Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen zur Verwendung der Konfiguration von Microsoft Purview-Gruppen und -Websites, um Vertraulichkeitsbezeichnungen für SharePoint-Websites und Microsoft Teams zu aktivieren. Ihr Zweck ist es, australische Regierungsbehörden dabei zu unterstützen, ihre Fähigkeit zum Schutz von sicherheitsrelevanten Informationen in diesen Diensten zu verbessern und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Gruppen- und Websiteeinstellungen können beim Konfigurieren des Bezeichnungsbereichs für eine Vertraulichkeitsbezeichnung aktiviert werden. Diese Einstellungen ermöglichen es, Vertraulichkeitsbezeichnungen auf Speicherorte wie SharePoint-Websites Teams und Microsoft 365-Gruppen anzuwenden.
Die Konfiguration von Gruppen und Standorten ermöglicht es uns, die folgenden Steuerelemente für Standorte mit angewendeter Bezeichnung konsistent anzuwenden:
- Visuelle Markierungen für Speicherorte
- Datenschutzeinstellungen für Standort
- Berechtigungen für die Gastmitgliedschaft an Speicherorten
- Optionen für die Standortfreigabe
- Standortanforderungen für bedingten Zugriff (basierend auf der Geräteverwaltung oder einer vollständigen Richtlinie für bedingten Zugriff)
- Out-of-Place-Warnungen für Standortdaten, die ausgelöst werden, wenn Elemente mit höherer Vertraulichkeitsbezeichnung an Speicherorte mit niedrigerer Vertraulichkeit verschoben werden
Durch das Aktivieren der Konfiguration von Gruppen- und Websitebezeichnungen werden die konfigurierten Bezeichnungsrichtlinienoptionen für alle neu erstellten SharePoint-Websites oder Teams ins Spiel gebracht. Wenn sich ein Benutzer innerhalb des Bereichs einer Bezeichnungsrichtlinie befindet, die eine obligatorische Bezeichnung für diese Elemente erfordert, muss der Benutzer jedes Mal, wenn der Benutzer eine neue SharePoint-Website oder Microsoft 365-Gruppe erstellt, eine Vertraulichkeitsbezeichnung auswählen.
Diese Einstellungen entsprechen der PsPF-Richtlinie (Protective Security Policy Framework) 8 Core Anforderung C, da die Richtlinie proportional zur Vertraulichkeit eines Standorts konfiguriert ist.
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 08. Klassifizierungssystem – Anforderung 71 | Die Entität implementiert operative Kontrollen für diese Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind. |
Diese Einstellungen entsprechen auch der PSPF 2024-Anforderung 59 und erweitern die Anforderung, dass Benutzer Dateien und E-Mails an Speicherorte wie SharePoint-Websites und Teams identifizieren müssen.
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 08. Klassifizierungssystem – Anforderung 59 | Der Wert, die Wichtigkeit oder die Vertraulichkeit von amtlichen Informationen (die für die Verwendung als amtliches Protokoll bestimmt sind) wird vom Urheber bewertet, indem der potenzielle Schaden für die Regierung, die nationalen Interessen, Organisationen oder Einzelpersonen berücksichtigt wird, die entstehen würden, wenn die Vertraulichkeit der Informationen kompromittiert würde. |
Diese Einstellungen entsprechen auch der Unterstützenden Anforderung 4, da die Funktion die Kennzeichnungsanforderungen von Dateien und E-Mails auf SharePoint-Websites, Teams und Microsoft 365-Gruppen erweitert.
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 08. Klassifizierungssystem – Anforderung 61 | Sicherheitsreklassifizierungsinformationen werden eindeutig mit der geltenden Sicherheitsklassifizierung und gegebenenfalls mit Sicherheitshinweisen gekennzeichnet, indem textbasierte Kennzeichnungen verwendet werden, sofern dies aus betrieblichen Gründen nicht praktikabel ist. |
Hinweis
Verwenden Sie die Option Standardbeschriftung für SharePoint , um automatisch eine ausgewählte Bezeichnung auf ein element anzuwenden, das an einem Speicherort erstellt wurde.
SharePoint-Speicherort und Elementempfindlichkeit
Wenn eine Vertraulichkeitsbezeichnung auf einen SharePoint-Speicherort angewendet wird, geben visuelle Markierungen, die oben auf der Website bereitgestellt werden, einen Hinweis auf die Vertraulichkeit des Standorts für Benutzer. Diese Informationen sind nützlich, um zu bestimmen, ob die informationen, die sich auf dem Standort befinden, für die Verteilung geeignet sind.
Bezeichnungen, die auf SharePoint-Websites angewendet werden, können von Websitebesitzern oder SharePoint-Administratoren geändert werden.
Tipp
Ansichten in SharePoint-Dokumentbibliotheken können geändert werden, um die Vertraulichkeitsbezeichnung anzuzeigen, die auf Elemente angewendet wird. Dieses Feature ist nützlich, um Elemente an einem Speicherort zu identifizieren, der möglicherweise fehl am Platz ist.
Dateisymbole im SharePoint-Verzeichnis können so angepasst werden, dass Symbolmarkierungen für bezeichnete Elemente angezeigt werden, für die Freigabeeinschränkungen gelten, oder Elemente, für die ein Richtlinientipp konfiguriert ist. Diese beiden Konfigurationen sind an den Sicherheitsklassifizierungen OFFICIAL: Sensitive und PROTECTED ausgerichtet, um benutzern, die in Dokumentbibliotheken arbeiten, einen anderen Kennzeichnungsansatz zu bieten. Zum Beispiel:
Weitere Informationen zum Einschränken der Freigabeoptionen finden Sie unter Verhindern der Freigabe von sicherheitsrelevanten Informationen.
Teams-Standort und Empfindlichkeit von Elementen
Wie SharePoint unterliegen neue Teams, die von Benutzern innerhalb des Bereichs von Bezeichnungsrichtlinien erstellt wurden, den Anforderungen dieser Richtlinie, sodass sie möglicherweise eine Bezeichnung auswählen müssen.
Auf Teams angewendete Bezeichnungen werden von Teambesitzern, Teams-Administratoren oder Microsoft Entra-ID-Administratoren über die dem Team zugrunde liegende Microsoft 365-Gruppe geändert.
Wie bei SharePoint können Teams-Dateiansichten so geändert werden, dass Benutzer einen klaren Hinweis auf die Vertraulichkeit von Elementen erhalten.
Microsoft 365-Gruppenempfindlichkeit
Die Konfiguration von Gruppen und Standorten erzwingt die Richtlinienbezeichnungen, die auf Microsoft 365-Gruppen angewendet werden. Microsoft 365-Gruppen werden als Mitgliedschaftsdienst für Teams und für SharePoint-Teamwebsites verwendet. Dieses Feature kann auch in Microsoft 365-Umgebungen verwendet werden. Sie wird beispielsweise als Mitgliedschaftsdienst hinter Gruppenpostfächern verwendet. Dies ist eine Weiterentwicklung von herkömmlichen Exchange-Verteilungs-Listen, die die Selbstverwaltung von Benutzern und die Möglichkeit ermöglicht, Gruppennachrichten zu abonnieren oder zu kündigen, die direkt an Ihr Postfach übermittelt werden.
Die Anwendung von Bezeichnungen für Gruppierungspostfächer kann einen klaren Hinweis auf die Vertraulichkeit von Inhalten geben, die vorhanden sein sollten oder für Gruppenmitglieder sicher freigegeben werden können. Andere Steuerelemente können auch so konfiguriert werden, dass die Verteilung von Inhalten mit höheren Empfindlichkeiten eingeschränkt wird.
Bezeichnungen, die die Konfiguration von Gruppen und Standorten erfordern
Die Konfiguration von Gruppen und Standorten ist möglicherweise nicht für alle Bezeichnungen anwendbar und erfordert eine Anpassung. Beispielsweise sind Informationsverwaltungsmarkierungen (IMMs) für einzelne Elemente relevanter als Standorte. Eine Analogie besteht darin, dass eine Bezeichnung, die auf einen Speicherort angewendet wird, einer Containerklasse ähnelt, die auf einen abschließbaren Schrank oder safe angewendet wird. Der Container enthält eine Reihe von Steuerelementen zum Schutz von enthaltenen Informationen, aber möglicherweise benötigen wir nicht unbedingt einen Container für jede Bezeichnung. Elemente, die mit den verschiedenen Kombinationen einer Bezeichnung (z. B. OFFICIAL Sensitive und allen zugehörigen IMMs und anderen Untergeordneten Bezeichnungen) gekennzeichnet sind, können sich möglicherweise im selben Container mit der gleichen Schutzebene befinden. Für einzelne Elemente innerhalb des Containers kann jede Variation von Bezeichnungen bis einschließlich der Bezeichnung des Containers angewendet werden.
Wenn Sie die Konfiguration von Gruppen und Standorten auf diese Weise behandeln, müssen Sie möglicherweise nur eine Bezeichnung pro Kategorie für Gruppen und Standorte verwenden. Dies kann die Bezeichnung ohne angewendete IMMs sein. Wenn Gruppen- und Websiteeinstellungen nur für bestimmte Bezeichnungen aktiviert sind, sind nur diese Bezeichnungen für die Anwendung an diesen Speicherorten verfügbar. Die folgende Tabelle enthält ein Beispiel im Kontext der australischen Regierung.
| Vertraulichkeitsbezeichnung | Konfiguration von Gruppen und Standorten | Verfügbar für die Anwendung in SharePoint und Teams |
|---|---|---|
| INOFFIZIELL | Ein | Auswählbar |
| AMTLICH | Ein | Auswählbar |
| OFFICIAL Vertraulich | Aus | |
| - OFFICIAL Sensitive | Ein | Auswählbar |
| - OFFICIAL Sensible Persönliche Privatsphäre | Aus | |
| - OFFICIAL Sensitive Legal Privilege | Aus | |
| - OFFICIAL Sensitive Legislative Secrecy | Aus | |
| - OFFIZIELLES SENSIBLES NATIONALES KABINETT | Aus |
In dieser Konfiguration wird erwartet, dass ein Standort, der als OFFICIAL Vertraulich gekennzeichnet ist, OFFICIAL: Vertrauliche Informationen enthält, einschließlich Informationen zu IMMs der persönlichen Privatsphäre, der gesetzlichen Rechte und des Gesetzesgeheimnisses.
Es gibt Situationen, in denen eine alternative Konfiguration erforderlich ist und eine entsprechende Geschäftsanalyse durchgeführt werden muss, um dies zu ermitteln. Beispielsweise können Regierungsorganisationen, die eine Anforderung haben, dass verschiedene Steuerelemente auf PROTECTED Legal Privilege-Standorte angewendet werden müssen, die Konfiguration von Gruppen und Websites für diese Bezeichnung aktiviert werden. Es kann auch erforderlich sein, Bezeichnungsänderungsbegründungen für Änderungen an diesen Elementen aufzuzeichnen. In solchen Situationen muss die Bezeichnung PROTECTED Legal Privilege eine vollständige Bezeichnung und nicht eine Unterbezeichnung sein. Es müsste auch über der anderen Kategorie PROTECTED positioniert werden, damit änderungen der Bezeichnung von PROTECTED Legal Privilege in PROTECTED als eine Verringerung der Vertraulichkeit identifiziert werden können. Die folgende Tabelle enthält ein Beispiel dafür im Kontext der australischen Regierung.
| Vertraulichkeitsbezeichnung | Konfiguration von Gruppen und Standorten | Verfügbar für die Anwendung in SharePoint und Teams |
|---|---|---|
| GESCHÜTZT | Aus | |
| -GESCHÜTZT | Ein | Auswählbar |
| - GESCHÜTZTer Datenschutz | Aus | |
| - GESCHÜTZTEs Gesetzesgeheimnis | Aus | |
| - GESCHÜTZTER SCHRANK | Aus | |
| PROTECTED Legal Privilege | Ein | Auswählbar |
Aktivieren der Integration von Gruppen und Websites
Um Gruppen- und Websiteeinstellungen auf Bezeichnungen anzuwenden, muss die Option für die organization aktiviert sein. Dieser Prozess umfasst die Verwendung von Security & Compliance PowerShell. Weitere Informationen zu diesem Prozess finden Sie unter Zuweisen von Vertraulichkeitsbezeichnungen zu Gruppen – Microsoft Entra | Microsoft Learn.
Nachdem Gruppen- und Standorteinstellungen erfolgreich über PowerShell aktiviert wurden, ist die Option zum Auswählen dieser Konfiguration in der Bezeichnungskonfiguration verfügbar.
Datenschutzeinstellungen für Bezeichnungen
Die erste Option, die über die Konfiguration von Gruppen und Websites verfügbar ist, ist der Datenschutz. Mit dieser Einstellung können Organisationen Datenschutzeinstellungen für alle Microsoft 365-Gruppen (einschließlich Gruppenpostfächer), Teams und SharePoint-Websites erzwingen. Der Datenschutz kann auf öffentlich, privat oder nicht festgelegt werden.
Datenschutzeinstellungen sind für die PSPF 2024-Anforderung 75 relevant, die sich auf das "Need-to-Know"- Prinzip bezieht:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 12. Informationsaustausch – Anforderung 75 | Der Zugang zu sicherheitsrelevanten Informationen oder Ressourcen wird nur Personen außerhalb der Organisation mit der entsprechenden Sicherheitsfreigabe (falls erforderlich) und einer erforderlichen Kenntnis gewährt und gemäß den Mindestanforderungen für Schutz und Handhabung übertragen. |
Die Datenschutzeinstellung "Öffentlich" ermöglicht es allen Personen im organization, der Gruppe beizutreten und/oder auf die Gruppeninhalte zuzugreifen. Diese Einstellung kann für die Bezeichnung UNOFFICIAL geeignet sein.
Wenn Sie den Datenschutz einer Bezeichnung auf "None" festlegen, können Gruppenbesitzer flexibel über eine geeignete Datenschutzeinstellung entscheiden.
Bei OFFIZIELLEn Inhalten gibt PSPF an, dass das "Need-to-Know"-Prinzip zwar empfohlen, aber nicht vorgeschrieben ist. Die Bezeichnung OFFICIAL wird wahrscheinlich auf zahlreiche Artikel angewendet, die für den Vertrieb bestimmt sind. Daher gibt den Besitzern von OFFICIAL-Gruppen die Flexibilität, über den Datenschutz zu entscheiden.
Für sicherheitsrelevante Informationen, einschließlich OFFICIAL: Sensitive und PROTECTED, gilt das Prinzip der Notwendigkeit, zu wissen. Die Datenschutzoptionen sollten auf Privat festgelegt werden. Dies trägt dazu bei, dass alle enthaltenen Informationen für diejenigen, die nicht wissen müssen, nicht zugänglich sind, und gruppenbesitzer für alle Mitgliedschaftsergänzungen verantwortlich sind.
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 12. Informationsaustausch – Anforderung 75 | Der Zugang zu sicherheitsrelevanten Informationen oder Ressourcen wird nur Personen außerhalb der Organisation mit der entsprechenden Sicherheitsfreigabe (falls erforderlich) und einer erforderlichen Kenntnis gewährt und gemäß den Mindestanforderungen für Schutz und Handhabung übertragen. |
Gastzugriffskonfiguration
Die verfügbaren Optionen zum Steuern des Gastzugriffs über vertraulichkeitsbezeichnungen sind einfache Konfigurationen, aber der gewünschte Ansatz variiert je nach Konfiguration der organization und ihren umfassenderen Anforderungen an die externe Zusammenarbeit. Aus diesem Grund gibt es spezifische Anleitungen für Organisationen mit Anforderungen an eine hohe externe Zusammenarbeitssteuerung im Vergleich zu Organisationen mit geringen Kontrollanforderungen.
Hohe Externe Zusammenarbeitssteuerung
Organisationen mit hoher Kontrolle über die externe Zusammenarbeit benötigen eine strenge Konfiguration, die den Externenzugriff auf ihre Microsoft 365-Umgebung streng regelt. Solche Organisationen haben Folgendes konfiguriert:
- Einschränkungen zum Einschränken des Gastzugriffs auf Verzeichnisobjekte.
- Einschränkungen, die die Möglichkeit des Benutzers einschränken, Gäste einzuladen, mit Ausnahme von Personen, denen Berechtigungen zum Einladen von Gästen erteilt wurden.
- Einschränkungen zum Beschränken von Gasteinladungen auf vorab genehmigte Domänen.
- Richtlinien für bedingten Zugriff, die die Verwendung der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) und die Vereinbarung zu Nutzungsbedingungen für den Gastzugriff erfordern.
- Genehmigungsworkflows für Gäste, die möglicherweise eine Überprüfung der Sicherheitsfreigaben für Gäste und die Bestätigung der "Notwendigkeit zur Kenntnis" umfassen.
- Laufende Gastverwaltungsprozesse, die Zugriffsüberprüfungen verwenden, um Gastkonten zu überwachen und Gäste aus der Umgebung zu entfernen, wenn kein Zugriff mehr erforderlich ist.
Organisationen verfügen auch über Vereinbarungen mit externen Organisationen, in denen die verwaltungstechnischen Verpflichtungen auf jeder Seite der Partnerschaft beschrieben werden.
Die folgenden Anforderungen sind für eine hohe externe Zusammenarbeitssteuerung relevant:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 08. Klassifizierungssystem – Anforderung 71 | Die Entität implementiert operative Kontrollen für diese Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind. |
| PSPF 2024 – 12. Informationsaustausch – Anforderung 77 | Eine Vereinbarung oder Vereinbarung, z. B. ein Vertrag oder eine Urkunde, die Anforderungen und Schutzmaßnahmen für die Handhabung festlegt, ist vorhanden, bevor sicherheitsrelevante Informationen oder Ressourcen offengelegt oder mit einer Person oder organization außerhalb der Regierung geteilt werden. |
| PSPF 2024 – 17. Zugriff auf Ressourcen – Anforderung 132 | Mitarbeiter, die fortlaufenden Zugriff auf sicherheitsrelevante Informationen oder Ressourcen benötigen, werden auf die entsprechende Sicherheitsstufe geordnet. |
Organisationen, die die vorherige Liste von Steuerelementen implementiert haben, treffen wahrscheinlicher die Entscheidung, gast- und externe Zusammenarbeit für alle Bezeichnungen bis einschließlich PROTECTED zu ermöglichen.
Geringe Externe Zusammenarbeitssteuerung
Organisationen mit geringer Externer Zusammenarbeitssteuerung verfügen über viel offenere Konfigurationen. Diese Organisationen lassen sehr viel wahrscheinlicher externe Benutzer in ihre Umgebung ein. Ohne Kontrollen wie solche, die Gastkonten nur auf genehmigte Domänen beschränken, ist es schwieriger, Anforderungen wie die PSPF-Anforderung 77 zu erfüllen, da Benutzer aus Organisationen ohne formalisierte Vereinbarungen zur Informationsaustausch als Gäste eingeladen werden können.
Für solche Organisationen ist das Aktivieren des Gastzugriffs auf GESCHÜTZTE Inhalte nicht geeignet, da betriebsbezogene Kontrollen und Prozesse, die sicherstellen, dass keine geeigneten Sicherheitsfreigaben aktiviert sind.
Beschriften der Zugriffseinstellungen für externe Benutzer
Die Einstellung für den externen Benutzerzugriff steuert, ob Gäste mit angewendeter Bezeichnung zu Microsoft 365-Gruppen (einschließlich Teams) hinzugefügt werden können.
Organisationen mit hoher Externer Zusammenarbeitssteuerung können diese Einstellung für alle Bezeichnungen aktivieren, um die Zusammenarbeit von Gästen auf allen Seiten zu ermöglichen. Schließen Sie beispielsweise diese Option für die Bezeichnung PROTECTED ein, damit Gäste zu GESCHÜTZTen Gruppen hinzugefügt werden können.
Personen mit geringerer Kontrolle möchten diese Option möglicherweise nur für INOFFIZIELLE und OFFIZIELLE Websites, Teams und Gruppen aktivieren.
Organisationen, die in ihrem Mandanten keine Gastzusammenarbeit verwenden, sollten diese Einstellung deaktivieren und zusätzlich die Einstellungen für den Gastzugriff in Microsoft Entra deaktivieren.
Wichtig
In Microsoft Entra konfigurierte Gastmandanteneinstellungen haben immer Vorrang vor jeder bezeichnungsbasierten Konfiguration. Wenn der Gastzugriff in Microsoft Entra deaktiviert ist, können Gastgruppen unabhängig von den Bezeichnungseinstellungen nicht hinzugefügt werden. Wenn der Gastzugriff jedoch in Microsoft Entra dann steuern Die Einstellungen für den externen Benutzerzugriff, ob Gäste zu Gruppen hinzugefügt werden können.
Die Einstellungen für den externen Zugriff, die in Beispielgruppen- und Standorteinstellungen bereitgestellt werden, zeigen Betriebskontrollen, die proportional zur Vertraulichkeit eines Standorts sind (gemäß PSPF 2024-Anforderung 71).
Konfiguration der Bezeichnungsfreigabe
Bezeichnungsgruppen- und Standorteinstellungen ermöglichen konsistente Konfigurationsfreigabeeinstellungen basierend auf der Bezeichnung, die auf einen Standort angewendet wird.
Die Standardeinstellung des organization (die niedrigste zulässige Einstellung) wird aus der konfigurierten SharePoint-Freigabeeinstellung abgerufen. Der Administrator kann dann restriktivere Einstellungen einzeln vor Ort oder basierend auf der angewendeten Vertraulichkeitsbezeichnung konfigurieren.
Der Vorteil der Konfiguration basierend auf Vertraulichkeitsbezeichnungen ist, dass vertrauliche Speicherorte vor unangemessener Freigabe über die bezeichnungsbasierte Konfiguration geschützt sind, anstatt den Standard- und Mindestwert des organization zu erben.
Für bezeichnungsbasierte Freigabesteuerelemente stehen die folgenden Optionen zur Verfügung:
- Jeder ermöglicht die Freigabe von Elementen vom bezeichneten Speicherort und den Zugriff von Benutzern, die die Links ohne Authentifizierung oder Autorisierung erhalten. Sicherstellen, dass "Need-to-Know" für diesen Linktyp nicht aktiviert ist.
- Neue und vorhandene Gäste erfordern, dass sich Gäste vor dem Zugriff auf Links authentifizieren und zum Zeitpunkt des Zugriffs auch zum Erstellen von Gastkonten verwendet werden können. Diese Option wird für Organisationen, die eine hohe Externe Zusammenarbeitssteuerung wünschen, nicht empfohlen.
- Vorhandene Gäste ermöglichen die Freigabe von Elementen von bezeichneten Speicherorten mit Gastkonten, die bereits im Verzeichnis eines organization vorhanden sind. Diese Option eignet sich gut für viele Situationen, da sie Authentifizierung und Autorisierung bereitstellt. Diese Option wird für Organisationen empfohlen, die eine hohe externe Zusammenarbeitssteuerung wünschen.
- Nur Personen in Ihrer organization die Freigabe auf interne Benutzer beschränkt.
Eine typische Bereitstellung würde mit der Option "Neue und vorhandene Gäste" beginnen, die für Standorte mit niedriger Vertraulichkeit ausgewählt wurde und zu "nur Personen in Ihrem organization" für hohe Empfindlichkeit, z. B. GESCHÜTZTE Standorte, fortgesetzt wird. Organisationen mit hoher Externer Zusammenarbeitssteuerung nutzen die Option "Vorhandene Gäste" für alle Bezeichnungen.
Wie bei den Einstellungen für den externen Zugriff sind die in Beispielgruppen und Standorteinstellungen bereitgestellten Beispielkonfigurationen so konzipiert, dass betriebsbezogene Kontrollen proportional zur Vertraulichkeit des Standorts veranschaulicht werden, die an pspf 2024-Anforderung 71 ausgerichtet sind.
Wenn ein organization die Freigabe von bezeichneten Speicherorten weiter einschränken möchte, können erweiterte Funktionen über PowerShell aktiviert werden, die die Freigabe durch Teambesitzer zulassen, aber für Teammitglieder einschränken. Diese Konfiguration kann auf PROTECTED-Bezeichnungen angewendet werden, wobei die Besitzer dieser Teams für die Verbreitung der am Standort enthaltenen Informationen verantwortlich sind. Auf diese Weise können Besitzer sicherstellen, dass Empfänger von Freigabelinks wissen müssen, und sicherstellen, dass sie an PSPF 2024-Anforderung 132 ausgerichtet sind:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 17. Zugriff auf Ressourcen – Anforderung 132 | Der Zugriff auf sicherheitsrelevante Informationen oder Ressourcen wird nur mitarbeitern gewährt, die diese Informationen wissen müssen. |
Diese Option kann mit dem folgenden PowerShell-Befehl konfiguriert werden:
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
Weitere Informationen zur Option MembersCanShare finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen mit Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites.
Bedingter Zugriff
Richtlinien für bedingten Zugriff in Microsoft Entra-ID bieten Steuerungen zum Steuern des Zugriffs auf Dienste, die Microsoft Entra Authentifizierung und Zugriffssteuerung verwenden. Richtlinien für bedingten Zugriff werten bestimmte Bedingungen aus, um zu bestimmen, ob der Zugriff auf bestimmte Dienste wie SharePoint, Teams oder Microsoft 365 im Allgemeinen zulässig ist oder nicht. Die Standardfunktion von Richtlinien für bedingten Zugriff ermöglicht keine präzise Steuerung des Zugriffs auf die jeweilige Gruppen- oder Websiteebene.
Die Konfiguration des bedingten Zugriffs auf Vertraulichkeitsbezeichnungen ermöglicht die Ausrichtung zwischen der Bezeichnung, die auf einen Standort (Website oder Team) angewendet wird, und den Benutzerzugriffsanforderungen. Diese Optionen bieten eine präzisere Kontrolle, als dies mit standardmäßigen Richtlinien für bedingten Zugriff möglich wäre.
Zusätzlich zu den Anmeldeanforderungen für den bedingten Zugriff gelten für Vertraulichkeitsbezeichnungen spezifische Anforderungen für den bedingten Zugriff. Wenn beispielsweise eine Richtlinie für bedingten Zugriff Folgendes erfordert:
- Benutzer authentifizieren sich.
- Benutzer überprüfen ihre Identität über die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA).
- Benutzer müssen sich auf einem verwalteten Gerät befinden.
Wenn alle diese Bedingungen erfüllt sind, bietet eine bezeichnungsbasierte Richtlinie, die auch ein verwaltetes Gerät erfordert, wenig Wert, da diese Anforderung durch die richtlinie für bedingten Zugriff erfüllt wird, die bei der Anmeldung ausgelöst wird.
Benutzern kann es jedoch gestattet sein, sich über nicht verwaltete Geräte zu authentifizieren und auf einige Standorte (z. B. UNOFFICIAL oder OFFICIAL) zuzugreifen. Wenn sie dann versuchen, auf einen Speicherort mit höherer Vertraulichkeit zuzugreifen (z. B. OFFICIAL: Vertraulich), der so konfiguriert ist, dass verwaltete Geräte erforderlich sind, wird der Zugriff blockiert. Diese Funktionen können verwendet werden, um Remotearbeit zu ermöglichen, indem sie eine Zugriffsebene über persönliche mobile Geräte oder Heimcomputer ermöglichen, ohne die organization zu öffnen, um das Risiko zu riskieren, dass solche Geräte für den Zugriff auf hochsensible Standorte verwendet werden.
Wie bei vielen konfigurationsoptionen für Gruppen und Standorte können diese Steuerelemente an die PSPF 2024-Anforderung 77 gebunden werden, da sie die Anwendung von Zugriffseinschränkungen basierend auf der Vertraulichkeit eines Standorts ermöglichen:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 08. Klassifizierungssystem – Anforderung 71 | Die Entität implementiert operative Kontrollen für diese Informationsbestände, die proportional zu ihrem Wert, ihrer Wichtigkeit und ihrer Vertraulichkeit sind. |
Da es sich bei diesem Kontrollsatz um die Einschränkung des Zugriffs auf Informationen und die Sicherstellung der Notwendigkeit der Kenntnis handelt, gilt auch PSPF-Richtlinie 9 Anforderung 2:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 17. Zugriff auf Ressourcen – Anforderung 132 | Der Zugriff auf sicherheitsgeschützte Informationen oder Ressourcen wird nur mitarbeitern gewährt, die diese Informationen kennen müssen. |
Es gibt zwei Konfigurationskategorien für bedingten Zugriff, die über Gruppen- und Standorteinstellungen verfügbar sind:
- Einschränkungen für nicht verwaltete Geräte
- Authentifizierungskontext
Einschränkungen für nicht verwaltete Geräte
Nicht verwaltete Geräte sind Geräte, die nicht bei der Intune-Geräteverwaltungsplattform registriert sind oder nicht mit Microsoft Entra ID verknüpft sind. Die Identifizierung nicht verwalteter Geräte trägt dazu bei, sicherzustellen, dass Geräte, die eine Verbindung mit der Umgebung herstellen, bekannt sind, dass Benutzer sich mit einem Organisationskonto authentifiziert haben und dass grundlegende Geräteanforderungen vorhanden sind. Geräte, die diese Anforderungen nicht erfüllen, können als ein höheres Risiko angesehen werden als solche, die dies tun.
Weitere Informationen zu Microsoft Entra mit der ID verknüpften Geräten finden Sie unter Was ist ein Microsoft Entra verbundenes Gerät?
Durch das Konfigurieren von Optionen für nicht verwaltete Geräte für Vertraulichkeitsbezeichnungen können bezeichnete SharePoint-Websites oder Teams mit Richtlinien für bedingten Zugriff verknüpft werden, die auf nicht verwaltete Geräte ausgerichtet sind, und das Erzwingen von "app-erzwungenen Einschränkungen".
Es stehen drei Konfigurationsoptionen zur Verfügung:
- Vollzugriff über Desktop-Apps, mobile Apps und das Web zulassen: Mit dieser Option können nicht verwaltete Geräte ohne Einschränkungen auf bezeichnete Standorte zugreifen. Auf diese Weise können Benutzer Dateien von diesen Speicherorten auf ihr nicht verwaltetes Gerät herunterladen, was zu Datenverlusten führen kann, ohne dass andere Kontrollen vorhanden sind. Aus diesem Grund können sich einige Organisationen dafür entscheiden, dies nur für Standorte mit niedrigerer Vertraulichkeit zu aktivieren.
- Eingeschränkten, reinen Webzugriff zulassen: Mit dieser Option können nicht verwaltete Geräte nur über einen Webbrowser auf bezeichnete Speicherorte zugreifen. Diese reinen Websitzungen können auch die Möglichkeit zum Herunterladen oder Drucken von Dateien aufheben, um sicherzustellen, dass sie benötigt werden müssen, indem sie vor vertraulichen Informationen geschützt werden, die an Orten heruntergeladen und gespeichert werden, an denen ein Angreifer leicht darauf zugreifen oder versehentlich angezeigt wird.
- Zugriff blockieren: Diese Option kann verwendet werden, um den Zugriff auf nicht verwaltete Geräte auf Standorte mit angewendeter Bezeichnung zu blockieren.
Authentifizierungskontext
Es gibt einige Szenarien, in denen Organisationen möglicherweise präzisere Kontrollen auf bezeichnete Standorte anwenden müssen als solche, die ausschließlich auf der Geräteverwaltung status basieren. Der Authentifizierungskontext ermöglicht die Ausrichtung einer voll funktionsfähigen Richtlinie für bedingten Zugriff mit bezeichneten Speicherorten.
Ein Authentifizierungskontext ist im Wesentlichen ein Objekt, das verwendet wird, um eine Richtlinie für bedingten Zugriff mit einer Vertraulichkeitsbezeichnung zu verknüpfen. Versuche, auf eine bezeichnete Website zuzugreifen, lösen die verknüpfte Richtlinie für bedingten Zugriff aus und wenden ihre Anforderungen an.
Vorteile des Authentifizierungskontexts sind:
- Es ermöglicht die konsistente Anwendung von Richtlinien für den vollständigen bedingten Zugriff basierend auf der Vertraulichkeit von Standorten.
- Die präzise Steuerung einer Richtlinie für den vollständigen bedingten Zugriff ermöglicht es uns, mehr Nischenszenarien wie benutzer- oder gruppenbasierte Ausschlüsse, Standort- oder IP-basierte Einschränkungen zu berücksichtigen.
Der Authentifizierungskontext und die zugehörigen Richtlinien für bedingten Zugriff müssen innerhalb Microsoft Entra ID erstellt werden, bevor sie mit einer Bezeichnung verknüpft werden können.
Ausrichtung mit minimalem Handhabungsschutz
PSPF 2024, Abschnitt 9.3, Mindestanforderungen an die Handhabung, enthält eine Liste von Kontrollen, die für die Verwendung und Speicherung von Informationen außerhalb von Staatlichen Einrichtungen vorhanden sein sollten. Dieser Abschnitt enthält Definitionen von autorisierten Nicht-Government-Geräten:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – Abschnitt 9.3.3 Schutz- und Handhabungsanforderungen für Nicht-Government-Geräte | Alle anderen mobilen Geräte– Geräte, die nicht im Besitz der Entität sind, ausgestellt oder autorisiert sind. Diese Geräte dürfen nicht für den Zugriff auf, die Verarbeitung, die Speicherung oder die Kommunikation von Behördlichen OFFIZIELLEN oder höherer Informationen autorisiert sein und dürfen nicht in die Zonen 4-5 gelangen oder wo SECRET- oder TOP SECRET-Informationen oder Geräte vorhanden sind. |
Weitere Informationen finden Sie unter Protection Security Policy Framework (PSPF).For more information, see Protective Security Policy Framework (PSPF).
Im Folgenden finden Sie ein Beispiel dafür, wie bezeichnungsbasierte Richtlinien für bedingten Zugriff konfiguriert werden können, um den Zugriff auf einen OFFICIAL: Vertraulichen Speicherort zu verhindern. Im folgenden Beispiel wird auch der Schutz für GESCHÜTZTE Standorte erweitert, sodass ein verwaltetes (von der Regierung ausgestelltes oder verwaltetes Nicht-Regierungsgerät), eine Gruppenmitgliedschaft und ein genehmigter physischer Standort erforderlich sind, damit Zugriff auf Standorte mit angewendeter Bezeichnung gewährt werden kann:
| Label | Einstellungen für bedingten Zugriff |
|---|---|
| INOFFIZIELL | Vollzugriff zulassen. |
| AMTLICH | Vollzugriff zulassen. |
| OFFICIAL: Vertraulich | Blockieren sie den Zugriff auf alle nicht verwalteten Geräte. |
| GESCHÜTZT | Link zu einem Authentifizierungskontext, der: – Erfordert ein verwaltetes Gerät, – Erfordert die Mitgliedschaft in einer Gruppe autorisierter Benutzer und – Erfordert Zugriff von einem vertrauenswürdigen Speicherort. |
Out-of-Place-Warnungen für Daten
Die Anwendung einer Bezeichnung auf einen Standort über die Konfiguration von Gruppen und Standorten ermöglicht out-of-place-Warnungen für Daten.
Wenn ein Administrator eine Bezeichnung auf einen Speicherort anwendet, stellt er fest, dass der Speicherort für die Speicherung von Elementen bis einschließlich der angewendeten Bezeichnung geeignet ist. Wenn ein Speicherort als OFFICIAL: Vertraulich konfiguriert ist, kann er Elemente aller Bezeichnungen bis einschließlich OFFICIAL: Sensitive und alle Untergeordneten Bezeichnungen enthalten, die möglicherweise innerhalb derselben Gruppierung vorhanden sind.
Wenn ein PROTECTED-Element an einen OFFIZIELLEN: Vertraulichen Speicherort verschoben wird, handelt es sich um einen Datenüberlauf und erfordert Eine Korrektur. Dies ist der Ort, an dem Warnungen an ort und Stelle wichtig sind.
Wenn solche Ereignisse auftreten:
- Die Aktion wird nicht blockiert, da sie möglicherweise auf eine Neuklassifizierung oder einen anderen erforderlichen Geschäftsprozess zurückzuführen ist.
- Eine Warnung mit inkompatibler Vertraulichkeitsbezeichnung erkannt wird an den Benutzer gesendet, der versucht, ihn über das Problem aufzuklären, Links zum Element, zum Element und zum Speicherort bereitzustellen und ihn zur weiteren Unterstützung an eine URL weiterzuleiten.
- Eine Warnung wird an den Administrator der SharePoint-Website gesendet, um ihn über den Vorfall zu informieren. Bei Bedarf können Nachrichtenflussregeln oder ähnliche Konfigurationen implementiert werden, um diese Warnungen an Sicherheitsteams weiterzuleiten.
- Das Überwachungsprotokollereignis "Detected document sensitivity mismatch" (Vertraulichkeitskonflikt bei Dokumenten erkannt ) wird generiert.
Es folgt ein Beispiel für eine Warnung, die an Benutzer gesendet wird, wenn eine solche Aktion auftritt:
Tipp
Die in dieser Benachrichtigung bereitgestellte HelpLink-URL kann wie folgt konfiguriert werden:
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
Out-of-Place-Warnungen für Daten sollten wie folgt genau überwacht werden:
- Die Einhaltung von "Need-to-Know"-Prinzipien ist möglicherweise schwierig, wenn PROTECTED oder OFFICIAL: Vertrauliche Elemente in Container mit niedrigerer Vertraulichkeit verschoben werden, die möglicherweise eine stärkere Konfiguration des Datenschutzes aufweisen.
- Kontrollen wie der bedingte Zugriff werden wahrscheinlich an Orten mit niedrigerer Vertraulichkeit gelockert, was dazu führen kann, dass Daten exfiltriert oder auf nicht verwaltete Geräte verschoben werden.
Regierungsorganisationen können das Risiko der datenexfiltration von Daten an ort und stelle reduzieren, indem sie den mehrschichtigen Ansatz von Microsoft Purview verwenden. Dies umfasst Folgendes:
- Ansätze zum Überwachen von Out-of-Place-Warnungen für Daten.
- Einbeziehung von Ebenen des Dlp-Schutzes (Data Loss Prevention, Verhinderung von Datenverlust), die den Inhalt bewerten, der in Elementen enthalten ist, die über die angewendete Bezeichnung hinausgehen (wie unter Einschränken der Verteilung vertraulicher Informationen beschrieben).
- Erkennen riskanter Benutzerverhalten vor schwerwiegenden Richtlinienverstößen mithilfe von Tools wie Insider-Risikomanagement und adaptivem Schutz
Überwachen von Out-of-Place-Warnungen für Daten
Standardmäßig sind Warnungen zu Vertraulichkeitskonflikten im Überwachungsprotokoll und in Websiteadministratorpostfächern sichtbar und werden im Aktivitäts-Explorer angezeigt. Microsoft Purview-Implementierungen für Regierungsorganisationen sollten eine Strategie und Prozesse für den Umgang mit Vertraulichkeitskonfliktwarnungen enthalten. Die Strategie sollte auch priorisiert werden, um sicherzustellen, dass kritischere Warnungen Vorrang vor Übereinstimmungen mit niedrigerer Priorität erhalten.
Beispielsweise haben OFFICIAL-Informationen, die an einen SharePoint-Speicherort mit der Bezeichnung "UNOFFICIAL" verschoben werden, weniger Auswirkungen als GESCHÜTZTE Informationen, die an einen SharePoint-Speicherort mit der Bezeichnung "UNOFFICIAL" verschoben werden, und die Priorität sollte in der Rangfolge zugewiesen werden.
Die folgende Beispielprioritätsmatrix zeigt, wie Organisationen bestimmen können, welche Ereignisse für eine out-of-place-Wiederherstellung von Daten priorisiert werden sollen:
| Elementbezeichnung | INOFFIZIELLE Lage | OFFIZIELLER Standort | OFFICIAL Vertraulicher Standort | GESCHÜTZTer Standort |
|---|---|---|---|---|
| INOFFIZIELLEs Element | - | - | - | - |
| OFFICIAL Item | Niedrigere Priorität | - | - | - |
| OFFICIAL Sensibles Element | Mittlere Priorität | Mittlere Priorität | - | - |
| PROTECTED-Element | Höchste Priorität | Hohe Priorität | Hohe Priorität | - |
Für die Überwachung und Aktion dieser Ereignisse besteht darin, eine SIEM-Lösung (Security Information and Event Management) wie Microsoft Sentinel zu verwenden, um das Überwachungsprotokoll zu erfassen und Ereignisse basierend auf der Vertraulichkeit des Standorts und der Vertraulichkeit des Elements zu filtern. Wir würden dann Warnungs- oder Korrekturaktivitäten auslösen, um die Situation zu beheben.
Für Organisationen, die keine SIEM-Funktion verwenden, können präzise Warnungen über eine E-Mail-Flussregel bereitgestellt werden, die den Text von Warnungs-E-Mails überprüft, die an beleidigende Benutzer gesendet werden, und die E-Mails an anderer Stelle zur Aktion weitergeleitet werden. Zum Beispiel:
Solche Regeln können so konfiguriert werden, dass der Textkörper von E-Mails auf Details zur Vertraulichkeit von Dateien und Websites überprüft und dann eine entsprechende Warnung ausgelöst wird, z. B. Benachrichtigungen an Sicherheitsteams.
Power Automate bietet andere Berichterstellungs- oder Warnungsoptionen. Beispielsweise könnte ein Flow erstellt werden, um auf Elemente zu reagieren, die an ein Postfach mit warnungsausgesendeten Daten gesendet werden, das Feld "Vorgesetzter für beleidigende Benutzer" aus Microsoft Entra-ID abzurufen und dem Vorgesetzten einen Incidentbericht zu senden, der es ihm ermöglicht, die Situation mit dem untergeordneten Benutzer zu behandeln.
Tipp
Der beste Ansatz besteht darin, eine Warnungs-/Berichterstellungsstrategie zu entwickeln, die auf andere Geschäftsprozesse abgestimmt ist. Die Verwendung von Microsoft Sentinel als SIEM ist die beste Option, da es für die Zusammenarbeit mit Microsoft Purview entwickelt und entworfen wurde.
Konfiguration von Beispielgruppen und Standorten
Im Folgenden finden Sie ein Beispiel dafür, wie präzise Steuerelemente basierend auf der angewendeten Vertraulichkeitsbezeichnung auf Speicherorte angewendet werden können. Dies entspricht der PSPF 2024-Anforderung 71, da sie Betriebssteuerungen bietet, die proportional zum Wert, der Wichtigkeit und der Vertraulichkeit des Elements sind.
| Vertraulichkeitsbezeichnung | Gruppen & Websites | Datenschutzeinstellungen | Externer Zugriff | Externe Freigabe | Bedingter Zugriff |
|---|---|---|---|---|---|
| INOFFIZIELL | Ein | Aus oder Keine (Der Benutzer entscheidet) |
Gäste zulassen | Vorhandene Gäste zulassen | Deaktivieren oder Zulassen des Vollzugriffs von nicht verwalteten Geräten |
| AMTLICH | Ein | Aus oder Keine (Der Benutzer entscheidet) |
Gäste zulassen | Vorhandene Gäste zulassen | Deaktivieren oder Zulassen des Vollzugriffs von nicht verwalteten Geräten |
| OFFICIAL Sensitive (Kategorie) | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| OFFICIAL Vertraulich | Ein | Privat | Gäste zulassen | Vorhandene Gäste zulassen | Blockieren des Zugriffs auf nicht verwalteten Geräten |
| OFFICIAL Sensible Privatsphäre | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| OFFICIAL Sensible rechtliche Rechte | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| OFFICIAL Sensibles Gesetzesgeheimnis | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| OFFIZIELLEs sensibleS NATIONALES KABINETT | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| PROTECTED (Kategorie) | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| GESCHÜTZT | Ein | Privat | Gäste nicht zulassen | Nur Personen in Ihrer Organisation | Authentifizierungskontext: - MFA erforderlich, - Verwaltetes Gerät; und – Vertrauenswürdiger Speicherort. |
| PROTECTED - Persönlicher Datenschutz | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| PROTECTED - Rechtliches Privileg | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| PROTECTED - Legislative Secrecy | Aus | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend | Nicht zutreffend |
| GESCHÜTZTER SCHRANK | Ein | Privat | Gäste nicht zulassen | Nur Personen in Ihrer Organisation | Authentifizierungskontext: - MFA erforderlich, - Verwaltetes Gerät; und – Vertrauenswürdiger Speicherort. |
| GESCHÜTZTES NATIONALKABINETT | Ein | Privat | Gäste nicht zulassen | Nur Personen in Ihrer Organisation | Authentifizierungskontext: - MFA erforderlich, - Verwaltetes Gerät; und – Vertrauenswürdiger Speicherort. |
Standardbezeichnungen für SharePoint
Die Standardbeschriftung ist eine Funktion, mit der elemente, die in SharePoint-Dokumentbibliotheken erstellt wurden, automatisch eine Vertraulichkeitsbezeichnung erben können. Geerbte Bezeichnungen werden auf alle neuen oder nicht bezeichneten Elemente und auf solche mit einer vorhandenen Bezeichnung angewendet, die in der Reihenfolge niedriger als die Standardbezeichnung ist. Standardbezeichnungen können verwendet werden, um die Vertraulichkeit der Website mit der vertraulichkeit der darin gespeicherten Dateien abzugleichen.
Regierungsorganisationen könnten sich sorgen machen, dass sich standardbeschriftungsoptionen und Anforderungen, die die Verwendung der automatischen Klassifizierung verbieten, offensichtlich nahe sind, z. B.:
| Anforderung | Detail |
|---|---|
| PSPF 2024 – 09. Klassifizierungen & Einschränkungen – Anforderung 60 | Die Sicherheitsklassifizierung wird auf der niedrigsten angemessenen Ebene festgelegt. |
| ISM-0271 (März 2025) | Schutzmarkierungswerkzeuge fügen nicht automatisch Schutzmarkierungen in E-Mails ein. |
Die Standardbezeichnung in der Umgebung der australischen Regierung kann in Situationen nützlich sein, in denen Elemente von Systemen generiert werden. Wenn beispielsweise eine Anwendung als Teil eines Geschäftsprozesses verwendet wurde, die Elemente in einem Massenvorgang erstellt (z. B. ein Power Automate-Flow). Der Speicherort, an dem die Elemente generiert werden, kann eine Standardbezeichnung anwenden. Dadurch wird sichergestellt, dass auf alle elemente, die vom Prozess generiert werden, konsistente Bezeichnungen angewendet werden.
Nur neu erstellte Elemente und diejenigen, die geändert oder an den Speicherort verschoben wurden, nachdem die Standardeinstellung angewendet wurde, erben die Bezeichnung. Bezeichnungen können über diese Lösung nicht auf vorhandene Dateien angewendet werden, die sich im Ruhezustand am Speicherort befinden.
Für Organisationen, die Bezeichnungsverschlüsselung verwenden, wie vertraulichkeitsbezeichnungen für Office 365 für das Web, werden einige Bezeichnungskonfigurationen, die Verschlüsselung anwenden, für SharePoint nicht unterstützt. Beispielsweise erfordert die Verschlüsselungsoption Benutzern das Zuweisen von Berechtigungen erlauben eine Benutzerinteraktion und ist für die Standardbezeichnung nicht geeignet. Optionen zum Ablauf des Benutzerzugriffs und zur Verschlüsselung mit doppeltem Schlüssel können ebenfalls beeinträchtigt werden.
Informationen zur Standardbezeichnung finden Sie unter Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek.