Erstellen einer sicheren GastfreigabeumgebungCreate a secure guest sharing environment

In diesem Artikel werden verschiedene Optionen zum Erstellen einer sicheren Gastfreigabeumgebung in Microsoft 365 erläutert.In this article, we'll walk through a variety of options for creating a secure guest sharing environment in Microsoft 365. Dies sind Beispiele zur Veranschaulichung der verfügbaren Optionen.These are examples to give you an idea of the options available. Sie können verschiedene Kombinationen dieser Verfahren verwenden, um die Sicherheits- und Compliance-Anforderungen Ihrer Organisation zu erfüllen.You can use these procedures in different combinations to meet the security and compliance needs of your organization.

In diesem Artikel finden Sie z. B. Folgendes:This article includes:

  • Einrichten der mehrstufigen Authentifizierung für Gäste.Setting up multi-factor authentication for guests.
  • Erstellen von Nutzungsbedingungen für Gäste.Setting up a terms of use for guests.
  • Einrichten vierteljährlicher Gastzugriff-Überprüfungen, um in regelmäßigen Abständen zu prüfen, ob Gäste weiterhin Berechtigungen für Teams und Websites benötigen.Setting up quarterly guest access reviews to periodically validate whether guests continue to need permissions to teams and sites.
  • Beschränken des Gastzugriffs auf reinen Webzugriff für nicht verwaltete Geräte.Restricting guests to web-only access for unmanaged devices.
  • Konfigurieren einer Richtlinie für Sitzungstimeouts, um sicherzustellen, dass Gäste sich täglich authentifizieren.Configuring a session timeout policy to ensure guests authenticate daily.
  • Erstellen eines vertraulichen Informationstyps für ein streng vertrauliches ProjektCreating a sensitive information type for a highly sensitive project.
  • Dokumenten eine Vertraulichkeitsbezeichnung zuweisen, die einen vertraulichen Informationstyp enthaltenAutomatically assigning a sensitivity label to documents that contain a sensitive information type.
  • Automatisches Entfernen des Gastzugriffs von Dateien mit einer VertraulichkeitsbezeichnungAutomatically removing guest access from files with a sensitivity label.

Einige der in diesem Artikel beschriebenen Optionen setzen voraus, dass Gäste über ein Konto in Azure Active Directory verfügen.Some of the options discussed in this article require guests to have an account in Azure Active Directory. Verwenden Sie die SharePoint- und OneDrive-Integration in Azure AD B2B (Vorschau), um sicherzustellen, dass Gäste in das Verzeichnis einbezogen werden, wenn Sie Dateien und Ordner für sie freigeben.To ensure that guests are included in the directory when you share files and folders with them, use the SharePoint and OneDrive integration with Azure AD B2B Preview.

Bitte beachten Sie, dass in diesem Artikel die Aktivierung von Gastfreigabeeinstellungen nicht behandelt wird.Note that we won't discuss enabling guest sharing settings in this article. Details zum Aktivieren der Gastfreigabe für unterschiedliche Szenarien finden Sie unter Zusammenarbeit mit Personen außerhalb Ihrer Organisation.See Collaborating with people outside your organization for details about enabling guest sharing for different scenarios.

Einrichten der mehrstufigen Authentifizierung für GästeSet up multi-factor authentication for guests

Die mehrstufige Authentifizierung verringert die Wahrscheinlichkeit, dass ein Konto kompromittiert wird, erheblich.Multi-factor authentication greatly reduces the chances of an account being compromised. Da Gastbenutzer möglicherweise private E-Mail-Konten verwenden, die keiner Governance-Richtlinie oder bewährten Methoden entsprechen, ist es besonders wichtig, dass für Gäste die mehrstufige Authentifizierung vorgesehen ist.Since guest users may be using personal email accounts that don't adhere to any governance policies or best practices, it's especially important to require multi-factor authentication for guests. Sollten der Benutzername und das Kennwort eines Gastbenutzers gestohlen werden, verringert ein zweiter Authentifizierungsschritt die Wahrscheinlichkeit, dass unbekannte Parteien Zugriff auf Ihre Websites und Dateien erhalten, erheblich.If a guest user's username and password is stolen, requiring a second factor of authentication greatly reduces the chances of unknown parties gaining access to your sites and files.

In diesem Beispiel wird die mehrstufige Authentifizierung für Gäste mithilfe einer Richtlinie für bedingten Zugriff in Azure Active Directory eingerichtet.In this example, we'll set up multi-factor authentication for guests by using a conditional access policy in Azure Active Directory.

So richten Sie die mehrstufige Authentifizierung für Gäste einTo set up multi-factor authentication for guests

  1. Wechseln Sie zu Azure-Richtlinien für den bedingten Zugriff.Go to Azure conditional access policies.
  2. Klicken Sie auf dem Blatt Bedingter Zugriff | Richtlinien auf Neue Richtlinie.On the Conditional Access | Policies blade, click New policy.
  3. Geben Sie im Feld Name einen Namen ein.In the Name field, type a name.
  4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.Under Assignments, click Users and groups.
  5. Wählen Sie auf dem Blatt Benutzer und Gruppen die Option Benutzer und Gruppen auswählen aus, aktivieren Sie das Kontrollkästchen Alle Gäste und externen Benutzer.On the Users and groups blade, select Select users and groups, select the All guests and external users check box.
  6. Klicken Sie unter Zuweisungen auf Cloud-Apps oder -Aktionen.Under Assignments, click Cloud apps or actions.
  7. Wählen Sie auf dem Blatt Cloud-Apps oder -Aktionen auf der Registerkarte Einschließen die Option Alle Cloud-Apps aus.On the Cloud apps or actions blade, select All cloud apps on the Include tab.
  8. Klicken Sie unter Zugriffssteuerung auf Gewähren.Under Access controls, click Grant.
  9. Aktivieren Sie auf dem Blatt Gewähren das Kontrollkästchen Mehrstufige Authentifizierung erforderlich, und klicken Sie dann auf Auswählen.On the Grant blade, select the Require multi-factor authentication check box, and then click Select.
  10. Klicken Sie auf dem Blatt Neu unter Richtlinie aktivieren auf Ein, und klicken Sie dann auf Erstellen.On the New blade, under Enable policy, click On, and then click Create.

Nun müssen sich Gäste über die mehrstufige Authentifizierung anmelden, bevor sie auf freigegebene Inhalte, Websites oder Teams zugreifen können.Now, guest will be required to enroll in multi-factor authentication before they can access shared content, sites, or teams.

Weitere InformationenMore information

Planen einer Bereitstellung von Azure AD Multi-Factor AuthenticationPlanning an Azure AD Multi-Factor Authentication deployment

Erstellen von Nutzungsbedingungen für GästeSet up a terms of use for guests

In einigen Situationen könnten Gastbenutzer keine Geheimhaltungsvereinbarung oder andere rechtliche Vereinbarungen mit Ihrer Organisation unterzeichnet haben.In some situations guest users may not have signed non-disclosure agreements or other legal agreements with your organization. Sie können festlegen, dass Gäste Ihren Nutzungsbedingungen zustimmen müssen, bevor sie auf für sie freigegebene Dateien zugreifen können.You can require guests to agree to a terms of use before accessing files that are shared with them. Diese Nutzungsbedingungen können angezeigt werden, wenn ein Gast zum ersten Mal versucht, auf eine freigegebene Datei oder Website zuzugreifen.The terms of use can be displayed the first time they attempt to access a shared file or site.

Wenn Sie Nutzungsbedingungen erstellen möchten, müssen Sie das entsprechende Dokument zuerst in Word oder einem anderen Dokumenterstellungsprogramm erstellen, und es dann als PDF-Datei speichern.To create a terms of use, you first need to create the document in Word or another authoring program, and then save it as a .pdf file. Diese Datei kann dann in Azure AD hochgeladen werden.This file can then be uploaded to Azure AD.

So richten Sie Azure AD-Nutzungsbedingungen einTo create an Azure AD terms of use

  1. Melden Sie sich bei Azure als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.Sign in to Azure as a Global Administrator, Security Administrator, or Conditional Access Administrator.

  2. Navigieren Sie zu Nutzungsbedingungen.Navigate to Terms of use.

  3. Klicken Sie auf Neue Bedingungen.Click New terms.

    Screenshot der Azure AD-Einstellungen für neue Nutzungsbedingungen

  4. Geben Sie einen Namen und einen Anzeigenamen ein.Type a Name and Display name.

  5. Navigieren Sie für das Dokument mit Nutzungsbedingungen zu der PDF-Datei, die Sie zuvor erstellt haben, und wählen Sie sie aus.For Terms of use document, browse to the pdf file that you created and select it.

  6. Wählen Sie die Sprache für Ihr Dokument mit Nutzungsbedingungen aus.Select the language for your terms of use document.

  7. Wählen Sie für Benutzer müssen die Nutzungsbedingungen erweitern die Option Ein aus.Set Require users to expand the terms of use to On.

  8. Wählen Sie unter Bedingter Zugriff in der Liste Mit Richtlinienvorlage für bedingten Zugriff erzwingen die Option Richtlinie für bedingten Zugriff später erstellen aus.Under Conditional Access, in the Enforce with Conditional Access policy template list choose Create conditional access policy later.

  9. Klicken Sie auf Erstellen.Click Create.

Nachdem Sie die Nutzungsbedingungen erstellt haben, besteht der nächste Schritt darin, eine Richtlinie für den bedingten Zugriff zu erstellen, welche Gastbenutzern diese Nutzungsbedingungen anzeigt.Once you've created the terms of use, the next step is to create a conditional access policy that displays the terms of use to guest users.

So erstellen Sie eine Richtlinie für bedingten ZugriffTo create a conditional access policy

  1. Wechseln Sie zu Azure-Richtlinien für den bedingten Zugriff.Go to Azure conditional access policies.
  2. Klicken Sie auf dem Blatt Bedingter Zugriff | Richtlinien auf Neue Richtlinie.On the Conditional Access | Policies blade, click New policy.
  3. Geben Sie im Feld Name einen Namen ein.In the Name box, type a name.
  4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.Under Assignments, click Users and groups.
  5. Wählen Sie auf dem Blatt Benutzer und Gruppen die Option Benutzer und Gruppen auswählen aus, aktivieren Sie das Kontrollkästchen Alle Gäste und externen Benutzer.On the Users and groups blade, select Select users and groups, select the All guests and external users check box.
  6. Klicken Sie unter Zuweisungen auf Cloud-Apps oder -Aktionen.Under Assignments, click Cloud apps or actions.
  7. Wählen Sie auf der Registerkarte Einschließen die Option Apps auswählen aus, und klicken Sie dann auf Auswählen.On the Include tab, select Select apps, and then click Select.
  8. Wählen Sie auf dem Blatt Auswählen die Optionen Microsoft Teams, Office 365 SharePoint Online sowie Outlook-Gruppen aus, und klicken Sie dann auf Auswählen.On the Select blade, select Microsoft Teams, Office 365 SharePoint Online, and Outlook Groups, and then click Select.
  9. Klicken Sie unter Zugriffssteuerung auf Gewähren.Under Access controls, click Grant.
  10. Wählen Sie auf dem Blatt Gewähren die Option Gast-Nutzungsbedingungen aus, und klicken Sie dann auf Auswählen.On the Grant blade, select Guest terms of use, and then click Select.
  11. Klicken Sie auf dem Blatt Neu unter Richtlinie aktivieren auf Ein, und klicken Sie dann auf Erstellen.On the New blade, under Enable policy, click On, and then click Create.

Wenn Gastbenutzer nun das erste Mal versuchen, auf Inhalte, ein Team oder eine Website in Ihrer Organisation zuzugreifen, müssen sie zunächst den Nutzungsbedingungen zustimmen.Now, the first time a guest user attempts to access content or a team or site in your organization, they will be required to accept the terms of use.

Hinweis

Die Verwendung des bedingten Zugriffs erfordert eine Azure AD Premium P1-Lizenz.Using Conditional Access requires an Azure AD Premium P1 license. Weitere Informationen finden Sie unter Was bedeutet bedingter Zugriff.For more information, see What is Conditional Access.

Weitere InformationenMore information

Azure Active Directory NutzungsbedingungenAzure Active Directory terms of use

Einrichten von Gastzugriff-ÜberprüfungenSet up guest access reviews

Mithilfe der Zugriffsüberprüfung in Azure AD können Sie eine regelmäßige Überprüfung des Benutzerzugriffs auf verschiedene Teams und Gruppen automatisieren.With access reviews in Azure AD, you can automate a periodic review of user access to various teams and groups. Durch das Festlegen einer Zugriffsüberprüfung speziell für Gäste können Sie sicherstellen, dass Gastbenutzer nicht länger als erforderlich auf vertrauliche Informationen Ihrer Organisation zugreifen können.By requiring an access review for guests specifically, you can help ensure guest users do not retain access to your organization's sensitive information for longer than is necessary.

Zugriffsüberprüfungen lassen sich in Programmen organisieren.Access reviews can be organized into programs. Ein Programm besteht aus einer Gruppe ähnlicher Zugriffsüberprüfungen und kann verwendet werden, um Zugriffsüberprüfungen für Berichts- und Überwachungszwecke zu organisieren.A program is a grouping of similar access reviews that can be used to organize access reviews for reporting and auditing purposes.

So erstellen Sie ein ProgrammTo create a program

  1. Melden Sie sich beim Azure-Portal an, und öffnen Sie die Seite Identity Governance.Sign in to the Azure portal and open the Identity Governance page.
  2. Klicken Sie im linken Menü auf Programme.In the left menu, click Programs
  3. Klicken Sie auf Neues Programm.Click New program.
  4. Geben Sie einen Namen und eine Beschreibung ein.Type a Name and Description.
  5. Klicken Sie auf Erstellen.Click Create.

Nach der Erstellung des Programms können wir eine Gastzugriff-Überprüfung erstellen und diese dem Programm zuordnen.Once the program has been created, we can create a guest access review and associate it with the program.

So richten Sie eine Gastzugriff-Überprüfung einTo set up a guest user access review

  1. Klicken Sie auf der Seite Identity Governance im linken Menü auf Zugriffsüberprüfungen.On the Identity Governance page, in the left menu, click Access reviews.

  2. Klicken Sie auf Neue Zugriffsüberprüfung.Click New access review.

    Screenshot der Azure AD-Einstellungen für Zugriffsüberprüfungen

  3. Geben Sie im Feld Name einen Namen ein.In the Name box, type a name.

  4. Wählen Sie bei Häufigkeit die Option Vierteljährlich aus.For Frequency, choose Quarterly.

  5. Wählen Sie bei Ende die Option Nie aus.For End, choose Never.

  6. Wählen Sie bei Umfang die Option Nur Gastbenutzer.For Scope, choose Guest users only.

  7. Klicken Sie auf Gruppe, wählen Sie die Gruppen aus, die Sie in die Zugriffsüberprüfung einbeziehen möchten, und klicken Sie dann auf Auswählen.Click Group, select the groups that you want to include in the access review, and then click Select.

  8. Klicken Sie unter Programme auf Mit Programm verknüpfen.Under Programs, click Link to program.

  9. Wählen Sie auf dem Blatt Programm auswählen die Option Gastzugriff-Überprüfungsprogramm aus.On the Select a program blade, choose Guest access review program

  10. Klicken Sie auf Start.Click Start.

Für jede von Ihnen festgelegte Gruppe wird eine separate Zugriffsüberprüfung erstellt.A separate access review is created for each group that you specify. Die Gruppenbesitzer der einzelnen Gruppen erhalten vierteljährlich eine E-Mail, um den Gastzugriff auf Ihre Gruppe zu genehmigen oder zu verweigern.Group owners of each group will be emailed quarterly to approve or deny guest access to their groups.

Es ist wichtig zu beachten, dass Gäste Zugang zu Teams, Gruppen oder einzelnen Dateien und Ordnern gewährt werden kann.It's important to note that guests can be given access to teams or groups, or to individual files and folders. Wenn sie Zugriff auf Dateien und Ordner erhalten, müssen Gäste keiner bestimmten Gruppe hinzugefügt werden.When given access to files and folders, guests may not be added to any particular group. Wenn Sie Zugriffsüberprüfungen für Gastbenutzer durchführen möchten, die weder einem Team noch einer Gruppe angehören, können Sie in Azure AD eine dynamische Gruppe erstellen, die alle Gäste umfasst, und anschließend eine Zugriffsüberprüfung für diese Gruppe erstellen.If you want to do access reviews on guest users who don't belong to a team or group, you can create a dynamic group in Azure AD to contain all guests and then create an access review for that group. Websitebesitzer können auch den Gastablauf für die Website verwalten.Site owners can also manage guest expiration for the site

Weitere InformationenMore information

Verwalten des Gastzugriffs mit Azure AD-ZugriffsüberprüfungenManage guest access with Azure AD access reviews

Erstellen einer Zugriffsüberprüfung von Gruppen oder Anwendungen in Azure AD-ZugriffsüberprüfungenCreate an access review of groups or applications in Azure AD access reviews

Einrichten des rein webbasierten Zugriffs für GastbenutzerSet up web-only access for guest users

Sie können potenzielle Angriffsflächen verringern und die Verwaltung vereinfachen, indem Sie festlegen, dass Gastbenutzer nur über einen Webbrowser auf Ihre Teams, Websites und Dateien zugreifen können.You can reduce your attack surface and ease administration by requiring guest users to access your teams, sites, and files by using a web browser only.

Für Microsoft 365-Gruppen und Microsoft Teams erfolgt dies über eine Azure AD-Richtlinie für bedingten Zugriff.For Microsoft 365 Groups and Teams, this is done with an Azure AD conditional access policy. Für SharePoint wird dies im SharePoint Admin Center konfiguriert.For SharePoint, this is configured in the SharePoint admin center. (Sie können auch Vertraulichkeitsbezeichnungen verwenden, um den Gastzugriff auf reinen Webzugriff zu beschränken.)(You can also use sensitivity labels to restrict guests to web-only access.)

So beschränken Sie den Gastzugriff auf reinen Webzugriff für Gruppen und Teams:To restrict guests to web-only access for Groups and Teams:

  1. Wechseln Sie zu Azure-Richtlinien für den bedingten Zugriff.Go to Azure conditional access policies.

  2. Klicken Sie auf dem Blatt Bedingter Zugriff – Richtlinien auf Neue Richtlinie.On the Conditional Access - Policies blade, click New policy.

  3. Geben Sie im Feld Name einen Namen ein.In the Name box, type a name.

  4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.Under Assignments, click Users and groups.

  5. Wählen Sie auf dem Blatt Benutzer und Gruppen die Option Benutzer und Gruppen auswählen aus, aktivieren Sie das Kontrollkästchen Alle Gäste und externen Benutzer.On the Users and groups blade, select Select users and groups, select the All guests and external users check box.

  6. Klicken Sie unter Zuweisungen auf Cloud-Apps oder -Aktionen.Under Assignments, click Cloud apps or actions.

  7. Wählen Sie auf der Registerkarte Einschließen die Option Apps auswählen aus, und klicken Sie dann auf Auswählen.On the Include tab, select Select apps, and then click Select.

  8. Wählen Sie auf dem Blatt Auswählen die Optionen Microsoft Teams und Outlook Groups, und klicken Sie dann auf Auswählen.On the Select blade, select Microsoft Teams and Outlook Groups, and then click Select.

  9. Klicken Sie unter Zuweisungen auf Bedingungen.Under Assignments, click Conditions.

  10. Klicken Sie auf dem Blatt Bedingungen auf Client-Apps.On the Conditions blade, click Client apps.

  11. Klicken Sie auf dem Blatt Client-Apps auf Ja bei Konfigurieren, und wählen Sie dann die Einstellungen Mobile Apps und Desktopclients, Exchange ActiveSync-Clients und Andere Clients aus.On the Client apps blade, click Yes for Configure, and then select the Mobile apps and desktop clients, Exchange ActiveSync clients, and Other clients settings. Deaktivieren Sie das Kontrollkästchen Browser.Clear the Browser check box.

    Screenshot der Azure AD-Einstellungen für den bedingten Zugriff für Client-Apps

  12. Klicken Sie auf Fertig.Click Done.

  13. Klicken Sie unter Zugriffssteuerung auf Gewähren.Under Access controls, click Grant.

  14. Wählen Sie auf dem Blatt Gewähren die Optionen Markierung des Geräts als konform erforderlich und In Azure AD Hybrid eingebundenes Gerät erforderlich.On the Grant blade, select Require device to be marked as compliant and Require Hybrid Azure AD joined device.

  15. Wählen Sie unter Für mehrere Steuerelemente die Option Eines der ausgewählten Steuerelemente erforderlich, und klicken Sie dann auf Auswählen.Under For multiple controls, select Require one of the selected controls, and then click Select.

  16. Klicken Sie auf dem Blatt Neu unter Richtlinie aktivieren auf Ein, und klicken Sie dann auf Erstellen.On the New blade, under Enable policy, click On, and then click Create.

So beschränken Sie den Gastzugriff auf reinen Webzugriff für SharePointTo restrict guests to web-ony access for SharePoint

  1. Erweitern Sie im SharePoint Admin Center die Option Richtlinien, und klicken Sie dann auf Zugriffssteuerung.In the SharePoint admin center, expand Policies and click Access control.
  2. Klicken Sie auf Nicht verwaltete Geräte.Click Unmanaged devices.
  3. Wählen Sie die Option Eingeschränkten, reinen Webzugriff zulassen aus, und klicken Sie dann auf Speichern.Select the Allow limited, web-only access option, and then click Save.

Beachten Sie, dass durch diese Einstellung im SharePoint Admin Center eine unterstützende Richtlinie für bedingten Zugriff in Azure AD erstellt wird.Note that this setting in the SharePoint admin center creates a supporting conditional access policy in Azure AD.

Konfigurieren eines Sitzungstimeouts für GastbenutzerConfigure a session timeout for guest users

Die Bedingung der regelmäßigen Authentifizierung von Gästen kann die Wahrscheinlichkeit verringern, dass unbekannte Benutzer auf die Inhalte Ihrer Organisation zugreifen können, wenn das Gerät eines Gastbenutzers nicht sicher verwahrt wird oder geschützt ist.Requiring guests to authenticate on a regular basis can reduce the possibility of unknown users accessing your organization's content if a guest user's device isn't kept secure. Sie können eine Richtlinie für bedingten Zugriff und Sitzungstimeouts für Gastbenutzer in Azure AD konfigurieren.You can configure a session timeout conditional access policy for guest users in Azure AD.

So konfigurieren Sie eine Sitzungstimeout-Richtlinie für GästeTo configure a guest session timeout policy

  1. Wechseln Sie zu Azure-Richtlinien für den bedingten Zugriff.Go to Azure conditional access policies.
  2. Klicken Sie auf dem Blatt Bedingter Zugriff – Richtlinien auf Neue Richtlinie.On the Conditional Access - Policies blade, click New policy.
  3. Geben Sie im Feld Name die Bezeichnung Gast-Sitzungstimeout ein.In the Name box, type Guest session timeout.
  4. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.Under Assignments, click Users and groups.
  5. Wählen Sie auf dem Blatt Benutzer und Gruppen die Option Benutzer und Gruppen auswählen aus, aktivieren Sie das Kontrollkästchen Alle Gäste und externen Benutzer.On the Users and groups blade, select Select users and groups, select the All guests and external users check box.
  6. Klicken Sie unter Zuweisungen auf Cloud-Apps oder -Aktionen.Under Assignments, click Cloud apps or actions.
  7. Wählen Sie auf der Registerkarte Einschließen die Option Apps auswählen aus, und klicken Sie dann auf Auswählen.On the Include tab, select Select apps, and then click Select.
  8. Wählen Sie auf dem Blatt Auswählen die Optionen Microsoft Teams, Office 365 SharePoint Online sowie Outlook-Gruppen aus, und klicken Sie dann auf Auswählen.On the Select blade, select Microsoft Teams, Office 365 SharePoint Online, and Outlook Groups, and then click Select.
  9. Klicken Sie unter Zugriffssteuerung auf Sitzung.Under Access controls, click Session.
  10. Wählen Sie auf dem Blatt Sitzung die Option Anmeldehäufigkeit aus.On the Session blade, select Sign-in frequency.
  11. Wählen Sie 1 und Tage für den Zeitraum aus, und klicken Sie dann auf Auswählen.Select 1 and Days for the time period, and then click Select.
  12. Klicken Sie auf dem Blatt Neu unter Richtlinie aktivieren auf Ein, und klicken Sie dann auf Erstellen.On the New blade, under Enable policy, click On, and then click Create.

Erstellen Sie einen Typ sensibler Informationen für ein streng vertrauliches ProjektCreate a sensitive information type for a highly sensitive project

Vertrauliche Informationstypen sind vordefinierte Zeichenfolgen, die in Richtlinienworkflows verwendet werden können, um Compliance-Anforderungen durchzusetzen.Sensitive information types are predefined strings that can be used in policy workflows to enforce compliance requirements. Das Microsoft 365 Compliance Center bietet über 100 vertrauliche Informationstypen, darunter Führerscheinnummern, Kreditkartennummern, Bankkontonummern usw.The Microsoft 365 Compliance Center comes with over one hundred sensitive information types, including driver's license numbers, credit card numbers, bank account numbers, etc.

Sie können benutzerdefinierte vertrauliche Informationstypen erstellen, um für Ihre Organisation spezifische Inhalte zu verwalten.You can create custom sensitive information types to help manage content specific to your organization. Im folgenden Beispiel erstellen wir einen vertraulichen Informationstyp für ein streng vertrauliches Projekt.In this example, we'll create a custom sensitive information type for a highly sensitive project. Diesen vertraulichen Informationstyp können wir dann verwenden, um automatisch eine Vertraulichkeitsbezeichnung anzuwenden.We can then use this sensitive information type to automatically apply a sensitivity label.

So erstellen Sie einen vertraulichen InformationstypTo create a sensitive information type

  1. Erweitern Sie im Microsoft 365 Compliance Center im linken Navigationsbereich den Eintrag Klassifizierung, und klicken Sie dann auf Vertrauliche Informationstypen.In the Microsoft 365 Compliance Center, in the left navigation, expand Classification, and then click Sensitive info types.
  2. Klicken Sie auf Erstellen.Click Create.
  3. Geben Sie unter Name und Beschreibung den Projektnamen Projekt Saturn ein, und klicken Sie auf Weiter.For Name and Description, type Project Saturn, and then click Next.
  4. Klicken Sie auf Element hinzufügen.Click Add an element.
  5. Wählen Sie in der Liste Inhalt erkennen, der Folgendes enthält die Option Schlüsselwörter aus, und geben Sie in das Schlüsselwortfeld Projekt Saturn ein.On the Detect content containing list, select Keywords, and then type Project Saturn in the keyword box.
  6. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.Click Next, and then click Finish.
  7. Klicken Sie bei der Frage, ob Sie den vertraulichen Informationstyp testen möchten, auf Nein.If asked if you would like to test the sensitive information type, click No.

Weitere InformationenMore information

Benutzerdefinierte vertrauliche InformationstypenCustom sensitive information types

Erstellen einer Richtlinie für die automatische Bezeichnung zum Zuweisen einer Vertraulichkeitsbezeichnung auf der Grundlage eines vertraulichen InformationstypsCreate an auto-labeling policy to assign a sensitivity label based on a sensitive information type

Wenn Sie in Ihrer Organisation Vertraulichkeitsbezeichnungen verwenden, können Sie festlegen, dass Dateien, die definierte vertrauliche Informationstypen enthalten, automatisch mit einer Bezeichnung versehen werden.If you are using sensitivity labels in your organization, you can automatically apply a label to files that contain defined sensitive information types.

So erstellen Sie eine neue Richtlinie für die automatische BezeichnungTo create an auto-labeling policy

  1. Öffnen Sie das Microsoft 365 Compliance Admin Center.Open the Microsoft 365 compliance admin center.
  2. Klicken Sie im linken Navigationsbereich auf Schutz von Daten.In the left navigation, click Information protection.
  3. Klicken Sie auf der Registerkarte Automatische Bezeichnung auf Richtlinie für die automatischen Bezeichnung erstellen.On the Auto-labeling tab, click Create auto-labeling policy.
  4. Wählen Sie auf der Seite Wählen Sie Informationen aus, auf die diese Bezeichnung angewendet werden soll die Option Benutzerdefiniert aus, und klicken Sie auf Weiter.On the Choose info you want this label applied to page, choose Custom and click Next.
  5. Geben Sie einen Namen und eine Beschreibung für die Richtlinie ein, und klicken Sie auf Weiter.Type a name and description for the policy and click Next.
  6. Aktivieren Sie auf der Seite Speicherorte auswählen, auf die Sie die Bezeichnung angewendet werden soll, aktivieren Sie SharePoint-Websites, und klicken Sie auf Websites auswählen.On the Choose locations where you want to apply the label page, turn on SharePoint sites and click Choose sites.
  7. Fügen Sie die URLs der Websites hinzu, für die die automatische Bezeichnung aktiviert werden soll, und klicken Sie dann auf Fertig.Add the URLs for the sites where you want to turn on auto-labeling and click Done.
  8. Klicken Sie auf Weiter.Click Next.
  9. Wählen Sie auf der Seite Allgemeine oder erweiterte Regeln einrichten die Option Allgemeine Regeln aus, und klicken Sie auf Weiter.On the Set up common or advanced rules page, choose Common rules and click Next.
  10. Klicken Sie auf der Seite Regeln für Inhalte in allen Speicherorten definieren die Option Neue Regel.On the Define rules for content in all locations page, click New rule.
  11. Weisen Sie auf der Seite Neue Regel der Regel einen Namen zu, klicken Sie auf Bedingung hinzufügen und dann auf Inhalt enthält vertrauliche Informationstypen.On the New rule page, give the rule a name, click Add condition, and then click Content contains sensitive info types.
  12. Klicken Sie auf Hinzufügen, klicken Sie auf Typen vertraulicher Informationen, wählen Sie die zu verwendenden vertraulichen Informationstypen aus, klicken Sie auf Hinzufügen und dann auf Speichern.Click Add, click Sensitive info types, choose the sensitive info types that you want to use, click Add, and then click Save.
  13. Klicken Sie auf Weiter.Click Next.
  14. Klicken Sie auf Bezeichnung auswählen, wählen Sie die zu verwendende Bezeichnung aus, und klicken Sie dann auf Hinzufügen.Click Choose a label, select the label you want to use, and then click Add.
  15. Klicken Sie auf Weiter.Click Next.
  16. Belassen Sie die Richtlinie im Simulationsmodus, und klicken Sie auf Weiter.Leave the policy in simulation mode and click Next.
  17. Klicken Sie auf Richtlinie erstellen und dann auf Fertig.Click Create policy, and then click Done.

Wenn ein Benutzer bei aktivierter Richtlinie "Projekt Saturn" in ein Dokument eingibt, wird die Richtlinie beim Überprüfen dieser Datei automatisch die angegebene Bezeichnung darauf anwenden.With the policy in place, when a user types "Project Saturn" into a document, the auto-labeling policy will automatically apply the specified label when it scans the file.

Weitere InformationenMore information

Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf InhalteApply a sensitivity label to content automatically

Erstellen einer DLP-Richtlinie zum Entfernen des Gastzugriffs auf streng vertrauliche DateienCreate a DLP policy to remove guest access to highly sensitive files

Sie können über die Verhinderung von Datenverlust (Data Loss Prevention – DLP) die unerwünschte Freigabe von vertraulichen Inhalten für Gäste verhindern.You can use data loss prevention (DLP) to prevent unwanted guest sharing of sensitive content. Eine DLP-Richtlinie kann basierend auf der Vertraulichkeitsbezeichnung einer Datei Maßnahmen ergreifen und den Gastzugriff entfernen.Data loss prevention can take action based on a file's sensitivity label and remove guest access.

So erstellen Sie eine DLP-RegelTo create a DLP rule

  1. Wechseln Sie im Microsoft 365 Compliance Admin Center zur SeiteVerhinderung von Datenverlust.In the Microsoft 365 compliance admin center, go to the Data loss prevention page.

  2. Klicken Sie auf Richtlinie erstellen.Click Create policy.

  3. Wählen Sie Benutzerdefiniert aus, und klicken Sie auf Weiter.Choose Custom and click Next.

  4. Geben Sie einen Namen für die Richtlinie ein, und klicken Sie auf Weiter.Type a name for the policy and click Next.

  5. Deaktivieren Sie auf der Seite Speicherorte, an denen die Richtlinie angewendet werden soll alle Einstellungen außer SharePoint-Websites und OneDrive-Konten, und klicken Sie dann auf Weiter.On the Locations to apply the policy page turn off all settings except SharePoint sites and OneDrive accounts, and then click Next.

  6. Klicken Sie auf der Seite Richtlinieneinstellungen definieren auf Weiter.On the Define policy settings page, click Next.

  7. Klicken Sie auf der Seite Erweiterte DLP-Regeln anpassen auf Regel erstellen, und geben Sie einen Namen für die Regel ein.On the Customize advanced DLP rules page, click Create rule and type a name for the rule.

  8. Klicken Sie unter Bedingungen auf Bedingung hinzufügen, und wählen Sie Inhalt enthält aus.Under Conditions, click Add condition, and choose Content contains.

  9. Klicken Sie auf Hinzufügen, wählen Sie Vertraulichkeitsbezeichnungen und dann die zu verwendenden Bezeichnungen aus, und klicken Sie anschließend auf Hinzufügen.Click Add, choose Sensitivity labels, choose the labels you want to use, and click Add.

    Screenshot von Bedingungsoptionen, Typen vertraulicher Informationen sowie Vertraulichkeits- und Aufbewahrungsbezeichnungen.

  10. Klicken Sie unter Aktionen auf Aktion hinzufügen, und wählen Sie Zugriff auf Inhalte in Microsoft 365-Speicherorten einschränken oder diese verschlüsseln.Under Actions click Add an action and choose Restrict access or encrypt the content in Microsoft 365 locations.

  11. Aktivieren Sie das Kontrollkästchen Zugriff auf Inhalte in Microsoft 365-Speicherorten einschränken oder diese verschlüsseln, und wählen Sie dann die Option Nur Personen außerhalb Ihrer Organisation aus.Select the Restrict access or encrypt the content in Microsoft 365 locations check box and then choose the Only people outside your organization option.

    Screenshot der Aktionsoptionen für DLP-Regeln

  12. Klicken Sie auf Speichern und dann auf Weiter.Click Save and then click Next.

  13. Wählen Sie die gewünschten Testoptionen aus, und klicken Sie auf Weiter.Choose your test options and click Next.

  14. Klicken Sie auf Absenden und anschließend auf Fertig.Click Submit, and then click Done.

Wichtig: Diese Richtlinie entfernt nicht den Zugriff für Gäste, die Mitglieder der Website oder des Teams als Ganzes sind.It's important to note that this policy doesn't remove access if the guest is a member of the site or team as a whole. Wenn Sie vorhaben, auf einer Website oder in einem Team mit Gastmitgliedern streng vertrauliche Dokumente freizugeben, erwägen Sie die Verwendung privater Kanäle in Microsoft Teams und den Zugriff auf diese Kanäle nur Mitgliedern Ihrer Organisation zu gestatten.If you plan to have highly sensitive documents in a site or team with guest members, consider using private channels in Teams and only allowing members of your organization in the private channels.

Weitere OptionenAdditional options

Es gibt einige zusätzliche Optionen in Microsoft 365 und Azure Active Directory, mit denen Sie Ihre Gastfreigabeumgebung sicherer machen können.There are some additional options in Microsoft 365 and Azure Active Directory that can help secure your guest sharing environment.

Siehe auchSee Also

Einschränken des Risikos der versehentlichen Gefährdung von Dateien bei der Freigabe für GästeLimit accidental exposure to files when sharing with guests

Bewährte Methoden zum Freigeben von Dateien und Ordnern für nicht authentifizierte BenutzerBest practices for sharing files and folders with unauthenticated users

Erstellen eines B2B-Extranets mit verwalteten GästenCreate a B2B extranet with managed guests