Erste Schritte mit Vertraulichkeitsbezeichnungen

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Informationen darüber, was Vertraulichkeitsbezeichnungen sind und wie sie Ihnen helfen, die Daten Ihrer Organisation zu schützen, finden Sie unter Weitere Informationen zu Vertraulichkeitsbezeichnungen.

Wenn Sie Azure Information Protection einsetzen und immer noch Azure Information Protection-Bezeichnungen verwenden, die vom Azure-Portal verwaltet wurden, müssen Sie diese Bezeichnungen auf die einheitliche Bezeichnungsplattform migrieren. Auf Windows-Computern können Sie dann auswählen, welcher Bezeichnungsclient verwendet werden soll für Ihre veröffentlichen Vertraulichkeitsbezeichnungen.

Wenn Sie bereit sind, die Daten Ihrer Organisation mit Vertraulichkeitsbezeichnungen zu schützen:

  1. Erstellen Sie die Bezeichnungen. Erstellen und benennen Sie Ihre Vertraulichkeitsbezeichnungen gemäß der Klassifizierungstaxonomie Ihrer Organisation für unterschiedliche Vertraulichkeitsstufen von Inhalten. Verwenden Sie allgemeine Namen oder Ausdrücke, die für Ihre Benutzer leicht verständlich sind. Wenn Sie noch nicht über eine festgelegte Taxonomie verfügen, können Sie mit Bezeichnungen wie "Privat", "Öffentlich", "Allgemein", "Vertraulich" und "Hoch vertraulich" beginnen. Danach können Sie Unterbezeichnungen verwenden, um ähnliche Bezeichnungen nach Kategorien zu gruppieren. Verwenden Sie beim Erstellen einer Bezeichnung den QuickInfo-Text, um die Benutzer bei der Auswahl der geeigneten Bezeichnung zu unterstützen.

    Ausführlichere Anleitungen zum Definieren einer Klassifizierungstaxonomie finden Sie im Whitepaper „Datenklassifizierung und Taxonomie von Vertraulichkeitsbezeichnungen“, das Sie über das Service Trust Portal herunterladen können.

  2. Legen Sie fest, wozu jede einzelne Bezeichnung dient. Konfigurieren Sie die Schutzeinstellungen, die mit den einzelnen Bezeichnungen verknüpft werden sollen. Für Inhalte mit geringer Vertraulichkeitsstufe (z.B. mit der Bezeichnung „Allgemein“) können Sie beispielsweise nur eine Kopf- oder Fußzeile benutzen, während für Inhalt mit höheren Vertraulichkeitsstufen (z.B. die Bezeichnung „Vertraulich“) ein Wasserzeichen und eine Verschlüsselung angewendet werden sollten.

  3. Veröffentlichen Sie die Bezeichnungen. Nachdem Sie die Vertraulichkeitsbezeichnungen konfiguriert haben, können Sie sie mithilfe einer Bezeichnungsrichtlinie veröffentlichen. Legen Sie fest, welche Benutzer und Gruppen die Bezeichnungen haben sollen und welche Richtlinieneinstellungen verwendet werden. Eine einzelne Bezeichnung kann wiederverwendet werden – Sie definieren eine Bezeichnung nur einmal und können sie anschließend in mehrere Bezeichnungsrichtlinien einfügen, die unterschiedlichen Benutzern zugewiesen sind. So könnten Sie beispielsweise mit Vertraulichkeitsbezeichnungen beginnen, indem Sie nur wenigen Benutzern eine Kennzeichnungsrichtlinie zuweisen. Wenn Sie dann bereit sind, die Bezeichnungen für Ihre gesamte Organisation bereitzustellen, können Sie eine neue Bezeichnungsrichtlinie für Ihre Bezeichnungen erstellen und dieses Mal alle Benutzer angeben.

Möglicherweise haben Sie Anspruch auf die automatische Erstellung von Standardlabels und eine Standardlabelrichtlinie, die die Schritte 1 bis 3 für Sie übernimmt. Weitere Informationen finden Sie unter Standardbezeichnungen und Richtlinien für Microsoft Information Protection.

Im Folgenden werden die grundlegenden Schritte für die Bereitstellung und Anwendung von Vertraulichkeitsbezeichnungen beschrieben:

Diagramm mit Workflow für Vertraulichkeitsbezeichnungen.

Abonnement- und Lizenzierungsanforderungen für Vertraulichkeitsbezeichnungen

Eine Reihe verschiedener Abonnements unterstützen Vertraulichkeitsbezeichnungen, und die Lizenzierungsanforderungen für Benutzer hängen von den von Ihnen verwendeten Features ab.

Die Optionen für die Lizenzierung Ihrer Benutzer zur Nutzung der Microsoft 365-Compliancefeatures, finden Sie im Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance. Informationen zu Vertraulichkeitsbezeichnungen finden Sie im Information Protection: Vertraulichkeitsbezeichnungen Abschnitt und dem zugehörigen PDF-Download für Lizenzierungsanforderungen auf Featureebene.

Für das Erstellen und Verwalten von Vertraulichkeitsbezeichnungen erforderliche Berechtigungen

Mitglieder Ihres Complianceteams, die Vertraulichkeitsbezeichnungen erstellen, benötigen Berechtigungen für das Microsoft 365 Compliance Center.

Standardmäßig haben globale Administratoren für Ihren Mandanten Zugriff auf dieses Admin Center und können Compliance-Beauftragte und anderen Personen Zugriff gewähren, ohne ihnen alle Berechtigungen eines Mandantenadministrators zu erteilen. Um diesen delegierten eingeschränkten Administratorzugriff zu erteilen, gehen Sie folgendermaßen vor: Fügen Sie der Rollengruppe Compliancedatenadministrator, Complianceadministrator oder Sicherheitsadministrator Benutzer hinzu.

Alternativ zur Verwendung der Standardrollen können Sie eine neue Rollengruppe erstellen und dieser entweder die Rolle Administrator für Vertraulichkeitsbezeichnungen oder die Rolle Organisationskonfiguration hinzufügen. Nutzen Sie Leser von Vertraulichkeitsbezeichnungen für eine schreibgeschützte Rolle.

Hinweis

Jetzt, wenn Sie sich in der Vorschau befinden, können Sie die folgenden Rollengruppen verwenden:

  • Information Protection
  • Information Protection-Administratoren
  • Information Protection-Analysten
  • Information Protection-Ermittler
  • Information Protection-Leser

Um eine Erläuterung der einzelnen Rollengruppen und der in diesen enthaltenen neuen Rollen zu erhalten, wählen Sie eine Rollengruppe im Microsoft 365 Compliance Center > Berechtigungen und Rollen > Compliance Center > Rollen aus, und überprüfen Sie dann die Beschreibung im Flyoutbereich. Alternativ können Sie sich die Rollengruppen im Security & Compliance Center ansehen.

Anweisungen zum Hinzufügen von Benutzern zu den standardmäßigen Rollengruppen oder Rollen, oder zum Erstellen eigener Rollengruppen finden Sie unter Berechtigungen im Microsoft 365 Compliance Center.

Diese Berechtigungen sind nur zum Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Bezeichnungsrichtlinien erforderlich. Sie müssen die Bezeichnungen in Apps oder Diensten nicht anwenden. Wenn für bestimmte Konfigurationen, die sich auf Vertraulichkeitsbezeichnungen beziehen, zusätzliche Berechtigungen erforderlich sind, sind diese Berechtigungen in den entsprechenden Dokumentations-Anweisungen aufgelistet.

Bereitstellungsstrategie für Vertraulichkeitsbezeichnungen

Eine erfolgreiche Strategie zur Bereitstellung von Vertraulichkeitsbezeichnungen in einer Organisation ist es, ein virtuelles Team ins Leben zu rufen, das die geschäftlichen und technischen Anforderungen, die Proof of Concept-Überprüfung, interne Prüfpunkte und Genehmigungen sowie die endgültige Bereitstellung für die Produktumgebung ermittelt und verwaltet.

Wir empfehlen, mithilfe der Tabelle im nächsten Abschnitt ihre ein oder zwei wichtigsten Szenarien zu ermitteln, die Ihre wirksamsten geschäftlichen Anforderungen abbilden. Kehren Sie nach dem Bereitstellen dieser Szenarien zur Liste zurück, um die nächsten ein oder zwei Prioritäten für die Bereitstellung zu ermitteln.

Weitere allgemeine Anleitungen zur Bereitstellung und bewährte Methoden finden Sie im Handbuch zu Beschleunigung der Bereitstellung für Microsoft Information Protection und Verhinderung von Datenverlust, eine der Ressourcen von der Website des Customer Acceleration Team (CAT).

Häufige Szenarien für Vertraulichkeitsbezeichnungen

In allen Szenarien müssen Sie Vertraulichkeitsbezeichnungen und deren Richtlinien erstellen und konfigurieren.

Ich möchte... Dokumentation
Verwalten von Vertraulichkeitsbezeichnungen für Office-Apps, sodass der Inhalt bei seiner Erstellung mit Bezeichnungen versehen wird – enthält Unterstützung für manuelle Bezeichnung auf allen Plattformen Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps
Erweitern Sie die Beschriftung über Office-Anwendungen hinaus, indem Sie den Datei-Explorer und PowerShell verwenden, mit zusätzlichen Funktionen für Office-Anwendungen unter Windows (falls erforderlich) Azure Information Protection-Clients mit einheitlichen Bezeichnungen für Windows
Verschlüsseln von Dokumenten und E-Mails mit Vertraulichkeitsbezeichnungen sowie Einschränken, wer darauf zugreifen kann und wie diese Inhalte verwendet werden können Einschränken des Zugriffs auf Inhalte mithilfe der Vertraulichkeitsbezeichnungen zur Verschlüsselung
Aktivieren Sie Vertraulichkeitsbezeichnungen für Office im Web mit Unterstützung für die gemeinsame Dokumenterstellung, eDiscovery, Verhinderung von Datenverlust und Suche – sogar für verschlüsselte Dokumente. Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive
Verwenden von gemeinsamer Dokumenterstellung und AutoSpeichern in Office-Desktop-Apps, wenn Dokumente verschlüsselt werden Aktivieren der gemeinsamen Erstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind
Automatisches Anwenden von Vertraulichkeitsbezeichnungen auf Dokumente und E-Mails Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Teams und SharePoint verwenden Verwendung von Vertraulichkeitsbezeichnungen bei Microsoft Teams, Microsoft 365-Gruppen und Microsoft Office SharePoint Online-Websites
Wenden Sie eine Vertraulichkeitsbezeichnung auf ein Dokumentverständnismodell an, sodass identifizierte Dokumente in einer SharePoint-Bibliothek automatisch klassifiziert und geschützt werden. Anwenden einer Vertraulichkeitsbezeichnung auf ein Modell in Microsoft SharePoint Syntex
Verhindern oder Warnen von Benutzern vor dem Freigeben von Dateien oder E-Mails mit einer bestimmten Vertraulichkeitsbezeichnung Verwenden von Vertraulichkeitsbezeichnungen als Bedingungen in DLP-Richtlinien
Anwenden einer Aufbewahrungsbezeichnung zum Aufbewahren oder Löschen von Dateien oder E-Mails mit einer bestimmten Vertraulichkeitsbezeichnung Aufbewahrungsbezeichnungen automatisch anwenden, um Inhalte beizubehalten oder zu löschen
Dateien, die in lokalen Datenspeichern gespeichert sind, ermitteln, mit Bezeichnungen versehen und schützen Bereitstellen des Azure Information Protection-Scanners zum automatischen Klassifizieren und Schützen von Dateien
Dateien, die in Datenspeichern in der Cloud gespeichert sind, ermitteln, mit Bezeichnungen versehen und schützen Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und sensibler Daten, die in der Cloud gespeichert werde
Anwenden und Anzeigen von Bezeichnungen in Power BI und Schutz der Daten beim Speichern außerhalb des Diensts Vertraulichkeitsbezeichnungen in Power BI
Überwachen und Verstehen, wie Vertraulichkeitsbezeichnungen in meiner Organisation verwendet werden Informationen zur Datenklassifizierung
Erweitern von Vertraulichkeitsbezeichnungen auf Drittanbieter-Apps und -Dienste. Microsoft Information Protection-SDK
Erweitern von Vertraulichkeitsbezeichnungen über Inhalte in meinen Azure Purview-Ressourcen hinweg, z. B. Azure Blob Storage, Azure Files, Azure Data Lake Storage und Datenquellen mit mehreren Clouds Bezeichnung in Azure Purview

Dokumentation für Endbenutzer zu Vertraulichkeitsbezeichnungen

Die effektivste Dokumentation für Endbenutzer sind maßgeschneiderte Anleitungen und Anweisungen, die Sie für die von Ihnen ausgewählten Bezeichnungsnamen und -konfigurationen bereitstellen. Sie können die Einstellung für die Bezeichnungsrichtlinie Benutzern einen Link zu einer benutzerdefinierten Hilfeseite verwenden, um einen internen Link für diese Dokumentation anzugeben. Benutzer können dann darauf ganz einfach mittels der Schaltfläche Vertraulichkeit zugreifen:

  • Weitere Informationen zur integrierten Beschriftung: Menüoption Weitere Informationen.
  • Für den einheitlichen Bezeichnungs-Assistenten von Azure Information Protection: Menüoption Hilfe und Feedback > Link Weitere Informationen im Dialogfeld "Microsoft Azure Information Protection".

Informationen zur Bereitstellung Ihrer angepassten Dokumentation finden Sie auf der folgenden Seite und den folgenden Downloads, die Sie zur Schulung Ihrer Benutzer verwenden können: Endbenutzerschulungen für Vertraulichkeitsbezeichnungen.

Für grundlegende Anweisungen können Sie auch die folgenden Ressourcen verwenden:

Wenn Ihre Vertraulichkeitsbezeichnungen Verschlüsselung für PDF-Dokumente anwenden, können Sie diese Dokumente mit Microsoft Edge unter Windows oder Mac öffnen. Weitere Informationen und alternative Reader finden Sie unter Welche PDF-Reader werden bei geschützten PDFs unterstützt?