden Sie aufgefordert, den Bereich der Bezeichnung zu konfigurieren, der zwei Dinge bestimmt:

  • Welche Bezeichnungseinstellungen Sie für diese Bezeichnung konfigurieren können
  • Die Verfügbarkeit der Bezeichnung für Apps und Dienste, einschließlich, ob Benutzer die Bezeichnung anzeigen und auswählen können

Mit dieser Bereichskonfiguration können Sie Vertraulichkeitsbezeichnungen erstellen, die nur für Elemente wie Dokumente und E-Mails gelten und nicht für Container ausgewählt werden können. Ebenso können Vertraulichkeitsbezeichnungen, die nur für Container gelten und nicht für Dokumente und E-Mails ausgewählt werden können. Sie können auch den Bereich für schematisierte Datenassets für Microsoft Purview Data Map auswählen:

Screenshot: Bereichsoptionen für Vertraulichkeitsbezeichnungen

Der Bereich Elemente kann weiter auf Dateien und E-Mails sowie auf Besprechungen optimiert werden, die Kalenderereignisse, Teams-Besprechungsoptionen und Teamchat umfassen. Verwenden Sie diese Einschränkung beispielsweise, wenn eine Vertraulichkeitsbezeichnung nur für E-Mails verfügbar sein soll.

Standardmäßig ist der Bereich Elemente für eine neue Bezeichnung immer ausgewählt. Die weiteren Bereiche werden standardmäßig ausgewählt, wenn die Features für Ihren Mandanten aktiviert sind:

Wenn Sie die Standardeinstellungen so ändern, dass nicht alle Bereiche ausgewählt sind, sehen Sie die erste Seite der Konfigurationseinstellungen für nicht ausgewählte Bereiche, können aber die Einstellungen nicht konfigurieren. Wenn beispielsweise der Bereich für Elemente nicht ausgewählt ist, können Sie die Optionen auf der nächsten Seite nicht auswählen:

Nicht verfügbare Optionen für Vertraulichkeitsbezeichnungen.

Wählen Sie für diese Seiten mit nicht verfügbaren Optionen Weiter aus, um fortzufahren. Sie können aber auch Zurück auswählen, um den Bereich der Beschriftung zu ändern.

Priorität der Bezeichnungen (Reihenfolge wesentlich)

Wenn Sie Ihre Vertraulichkeitsbezeichnungen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal erstellen, werden sie in einer Liste auf der Seite Bezeichnungen aus Information Protection angezeigt. In dieser Liste ist die Reihenfolge der Bezeichnungen wichtig, da sie deren Priorität festlegt. Sie möchten, dass Ihre restriktivste Vertraulichkeitsbezeichnung, z. B. Streng vertraulich, am Ende der Liste und Ihre am wenigsten restriktive Vertraulichkeitsbezeichnung, z. B. Persönlich oder Öffentlich, oben angezeigt wird.

Sie können nur eine Vertraulichkeitsbezeichnung auf ein Element wie ein Dokument, eine E-Mail oder einen Container anwenden. Wenn Sie die Option verwenden, die erfordert, dass Ihre Benutzer eine Begründung für das Ändern einer Bezeichnung in eine niedrigere Vertraulichkeit für Elemente angeben, identifiziert die Reihenfolge dieser Liste die niedrigere Vertraulichkeit. Diese Option gilt jedoch nicht für Unterbezeichnungen, die die Priorität ihrer übergeordneten Bezeichnung teilen.

Die Priorität von Untergeordneten Bezeichnungen wird jedoch bei der automatischen Bezeichnung verwendet. Wenn Sie Richtlinien für die automatische Bezeichnung konfigurieren, können mehrere Übereinstimmungen für mehrere Bezeichnungen resultieren. Anschließend wird die letzte vertrauliche Bezeichnung und ggf. die letzte Unterbezeichnung ausgewählt. Wenn Sie untergeordnete Bezeichnungen selbst (anstelle von Richtlinien für automatische Bezeichnungen) für die automatische oder empfohlene Bezeichnung konfigurieren, ist das Verhalten etwas anders, wenn Untergeordnete Bezeichnungen dieselbe übergeordnete Bezeichnung verwenden. Beispielsweise wird eine für die automatische Bezeichnung konfigurierte Unterbezeichnung gegenüber einer Für die empfohlene Bezeichnung konfigurierten Unterbezeichnung bevorzugt. Weitere Informationen finden Sie unter So werden mehrere Bedingungen ausgewertet, wenn sie auf mehrere Bezeichnungen angewendet werden.

Die Priorität von Untergeordneten Bezeichnungen wird auch mit der Bezeichnungsvererbung aus E-Mail-Anlagen verwendet.

Wenn Sie eine Vertraulichkeitsbezeichnung auswählen, können Sie die Priorität ändern, indem Sie die Optionen verwenden, um sie an den Anfang oder ende der Liste zu verschieben, wenn es sich nicht um eine Untergeordnete Bezeichnung handelt, um sie um eine Bezeichnung nach oben oder unten zu verschieben oder direkt eine Prioritätsnummer zuzuweisen.

Screenshot: Optionen zum Ändern der Priorität von Vertraulichkeitsbezeichnungen

Unterbezeichnungen (Gruppierungsbezeichnungen)

Mit Unterbezeichnungen können Sie ein oder mehrere Bezeichnungen unter einer übergeordneten Bezeichnung gruppieren, die ein Benutzer in einer Office-App sieht. Beispielsweise kann Ihr organization unter Vertraulich mehrere verschiedene Bezeichnungen für bestimmte Typen dieser Vertraulichkeit verwenden. In diesem Beispiel ist die übergeordnete Bezeichnung "Vertraulich" einfach eine Textbezeichnung ohne Schutzeinstellungen, und da sie Unterbezeichnungen enthält, kann sie nicht auf Inhalt angewendet werden. Stattdessen müssen Benutzer "Vertraulich" auswählen, um die Unterbezeichnungen anzuzeigen, und können dann eine Unterbezeichnung auswählen, die auf Inhalt angewendet wird.

Unterbezeichnungen sind einfach eine Möglichkeit, Benutzern Bezeichnungen in logischen Gruppen zu bereitzustellen. Untergeordnete Bezeichnungen erben keine Einstellungen von ihrer übergeordneten Bezeichnung, mit Ausnahme ihrer Bezeichnungsfarbe. Wenn Sie eine Unterbezeichnung für einen Benutzer veröffentlichen, kann dieser Benutzer diese Unterbezeichnung dann auf Inhalte und Container anwenden, aber nicht nur die übergeordnete Bezeichnung.

Wählen Sie keine übergeordnete Bezeichnung als Standardbezeichnung aus, und konfigurieren Sie keine übergeordnete Bezeichnung so, dass Sie automatisch angewendet (oder empfohlen) wird. Wenn Sie dies tun, kann die übergeordnete Bezeichnung nicht angewendet werden.

Beispiel für die Anzeige von Unterbeschriftungen für Benutzer:

Beispiel für Untergeordnete Bezeichnungen aus einer Vertraulichkeitsbezeichnung.

Bearbeiten oder Löschen einer Vertraulichkeitsbezeichnung

Wenn Sie eine Vertraulichkeitsbezeichnung aus dem Microsoft Purview-Portal oder dem Microsoft Purview-Complianceportal löschen, wird die Bezeichnung nicht automatisch aus inhalten entfernt, und alle Schutzeinstellungen werden weiterhin für Inhalte erzwungen, auf die diese Bezeichnung angewendet wurde.

Wenn Sie eine Vertraulichkeitsbezeichnung bearbeiten, wird die Version der Bezeichnung, die auf Inhalte angewendet wurde, für diese Inhalte erzwungen.

Wirkung von Bezeichnungsrichtlinien

Nachdem Sie Ihre Vertraulichkeitsbezeichnungen erstellt haben, müssen Sie sie veröffentlichen, um sie Personen und Diensten in Ihrer Organisation zur Verfügung zu stellen. Die Vertraulichkeitsbezeichnungen können dann auf Office-Dokumente und E-Mails sowie weitere Elemente angewendet werden, für die Vertraulichkeitsbezeichnungen unterstützt werden.

Im Gegensatz zu Aufbewahrungsbezeichnungen, die an Speicherorten wie allen Exchange-Postfächern veröffentlicht werden, werden Vertraulichkeitsbezeichnungen für Benutzer oder Gruppen veröffentlicht. Apps, für die Vertraulichkeitsbezeichnungen unterstützt werden, können sie diesen Benutzern und Gruppen als angewandte Bezeichnungen anzeigen, oder als Bezeichnungen, die angewandt werden können.

Wenn Sie eine Kennzeichnungsrichtlinie konfigurieren, können Sie:

  • Entscheiden, welchen Benutzern und Gruppen die Bezeichnungen angezeigt werden. Bezeichnungen können in Microsoft Entra ID für eine bestimmte Benutzer- oder E-Mail-aktivierte Sicherheitsgruppe, Verteilergruppe oder Microsoft 365-Gruppe (die dynamische Mitgliedschaft haben kann) veröffentlicht werden.

  • Geben Sie eine Standardbezeichnung für dokumente ohne Bezeichnung, E-Mails und Besprechungseinladungen, neue Container (wenn Sie Vertraulichkeitsbezeichnungen für Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites aktiviert haben) sowie eine Standardbezeichnung für Power BI-Inhalte an. Sie können dieselbe Bezeichnung für alle fünf Elementtypen oder verschiedene Bezeichnungen angeben. Benutzer können die angewendete Standard-Vertraulichkeitsbezeichnung so ändern, dass sie der Vertraulichkeit ihrer Inhalte oder Container besser entspricht.

    Hinweis

    Obwohl das Anwenden einer Standardbezeichnung auf neue Dokumente für integrierte Bezeichnungen seit einiger Zeit unterstützt wird, wird die Unterstützung für vorhandene Dokumente in letzter Zeit unterstützt. Um die unterstützten Versionen zu identifizieren, verwenden Sie die Tabelle capabilities und die Zeile Apply a default label to existing documents (Standardbezeichnung auf vorhandene Dokumente anwenden).

    Sie haben die Möglichkeit, eine als Basisniveau Standardbezeichnung von Schutzeinstellungen festzulegen, die auf alle Ihre Inhalte angewendet werden sollen. Ohne Benutzerschulungen und andere Steuerelemente kann diese Einstellung aber auch zu ungenauen Bezeichnungen führen. Normalerweise empfiehlt es sich nicht, eine Bezeichnung auszuwählen, die Verschlüsselung als Standardbezeichnung für Dokumente anwendet. So müssen z.B. viele Organisationen Dokumente an externe Benutzer freigeben, die möglicherweise nicht über Apps verfügen, welche die Verschlüsselung unterstützen, oder die möglicherweise kein Konto verwenden, das autorisiert werden kann. Weitere Informationen zu diesem Szenario finden Sie unter gemeinsame Nutzung verschlüsselter Dokumente mit externen Benutzern.

    Wichtig

    Wenn Sie Unterbezeichnungenhaben, achten Sie darauf, die übergeordnete Bezeichnung nicht als Standardbezeichnung zu konfigurieren.

  • Begründung für das Ändern einer Bezeichnung anfordern. Wenn ein Benutzer für Elemente, aber nicht für Teams und Gruppen versucht, eine Bezeichnung zu entfernen oder durch eine Bezeichnung mit einer niedrigeren Nummer zu ersetzen, muss der Benutzer standardmäßig eine Begründung angeben, um diese Aktion auszuführen. Beispiel: Ein Benutzer öffnet ein Dokument mit der Bezeichnung "Vertraulich" (Ordnungszahl 3) und ersetzt diese Bezeichnung durch die Bezeichnung "Öffentlich" (Ordnungszahl 1). Bei Office-Apps wird diese Begründungsaufforderung einmal pro App-Sitzung ausgelöst. Wenn Sie den Microsoft Purview Information Protection-Client verwenden, wird die Eingabeaufforderung für jede Datei ausgelöst. Administratoren können die Begründung zusammen mit der Änderung der Bezeichnung im Aktivitäts-Explorer lesen.

    Eingabeaufforderung, in der Benutzer eine Begründung eingeben.

  • Benutzer müssen eine Bezeichnung für die verschiedenen Typen von Elementen und containern anwenden, die Vertraulichkeitsbezeichnungen unterstützen. Diese Optionen werden auch als obligatorische Bezeichnung bezeichnet und stellen sicher, dass eine Bezeichnung angewendet werden muss, bevor Benutzer Dokumente speichern und E-Mails oder Besprechungseinladungen senden, neue Gruppen oder Websites erstellen und inhalte ohne Bezeichnung für Power BI verwenden können.

    Die Bezeichnung kann vom Benutzer manuell, und zwar automatisch als Ergebnis einer von Ihnen konfigurierten Bedingung, oder standardmäßig zugewiesen werden (die oben beschriebene Option der Standardbezeichnung). Eine Beispielaufforderung, wenn ein Benutzer eine Bezeichnung zuweisen muss:

    Eingabeaufforderung in Outlook, durch die der Benutzer zum Anwenden der erforderlichen Bezeichnung aufgefordert wird.

    Weitere Informationen zur obligatorischen Bezeichnung von Dokumenten und E-Mails finden Sie unter Benutzer dazu auffordern, ihre E-Mails und Dokumente mit einer Bezeichnung zu versehen.

    Bei Containern muss beim Erstellen der Gruppe oder Site eine Bezeichnung zugewiesen werden.

    Weitere Informationen zur obligatorischen Bezeichnung für Power BI finden Sie unter Obligatorische Bezeichnungsrichtlinie für Power BI.

    Erwägen Sie die Verwendung dieser Option, um dafür zu sorgen, dass Bezeichnungen in höherem Maß verwendet werden. Ohne Benutzerschulungen können diese Einstellungen jedoch zu ungenauen Bezeichnungen führen. Außerdem kann die obligatorische Kennzeichnung, sofern Sie keine entsprechende Standardbezeichnung festlegen, dazu führen, dass Ihre Benutzer mit den häufig auftretenden Eingabeaufforderungen frustriert sind.

  • Link zu einer benutzerdefinierten Hilfeseite bereitstellen Wenn Ihre Benutzer nicht sicher sind, was Ihre Vertraulichkeitsbezeichnungen bedeuten oder wie sie verwendet werden sollen, können Sie eine Url für Weitere Informationen angeben, die nach der Liste der verfügbaren Vertraulichkeitsbezeichnungen in den Office-Apps angezeigt wird. Zum Beispiel:

    Links zu weiteren Informationen auf der Schaltfläche „Vertraulichkeit“ im Menüband.

Weitere Bezeichnungsrichtlinienkonfigurationen finden Sie unter Verwalten von Vertraulichkeitsbezeichnungen für Office-Apps.

Nachdem Sie eine Bezeichnungsrichtlinie erstellt haben, die Benutzern und Gruppen neue Vertraulichkeitsbezeichnungen zuweist, sehen die Benutzer diese Bezeichnungen in ihren Office-Apps. Erlauben Sie bis zu 24 Stunden, bis die neuesten Änderungen in Ihrer gesamten Organisation repliziert wurden.

Es gibt keine Beschränkung für die Anzahl der Vertraulichkeitsbezeichnungen, die Sie erstellen und veröffentlichen können, mit einer Ausnahme: Wenn die Bezeichnung eine Verschlüsselung anwendet, die die Benutzer und Berechtigungen angibt, werden für diese Konfiguration maximal 500 Bezeichnungen pro Mandant unterstützt. Allerdings gilt als bewährte Methode, um den Verwaltungsaufwand für die Administratoren und die Komplexität für die Benutzer zu verringern, die Anzahl der Bezeichnungen möglichst gering zu halten.

Tipp

Praxisnahe Bereitstellungen haben sich als weit weniger effektiv erwiesen, wenn Benutzer mehr als fünf Hauptbezeichnungen oder mehr als fünf Unterbezeichnungen pro Hauptbezeichnung zuordnen. Möglicherweise stellen Sie auch fest, dass einige Anwendungen nicht alle Ihre Bezeichnungen anzeigen können, wenn zu viele für denselben Benutzer veröffentlicht werden.

Priorität der Bezeichnungsrichtlinien (Reihenfolge wesentlich)

Sie können Benutzern die Vertraulichkeitsbezeichnungen zur Verfügung stellen, indem Sie sie in einer Richtlinie zur Vertraulichkeitsbezeichnung veröffentlichen, die in einer Liste auf der Seite Bezeichnungsrichtlinien angezeigt wird. Genau wie bei Vertraulichkeitsbezeichnungen (siehe Bezeichnungspriorität (Ordnung ist wichtig)) ist die Ordnung der Vertraulichkeitsbezeichnungsrichtlinien wichtig, da sie ihre Priorität widerspiegelt: Die Bezeichnungsrichtlinie mit der niedrigsten Priorität wird oben in der Liste mit der niedrigsten Ordnungszahl angezeigt, und die Bezeichnungsrichtlinie mit der höchsten Priorität wird am Ende der Liste mit der höchsten Ordnungszahl angezeigt.

Eine Bezeichnungsrichtlinie besteht aus:

  • Einer Gruppe von Beschriftungen.
  • Die Benutzer und Gruppen, denen die Richtlinien über die Bezeichnungen zugewiesen wird.
  • Der Bereich der Richtlinie und die Richtlinieneinstellungen für diesen Bereich (wie eine Standardbezeichnung für Dateien und E-Mails).

Sie können einen Benutzer in mehrere Bezeichnungsrichtlinien einschließen, und der Benutzer erhält sämtliche Vertraulichkeitsbezeichnungen und Einstellungen aus diesen Richtlinien. Wenn es einen Konflikt in Einstellungen aus mehreren Richtlinien gibt, werden die Einstellungen aus der Richtlinie mit der höchsten Priorität (höchste Auftragsnummer) angewendet. Mit anderen Worten: Die höchste Priorität hat für jede Einstellung Vorrang.

Wenn Ihnen die für einen Benutzer oder eine Gruppe erwartete Bezeichnungsrichtlinieneinstellung nicht angezeigt wird, überprüfen Sie die Ordnung der Vertraulichkeitsbezeichnungsrichtlinien. Möglicherweise müssen Sie die Richtlinie nach unten verschieben. Um die Bezeichnungsrichtlinien neu anzuordnen, wählen Sie eine Vertraulichkeitsbezeichnungsrichtlinie > aus, und wählen Sie die Auslassungspunkte Aktionen für diesen Eintrag >Nach unten oder Nach oben aus. Zum Beispiel:

Option „Verschieben“ auf der Seite für Vertraulichkeits Bezeichnungsrichtlinien.

In unserem Screenshotbeispiel, das drei Bezeichnungsrichtlinien zeigt, wird allen Benutzern die Standardbezeichnungsrichtlinie zugewiesen, daher ist es angebracht, dass sie die niedrigste Priorität (niedrigste Bestellnummer von 0) hat. Nur Benutzern in der IT-Abteilung wird die zweite Richtlinie mit der Ordnungszahl 1 zugewiesen. Wenn es für diese Benutzer Konflikte in den Einstellungen zwischen ihrer Richtlinie und der Standardrichtlinie gibt, gewinnen die Einstellungen aus ihrer Richtlinie, da sie eine höhere Ordnungszahl hat.

Gleiches gilt für Benutzer in der Rechtsabteilung, denen die dritte Richtlinie mit unterschiedlichen Einstellungen zugewiesen ist. Es ist wahrscheinlich, dass diese Benutzer über strengere Einstellungen verfügen, daher ist es angemessen, dass ihre Richtlinie die höchste Auftragsnummer aufweist. Es ist unwahrscheinlich, dass sich ein Benutzer aus der Rechtsabteilung in einer Gruppe befindet, die ebenfalls der Richtlinie für die IT-Abteilung zugewiesen ist. Wenn dies der Fall ist, stellt die Bestellnummer 2 (höchste Bestellnummer) sicher, dass die Einstellungen der Rechtsabteilung immer Vorrang haben, wenn es zu einem Konflikt kommt.

Hinweis

Zur Erinnerung: Wenn es bei einem Benutzer, dem mehrere Richtlinien zugewiesen sind, einen Einstellungskonflikt gibt, wird die Einstellung aus der Richtlinie mit der höchsten Ordnungszahl angewendet.

Vertraulichkeitsbezeichnungen und Microsoft Copilot für Microsoft 365

Die Vertraulichkeitsbezeichnungen, die Sie zum Schutz der Daten Ihrer organization verwenden, werden von Microsoft Copilot für Microsoft 365 erkannt und verwendet, um eine zusätzliche Schutzebene bereitzustellen. In Microsoft Copilot Graph-geerdeten Chatunterhaltungen, die auf Daten aus verschiedenen Arten von Elementen verweisen können, ist beispielsweise die Vertraulichkeitsbezeichnung mit der höchsten Priorität (in der Regel die restriktivste Bezeichnung) für Benutzer sichtbar. Wenn die Vererbung von Vertraulichkeitsbezeichnungen von Copilot unterstützt wird, wird die Vertraulichkeitsbezeichnung mit der höchsten Priorität ausgewählt.

Wenn die Bezeichnungen eine Verschlüsselung von Microsoft Purview Information Protection angewendet haben, überprüft Copilot die Nutzungsrechte für den Benutzer. Nur wenn dem Benutzer die Berechtigung zum Kopieren (das Nutzungsrecht EXTRACT) aus einem Element erteilt wird, werden Daten aus diesem Element von Copilot zurückgegeben.

Weitere Informationen finden Sie unter Microsoft Purview-Datenschutz und Complianceschutz für Microsoft Copilot.

Vertraulichkeitsbezeichnungen und Azure Information Protection

Der ältere Bezeichnungsclient, der Azure Information Protection Unified Labeling Client, wird jetzt durch den Microsoft Purview Information Protection-Client ersetzt, um die Bezeichnung unter Windows auf Explorer, PowerShell und den lokalen Scanner zu erweitern und einen Viewer für verschlüsselte Dateien bereitzustellen.

Office-Apps unterstützen Vertraulichkeitsbezeichnungen mit Abonnementversionen von Office, z. B. Microsoft 365 Apps for Enterprise.

Vertraulichkeitsbezeichnungen und der Microsoft Information Protection SDK

Da eine Vertraulichkeitsbezeichnung in den Metadaten eines Dokuments gespeichert wird, können Apps und Dienste von Drittanbietern diese Bezeichnungsmetadaten lesen und in diese schreiben, um die Bereitstellung Ihrer Bezeichnungen zu ergänzen. Darüber hinaus können Softwareentwickler das Microsoft Information Protection SDK verwenden, um die Bezeichnungs- und Verschlüsselungsfunktionen auf mehreren Plattformen vollständig zu unterstützen. Weitere Informationen hierzu finden Sie in der Ankündigung der allgemeinen Verfügbarkeit im Blog der Tech-Community.

Außerdem erfahren Sie mehr über Partnerlösungen, die in Microsoft Purview Information Protection integriert sind.

Bereitstellungsleitfaden

Informationen zur Bereitstellungsplanung und -anleitung, sowie Hinweise zu Lizenzinformationen, Berechtigungen und Bereitstellungsstrategien sowie eine Liste mit Ressourcen für unterstützte Szenarien und Endbenutzerdokumentation erhalten Sie unter Erste Schritte mit Vertraulichkeitsbezeichnungen.

Um zu erfahren, wie Vertraulichkeitsbezeichnungen verwendet werden, um Datenschutzbestimmungen einzuhalten, lesen Sie: Bereitstellen des Informationsschutzes für Datenschutzbestimmungen mit Microsoft 365.