Vertrouwelijkheidslabels gebruiken om inhoud te beveiligen in Microsoft Teams, Microsoft 365 Groepen en SharePoint-sites

Richtlijnen voor Microsoft 365-licenties voor beveiliging en compliance.

Naast het gebruik van vertrouwelijkheidslabels om documenten en e-mailberichten te classificeren en beveiligen, kunt u ook vertrouwelijkheidslabels gebruiken om inhoud in de volgende containers te beveiligen: Microsoft Teams-sites, Microsoft 365-groepen (voorheen Office 365-groepen) en SharePoint-sites. Gebruik voor deze classificatie en beveiliging op containerniveau de volgende labelinstellingen:

• Privacy (openbaar of privé) van teams-sites en Microsoft 365-groepen
• Externe gebruikerstoegang
• Extern delen vanaf SharePoint-sites
• Toegang vanaf niet-beheerde apparaten
• Verificatiecontexten (in preview)
• Standaardkoppeling voor delen voor een SharePoint-site (alleen-PowerShell-configuratie)

Wanneer u dit vertrouwelijkheidslabel toepast op een ondersteunde container past het label automatisch de classificatie en geconfigureerde beveiligingsinstellingen toe op de site of groep.

Inhoud in deze containers neemt echter de labels niet over voor de classificatie of instellingen voor bestanden en e-mailberichten, zoals visuele markeringen en versleuteling. Om ervoor te zorgen dat gebruikers hun documenten op SharePoint- of teamsites kunnen labelen, moet u vertrouwelijkheidslabels inschakelen voor Office-bestanden in SharePoint en OneDrive.

Vertrouwelijkheidslabels gebruiken voor Microsoft Teams, Microsoft 365 Groepen en SharePoint-sites

Voordat u vertrouwelijkheidslabels inschakelt voor containers en vertrouwelijkheidslabels configureert voor de nieuwe instellingen konden gebruikers vertrouwelijkheidslabels in hun apps zien en toepassen. Bijvoorbeeld, vanuit Word:

Nadat u vertrouwelijkheidslabels inschakelt en configureert voor containers kunnen gebruikers bovendien vertrouwelijkheidslabels zien en toepassen op Microsoft-teamsites, Microsoft 365 Groepen en SharePoint-sites. Bijvoorbeeld, wanneer u een nieuwe teamsite maakt vanuit SharePoint:

Vertrouwelijkheidslabels voor containers inschakelen en labels synchroniseren

Als u de vertrouwelijkheidslabels voor containers nog niet hebt ingeschakeld, volgt u de volgende reeks stappen als eenmalige procedure:

1. Volg de instructies in de Azure AD-documentatie om ondersteuning van vertrouwelijkheidslabels in te schakelen, omdat deze functie gebruikmaakt van Azure AD-functionaliteit: Vertrouwelijkheidslabels toewijzen aan Microsoft 365 Groepen in Azure Active Directory.

2. U moet nu uw vertrouwelijkheidslabels synchroniseren met Azure AD. Maak als eerste verbinding met PowerShell van het beveiligings- en compliancecentrum.

   Meld u bijvoorbeeld in een PowerShell-sessie die u uitvoert als beheerder aan met een globalebeheerdersaccount.

3. Voer dan de volgende opdracht uit om ervoor te zorgen dat uw vertrouwelijkheidslabels met Microsoft 365 Groepen kunnen worden gebruikt:

   Execute-AzureAdLabelSync
   

Groep- en site-instellingen configureren

Als u vertrouwelijkheidslabels inschakelt voor containers, zoals beschreven in de vorige sectie, betekent dit dat u nu beveiligingsinstellingen kunt configureren voor groepen en sites in de configuratie voor vertrouwelijkheidslabels. Totdat vertrouwelijkheidslabels zijn ingeschakeld voor containers, zijn de instellingen zichtbaar, maar u kunt ze niet configureren.

1. Volg de algemene instructies om een vertrouwelijkheidslabel te maken of te bewerken en zorg ervoor dat u Groepen en sites selecteert voor het bereik van het label:

   

   Wanneer alleen dit bereik is geselecteerd voor het label, wordt het label niet weergegeven in Office-apps die vertrouwelijkheidslabels ondersteunen en kan het niet worden toegepast op bestanden en e-mailberichten. Deze scheiding van labels kan zowel voor gebruikers als beheerders handig zijn, maar het kan ook de implementatie van uw labels complexer maken.

   U moet bijvoorbeeld zorgvuldig uw labelvolgorde controleren, omdat SharePoint detecteert wanneer een document met label wordt geüpload naar een site met een label. In dit scenario wordt automatisch een auditgebeurtenis en e-mail gegenereerd wanneer het document een vertrouwelijkheidslabel met hogere prioriteit heeft dan het label van de site. Zie het gedeelte Activiteiten van vertrouwelijkheidslabels controleren voor meer informatie.

2. Selecteer vervolgens op de pagina Beveiligingsinstellingen definiëren voor groepen en sites een of beide beschikbare opties:

   • Instellingen voor privacy en externegebruikerstoegang om de instellingen Privacy en Externegebruikerstoegang te configureren.
   • Instellingen voor extern delen en voorwaardelijke toegang voor het configureren van Extern delen beheren vanuit gelabelde SharePoint-sites en Gebruik voorwaardelijke toegang van Azure AD om gelabelde SharePoint-sites te beveiligen instelling.

3. Als u Instellingen voor privacy en externegebruikerstoegang hebt geselecteerd, kunt u nu de volgende instellingen configureren:

   • Privacy: houd de standaardinstelling Openbaar als u iedereen in uw organisatie toegang wilt verlenen tot de teamsite of groep waarop dit label is toegepast.

     Selecteer Persoonlijk als u de toegang wilt beperken tot alleen goedgekeurde leden van uw organisatie.

     Selecteer Geen als u inhoud in de container wilt beveiligen met behulp van het vertrouwelijkheidslabel, maar gebruikers zelf de privacyinstelling wilt laten configureren.

     De instellingen van Openbaar of Persoonlijk stellen de privacyinstelling in en vergrendelen die wanneer u dit label toepast op de container. De door u gekozen instelling vervangt alle eerdere privacyinstellingen die zijn geconfigureerd voor het team of de groep en vergrendelt de privacywaarde, zodat die alleen kan worden gewijzigd door eerst het vertrouwelijkheidslabel van de container te verwijderen. Nadat u het vertrouwelijkheidslabel hebt verwijderd, blijft de privacyinstelling van het label behouden en kunnen gebruikers dit weer wijzigen.

   • Externegebruikerstoegang: bepaalt of de groepseigenaar gasten aan de groep kan toevoegen.

4. Als u Instellingen voor Extern delen en voorwaardelijke toegang hebt geselecteerd, configureert u nu de volgende instellingen:

   • Extern delen van gelabelde SharePoint-sites beheren: selecteer deze optie om vervolgens te kiezen voor extern delen voor iedereen, nieuwe en bestaande gasten, bestaande gasten of alleen personen in uw organisatie. Zie de SharePoint-documentatie Extern delen in- of uitschakelen voor een site voor meer informatie over deze configuratie en instellingen.

   • Voorwaardelijke toegang van Azure AD gebruiken om gelabelde SharePoint-sites te beveiligen: Selecteer deze optie alleen als uw organisatie Voorwaardelijke toegang van Azure Active Directory heeft geconfigureerd en gebruikt:

     • Bepaal of gebruikers toegang hebben tot SharePoint-sites vanaf onbeheerde apparaten: Deze optie maakt gebruik van de SharePoint-functie die Voorwaardelijke toegang van Azure AD gebruikt om de toegang tot SharePoint- en OneDrive-inhoud vanaf onbeheerde apparaten te blokkeren of te beperken. Zie Toegang vanaf onbeheerde apparaten beheren van de SharePoint-documentatie voor meer informatie. De optie die u voor deze labelinstelling opgeeft, is hetzelfde als het uitvoeren van een PowerShell-opdracht voor een site, zoals beschreven in stappen 3 - 5 van het gedeelte Toegang blokkeren of beperken tot een specifieke SharePoint-site of OneDrive van de SharePoint-instructies.

       Zie Meer informatie over de afhankelijkheden voor de optie onbeheerde apparaten aan het einde van deze sectie voor meer informatie.

     • Kies een bestaande verificatiecontext: met deze optie, die nog als voorbeeld actief is, kunt u striktere toegangsvoorwaarden afdwingen wanneer gebruikers SharePoint-sites waarop dit label is toegepast, openen. Deze voorwaarden worden afgedwongen wanneer u een bestaande verificatiecontext selecteert die is gemaakt en gepubliceerd voor de implementatie van voorwaardelijke toegang van uw organisatie. Als gebruikers niet voldoen aan de geconfigureerde voorwaarden of als ze apps gebruiken die geen verificatiecontexten ondersteunen, wordt de toegang geweigerd.

       Zie Meer informatie over de afhankelijkheden voor de optie verificatiecontext aan het einde van deze sectie voor meer informatie.

       Voorbeelden voor deze labelconfiguratie:

       • U kiest een verificatiecontext die is geconfigureerd om meervoudige verificatie (MFA) te vereisen. Dit label wordt vervolgens toegepast op een SharePoint-site die zeer vertrouwelijke items bevat. Daardoor krijgen gebruikers van een niet-vertrouwd netwerk die toegang proberen te krijgen tot een document op deze site, de MFA-prompt te zien die ze moeten voltooien voordat ze toegang krijgen tot het document.

       • U kiest een verificatiecontext die is geconfigureerd voor beleidsregels voor gebruiksvoorwaarden (Tou). Dit label wordt vervolgens toegepast op een SharePoint-site die items bevat waarvoor om juridische of nalevingsredenen gebruiksvoorwaarden moeten worden geaccepteerd. Daardoor krijgen gebruikers die toegang proberen te krijgen tot een document op deze site, een document met de gebruiksvoorwaarden te zien die ze moeten accepteren voordat ze toegang krijgen tot het originele document.

Als uw vertrouwelijkheidslabel nog niet is gepubliceerd, publiceert u het nu door het toe te voegen aan het beleid voor vertrouwelijkheidslabels. De gebruikers aan wie beleid voor vertrouwelijkheidslabels met dit label is toegewezen, kunnen het selecteren voor sites en groepen.

Meer informatie over de optie afhankelijkheden voor de onbeheerde apparaten

Als u het beleid voor afhankelijke voorwaardelijke toegang voor SharePoint, zoals beschreven in Door apps afgedwongen beperkingen, niet configureert, zal de optie die u hier opgeeft geen effect hebben. Bovendien heeft het geen effect als het minder beperkend is dan een geconfigureerde instelling op tenantniveau. Als u een organisatiebrede instelling voor onbeheerde apparaten hebt geconfigureerd, kies dan een labelinstelling die hetzelfde is of verder beperkend.

Als uw tenant bijvoorbeeld is geconfigureerd voor Beperkte toegang via internet toegestaan, zal de labelinstelling die volledige toegang toestaat geen effect hebben, omdat die minder beperkend is. Kies voor deze instelling op tenantniveau de labelinstelling die toegang blokkeert (verder beperkend) of de labelinstelling voor beperkte toegang (hetzelfde als de tenantinstelling).

Omdat u de SharePoint-instellingen afzonderlijk van de labelconfiguratie kunt configureren, kunt u in de configuratie voor vertrouwelijkheidslabels niet controleren of de afhankelijkheden goed zijn ingesteld. Deze afhankelijkheden kunnen worden geconfigureerd nadat het label is gemaakt en gepubliceerd en zelfs nadat het label is toegepast. Als het label echter al bestaat, wordt de labelinstelling pas van kracht nadat de gebruiker de volgende keer wordt geverifieerd.

Meer informatie over de optie afhankelijkheden voor de optie verificatiecontext

Als u wilt weergeven in de vervolgkeuzelijst voor selectie, moeten verificatiecontexten worden gemaakt, geconfigureerd en gepubliceerd als onderdeel van uw configuratie van Voorwaardelijke toegang van Azure Active Directory. Zie de sectie Verificatiecontexten configureren in de documentatie Voorwaardelijke toegang van Azure AD voor meer informatie en instructies.

Niet alle apps ondersteunen verificatiecontexten. Als een gebruiker met een niet-ondersteunde app verbinding maakt met de site die is geconfigureerd voor een verificatiecontext, zien ze een bericht dat de toegang is geweigerd of wordt hem of haar gevraagd om te worden geverifieerd, maar geweigerd. De apps die momenteel verificatiecontexten ondersteunen, zijn:

• De webversie van Office, met de webversie van Outlook

• Microsoft Teams voor Windows en macOS (exclusief Teams-web-app)

• Microsoft Planner

• Microsoft 365-apps voor Word, Excel en PowerPoint; minimale versies:

  • Windows: 2103
  • macOS: 16.45.1202
  • iOS: 2.48.303
  • Android: 16.0.13924.10000

• Microsoft 365-apps voor Outlook; minimale versies:

  • Windows: 2103
  • macOS: 16.45.1202
  • iOS: 4.2109.0
  • Android: 4.2025.1

• Synchronisatie-app voor OneDrive, minimale versies:

  • Windows: 21.002
  • macOS: 21.002
  • iOS; Wordt geïmplementeerd in 12.30
  • Android: nog niet ondersteund

Bekende problemen in deze preview:

• De synchronisatie-app voor OneDrive wordt alleen ondersteund voor OneDrive en niet voor andere sites.

• De volgende functies en apps zijn mogelijk niet compatibel met verificatiecontexten. We raden u daarom aan te controleren of deze blijven werken nadat een gebruiker met succes toegang heeft tot een site via een verificatiecontext:

  • Werkstromen die gebruikmaken van Power Apps of Power Automate
  • Apps van derden

Instellingen configureren voor de standaardkoppeling voor delen voor een site met behulp van geavanceerde PowerShell-instellingen

Naast de labelinstellingen voor sites en groepen die u kunt configureren vanuit het compliancecentrum, kunt u ook het standaardkoppelingstype voor delen voor een site configureren, evenals de machtigingen voor de koppeling voor delen.

Zie Het standaardkoppelingstype voor een site wijzigen voor meer informatie over hoe deze instellingen werken.

Deze extra labelinstellingen voor de koppeling voor delen zijn momenteel alleen beschikbaar als een AdvancedSettings-parameter van PowerShell en de cmdlets Set-Label en New-Label uit Beveiligings- en compliancecentrum van Powershell:

• DefaultSharingScope: De beschikbare waarden zijn:

  • Specifieke personen: Hiermee stelt u de standaardkoppeling voor delen voor de site in op 'Specifieke personen'
  • Organisatie: Hiermee stelt u de standaardkoppeling voor delen voor de site in op 'Organisatie' of op de deelbare koppeling voor het bedrijf
  • Iedereen: Hiermee stelt u de standaardkoppeling voor delen voor de site in op 'Anonieme toegang' of 'Iedereen'

• DefaultShareLinkPermission: De beschikbare waarden zijn:

  • Bekijken: Hiermee stelt u de machtiging voor de standaardkoppeling voor de site in op 'Bekijken'
  • Bewerken: Hiermee stelt u de machtiging voor de standaardkoppeling voor de site in op 'Bewerken'

Deze twee instellingen en waarden zijn het equivalent van de parameters DefaultSharingScope en DefaultShareLinkPermission van de cmdlet Set-SPOSite.

PowerShell-voorbeelden, waarbij de GUID van het vertrouwelijkheidslabel 8faca7b8-8d20-48a3-8ea2-0f96310a848e is:

• Het koppelingstype voor delen instellen op 'Specifieke personen':

  Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope="SpecificPeople"}
  

• De machtigingen voor de koppeling voor delen instellen op 'Bewerken':

  Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultShareLinkPermission="Edit"}
  

Tips van PowerShell voor het opgeven van de geavanceerde instellingen

Hoewel u het vertrouwelijkheidslabel op basis van de naam kunt opgeven, raden we u aan de label-GUID te gebruiken om mogelijke verwarring te voorkomen bij het opgeven van de labelnaam of weergavenaam. Ga als volgende te werk om de GUID te vinden:

Get-Label | Format-Table -Property DisplayName, Name, Guid

Als u een van deze geavanceerde instellingen uit een vertrouwelijkheidslabel wilt verwijderen, gebruikt u dezelfde syntaxis voor de parameter AdvancedSettings, maar geeft u een lege tekenreekswaarde (null) op. Bijvoorbeeld:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScop=""}

Beheer van vertrouwelijkheidslabels

Gebruik de volgende richtlijnen wanneer u vertrouwelijkheidslabels die zijn geconfigureerd voor sites en groepen maakt, wijzigt of verwijdert.

Labels maken en publiceren die zijn geconfigureerd voor sites en groepen

Wanneer een nieuw vertrouwelijkheidslabel wordt gemaakt en gepubliceerd, is het binnen een uur zichtbaar voor gebruikers in teams, groepen en sites. Wanneer u echter een bestaand label wijzigt, kan dat maximaal 24 uur duren. Gebruik de volgende richtlijnen om een label te publiceren voor uw gebruikers wanneer dat label is geconfigureerd voor site- en groepsinstellingen:

1. Nadat u het vertrouwelijkheidslabel hebt gemaakt en geconfigureerd, voegt u het label toe aan labelbeleid dat slechts op een aantal testgebruikers van toepassing is.

2. Wacht op de replicatie van de wijziging:

   • Nieuw label: wacht een uur.
   • Bestaand label: wacht 24 uur.

3. Gebruik na deze wachttijd een van de testgebruikersaccounts om een team, Microsoft 365-groep of SharePoint-site te maken met het label dat u in stap 1 hebt gemaakt.

4. Als er geen fouten optreden tijdens deze maakactie weet u zeker dat het veilig is om het label te publiceren voor alle gebruikers in uw tenant.

Gepubliceerde labels bewerken die zijn geconfigureerd voor sites en groepen

U kunt het beste de site- en groepsinstellingen voor een vertrouwelijkheidslabel niet wijzigen nadat het label is toegepast op teams, groepen of sites. Als u dat toch doet, denk er dan aan 24 uur te wachten zodat de wijzigingen zijn gerepliceerd naar alle containers waarop het label is toegepast.

Als de wijzigingen ook de instelling Toegang van externe gebruikers inhouden:

• De nieuwe instelling geldt voor nieuwe gebruikers, maar niet voor bestaande gebruikers. Als deze instelling bijvoorbeeld eerder was geselecteerd en gastgebruikers hierdoor toegang hebben gekregen tot de site, hebben deze gastgebruikers nog steeds toegang tot de site nadat deze instelling is verwijderd uit de labelconfiguratie.

• De privacyinstellingen voor de groepseigenschappen hiddenMembership en roleEnabled worden niet bijgewerkt.

Gepubliceerde labels verwijderen dier zijn geconfigureerd voor sites en groepen

Als u een vertrouwelijkheidslabel verwijdert waarvan de site- en groepsinstellingen zijn ingeschakeld en het label is inbegrepen in een of meerdere labelbeleidsregels, kan deze actie resulteren in fouten bij het maken van nieuwe teams, groepen en sites. Om deze situatie te vermijden, gebruik de volgende instructies:

1. Verwijder het vertrouwelijkheidslabel uit alle labelbeleidsregels waarin dat label is opgenomen.

2. Wacht een uur.

3. Na deze wachttijd kunt u proberen een team, groep of site te maken en controleren of het label niet langer zichtbaar is.

4. Als het vertrouwelijkheidslabel niet zichtbaar is, kunt u het label veilig verwijderen.

Vertrouwelijkheidslabels toepassen op containers

U kun nu het vertrouwelijkheidslabel/de vertrouwelijkheidslabels toepassen op de volgende containers:

• Microsoft 365-groep in Azure AD
• Microsoft Teams-teamsite
• Microsoft 365-groep in de webversie van Outlook
• SharePoint-site

U kunt PowerShell gebruiken als u een vertrouwelijkheidslabel moet toepassen op meerdere sites.

Vertrouwelijkheidslabels toepassen op Microsoft 365-groepen

U kunt nu het vertrouwelijkheidslabel/de vertrouwelijkheidslabels toepassen op Microsoft 365-groepen. Ga terug naar de Azure AD-documentatie voor instructies:

• Een label toewijzen aan een nieuwe groep in Azure Portal

• Een label toewijzen aan een bestaande groep in Azure Portal

• Een label verwijderen van een bestaande groep in Azure Portal.

Een vertrouwelijkheidslabel toepassen op een nieuw team

Gebruikers kunnen vertrouwelijkheidslabels selecteren wanneer ze nieuwe teams maken in Microsoft Teams. Wanneer ze het label selecteren in het vervolgkeuzemenu Vertrouwelijkheid kan de privacyinstelling wijzigen om de labelconfiguratie te weerspiegelen. Afhankelijk van de instelling voor toegang van externe gebruikers die u hebt geselecteerd voor het label, kunnen gebruikers wel of niet personen buiten de organisatie aan het team toevoegen.

Meer informatie over vertrouwelijkheidslabels voor Teams

Nadat u het team hebt gemaakt, wordt het vertrouwelijkheidslabel in de rechterbovenhoek van alle kanalen weergegeven.

Hetzelfde vertrouwelijkheidslabel wordt automatisch toegepast op de Microsoft 365-groep en de verbonden SharePoint-teamsite.

Een vertrouwelijkheidslabel toepassen op een nieuwe groep in de webversie van Outlook

In de webversie van Outlook kunt u wanneer u een nieuwe groep maakt de optie Vertrouwelijkheid voor gepubliceerde labels selecteren of wijzigen:

Een vertrouwelijkheidslabel toepassen op een nieuwe site

Beheerders en eindgebruikers kunnen vertrouwelijkheidslabels selecteren wanneer ze moderne team- en communicatiesites maken en Geavanceerde instellingen uitvouwen:

In het vervolgkeuzevak worden de labelnamen voor de selectie weergegeven en in het helppictogram worden alle labelnamen weergegeven met hun knopinfo, zodat gebruikers het juiste label om toe te passen, kunnen bepalen.

Wanneer het label is toegepast en gebruikers naar de site bladeren, zien ze de naam van het label en toegepaste beleid. Deze site is bijvoorbeeld gelabeld als Vertrouwelijk en de privacyinstelling is ingesteld op Persoonlijk:

PowerShell gebruiken om een vertrouwelijkheidslabel toe te passen op meerdere sites

U kunt de cmdlet Set-SPOSite en Set-SPOTenant gebruiken met de parameter SensitivityLabel van de huidige SharePoint Online Management Shell om een vertrouwelijkheidslabel toe te passen op veel sites. De sites kunnen elke SharePoint-siteverzameling of een OneDrive-site zijn.

Zorg ervoor dat u versie 16.0.19418.12000 of hoger hebt van de SharePoint Online Management Shell.

1. Open een PowerShell-sessie met de optie Als administrator uitvoeren.

2. Als u uw label-GUID niet kent: Maakt u verbinding met PowerShell van het beveiligings- en compliancecentrum en haalt u de lijst met vertrouwelijkheidslabels en hun GUID's op.

   Get-Label |ft Name, Guid
   

3. Maak nu verbinding met SharePoint Online PowerShell en sla uw label-GUID op als variabele. Bijvoorbeeld:

   $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
   

4. Maak een nieuwe variabele die meerdere sites identificeert die een identificerende tekenreeks gemeen hebben in hun URL. Bijvoorbeeld:

   $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
   

5. Voer de volgende opdracht uit om het label toe te passen op deze sites. Gebruik onze voorbeelden:

   $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
   

Met deze reeks opdrachten kunt u meerdere sites in uw tenant labelen met hetzelfde vertrouwelijkheidslabel. Daarom gebruikt u de cmdlet Set-SPOTenant in plaats van de cmdlet Set-SPOSite die is bedoeld voor de configuratie per site. Gebruik echter de cmdlet Set-SPOSite wanneer u een ander label wilt toepassen op specifieke sites door de volgende opdracht te herhalen voor elke site: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Vertrouwelijkheidslabels bekijken en beheren in het SharePoint-beheercentrum

Als u de toegepaste vertrouwelijkheidslabels wilt weergeven, sorteren en doorzoeken, gebruikt u de pagina Actieve sites in het nieuwe SharePoint-beheercentrum. Mogelijk moet u eerst de kolom Vertrouwelijkheid toevoegen:

Zie Sites beheren in het nieuwe SharePoint-beheercentrum voor meer informatie over sites beheren vanaf de pagina Actieve sites, waaronder ook het toevoegen van een kolom.

U kunt ook een label wijzigen en toepassen vanaf deze pagina:

1. Selecteer de sitenaam om het detailvenster te openen.

2. Selecteer het tabblad Beleid en vervolgens Bewerken voor de instelling Vertrouwelijkheid.

3. Selecteer in het deelvenster Vertrouwelijkheid bewerken het vertrouwelijkheidslabel dat u op de site wilt toepassen. In tegenstelling tot gebruikers-apps, waar vertrouwelijkheidslabels aan specifieke gebruikers kunnen worden toegewezen, worden in het beheercentrum alle vertrouwelijkheidslabels voor uw tenant weergegeven. Nadat u een label hebt gekozen, selecteert u Opslaan.

Ondersteuning voor vertrouwelijkheidslabels.

Wanneer u beheercentra gebruikt die vertrouwelijkheidslabels ondersteunen, ziet u alle vertrouwelijkheidslabels voor uw tenant. Ter vergelijking: gebruikers-apps en -services die vertrouwelijkheidslabels filteren op basis van publicatiebeleid kunnen ertoe leiden dat u een subset van deze labels ziet.

De volgende apps en services ondersteunen vertrouwelijkheidslabels die zijn geconfigureerd voor sites en groepsinstellingen:

• Beheercentra

  • SharePoint-beheercentrum
  • Azure Active Directory Portal
  • Microsoft 365-beheercentrum
  • Microsoft 365-compliancecentrum

• Gebruikers-apps en -services:

  • SharePoint
  • Teams
  • Webversie van Outlook en versie voor Windows, macOS, iOS en Android
  • Forms
  • Stream
  • Planner

De volgende apps en services ondersteunen momenteel geen vertrouwelijkheidslabels die zijn geconfigureerd voor sites en groepsinstellingen:

• Beheercentra

  • Teams-beheercentrum
  • Exchange-beheercentrum

• Gebruikers-apps en -services:

  • Dynamics 365
  • Yammer
  • Project
  • Power BI

Klassieke Azure AD-groepsclassificatie

Nadat u vertrouwelijkheidslabels voor containers hebt ingeschakeld, worden de groepsclassificaties van Azure AD niet meer ondersteund door Microsoft 365 en worden ze niet meer weergegeven op sites die vertrouwelijkheidslabels ondersteunen. U kunt uw oude classificaties echter converteren naar vertrouwelijkheidslabels.

Zie Classificatie van 'moderne' SharePoint-sites als voorbeeld van hoe u de oude groepsclassificatie voor SharePoint mogelijk hebt gebruikt.

Deze classificaties waren geconfigureerd met Azure AD PowerShell of de PnP-kernbibliotheek en door waarden te definiëren voor de instelling ClassificationList. Als er voor uw tenant classificatiewaarden zijn gedefinieerd, worden ze weergegeven wanneer u de volgend opdracht uitvoert vanuit de AzureADPreview PowerShell-module:

($setting["ClassificationList"])

Om uw oude classificaties te converteren naar vertrouwelijkheidslabels gaat u op een van de volgende manieren te werk:

• Bestaande labels gebruiken: specificeer de labelinstellingen voor sites en groepen door bestaande vertrouwelijkheidslabels die al zijn gepubliceerd, te bewerken.

• Nieuwe labels maken: specificeer de labelinstellingen voor sites en groepen door nieuwe vertrouwelijkheidslabels te maken en te publiceren die dezelfde namen hebben als uw bestaande classificaties.

Voer vervolgens de volgende handelingen uit:

1. Gebruik PowerShell om de vertrouwelijkheidslabels toe te passen op bestaande Microsoft 365-groepen en SharePoint-sites door naamtoewijzing te gebruiken. Zie de volgende sectie voor instructies.

2. Verwijder de oude classificaties van de bestaande groepen en sites.

Hoewel u niet kunt voorkomen dat gebruikers nieuwe groepen maken in apps en services die nog geen vertrouwelijkheidslabels ondersteunen, kunt u een terugkerend PowerShell-script uitvoeren dat zoekt naar nieuwe groepen die door gebruikers met de oude classificaties zijn gemaakt en deze converteren om vertrouwelijkheidslabels te gebruiken.

Zie Azure Active Directory-classificatie en vertrouwelijkheidslabels voor Microsoft 365-groepen om u te helpen bij het beheer van naast elkaar bestaande vertrouwelijkheidslabels en Azure AD-classificaties voor sites en groepen.

PowerShell gebruiken om classificaties voor Microsoft 365-groepen te converteren naar vertrouwelijkheidslabels

1. Maak als eerste verbinding met PowerShell van het beveiligings- en compliancecentrum.

   Meld u bijvoorbeeld in een PowerShell-sessie die u als administrator uitvoert, aan met een globalebeheerdersaccount:

2. Haal de lijst met vertrouwelijkheidslabels en hun GUID's op door de cmdlet Get-Label te gebruiken:

   Get-Label |ft Name, Guid
   

3. Noteer de GUID's voor de vertrouwelijkheidslabels die u wilt toepassen op uw Microsoft 365-groepen.

4. Maak nu verbinding met Exchange Online PowerShell in een afzonderlijk Windows PowerShell-venster.

5. Gebruik de volgende opdracht als voorbeeld om de lijst met groepen op te halen die momenteel de classificatie 'Algemeen' hebben:

   $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
   

6. Voeg voor elke groep het nieuwe vertrouwelijkheidslabel-GUID toe. Bijvoorbeeld:

   foreach ($g in $groups)
   {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
   

7. Herhaal stappen 5 en 6 voor de resterende groepsclassificaties.

Vertrouwelijkheidslabelsactiviteiten controleren

Als iemand een document uploadt naar een site die is beveiligd met een vertrouwelijkheidslabel en het document heeft een vertrouwelijkheidslabel met een hogere prioriteit dan het vertrouwelijkheidslabel dat is toegepast op de site, wordt deze actie niet geblokkeerd. U hebt bijvoorbeeld het label Algemeen toegepast op een SharePoint-site en iemand uploadt een document naar deze site met het label Vertrouwelijk. Omdat een vertrouwelijkheidslabel met een hogere prioriteit inhoud identificeert die vertrouwelijker is dan inhoud met een lagere prioriteit, kan deze situatie een beveiligingsrisico zijn.

Hoewel de actie niet wordt geblokkeerd, wordt deze standaard gecontroleerd en genereert automatisch een e-mail naar de persoon die het document heeft geüpload en de sitebeheerder. Hierdoor kunnen zowel de gebruiker als de beheerders documenten identificeren waarbij de labelprioriteit niet overeenkomt en indien nodig actie ondernemen. Door bijvoorbeeld het geüploade document van de site te verwijderen of te verplaatsen.

Het zou geen beveiligingsrisico zijn als het document een vertrouwelijkheidslabel met een lagere prioriteit heeft dan het vertrouwelijkheidslabel dat is toegepast op de site. Een document met het label Algemeen wordt bijvoorbeeld geüpload naar een site met het label Vertrouwelijk. In dit scenario worden er geen auditgebeurtenis en e-mail gegenereerd.

Om het auditlogboek voor deze gebeurtenis te vinden, zoekt u naar Niet-overeenkomende documentvertrouwelijkheid gedetecteerd in de categorie Bestands- en pagina-activiteiten.

De automatisch gegenereerde e-mail heeft als onderwerp Niet-overeenkomende documentvertrouwelijkheid gedetecteerd en in het e-mailbericht wordt uitgelegd dat de labels niet overeenkomen met een koppeling naar het geüploade document en de site. Het bericht bevat ook een documentatiekoppeling waarin wordt uitgelegd hoe gebruikers het vertrouwelijkheidslabel kunnen wijzigen. Deze geautomatiseerde e-mailberichten kunnen niet worden aangepast, maar u kunt voorkomen dat ze worden verzonden met de volgende PowerShell-opdracht van Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Wanneer iemand een vertrouwelijkheidslabel toevoegt aan of verwijdert van een site of groep worden deze activiteiten ook gecontroleerd, maar zonder dat er automatisch een e-mail wordt gegenereerd.

Al deze controlegebeurtenissen vindt u in de categorie vertrouwelijkheidslabelactiviteiten. Zie Het auditlogboek doorzoeken in het beveiligings- en compliancecentrum voor instructies om het auditlogboek te doorzoeken.

Vertrouwelijkheidslabels voor containers uitschakelen

U kunt vertrouwelijkheidslabels voor Microsoft Teams, Microsoft 365-groepen en SharePoint-sites uitschakelen met behulp van dezelfde instructies van Ondersteuning voor vertrouwelijkheidslabels inschakelen in PowerShell. Als u de functie echter wilt uitschakelen, geeft u in stap 5 $setting["EnableMIPLabels"] = "False" op.

Naast het uitschakelen van alle instellingen voor groepen en sites bij het maken of bewerken van vertrouwelijkheidslabels, wijzigt deze actie ook welke eigenschap de containers gebruiken voor hun configuratie. Vertrouwelijkheidslabels inschakelen voor Microsoft Teams, Microsoft 365-groepen en SharePoint-sites schakelt de gebruikte eigenschap van Classificatie (gebruikt voor Azure AD-groepsclassificatie) naar Vertrouwelijkheid. Wanneer u vertrouwelijkheidslabels voor containers uitschakelt, wordt de eigenschap Vertrouwelijkheid door de containers genegeerd en de eigenschap Classificatie opnieuw gebruikt.

Dit betekent dat labelinstellingen van sites en groepen die eerder werden toegepast op containers niet worden afgedwongen en dat deze labels niet meer worden weergegeven in containers.

Als op deze containers Azure AD-classificatiewaarden zijn toegepast, worden de classificaties weer gebruikt door de containers. Denk erom dat nieuwe sites of groepen die zijn gemaakt na het inschakelen van de functie geen label of classificatie hebben. Op deze containers en nieuwe containers kunt u nu classificatiewaarden toepassen. Zie Classificatie van 'moderne' SharePoint-sites en Classificaties maken voor Office-groepen in uw organisatie voor meer informatie.

Aanvullende bronnen

Bekijk de webinaropname met beantwoorde vragen voor vertrouwelijkheidslabels gebruiken met Microsoft Teams, O365 Groepen en SharePoint Online-sites.

Dit webinar is opgenomen toen de functie nog in preview was, dus u ziet mogelijk verschillen in de gebruikersinterface. De informatie voor deze functie is echter nog steeds juist en nieuwe mogelijkheden worden op deze pagina beschreven.

Voor meer informatie over het beheren van sites die verbonden zijn met Teams en kanaalsites, gaat u naar Verbonden Teams-sites en kanaalsites beheren.