Standardmäßige Sicherung mit Microsoft Purview und Schutz vor Überteilung – Phase 1
Dieser Leitfaden ist in vier Phasen unterteilt:
- Einführung
- Phase 1: Grundlegend – Beginnen Sie mit empfohlenen Bezeichnungen (diese Seite)
- Phase 2: Verwaltet – Adressdateien mit höchster Vertraulichkeit
- Phase 3: Optimiert– Erweitern Auf Ihren gesamten Microsoft 365-Datenbestand
- Phase 4: Strategisch – Betrieb, Erweiterung und rückwirkende Maßnahmen
Phase 1: Grundlegend – Beginnen Sie mit empfohlenen Bezeichnungen.
Vertraulichkeitsbezeichnungen sind Organisationstags, die für Endbenutzer sinnvoll und intuitiv sind. Sie sind in Microsoft-Lösungen und nicht von Microsoft stammenden Lösungen wie Adobe Acrobat Reader integriert und konsistent.
Schutzrichtlinien für Bezeichnungen variieren je nach Datenressource. Zum Beispiel:
- Verschlüsselung und dynamisches Wasserzeichen für unterstützte Dateitypen
- Steuerelemente für bedingten Zugriff und Datenschutz für SharePoint-Websites und Teams
- Berechtigungssteuerung für Azure SQL-Datenbanken, Azure Storage und Amazon Web Services (AWS) S3
Die Strategie zum Anwenden von Bezeichnungen beginnt häufig mit der manuellen Bezeichnung, dann mit der clientseitigen automatischen Bezeichnung mit vertraulichen Informationstypen (SIT), gefolgt von der dienstseitigen automatischen Bezeichnung (ruhende Bezeichnung) mit SIT und Kontextbedingungen. SharePoint bietet auch eine kontextbezogene Standardbezeichnung pro Bibliothek, die in diesem Leitfaden ausführlicher behandelt wird.
Beginnen Sie mit Standardbezeichnungen und Schutz auf Datei- und Websiteebene.
Für die meisten Kunden wird empfohlen, mit der folgenden Definition zu beginnen. Diese empfohlenen Bezeichnungen können bei einer vorhandenen Bereitstellung angepasst und später mit weiteren Szenarien durchlaufen werden.
Auf der obersten Ebene wird empfohlen, mit den folgenden Bezeichnungen zu beginnen:
- Öffentlich : Öffentliche Daten sind uneingeschränkte Daten, die für die öffentliche Nutzung bestimmt sind, z. B. öffentlich veröffentlichter Quellcode und angekündigte Finanzdaten. Teilen Sie es frei.
- Allgemein : Geschäftsdaten, die nicht für den öffentlichen Gebrauch bestimmt sind, z. B. produkte für die tägliche Arbeit. Daten, die intern und mit vertrauenswürdigen Partnern freigegeben werden können.
- Vertraulich : Vertrauliche Geschäftsdaten, die für die Erreichung Ihrer Unternehmensziele von entscheidender Bedeutung sind. Eingeschränkte Verteilung.
- Streng vertraulich : Ihre wichtigsten Daten. Geben Sie sie nur für benannte Empfänger weiter.
Hinweis
Für Organisationen, die persönliche Inhalte auf verwalteten Geräten akzeptieren, empfehlen wir, eine Nicht geschäftliche oder persönliche Bezeichnung mit der niedrigsten Priorität und ohne Schutz zu definieren.
Für Vertraulich und Streng vertraulich fügen wir die folgenden Untergeordneten Bezeichnungen hinzu:
- \Alle Mitarbeiter: Auf die Daten kann jeder in Ihrem organization zugreifen.
- \Spezifische Personen: Auf Daten kann nur von den angegebenen Personen zugegriffen werden.
- \Interne Ausnahme : Jeder kann intern auf Daten zugreifen, aber verhindert, dass extern freigegeben werden. Verwenden Sie diese Bezeichnung in Situationen, in denen sich die Verschlüsselung auf den täglichen Betrieb auswirkt.
Eine vollständige Liste der über- und untergeordneten Bezeichnungen mit empfohlenen Konfigurationen finden Sie in dieser Tabelle:
| Bezeichnungsname | Bezeichnungsbeschreibung für Benutzer | Einstellungen |
|---|---|---|
| Öffentlich | Geschäftsdaten, die für die öffentliche Nutzung vorbereitet und genehmigt werden. |
Bereich: Elemente (Datei, E-Mail) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Verhinderung von Datenverlust: Keine |
| Allgemein | Geschäftsdaten, die nicht für die öffentliche Nutzung bestimmt sind. Dies kann jedoch bei Bedarf für externe Partner freigegeben werden. | Diese Bezeichnung wird als Standardbezeichnung für E-Mails ausgewählt. Diese Bezeichnung wird auch für Websites ausgewählt, die externe Partner zulassen. Bereich: Elemente (Datei, Email, Besprechungen, Websites) Inhaltskennzeichnung: Nein Automatische Bezeichnung: Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren von Personen mit dem Link |
| Vertraulich \ Alle Mitarbeiter |
Vertrauliche Daten, die geschützt werden müssen und die allen Mitarbeitern volle Berechtigungen gewähren. Datenbesitzer können Inhalte nachverfolgen und widerrufen. | Diese Bezeichnung wird als Standardbezeichnung für Dokumente und Websites ausgewählt. Bereich: Elemente (Datei, Email, Besprechungen, Websites) Verschlüsselung: Alle Benutzer und Gruppen in der Organisation: Mitauthor Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung: Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren Sie jede Person mit dem Link, Extern blockieren |
| Vertraulich \ Bestimmte Personen |
Vertrauliche Daten, die für vertrauenswürdige Personen innerhalb und außerhalb Ihrer Organisation freigegeben werden können. Diese Personen können die Daten auch nach Bedarf erneut freigeben. |
Bereich: Elemente (Datei, Email, Besprechungen, Websites) Verschlüsselung: Benutzern das Zuweisen von Berechtigungen gestatten: - Nur für Outlook verschlüsseln – Benutzer in Word, PowerPoint und Excel auffordern Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung: Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren von Personen mit dem Link |
| Vertraulich \ Interne Ausnahme |
Vertrauliche Daten, die nicht verschlüsselt werden müssen. Verwenden Sie diese Option mit Vorsicht und angemessener geschäftlicher Begründung. | Diese Bezeichnung ist für vertrauliche Informationen ausgewählt, die nicht verschlüsselt werden müssen. Dies kann als interne Ausnahme verwendet werden, wenn die Verschlüsselung mit einem Prozess oder einer Anwendung, die diese Informationen verwendet, nicht unterstützt wird. Nutzen Sie Verhinderung von Datenverlust und Insider-Risikomanagement , um Risiken und Benutzerabweichungen zu verwalten. Bereich: Elemente (Datei, Email, Besprechungen, Websites) Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung:Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren Sie jede Person mit dem Link, Extern blockieren |
| Streng vertraulich \ Alle Mitarbeiter |
Streng vertrauliche Daten, die es allen Mitarbeitern ermöglichen, diese Inhalte anzuzeigen, zu bearbeiten und zu beantworten. Datenbesitzer können Inhalte nachverfolgen und widerrufen. | Diese Bezeichnung wird die clientseitige automatische Bezeichnung und die dienstseitige automatische Bezeichnung ausgewählt. Bereich: Elemente (Datei, Email, Besprechungen, Websites) Verschlüsselung: Alle Benutzer und Gruppen in der Organisation: Mitauthor Inhaltskennzeichnung: Fußzeile: Als streng vertraulich klassifiziert Automatische Bezeichnung: Wenden Sie die Bezeichnung automatisch an. Erwägen Sie die automatische Anwendung für die hochsensiblen Vertraulichen Informationstypen Alle Anmeldeinformationen. Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren Sie jede Person mit dem Link, Extern blockieren |
| Streng vertraulich \ Bestimmte Personen |
Streng vertrauliche Daten, die geschützt werden müssen und nur von von Ihnen angegeben Personen und mit der von Ihnen gewählten Berechtigungsstufe eingesehen werden können. |
Bereich: Elemente (Datei, Email, Besprechungen, Websites) Verschlüsselung: Benutzern das Zuweisen von Berechtigungen gestatten: - Nicht für Outlook weiterleiten – Benutzer in Word, PowerPoint und Excel auffordern Inhaltskennzeichnung: Fußzeile: Als streng vertraulich klassifiziert Automatische Bezeichnung: Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren Sie jede Person mit dem Link, Extern blockieren |
| Streng vertraulich \ Interne Ausnahme |
Streng vertrauliche Daten, die nicht verschlüsselt werden müssen. Verwenden Sie diese Option mit Vorsicht und angemessener geschäftlicher Begründung. | Diese Bezeichnung ist für streng vertrauliche Informationen ausgewählt, die nicht verschlüsselt werden müssen. Dies kann als interne Ausnahme verwendet werden, wenn die Verschlüsselung mit einem Prozess oder einer Anwendung, die diese Informationen verwendet, nicht unterstützt wird. Nutzen Sie Verhinderung von Datenverlust und Insider-Risikomanagement , um Risiken und Benutzerabweichungen zu verwalten. Bereich: Elemente (Datei, Email, Besprechungen, Websites) Inhaltsmarkierung: Fußzeile: Als vertraulich klassifiziert Automatische Bezeichnung: Nein Datenschutz der Website: Privat oder Öffentlich Verhinderung von Datenverlust: Blockieren Sie jede Person mit dem Link, Extern blockieren |
Standardmäßige Sicherheit
Die empfohlenen Bezeichnungen in diesem Bereitstellungsmodell unterscheiden sich im Vergleich zum herkömmlichen Durchforstungs-,Exemplar-/Ausführungsansatz oder im Artikel Standardbezeichnungen und -richtlinien zum Schutz Ihrer Daten :
- Legen Sie die Standardbezeichnung für Dateien auf Vertraulich\Alle Mitarbeiter fest. Nutzen Sie für vorhandene Dateien die dienstseitige automatische Bezeichnung mit kontextbezogener Bedingungsdateierweiterung für alle PPTX/DOCX/XLSX/PDF-Dateien für alle relevanten SharePoint-Websites.
- Legen Sie die Standardbezeichnung für E-Mails auf Allgemein fest. Dies verringert die Reibung bei der Bereitstellung von Benutzern, die in der Lage sind, normal zu funktionieren, mit der Ausnahme, dass vertrauliche Dateien, die an eine E-Mail angefügt sind, die Bezeichnung der Datei erben.
- Steuerelemente für Standardfreigabe- und DLP-Grenzwerte
- Anwendungsfälle für automatische Bezeichnungen, die sich auf streng vertraulich zentrieren
- Spezifische Personen Bezeichnung, intuitiv benannt und selbsterklärend
- Die interne Ausnahme behandelt Edgefälle, in denen die Verschlüsselung Endbenutzer an ihrer täglichen Arbeit hindert.
Highlights und Empfehlungen
- Bezeichnungen sollten intuitiv benannt werden.
- Vermeiden Sie es, Begriffe wie Vertraulich, Eingeschränkt oder Intern miteinander zu vermischen – das Verständnis der verschiedenen Bedeutungen der Begriffe kann für Benutzer eine Herausforderung darstellen.
- Es wird empfohlen, die Liste der Bezeichnungen nach Möglichkeit auf 5 x 5 zu halten, d. h. bis zu fünf übergeordnete Bezeichnungen und bis zu fünf untergeordnete Bezeichnungen unter einem übergeordneten Element.
- Falls zutreffend, werden Bezeichnungen sowohl für Dateien als auch für SharePoint-Websites verwendet.
- Streng vertraulich wird in den meisten Fällen mit automatischer Bezeichnung und kontextbezogenen Standardeinstellungen durchgeführt und bietet mehr Steuerelemente und Einschränkungen.
- Verwenden Sie Bezeichnungen, um Ihre SharePoint-Websites und den Microsoft Teams-Datenschutz standardmäßig auf Privat festzulegen.
- Organisationen, die öffentliche Datenschutzeinstellungen umfassend in SharePoint/Teams verwenden, empfehlen wir, auf Privat zu aktualisieren und stattdessen unternehmensfreigabefähige Links zu verwenden.
- Private SharePoint-Websites mit vom Unternehmen freigegebenen Links bieten die gleiche Flexibilität bei der Zusammenarbeit, verringern jedoch das Risiko einer unbeabsichtigten Ermittlung bei Suche und Copilot.
- Legen Sie die Standardfreigabe auf Bestimmte Personen fest, um mehr Schutz zu gewährleisten.
- Erstellen Sie eine Kette der Verantwortlichkeit mit Websitebesitzern. Verwenden Sie Berichte und Graph-API, um Abweichungen von Verwendung und Verhalten zu identifizieren.
- Aktivieren Sie DLP für bezeichnete Inhalte, und blockieren Sie alle Personen mit Link und externen Inhalten, sofern zutreffend. Vorhandene freigegebene Inhalte, die diesen Bedingungsblöcken entsprechen, DLP-Warnungen werden ausgelöst und Richtlinientipps sind für Endbenutzer sichtbar.
- Aktivieren Sie die Vererbung von E-Mail-Bezeichnungen. Weitere Informationen finden Sie unter Konfigurieren der Bezeichnungsvererbung aus E-Mail-Anlagen.
Aktivieren von Datensicherheitsvoraussetzungen und erweiterten Analysen
Microsoft Purview bietet viele Funktionen. Um die Auswirkungen auf Benutzer zu verringern, sind einige Funktionen standardmäßig nicht aktiviert. Es wird empfohlen, die folgenden Einstellungen zu überprüfen:
- Aktivieren der Möglichkeit zum Verarbeiten von Inhalten in Office Online: Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive
- Aktivieren der Bezeichnung für Microsoft Teams und SharePoint-Websites: Verwenden von Vertraulichkeitsbezeichnungen mit Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites
- Es wird empfohlen, die Bezeichnung nicht übereinstimmende E-Mail-Bezeichnung beizubehalten. Dieses Feature sendet eine E-Mail an den Dokumentbesitzer und Websitebesitzer zu einem Dokument, das eine höhere Vertraulichkeit als die Vertraulichkeitsbezeichnung der Website aufweist. Sie können bestätigen, dass es nicht deaktiviert ist, indem Sie überprüfen, ob "-BlockSendLabelMismatchEmail" auf $False
- Einschließen eines Hilfelinks mit "-LabelMismatchEmailHelpLink"
- Aktivieren der Unterstützung für PDF-Dateien in OneDrive und SharePoint: Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive
- Dateien standardmäßig als vertraulich markieren: Verhindern des Gastzugriffs auf Dateien, während DLP-Regeln angewendet werden – SharePoint in Microsoft 365
- DLP-Analyse: Erste Schritte mit Analysen zur Verhinderung von Datenverlust
- Aktivieren der gemeinsamen Dokumenterstellung für Dateien mit Vertraulichkeitsbezeichnungen: Aktivieren der gemeinsamen Dokumenterstellung für verschlüsselte Dokumente
- Aktivieren von Insider-Risikomanagementindikatoren: Konfigurieren von Richtlinienindikatoren im Insider-Risikomanagement
- Aktivieren von Purview-Überwachungen: Erste Schritte mit Überwachungslösungen
- Aktivieren der Integration in Microsoft Entra B2B: SharePoint- und OneDrive-Integration mit Microsoft Entra B2B
Unternehmensfreigabefähige Links oder Links für bestimmte Personen
Die OneDrive- und SharePoint-Freigabe wird über freigegebene Links konfiguriert. Weitere Informationen finden Sie hier: Funktionsweise von freigabefähigen Links in OneDrive und SharePoint in Microsoft 365
Für Organisationen, die SharePoint-Websites verwenden, deren Datenschutzeinstellungen auf "öffentlich" festgelegt sind, empfehlen wir, zu privat zu wechseln, wobei in Ihrem organization standardmäßig freigegebene Links auf Personen festgelegt sind. Die offene Zusammenarbeit ist für Benutzer verfügbar, verringert jedoch die automatische Auffindbarkeit von Inhalten in der Unternehmenssuche und Copilot.
Tipp
Um Risiken weiter zu reduzieren, empfehlen wir, bestimmte Personen als Standard zu konfigurieren.
Mit Microsoft Purview-Vertraulichkeitsbezeichnungen können Sie die freigegebenen Links basierend auf der Vertraulichkeitsbezeichnung der SharePoint-Website konfigurieren. Diese Einstellung erleichtert beispielsweise die präzisen Konfigurationen zwischen allgemeinen und vertraulichen Websites erheblich. Weitere Informationen finden Sie hier: Verwenden von Vertraulichkeitsbezeichnungen zum Konfigurieren des Standardmäßigen Freigabelinktyps
Trainieren von Benutzern beim Verwalten von Ausnahmen
Mit dem standardmäßig sicheren Ansatz konzentriert sich das Training auf Folgendes:
- Machen Sie Ihre organization darauf aufmerksam, wie wichtig es ist, Informationen standardmäßig zu schützen.
- Die Bedeutung der Bezeichnung auf SharePoint-Websites und die Auswirkungen von Bezeichnungen auf den Schutz von Dateien und die Freigabe.
- Wie Benutzer Bezeichnungen ändern können, wenn sie mit vertrauenswürdigen externen Partnern arbeiten.
- Wie Benutzer Bezeichnungen ändern können, wenn eine Branchenanwendung oder ein Add-In mit der Verschlüsselung nicht ordnungsgemäß funktioniert.
- Ob sie von OneDrive oder SharePoint für vertrauenswürdige externe Partner freigegeben werden sollen und wie die entsprechende Websitebezeichnung ausgewählt wird.
- Begründung erforderlich, wenn Bezeichnungen herabgestuft werden.
Durch das Ableiten von Dateibezeichnungen von SharePoint-Websitebeschriftungen wird die Anzahl der Benutzer reduziert, die ihre Bezeichnung ändern müssen. Zum Beispiel:
- John gibt eine Datei extern über OneDrive frei. Anschließend überprüft er den Inhalt und stellt fest, dass er nicht vertraulich ist, und ändert die Bezeichnung in Allgemein. John teilt dann extern.
- Jane arbeitet mit einem Partner zusammen und gibt mehrere Dateien frei. Jane verwendet SharePoint und bezeichnet die Website als Allgemein. Alle Dateien innerhalb der Website können freigegeben werden. Wenn jedoch eine vertrauliche Datei auf der Website hochgeladen wird, ist diese Datei geschützt, wird eine Benachrichtigung an Jane über die Datei mit höherer Vertraulichkeit gesendet, und sie kann die Datei verschieben oder die Bezeichnung ändern.
- Jack arbeitet in Excel mit einem Partner zusammen, der ein Add-In verwendet, das für den Geschäftsbetrieb wichtig ist. Wenn dieses Add-In nicht mit der Verschlüsselung kompatibel ist, muss Jack die Bezeichnung in Confidential\Internal exception ändern.
Wichtig
Es gibt einen wichtigen Kompromiss zwischen Bezeichnungspriorität, Downgrade und Begründung und Standardwerten. Angenommen, Allgemein hat eine niedrigere Priorität als Vertraulich\Alle Mitarbeiter, und wenn Ihr Office-Client standardmäßig Vertraulich\Alle Mitarbeiter verwendet, gilt keine SharePoint-Standardbibliotheksbezeichnung, die auf Allgemein festgelegt ist. Auf ähnliche Weise ist für die Ausnahme Vertraulich\Intern , die mit einer höheren Priorität festgelegt wurde, keine Begründung erforderlich. Es ist wichtig, die Bezeichnungsprioritäten und Die Begründungsanforderungen zu überprüfen.
Aktivieren von DLP für bezeichnete Inhalte
Microsoft Purview Data Loss Prevention (DLP) ermöglicht die Integration mit Vertraulichkeitsbezeichnungen und erfüllt dlp-Anforderungen mit eingeschränkten Konfigurationen schnell.
Wenn beispielsweise die empfohlenen Bezeichnungen und der Standard auf Vertraulich\Alle Mitarbeiter festgelegt sind, empfiehlt es sich, eine DLP-Regel hinzuzufügen, um die Freigabe für externe Benutzer zu blockieren und Jeden mit dem Link zu blockieren. Ausführliche Informationen zu den einzelnen Bezeichnungen finden Sie in der Empfohlenen Bezeichnungstabelle und in der Spalte DLP-Grenzwerte.
Weitere Informationen zu dieser Funktionalität:
- Verwenden von Vertraulichkeitsbezeichnungen als Bedingungen in DLP-Richtlinien
- Richtlinienreferenz zur Verhinderung von Datenverlust
- Referenz zu Exchange-Bedingungen und -Aktionen zur Verhinderung von Datenverlust
Phase 1 – Zusammenfassung
Am Ende dieser Phase hat Ihre organization Folgendes:
- Bezeichnungen, die für Endbenutzer zur manuellen Verwendung verfügbar sind.
- Standardbezeichnungen für alle neuen/aktualisierten Dokumente und E-Mails.
- Benutzerkommunikation und Schulung zum Verwalten von Ausnahmen, entweder bei der Freigabe oder bei der Verschlüsselung, die Probleme mit ihren Geschäftsdateien verursacht.
- DLP verhindert die Freigabe vertraulicher Dateien.
Siehe auch
- Anwenden der Verschlüsselung mithilfe von Vertraulichkeitsbezeichnungen
- Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps
- Endbenutzerschulung für Vertraulichkeitsbezeichnungen
- Erfahren Sie mehr über die Standardbezeichnungen und -richtlinien zum Schutz Ihrer Daten.
Nächster Schritt: Phase 2: Verwaltet – Adressdateien mit höchster Vertraulichkeit