Freigeben über


Microsoft Entra Klassifizierungs- und Vertraulichkeitsbezeichnungen für Microsoft 365-Gruppen

In diesem Artikel werden klassische Microsoft Entra Klassifizierungs- und Vertraulichkeitsbezeichnungen erläutert.

Vertraulichkeitsbezeichnungen werden von diesen Diensten unterstützt.

Vollständige Informationen zu Vertraulichkeitsbezeichnungen finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen.

Weitere Informationen zu Vertraulichkeitsbezeichnungen und deren Verhalten für Websites und Microsoft 365-Gruppen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites.

In den folgenden Szenarien finden Sie bewährte Methoden für die Migration von der klassischen Microsoft Entra Klassifizierung zu den Vertraulichkeitsbezeichnungen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Szenario 1: Der Mandant hat nie klassische Microsoft Entra Klassifizierungen oder Vertraulichkeitsbezeichnungen für Dokumente und E-Mails verwendet.

  • Mandanten Admin aktiviert Vertraulichkeitsbezeichnungen für Gruppen, indem das Mandantenflag "EnableMIPLabels" über das Microsoft Graph PowerShell-Cmdlet auf true festgelegt wird.
  • Mandanten Admin erstellt die Vertraulichkeitsbezeichnungen im Microsoft Purview-Complianceportal.
    • Mandantenadministratoren können Datei- und E-Mail-bezogene Aktionen wie Verschlüsselung und Wasserzeichen auswählen.
    • Mandantenadministratoren können Microsoft 365-Gruppen- und SharePoint Online-websitebezogene Aktionen für die Vertraulichkeitsbezeichnungen auswählen.
  • Mandanten Admin veröffentlicht die Richtlinie.
  • Kompatible Workloads zeigen Vertraulichkeitsbezeichnungen an. Verwenden Sie die Vertraulichkeitsbezeichnungen, um Gruppen zu erstellen. Kompatible Workloads sind die Dienste, die Vertraulichkeitsbezeichnungen unterstützen.
  • Nicht kompatible Workloads sind die Dienste, die noch keine Vertraulichkeitsbezeichnungen unterstützen. Gruppen können erstellt werden, sie können jedoch nicht der Vertraulichkeitsbezeichnung über nicht kompatible Workloads zugeordnet werden. Um solche Gruppen Vertraulichkeitsbezeichnungen zuzuordnen, können Mandantenadministratoren PowerShell-Cmdlets ausführen.

Tabelle 1. Verhalten von kompatiblen und nicht kompatiblen Workloads: Erstellen, Bearbeiten oder Löschen von Gruppen

Arbeitslast Welche Bezeichnungsliste wird dem Benutzer im Gruppenfenster angezeigt? Erstellen einer neuen Gruppe Gruppe bearbeiten Gruppe löschen
Kompatibel Vertraulichkeitsbezeichnungen. Keine Änderungen im Verhalten. Keine Änderungen im Verhalten. Keine Änderungen im Verhalten.
Nicht inkompatibel Keine Vertraulichkeitsbezeichnungen sichtbar. Der Benutzer kann eine Gruppe erstellen, ohne die Vertraulichkeitsbezeichnung auszuwählen.

Beachten Sie, dass der Administrator Cmdlets ausführen kann, um Vertraulichkeitsbezeichnungen im Hintergrund anzuwenden.
Fall 1: Zuvor keine Vertraulichkeitsbezeichnung ausgewählt. Der Benutzer kann eine Gruppe bearbeiten.

Fall 2: Vertraulichkeitsbezeichnung, die zuvor im Hintergrund mithilfe des Cmdlets angewendet wurde. Der Benutzer kann eine Gruppe erfolgreich bearbeiten, mit Ausnahme des Falles, in dem der Benutzer eine ungültige Kombination der Datenschutzeinstellung in Bezug auf die Bezeichnung auswählt.
Keine Änderungen im Verhalten.

Hinweis

Im Fall des Outlook-Desktopclients (Win 32) aktiviert der Administrator Vertraulichkeitsbezeichnungen auf dem Mandanten, und der Benutzer befindet sich auf einer älteren Version des Outlook-Desktopclients (Win 32):

  • Der Benutzer sieht Vertraulichkeitsbezeichnungen in der älteren Version des Outlook-Desktopclients.
  • Wenn der Benutzer jedoch eine Gruppe bearbeitet und die Gruppe mit einer Vertraulichkeitsbezeichnung speichert, wird die ausgewählte Datenschutzeinstellung durch die Datenschutzeinstellung der angewendeten Vertraulichkeitsbezeichnung überschrieben.

Es wird empfohlen, dass Ihre Benutzer auf einer alten Version des Outlook-Clients ein Upgrade auf die neuere Version durchführen.

Szenario 2: Der Mandant verwendet bereits klassische Microsoft Entra ID Klassifizierungen.

Fall A: Der Mandant hat nie Vertraulichkeitsbezeichnungen für Dokumente und E-Mails verwendet.

  1. Im Microsoft Purview-Complianceportal wird empfohlen, Vertraulichkeitsbezeichnungen mit dem gleichen Namen wie die vorhandenen klassischen Microsoft Entra ID-Bezeichnungen zu erstellen.
  2. Verwenden Sie das PowerShell-Cmdlet, um diese Vertraulichkeitsbezeichnungen mithilfe der Namenszuordnung auf vorhandene Microsoft 365-Gruppen und SharePoint-Websites anzuwenden.
  3. Admin können die klassischen Microsoft Entra ID-Bezeichnungen löschen:
    • Kompatible Workloads zeigen diese Vertraulichkeitsbezeichnungen an, und Gruppen werden mit ihnen erstellt.
    • Nicht kompatible Workloads funktionieren beim Erstellen von Gruppen, aber es ist keine Vertraulichkeitsbezeichnung angefügt.
  4. Administratoren können PowerShell-Cmdlets ausführen, um Vertraulichkeitsbezeichnungen auf diese Gruppen ohne Bezeichnungen anzuwenden.
    • Alternativ kann ein Administrator die klassischen Microsoft Entra ID Bezeichnungen beibehalten:
      • Kompatible Workloads zeigen diese Vertraulichkeitsbezeichnungen an, und gruppen werden damit erstellt. Kompatible Workloads sind die Dienste, die Vertraulichkeitsbezeichnungen unterstützen.
      • Nicht kompatible Workloads funktionieren beim Erstellen von Gruppen und zeigen klassische Microsoft Entra ID Bezeichnungen an. Diese klassischen Microsoft Entra ID Bezeichnungen sind an diese Gruppen angefügt, die mit nicht kompatiblen Workloads erstellt wurden.
  5. Es wird dringend empfohlen, dass Administratoren PowerShell-Cmdlets ausführen, um Vertraulichkeitsbezeichnungen auf diese Gruppen mit klassischen Microsoft Entra ID-Bezeichnungen anzuwenden.

Tabelle 2. Verhalten von kompatiblen und nicht kompatiblen Workloads: Erstellen, Bearbeiten oder Löschen von Gruppen

Arbeitslast Welche Bezeichnungsliste wird dem Benutzer im Gruppenfenster angezeigt? Erstellen einer neuen Gruppe Gruppe bearbeiten Gruppe löschen
Kompatibel Vertraulichkeitsbezeichnungen. Keine Änderungen im Verhalten. Keine Änderungen im Verhalten. Keine Änderungen im Verhalten.
Nicht kompatibel Alte klassische Microsoft Entra ID Bezeichnungen. Der Benutzer kann eine Gruppe mit ausgewählter klassischen Microsoft Entra ID erstellen.

Beachten Sie, dass der Administrator Cmdlets ausführen kann, um Vertraulichkeitsbezeichnungen im Hintergrund anzuwenden.
Fall 1: Zuvor keine Vertraulichkeitsbezeichnung ausgewählt. Der Benutzer kann eine Gruppe bearbeiten.

Fall 2: Klassische Microsoft Entra ID zuvor ausgewählte Bezeichnungen. Der Benutzer kann eine Gruppe bearbeiten.

Fall 3: Vertraulichkeitsbezeichnung, die zuvor mithilfe des Cmdlets im Hintergrund angewendet wurde. Der Benutzer sollte in der Lage sein, eine Gruppe zu bearbeiten, mit Ausnahme eines Falles, in dem der Benutzer eine ungültige Kombination von Datenschutzeinstellungen in Bezug auf die Bezeichnung auswählt.
Der Benutzer kann eine Gruppe löschen.

Hinweis

Im Fall des Outlook-Desktopclients (Win 32) aktiviert der Administrator Vertraulichkeitsbezeichnungen auf dem Mandanten, und der Benutzer befindet sich auf einer älteren Version des Outlook-Desktopclients (Win 32):

  • Der Benutzer sieht Vertraulichkeitsbezeichnungen in der älteren Version des Outlook-Desktopclients.
  • Wenn der Benutzer jedoch eine Gruppe bearbeitet und die Gruppe mit einer Vertraulichkeitsbezeichnung speichert, wird die ausgewählte Datenschutzeinstellung durch die Datenschutzeinstellung der angewendeten Vertraulichkeitsbezeichnung überschrieben.

Es wird empfohlen, dass Ihre Benutzer auf einer alten Version des Outlook-Clients ein Upgrade auf die neuere Version durchführen.

Fall B: Der Mandant hat Vertraulichkeitsbezeichnungen für Dokumente und E-Mails verwendet

  1. Sobald der Administrator die Vertraulichkeitsbezeichnungsfunktion auf dem Mandanten aktiviert, indem er das Mandantenflag "EnableMIPLabels" auf true festlegt, werden die Vertraulichkeitsbezeichnungen für Dokument und E-Mail in den Dialogfeldern zum Erstellen und Bearbeiten von Gruppen/Websites/Teams angezeigt.
  2. Ein Administrator kann die gleichen Vertraulichkeitsbezeichnungen für Dokumente und E-Mails verwenden, um den Datenschutz und den Zugriff externer Benutzer auf die Gruppe/Website/das Team zu erzwingen, indem er die entsprechenden Gruppeneinstellungen angibt:
    1. Wählen Sie im Microsoft Purview-Complianceportal die Registerkarte Websites und Gruppen aus.
    2. Bearbeiten sie ein Dokument oder eine E-Mail-Vertraulichkeitsbezeichnung.

Beispielskript

Ein Beispielskript zum Migrieren von Gruppen mit klassischen Microsoft Entra ID-Bezeichnungen zu Vertraulichkeitsbezeichnungen finden Sie unter Klassische Microsoft Entra-Gruppenklassifizierung.