Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDriveEnable sensitivity labels for Office files in SharePoint and OneDrive

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.Microsoft 365 licensing guidance for security & compliance.

Aktivieren Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive, damit Benutzer Ihre Vertraulichkeitsbezeichnungen in Office im Web anwenden können.Enable sensitivity labels for Office files in SharePoint and OneDrive so that users can apply your sensitivity labels in Office on the web. Wenn dieses Feature aktiviert ist, wird den Benutzern die Schaltfläche "Vertraulichkeit" auf dem Menüband angezeigt, damit sie Bezeichnungen anwenden und jeden angewendeten Bezeichnungsnamen auf der Statusleiste sehen können.When this feature is enabled, users will see the Sensitivity button on the ribbon so they can apply labels, and see any applied label name on the status bar.

Das Aktivieren dieses Features führt auch dazu, dass SharePoint und OneDrive den Inhalt von Dateien verarbeiten können, die mithilfe einer Vertraulichkeitsbezeichnung verschlüsselt wurden.Enabling this feature also results in SharePoint and OneDrive being able to process the contents of files that have been encrypted by using a sensitivity label. Die Bezeichnung kann in Office für das Web oder in Office-Desktop-Apps angewendet und in SharePoint und OneDrive hochgeladen oder gespeichert werden.The label can be applied in Office for the web, or in Office desktop apps and uploaded or saved in SharePoint and OneDrive. Bis Sie dieses Feature aktivieren, können diese Dienste keine verschlüsselten Dateien verarbeiten, was bedeutet, dass die gemeinsame Dokumentverfassung, eDiscovery, Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit für diese Dateien nicht funktionieren.Until you enable this feature, these services can't process encrypted files, which means that coauthoring, eDiscovery, Data Loss Prevention, search, and other collaborative features won't work for these files.

Nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben, für neue und geänderte Dateien mit einer Vertraulichkeitsbezeichnung, die verschlüsselung mit einem cloudbasierten Schlüssel angewendet wird (und keine Doppelschlüsselverschlüsselung verwendet):After you enable sensitivity labels for Office files in SharePoint and OneDrive, for new and changed files that have a sensitivity label that applies encryption with a cloud-based key (and doesn't use Double Key Encryption):

  • Bei Word-, Excel- und #A0 erkennen SharePoint und OneDrive die Bezeichnung und können jetzt den Inhalt der verschlüsselten Datei verarbeiten.For Word, Excel, and PowerPoint files, SharePoint and OneDrive recognize the label and can now process the contents of the encrypted file.

  • Wenn Benutzer diese Dateien aus SharePoint oder OneDrive herunterladen oder darauf zugreifen, werden die Vertraulichkeitsbezeichnung und alle Verschlüsselungseinstellungen der Bezeichnung erzwungen und verbleiben bei der Datei, unabhängig davon, wo sie gespeichert wird.When users download or access these files from SharePoint or OneDrive, the sensitivity label and any encryption settings from the label are enforced and remain with the file, wherever it is stored. Stellen Sie sicher, dass Sie Benutzerleitfäden bereitstellen, um nur Bezeichnungen zum Schutz von Dokumenten zu verwenden.Ensure you provide user guidance to use only labels to protect documents. Weitere Informationen finden Sie unter Information Rights Management (IRM)-Optionen und Vertraulichkeitsbezeichnungen.For more information, see Information Rights Management (IRM) options and sensitivity labels.

  • Wenn Benutzer mit Bezeichnungen versehene und verschlüsselte Dateien in SharePoint oder OneDrive hochladen, müssen sie mindestens über Anzeigerechte für diese Dateien verfügen.When users upload labeled and encrypted files to SharePoint or OneDrive, they must have at least view rights to those files. Beispielsweise können sie die Dateien außerhalb von SharePoint öffnen.For example, they can open the files outside SharePoint. Wenn sie nicht über dieses Mindestnutzungsrecht verfügen, ist der Upload erfolgreich, aber der Dienst erkennt die Bezeichnung nicht und kann den Dateiinhalt nicht verarbeiten.If they don't have this minimum usage right, the upload is successful but the service doesn't recognize the label and can't process the file contents.

  • Verwenden Sie Office im Web (Word, Excel, PowerPoint) zum Öffnen und Bearbeiten von Office-Dateien mit Vertraulichkeitsbezeichnungen, die Verschlüsselung anwenden.Use Office on the web (Word, Excel, PowerPoint) to open and edit Office files that have sensitivity labels that apply encryption. Die Berechtigungen, die mit der Verschlüsselung zugewiesen wurden, werden erzwungen.The permissions that were assigned with the encryption are enforced. Sie können auch die automatische Bezeichnung für diese Dokumente verwenden.You can also use auto-labeling for these documents.

  • Externe Benutzer können mithilfe von Gastkonten auf Dokumente zugreifen, die mit Verschlüsselung gekennzeichnet sind.External users can access documents that are labeled with encryption by using guest accounts. Weitere Informationen finden Sie unter Support für externe Benutzer und mit Bezeichnungen versehene Inhalte.For more information, see Support for external users and labeled content.

  • Office 365 eDiscovery unterstützt die Volltextsuche für diese Dateien, und Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) unterstützen Inhalte in diesen Dateien.Office 365 eDiscovery supports full-text search for these files and Data Loss Prevention (DLP) policies support content in these files.

Hinweis

Wenn die Verschlüsselung mit einem lokalen Schlüssel (einer Schlüsselverwaltungstopologie, die häufig als "Eigenen Schlüssel speichern" oder HYOK bezeichnet wird) oder mithilfe der Verschlüsselung mit Doppelschlüssel angewendet wurde,ändert sich das Dienstverhalten für die Verarbeitung des Dateiinhalts nicht.If encryption has been applied with an on-premises key (a key management topology often referred to as "hold your own key" or HYOK), or by using Double Key Encryption, the service behavior for processing the file contents doesn't change. Bei diesen Dateien funktioniert die gemeinsame Dokumentierung, eDiscovery, Verhinderung von Datenverlust, Suche und andere Features für die Zusammenarbeit also nicht.So for these files, coauthoring, eDiscovery, Data Loss Prevention, search, and other collaborative features won't work.

Das SharePoint- und #A0 ändert sich auch nicht für vorhandene Dateien an diesen Speicherorten, die mithilfe eines einzelnen Azure-basierten Schlüssels mit Verschlüsselung gekennzeichnet sind.The SharePoint and OneDrive behavior also doesn't change for existing files in these locations that are labeled with encryption using a single Azure-based key. Damit diese Dateien von den neuen Funktionen profitieren, nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben, müssen die Dateien entweder heruntergeladen und erneut hochgeladen oder bearbeitet werden.For these files to benefit from the new capabilities after you enable sensitivity labels for Office files in SharePoint and OneDrive, the files must be either downloaded and uploaded again, or edited.

Nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben, stehen drei neue Überwachungsereignisse zur Überwachung von Vertraulichkeitsbezeichnungen zur Verfügung, die auf Dokumente in SharePoint und OneDrive angewendet werden:After you enable sensitivity labels for Office files in SharePoint and OneDrive, three new audit events are available for monitoring sensitivity labels that are applied to documents in SharePoint and OneDrive:

  • Vertraulichkeitsbezeichnung wurde auf Datei angewendetApplied sensitivity label to file
  • Auf Datei angewendete Vertraulichkeitsbezeichnung wurde geändertChanged sensitivity label applied to file
  • Vertraulichkeitsbezeichnung wurde von Datei entferntRemoved sensitivity label from file

Sehen Sie sich das folgende Video (kein Audio) an, um die neuen Funktionen in Aktion zu sehen:Watch the following video (no audio) to see the new capabilities in action:

Sie haben immer die Möglichkeit, Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive(abmelden)jederzeit zu deaktivieren.You always have the choice to disable sensitivity labels for Office files in SharePoint and OneDrive (opt-out) at any time.

Wenn Sie Dokumente in SharePoint derzeit mithilfe der Verwaltung von Informationsrechten (IrM) von SharePoint schützen, überprüfen Sie den Abschnitt zur Verwaltung von Informationsrechten (Information Rights Management, IRM) und zu Vertraulichkeitsbezeichnungen in SharePoint auf dieser Seite.If you are currently protecting documents in SharePoint by using SharePoint Information Rights Management (IRM), be sure to check the SharePoint Information Rights Management (IRM) and sensitivity labels section on this page.

AnforderungenRequirements

Diese neuen Funktionen funktionieren nur mit Vertraulichkeitsbezeichnungen.These new capabilities work with sensitivity labels only. Wenn Sie derzeit über Azure Information Protection-Bezeichnungen verfügen, migrieren Sie sie zuerst zu Vertraulichkeitsbezeichnungen, damit Sie diese Features für neue Dateien aktivieren können, die Sie hochladen.If you currently have Azure Information Protection labels, first migrate them to sensitivity labels so that you can enable these features for new files that you upload. Anweisungen finden Sie unter Migrieren von Azure Information Protection-Bezeichnungen zu einheitlichen Vertraulichkeitsbezeichnungen.For instructions, see How to migrate Azure Information Protection labels to unified sensitivity labels.

Verwenden Sie die OneDrive-Synchronisierungs-App, Version 19.002.0121.0008 oder höher unter Windows, und Version 19.002.0107.0008 oder höher für Mac.Use the OneDrive sync app version 19.002.0121.0008 or later on Windows, and version 19.002.0107.0008 or later on Mac. Beide Versionen wurden am 28. Januar 2019 veröffentlicht und sind derzeit für alle Ringe verfügbar.Both these versions were released January 28, 2019, and are currently released to all rings. Weitere Informationen finden Sie in den OneDrive-Versionshinweisen.For more information, see the OneDrive release notes. Nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben, werden Benutzer, die eine ältere Version der #A1 ausführen, aufgefordert, sie zu aktualisieren.After you enable sensitivity labels for Office files in SharePoint and OneDrive, users who run an older version of the sync app are prompted to update it.

EinschränkungenLimitations

  • SharePoint und OneDrive wenden Vertraulichkeitsbezeichnungen nicht automatisch auf vorhandene Dateien an, die Sie bereits mit Azure Information #A0 verschlüsselt haben.SharePoint and OneDrive don't automatically apply sensitivity labels to existing files that you've already encrypted using Azure Information Protection labels. Führen Sie stattdessen die folgenden Aufgaben aus, damit die Features funktionieren, nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben:Instead, for the features to work after you enable sensitivity labels for Office files in SharePoint and OneDrive, complete these tasks:

    1. Stellen Sie sicher, dass Sie die Azure Information Protection-Bezeichnungen zu Vertraulichkeitsbezeichnungen migriert und aus dem Microsoft 365 Compliance Center oder dem entsprechenden Admin Center für Bezeichnungen veröffentlicht haben.Make sure you have migrated the Azure Information Protection labels to sensitivity labels and published them from the Microsoft 365 compliance center, or equivalent labeling admin center.

    2. Laden Sie die Dateien herunter, und laden Sie sie dann in SharePoint hoch.Download the files and then upload them to SharePoint.

  • SharePoint und OneDrive können verschlüsselte Dateien nicht verarbeiten, wenn die Bezeichnung, mit der die Verschlüsselung angewendet wurde, eine der folgenden Konfigurationen für die Verschlüsselung hat:SharePoint and OneDrive can't process encrypted files when the label that applied the encryption has any of the following configurations for encryption:

    • Benutzern das Zuweisen von Berechtigungen ermöglichen, wenn sie die Bezeichnung anwenden, und das Kontrollkästchen in Word, PowerPoint und Excel, Benutzer zum Angeben von Berechtigungen aufforderen, ist aktiviert.Let users assign permissions when they apply the label and the checkbox In Word, PowerPoint, and Excel, prompt users to specify permissions is selected. Diese Einstellung wird manchmal als "benutzerdefinierte Berechtigungen" bezeichnet.This setting is sometimes referred to as "user-defined permissions".
    • Der Benutzerzugriff auf Inhalte läuft ab und ist auf einen anderen Wert als Never festgelegt.User access to content expires is set to a value other than Never.
    • Doppelschlüsselverschlüsselung ist ausgewählt.Double Key Encryption is selected.

    Bei Bezeichnungen mit einer dieser Verschlüsselungskonfigurationen werden die Bezeichnungen Benutzern in Office im Web nicht angezeigt.For labels with any of these encryption configurations, the labels aren't displayed to users in Office on the web. Darüber hinaus können die neuen Funktionen nicht mit mit Bezeichnungen versehenen Dokumenten verwendet werden, die bereits über diese Verschlüsselungseinstellungen verfügen.Additionally, the new capabilities can't be used with labeled documents that already have these encryption settings. Beispielsweise werden diese Dokumente nicht in den Suchergebnissen zurückgegeben, auch wenn sie aktualisiert werden.For example, these documents won't be returned in search results, even if they are updated.

  • Bei einem verschlüsselten Dokument, das einem Benutzer Bearbeitungsberechtigungen erteilt, kann das Kopieren in den Webversionen der Office-Apps nicht blockiert werden.For an encrypted document that grants edit permissions to a user, copying can't be blocked in the web versions of the Office apps.

  • Die Azure Information Protection-Dokumentverfolgungswebsite wird nicht unterstützt.The Azure Information Protection document tracking site is not supported.

  • Office-Desktop-Apps und mobile Apps unterstützen keine gemeinsamen Dokumentautorisierungen für Dateien, die mit Verschlüsselung gekennzeichnet sind.Office desktop apps and mobile apps don't support coauthoring for files that are labeled with encryption. Diese Apps öffnen weiterhin mit Bezeichnungen versehene und verschlüsselte Dateien im exklusiven Bearbeitungsmodus.These apps continue to open labeled and encrypted files in exclusive editing mode.

  • Wenn ein Administrator Einstellungen für eine veröffentlichte Bezeichnung ändert, die bereits auf Dateien angewendet wurde, die auf den Synchronisierungsclient des Benutzers heruntergeladen wurden, können Benutzer änderungen, die sie an der Datei vornehmen, möglicherweise nicht in ihrem #A0 speichern.If an admin changes settings for a published label that's already applied to files downloaded to users' sync client, users might be unable to save changes they make to the file in their OneDrive Sync folder. Dieses Szenario gilt für Dateien, die mit Verschlüsselung gekennzeichnet sind, und auch, wenn die Bezeichnung von einer Bezeichnung geändert wird, die keine Verschlüsselung auf eine Bezeichnung angewendet hat, die Verschlüsselung angewendet hat.This scenario applies to files that are labeled with encryption, and also when the label change is from a label that didn't apply encryption to a label that does apply encryption. Benutzern wird ein roter Kreis mit einem weißen Kreuzsymbolangezeigt, und sie werden aufgefordert, neue Änderungen als separate Kopie zu speichern.Users see a red circle with a white cross icon error, and they are asked to save new changes as a separate copy. Stattdessen können sie die Datei schließen und erneut öffnen oder Office im Web verwenden.Instead, they can close and reopen the file, or use Office on the web.

  • Wenn ein mit Bezeichnungen versehenes Dokument in SharePoint oder OneDrive hochgeladen wird und die Bezeichnung Verschlüsselung mithilfe eines Kontos aus einem Dienstprinzipalnamen angewendet hat, kann das Dokument nicht in Office im Web geöffnet werden.If a labeled document is uploaded to SharePoint or OneDrive and the label applied encryption by using an account from a service principal name, the document can't be opened in Office on the web. Zu den Beispielszenarien gehören Microsoft Cloud App Security und eine Per E-Mail an Teams gesendete Datei.Example scenarios include Microsoft Cloud App Security and a file sent to Teams by email.

  • Benutzer können Speicherprobleme nach dem Offlinebetrieb oder in einen Ruhezustand haben, wenn sie anstelle von Office für das Web die Desktop- und mobilen Apps für Word, Excel oder PowerPoint verwenden.Users can experience save problems after going offline or into a sleep mode when instead of using Office for the web, they use the desktop and mobile apps for Word, Excel, or PowerPoint. Wenn diese Benutzer ihre Office-App-Sitzung fortsetzen und versuchen, Änderungen zu speichern, wird eine Uploadfehlermeldung mit einer Option zum Speichern einer Kopie angezeigt, anstatt die Originaldatei zu speichern.For these users, when they resume their Office app session and try to save changes, they see an upload failure message with an option to save a copy instead of saving the original file.

  • Dokumente, die auf folgende Weise verschlüsselt wurden, können in Office im Web nicht geöffnet werden:Documents that have been encrypted in the following ways can't be opened in Office on the web:

    • Verschlüsselung, die einen lokalen Schlüssel verwendet ("eigenen Schlüssel halten" oder HYOK)Encryption that uses an on-premises key ("hold your own key" or HYOK)
    • Verschlüsselung, die mithilfe der Doppelschlüsselverschlüsselung angewendet wurdeEncryption that was applied by using Double Key Encryption
    • Verschlüsselung, die unabhängig von einer Bezeichnung angewendet wurde, z. B. durch direktes Anwenden einer Vorlage für den Rechteverwaltungsschutz.Encryption that was applied independently from a label, for example, by directly applying a Rights Management protection template.
  • Wenn Sie eine Bezeichnung löschen, die auf ein Dokument in SharePoint oder OneDrive angewendet wurde, anstatt die Bezeichnung aus der entsprechenden Bezeichnungsrichtlinie zu entfernen, wird das heruntergeladene Dokument nicht mit Bezeichnungen oder Verschlüsselten versehen.If you delete a label that's been applied to a document in SharePoint or OneDrive, rather than remove the label from the applicable label policy, the document when downloaded won't be labeled or encrypted. Im Vergleich dazu bleibt das Dokument verschlüsselt, wenn das bezeichnete Dokument außerhalb von SharePoint oder OneDrive gespeichert wird, wenn die Bezeichnung gelöscht wird.In comparison, if the labeled document is stored outside SharePoint or OneDrive, the document remains encrypted if the label is deleted. Beachten Sie, dass bezeichnungen zwar während einer Testphase gelöscht werden können, es jedoch sehr selten ist, eine Bezeichnung in einer Produktionsumgebung zu löschen.Note that although you might delete labels during a testing phase, it's very rare to delete a label in a production environment.

Aktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (Opt-in)How to enable sensitivity labels for SharePoint and OneDrive (opt-in)

Sie können die neuen Funktionen mithilfe des Microsoft 365 Compliance Centers oder mithilfe von PowerShell aktivieren.You can enable the new capabilities by using the Microsoft 365 compliance center, or by using PowerShell. Wie bei allen Konfigurationsänderungen auf Mandantenebene für SharePoint und OneDrive dauert es ungefähr 15 Minuten, bis die Änderung wirksam wird.As with all tenant-level configuration changes for SharePoint and OneDrive, it takes about 15 minutes for the change to take effect.

Aktivieren der Unterstützung für Vertraulichkeitsbezeichnungen mithilfe des Compliance CentersUse the compliance center to enable support for sensitivity labels

Diese Option ist die einfachste Möglichkeit, Vertraulichkeitsbezeichnungen für SharePoint und OneDrive zu aktivieren, Sie müssen sich jedoch als globaler Administrator für Ihren Mandanten anmelden.This option is the easiest way to enable sensitivity labels for SharePoint and OneDrive, but you must sign in as a global administrator for your tenant.

  1. Melden Sie sich beim Microsoft 365 Compliance Center als globaler Administrator an, und navigieren Sie zu Lösungsinformationsschutz. > Sign in to the Microsoft 365 compliance center as a global administrator, and navigate to Solutions > Information protection

    Wenn diese Option nicht sofort angezeigt wird, wählen Sie zunächst Alle anzeigen aus.If you don't immediately see this option, first select Show all.

  2. Wenn eine Meldung zum Aktivieren der Möglichkeit zum Verarbeiten von Inhalten in Office -Onlinedateien angezeigt wird, wählen Sie jetzt "Jetzt aktivieren" aus:If you see a message to turn on the ability to process content in Office online files, select Turn on now:

    Schaltfläche "Jetzt aktivieren" zum Aktivieren von Vertraulichkeitsbezeichnungen für Office Online

    Der Befehl wird sofort ausgeführt, und wenn die Seite das nächste Mal aktualisiert wird, wird die Meldung oder Schaltfläche nicht mehr angezeigt.The command runs immediately and when the page is next refreshed, you no longer see the message or button.

Hinweis

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Funktionen für alle geografischen Standorte zu aktivieren.If you have Microsoft 365 Multi-Geo, you must use PowerShell to enable these capabilities for all your geo-locations. Ausführliche Informationen finden Sie im nächsten Abschnitt.See the next section for details.

Verwenden von PowerShell zum Aktivieren der Unterstützung von VertraulichkeitsbezeichnungenUse PowerShell to enable support for sensitivity labels

Als Alternative zur Verwendung des Compliance Centers können Sie die Unterstützung für Vertraulichkeitsbezeichnungen mithilfe des Cmdlets "Set-SPOTenant" aus SharePoint Online PowerShell aktivieren.As an alternative to using the compliance center, you can enable support for sensitivity labels by using the Set-SPOTenant cmdlet from SharePoint Online PowerShell.

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie PowerShell verwenden, um diese Unterstützung für alle geografischen Standorte zu aktivieren.If you have Microsoft 365 Multi-Geo, you must use PowerShell to enable this support for all your geo-locations.

Vorbereiten der SharePoint Online-VerwaltungsshellPrepare the SharePoint Online Management Shell

Bevor Sie den #A0 zum Aktivieren von Vertraulichkeitsbezeichnungen für #A1 in SharePoint und OneDrive ausführen, stellen Sie sicher, dass Sie SharePoint #A2 Version 16.0.19418.12000 oder höher ausführen.Before you run the PowerShell command to enable sensitivity labels for Office files in SharePoint and OneDrive, ensure that you're running SharePoint Online Management Shell version 16.0.19418.12000 or later. Wenn Sie bereits über die neueste Version verfügen, können Sie mit dem nächsten Verfahren zum Ausführen des Befehls PowerShell springen.If you already have the latest version, you can skip to next procedure to run the PowerShell command.

  1. Wenn Sie eine frühere Version der SharePoint-Online-Verwaltungsshell aus dem PowerShell-Katalog installiert haben, können Sie das Modul aktualisieren, indem Sie das folgende Cmdlet ausführen.If you have installed a previous version of the SharePoint Online Management Shell from PowerShell gallery, you can update the module by running the following cmdlet.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Wenn Sie eine frühere Version der SharePoint Online-Verwaltungsshell aus dem Microsoft Download Center installiert haben, können Sie auch zu "Software hinzufügen" oder "Entfernen" wechseln und die SharePoint Online-Verwaltungsshell deinstallieren.Alternatively, if you have installed a previous version of the SharePoint Online Management Shell from the Microsoft Download Center, you can also go to Add or remove programs and uninstall the SharePoint Online Management Shell.

  3. Wechseln Sie in einem Webbrowser zur Download Center-Seite, und laden Sie die neueste SharePoint Online-Verwaltungsshell herunter.In a web browser, go to the Download Center page and Download the latest SharePoint Online Management Shell.

  4. Wählen Sie die gewünschte Sprache aus, und klicken Sie auf Download.Select your language and then click Download.

  5. Wählen Sie zwischen der x64- und der x86-Version der MSI-Datei aus.Choose between the x64 and x86 .msi file. Laden Sie die x64-Datei herunter, wenn Sie die 64-Bit-Version von Windows oder die x86-Datei ausführen, wenn Sie die 32-Bit-Version ausführen.Download the x64 file if you run the 64-bit version of Windows or the x86 file if you run the 32-bit version. Wenn Sie nicht wissen, welche Version des Windows-Betriebssystems ich auslaufe?If you don’t know, see Which version of Windows operating system am I running?

  6. Nachdem Sie die Datei heruntergeladen haben, führen Sie die Datei aus, und führen Sie die Schritte im Setup-Assistenten aus.After you have downloaded the file, run the file and follow the steps in the Setup Wizard.

Führen Sie den Befehl "PowerShell" aus, um die Unterstützung für Vertraulichkeitsbezeichnungen zu aktivieren.Run the PowerShell command to enable support for sensitivity labels

Verwenden Sie zum Aktivieren der neuen Funktionen das Cmdlet "Set-SPOTenant" mit dem Parameter "EnableAIPIntegration":To enable the new capabilities, use the Set-SPOTenant cmdlet with the EnableAIPIntegration parameter:

  1. Stellen Sie mithilfe eines Arbeits- oder Schulkontos, das über globale Administrator- oder SharePoint-Administratorrechte in Microsoft 365 verfügt, eine Verbindung mit SharePoint herzustellen.Using a work or school account that has global administrator or SharePoint admin privileges in Microsoft 365, connect to SharePoint. Eine Anleitung dazu finden Sie unter Erste Schritte mit der Microsoft Office SharePoint Online-Verwaltungsshell.To learn how, see Getting started with SharePoint Online Management Shell.

    Hinweis: Wenn Sie über Microsoft 365 Multi-Geo verfügen, verwenden Sie den Parameter "-Url" mit "Connect-SPOService",und geben Sie die URL der SharePoint Online Administration Center für einen Ihrer geografischen Standorte an.Note: If you have Microsoft 365 Multi-Geo, use the -Url parameter with Connect-SPOService, and specify the SharePoint Online Administration Center site URL for one of your geo-locations.

  2. Führen Sie den folgenden Befehl aus, und drücken Sie Y, um dies zu bestätigen:Run the following command and press Y to confirm:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Für Microsoft 365 Multi-Geo: Wiederholen Sie die Schritte 1 und 2 für jeden der verbleibenden geografischen Standorte.For Microsoft 365 Multi-Geo: Repeat steps 1 and 2 for each of your remaining geo-locations.

Veröffentlichen und Ändern von VertraulichkeitsbezeichnungenPublishing and changing sensitivity labels

Wenn Sie Vertraulichkeitsbezeichnungen mit SharePoint und OneDrive verwenden, müssen Sie die Replikationszeit berücksichtigen, wenn Sie neue Vertraulichkeitsbezeichnungen veröffentlichen oder vorhandene Vertraulichkeitsbezeichnungen aktualisieren.When you use sensitivity labels with SharePoint and OneDrive, keep in mind that you need to allow for replication time when you publish new sensitivity labels or update existing sensitivity labels. Dies ist besonders wichtig für neue Bezeichnungen, die Verschlüsselung anwenden.This is especially important for new labels that apply encryption.

Beispiel: Sie erstellen und veröffentlichen eine neue Vertraulichkeitsbezeichnung, die Verschlüsselung angewendet, und sie wird sehr schnell in der Desktop-App eines Benutzers angezeigt.For example: You create and publish a new sensitivity label that applies encryption and it very quickly appears in a user's desktop app. Der Benutzer wendet diese Bezeichnung auf ein Dokument an und lädt sie dann in SharePoint oder OneDrive hoch.The user applies this label to a document and then uploads it to SharePoint or OneDrive. Wenn die Bezeichnungsreplikation für den Dienst nicht abgeschlossen wurde, werden die neuen Funktionen beim Hochladen nicht auf dieses Dokument angewendet.If the label replication hasn't completed for the service, the new capabilities won't be applied to that document on upload. Aus diesem Grund wird das Dokument nicht bei der Suche oder für eDiscovery zurückgegeben, und das Dokument kann nicht in Office für das Web geöffnet werden.As a result, the document won't be returned in search or for eDiscovery and the document can't be opened in Office for the web.

Die folgenden Änderungen werden innerhalb einer Stunde repliziert: Neue und gelöschte Vertraulichkeitsbezeichnungen und Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen, die enthalten, welche Bezeichnungen in der Richtlinie enthalten sind.The following changes replicate within one hour: New and deleted sensitivity labels, and sensitivity label policy settings that include which labels are in the policy.

Die folgenden Änderungen werden innerhalb von 24 Stunden repliziert: Änderungen an den Einstellungen für Vertraulichkeitsbezeichnungen für vorhandene Bezeichnungen.The following changes replicate within 24 hours: Changes to sensitivity label settings for existing labels.

Da die Replikationsverzögerung für neue Vertraulichkeitsbezeichnungen nur eine Stunde beträgt, ist es unwahrscheinlich, dass das Szenario im Beispiel ausgeführt wird.Because the replication delay is only one hour for new sensitivity labels, you are unlikely to run into the scenario in the example. Als Schutz wird jedoch empfohlen, neue Bezeichnungen zuerst nur für wenige Testbenutzer zu veröffentlichen, eine Stunde zu warten und dann das Bezeichnungsverhalten in SharePoint und OneDrive zu überprüfen.But as a safeguard, we recommend publishing new labels to just a few test users first, wait for an hour, and then verify the label behavior on SharePoint and OneDrive. Als letzten Schritt können Sie die Bezeichnung für mehr Benutzer verfügbar machen, indem Sie der vorhandenen Bezeichnungsrichtlinie entweder weitere Benutzer hinzufügen oder die Bezeichnung einer vorhandenen Bezeichnungsrichtlinie für Ihre Standardbenutzer hinzufügen.As the final step, make the label available to more users by either adding more users to the existing label policy, or add the label to an existing label policy for your standard users. Wenn Ihre Standardbenutzer die Bezeichnung sehen, wurde sie bereits mit SharePoint und OneDrive synchronisiert.At the time your standard users see the label, it has already synchronized to SharePoint and OneDrive.

Verwaltung von Informationsrechten in SharePoint (IRM) und VertraulichkeitsbezeichnungenSharePoint Information Rights Management (IRM) and sensitivity labels

Die Verwaltung von Informationsrechten in SharePoint (IRM) ist eine ältere Technologie zum Schutz von Dateien auf Listen- und Bibliotheksebene durch Anwendung von Verschlüsselung und Einschränkungen beim Herunterladen von Dateien.SharePoint Information Rights Management (IRM) is an older technology to protect files at the list and library level by applying encryption and restrictions when files are downloaded. Diese ältere Schutztechnologie soll verhindern, dass nicht autorisierte Benutzer die Datei öffnen, während sie sich außerhalb von SharePoint befindet.This older protection technology is designed to prevent unauthorized users from opening the file while it's outside SharePoint.

Im Vergleich dazu stellen Vertraulichkeitsbezeichnungen zusätzlich zur Verschlüsselung die Schutzeinstellungen visueller Markierungen (Kopf- und Fußzeilen, Wasserzeichen) zur Verfügung.In comparison, sensitivity labels provide the protection settings of visual markings (headers, footers, watermarks) in addition to encryption. Die Verschlüsselungseinstellungen unterstützen den vollständigen Bereich von Nutzungsrechten, um einzuschränken, was Benutzer mit dem Inhalt tun können, und die gleichen Vertraulichkeitsbezeichnungen werden für viele Szenarien unterstützt.The encryption settings support the full range of usage rights to restrict what users can do with the content, and the same sensitivity labels are supported for many scenarios. Die Verwendung derselben Schutzmethode mit konsistenten Einstellungen für alle Workloads und Apps führt zu einer konsistenten Schutzstrategie.Using the same protection method with consistent settings across workloads and apps results in a consistent protection strategy.

Sie können jedoch beide Schutzlösungen zusammen verwenden, und das Verhalten lautet wie folgt:However, you can use both protection solutions together and the behavior is as follows:

  • Wenn Sie eine Datei mit einer Vertraulichkeitsbezeichnung hochladen, die Verschlüsselung angewendet wird, kann SharePoint den Inhalt dieser Dateien nicht verarbeiten, sodass die gemeinsame Dokumentverfassung, eDiscovery, DLP und Suche für diese Dateien nicht unterstützt werden.If you upload a file with a sensitivity label that applies encryption, SharePoint can't process the content of these files so coauthoring, eDiscovery, DLP, and search are not supported for these files.

  • Wenn Sie eine Datei mit Office im Web beschriften, werden alle Verschlüsselungseinstellungen der Bezeichnung erzwungen.If you label a file using Office on the web, any encryption settings from the label are enforced. Für diese Dateien werden die mitverfassende, eDiscovery-, DLP- und Suchfunktion unterstützt.For these files, coauthoring, eDiscovery, DLP, and search are supported.

  • Wenn Sie eine Datei herunterladen, die mit Office im Web beschriftet ist, wird die Bezeichnung beibehalten, und alle Verschlüsselungseinstellungen aus der Bezeichnung werden anstelle der Einstellungen für die IrM-Einschränkung erzwungen.If you download a file that's labeled by using Office on the web, the label is retained and any encryption settings from the label are enforced rather than the IRM restriction settings.

  • Wenn Sie eine Office- oder PDF-Datei herunterladen, die nicht mit einer Vertraulichkeitsbezeichnung verschlüsselt ist, werden die IRM-Einstellungen angewendet.If you download an Office or PDF file that isn't encrypted with a sensitivity label, IRM settings are applied.

  • Wenn Sie eine der zusätzlichen Einstellungen für die IRM-Bibliothek aktiviert haben, die u. a. verhindern, dass Benutzer Dokumente hochladen, die IRM nicht unterstützen, werden diese Einstellungen erzwungen.If you have enabled any of the additional IRM library settings, which include preventing users from uploading documents that don't support IRM, these settings are enforced.

Mit diesem Verhalten können Sie sicher sein, dass alle Office- und PDF-Dateien vor unbefugtem Zugriff geschützt sind, wenn sie heruntergeladen werden, auch wenn sie nicht mit Bezeichnungen versehen sind.With this behavior, you can be assured that all Office and PDF files are protected from unauthorized access if they are downloaded, even if they aren't labeled. Hochgeladene Dateien mit Bezeichnungen profitieren jedoch nicht von den neuen Funktionen.However, labeled files that are uploaded won't benefit from the new capabilities.

Suchen nach Dokumenten nach VertraulichkeitsbezeichnungSearch for documents by sensitivity label

Verwenden Sie die verwaltete Eigenschaft "InformationProtectionLabelId", um alle Dokumente in SharePoint oder OneDrive zu suchen, die eine bestimmte Vertraulichkeitsbezeichnung haben.Use the managed property InformationProtectionLabelId to find all documents in SharePoint or OneDrive that have a specific sensitivity label. Verwenden Sie die folgende Syntax: InformationProtectionLabelId:<GUID>Use the following syntax: InformationProtectionLabelId:<GUID>

Wenn Sie beispielsweise nach allen Dokumenten suchen möchten, die mit "Vertraulich" gekennzeichnet wurden und diese Bezeichnung die GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e" hat, geben Sie im Suchfeld folgenden Text ein:For example, to search for all documents that have been labeled as "Confidential", and that label has a GUID of "8faca7b8-8d20-48a3-8ea2-0f96310a848e", in the search box, type:

InformationProtectionLabelId: 8faca7b8-8d20-48a3-8ea2-0f96310a848e

Verwenden Sie das Cmdlet "Get-Label", um die GUIDs für Ihre Vertraulichkeitsbezeichnungen zu erhalten:To get the GUIDs for your sensitivity labels, use the Get-Label cmdlet:

  1. Stellen Sie zunächst eine Verbindung mit Office 365 Security & Compliance Center PowerShell her.First, connect to Office 365 Security & Compliance Center PowerShell.

    Melden Sie sich beispielsweise in einer PowerShell-Sitzung, die Sie als Administrator ausführen, mit einem globalen Administratorkonto an.For example, in a PowerShell session that you run as administrator, sign in with a global administrator account.

  2. Führen Sie dann den folgenden Befehl aus:Then run the following command:

    Get-Label |ft Name, Guid    
    

Weitere Informationen zur Verwendung verwalteter Eigenschaften finden Sie unter Verwalten des Suchschemas in SharePoint.For more information about using managed properties, see Manage the search schema in SharePoint.

Entfernen der Verschlüsselung für ein mit Bezeichnungen versehenes DokumentRemove encryption for a labeled document

Es kann seltenen Fälle geben, in denen ein SharePoint-Administrator die Verschlüsselung aus einem in SharePoint gespeicherten Dokument entfernen muss.There might be rare occasions when a SharePoint administrator needs to remove encryption from a document stored in SharePoint. Jeder Benutzer, dem das Nutzungsrecht "Rechteverwaltung" auf "Export" oder "Vollschutz" für dieses Dokument zugewiesen ist, kann die Verschlüsselung, die vom Azure Rights Management Service angewendet wurde, aus Azure Information Protection entfernen.Any user who has the Rights Management usage right of Export or Full Control assigned to them for that document can remove encryption that was applied by the Azure Rights Management service from Azure Information Protection. Beispielsweise können Benutzer mit einem dieser Nutzungsrechte eine Bezeichnung ersetzen, die verschlüsselungsfrei durch eine Bezeichnung angewendet wird.For example, users with either of these usage rights can replace a label that applies encryption with a label without encryption. Alternativ kann ein Superbenutzer die Datei herunterladen und eine lokale Kopie ohne Verschlüsselung speichern.Alternatively, a super user could download the file and save a local copy without the encryption.

Alternativ kann ein globaler Administrator oder ein SharePoint-Administrator das Cmdlet Unlock-SPOSensitivityLabelEncryptedFile ausführen, das sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung entfernt.As an alternative, a global admin or SharePoint admin can run the Unlock-SPOSensitivityLabelEncryptedFile cmdlet, which removes both the sensitivity label and the encryption. Dieses Cmdlet wird auch dann ausgeführt, wenn der Administrator nicht über Zugriffsberechtigungen für die Website oder Datei verfügt oder wenn der Azure Rights Management Service nicht verfügbar ist.This cmdlet runs even if the admin doesn't have access permissions to the site or file, or if the Azure Rights Management service is unavailable.

Zum Beispiel:For example:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Anforderungen:Requirements:

  • SharePoint Online Management Shell, Version 16.0.20616.12000 oder höher.SharePoint Online Management Shell version 16.0.20616.12000 or later.

  • Die Verschlüsselung wurde von einer Vertraulichkeitsbezeichnung mit vom Administrator definierten Verschlüsselungseinstellungen angewendet (die Einstellungen zum Zuweisen von Berechtigungen jetzt).The encryption has been applied by a sensitivity label with admin-defined encryption settings (the Assign permissions now label settings). Die Verschlüsselung mit Doppelschlüssel wird für dieses Cmdlet nicht unterstützt.Double Key Encryption is not supported for this cmdlet.

Der Begründungstext wird dem Überwachungsereignis der Vertraulichkeitsbezeichnung "Aus Datei entfernt" hinzugefügt, und die Entschlüsselungsaktion wird auch in der Schutzverwendungsprotokollierung für Azure Information Protection aufgezeichnet.The justification text is added to the audit event of Removed sensitivity label from file, and the decryption action is also recorded in the protection usage logging for Azure Information Protection.

Deaktivieren von Vertraulichkeitsbezeichnungen für SharePoint und OneDrive (Abmelden)How to disable sensitivity labels for SharePoint and OneDrive (opt-out)

Wenn Sie diese neuen Funktionen deaktivieren, werden Dateien, die Sie hochgeladen haben, nachdem Sie Vertraulichkeitsbezeichnungen für SharePoint und OneDrive aktiviert haben, weiterhin durch die Bezeichnung geschützt, da die Bezeichnungseinstellungen weiterhin erzwungen werden.If you disable these new capabilities, files that you uploaded after you enabled sensitivity labels for SharePoint and OneDrive continue to be protected by the label because the label settings continue to be enforced. Wenn Sie vertraulichkeitsbezeichnungen auf neue Dateien anwenden, nachdem Sie diese neuen Funktionen deaktiviert haben, funktioniert die Volltextsuche, eDiscovery und gemeinsamen Dokumentautorisierung nicht mehr.When you apply sensitivity labels to new files after you disable these new capabilities, full-text search, eDiscovery, and coauthoring will no longer work.

Um diese neuen Funktionen zu deaktivieren, müssen Sie PowerShell verwenden.To disable these new capabilities, you must use PowerShell. Geben Sie mithilfe der SharePoint Online-Verwaltungsshell und des Cmdlets "Set-SPOTenant" denselben Parameter "EnableAIPIntegration" an, wie im Abschnitt "Verwenden von PowerShell zum Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen" beschrieben.Using the SharePoint Online Management Shell and the Set-SPOTenant cmdlet, specify the same EnableAIPIntegration parameter as described in the Use PowerShell to enable support for sensitivity labels section. Legen Sie dieses Mal jedoch den Parameterwert auf "false" und drücken Sie Y, um zu bestätigen:But this time, set the parameter value to false and press Y to confirm:

Set-SPOTenant -EnableAIPIntegration $false

Wenn Sie über Microsoft 365 Multi-Geo verfügen, müssen Sie diesen Befehl für jeden Ihrer geografischen Standorte ausführen.If you have Microsoft 365 Multi-Geo, you must run this command for each of your geo-locations.

Nächste SchritteNext steps

Nachdem Sie Vertraulichkeitsbezeichnungen für #A0 in SharePoint und OneDrive aktiviert haben, sollten Sie diese Dateien mithilfe von Richtlinien für die automatische Bezeichnung automatisch beschriften.After you've enabled sensitivity labels for Office files in SharePoint and OneDrive, consider automatically labeling these files by using auto-labeling policies. Weitere Informationen finden Sie unter "Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte".For more information, see Apply a sensitivity label to content automatically.

Müssen Sie Ihre mit Bezeichnungen versehenen und verschlüsselten Dokumente für Personen außerhalb Ihrer Organisation freigeben?Need to share your labeled and encrypted documents with people outside your organization? Siehe "Freigeben verschlüsselter Dokumente für externe Benutzer".See Sharing encrypted documents with external users.