M365-Gruppen mit Vertraulichkeitsbezeichnungen verwalten
In Microsoft 365 (M365) bieten Vertraulichkeitsbezeichnungen oder im Original “Sensitivity Labels” eine gute Möglichkeit, sensible Informationen in Ihrem Unternehmen zu klassifizieren und zu schützen. Sie sind wichtig für die Verwaltung von M365-Gruppen, die Gewährleistung der Datensicherheit und die Kontrolle des Zugriffs und sollten ein integraler Bestandteil jeder Governance-Strategie sein.
Dieser Beitrag führt Sie durch die Aktivierung von Vertraulichkeitsbezeichnungen für M365-Gruppen mit PowerShell, die Erstellung der Kennzeichnungen und die verschiedenen Optionen für die Freigabe und externe Benutzer.
Die Teams Manager App erlaubt Ihnen, Vertraulichkeitsbezeichnungen automatisiert und einheitlich auf neue Gruppen oder Teams anzuwenden. Erfahren Sie mehr!
Aktivieren der Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell
Um veröffentlichte Labels auf Gruppen, Microsoft Teams oder SharePoint-Sites anzuwenden, müssen Sie die Funktion zunächst in Microsoft Entra ID aktivieren.
Hier finden Sie eine schrittweise Anleitung zur Aktivierung von Vertraulichkeitsbezeichnungen.
1. Öffnen Sie die PowerShell-App (in aktuellen Windows-Versionen ist sie standardmäßig installiert).
2. Kopieren Sie die folgenden PowerShell-Befehle und fügen Sie sie ein, um das erforderliche Modul zu installieren und zu verbinden.
Install-Module AzureADPreviewImport-Module AzureADPreviewAzureADPreview\Connect-AzureAD3. Melden Sie sich bei Microsoft Entra (https://entra.microsoft.com/) mit Ihrem Admin-Konto an.
4. Verwenden Sie den folgenden Powershell-Befehl, um die vorhandenen Container-Einstellungen anzuzeigen.
$grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value “Group.Unified” -EQ)
$Setting = $grpUnifiedSetting
$grpUnifiedSetting.ValuesWenn Sie kein Ergebnis erhalten, gibt es noch keine Gruppeneinstellungen für Ihren Tenant und Sie müssen sie in den nächsten 2 Schritten erstellen.
Wenn Sie eine Liste der vorhandenen Gruppeneinstellungen erhalten, müssen Sie keine weiteren Gruppeneinstellungen erstellen und können die Schritte 5 und 6 auslassen – fahren Sie stattdessen bitte mit Schritt 7 fort.
5. Wählen Sie mit diesem Befehl die Einstellungsvorlage für “Group.Unified” aus:
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq “Group.Unified” }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ6. Erstellen Sie neue Einstellungen (ein neues Einstellungsobjekt) mit diesem Befehl:
$Setting = $Template.CreateDirectorySetting()7. Da es nun Gruppeneinstellungen für Ihren Tenant gibt, können Sie mit diesem Befehl die Vertraulichkeitsbezeichnungen aktivieren:
$Setting[“EnableMIPLabels”] = “True”8. Je nachdem, ob in Ihrem Tenant bereits Gruppeneinstellungen vorhanden waren oder nicht, wählen Sie einen der beiden folgenden Befehle, um die Änderungen zu speichern:
- Speichern Sie die Änderungen für neue Gruppeneinstellungen:
New-AzureADDirectorySetting -DirectorySetting $Setting- Speichern Sie die Änderungen für bereits vorhandene Gruppeneinstellungen:
Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting9. Prüfen Sie mit diesem folgenden Befehl, ob die Vertraulichkeitsbezeichnungen korrekt aktiviert wurden. Es hat funktioniert, wenn der Wert für EnableMIPLabels auf “True” gesetzt ist.
$Setting.ValuesAls letzten Schritt müssen Sie die Synchronisierung von Vertraulichkeitsbezeichnungen mit Entra (Azure AD) aktivieren, um die Labels für M365-Gruppen, Teams oder SharePoint-Sites direkt von Entra aus verwenden zu können.
10. Installieren und verbinden Sie das erforderliche Security & Compliance Modul mit diesem Befehl:
Install-Module ExchangeOnlineManagementImport-Module ExchangeOnlineManagementConnect-IPPSSession11. Melden Sie sich mit Ihrem Administratorkonto bei Entra an.
12. Und zuguterletzt, synchronisieren Sie Ihre Vertraulichkeitsbezeichnungen mit dem folgenden Befehl mit Entra (Azure AD):
Execute-AzureAdLabelSyncSie können nun im Microsoft Compliance Center / Microsoft Purview Vertraulichkeitsbezeichnungen für Teams, Microsoft 365 Gruppen und SharePoint-Sites erstellen und verwenden:
Rufen Sie https://compliance.microsoft.com/ auf und klicken Sie auf “Information Protection”.
Hier finden Sie nun die Möglichkeit, neue Labels zu erstellen.
Bei der Erstellung neuer Labels können Sie sie auf Gruppen und Seiten anwenden. Im folgenden Prozess können Sie auch die Freigabeoptionen und den externen Zugriff für die M365-Gruppe festlegen.
Optionen für Sensitivity Labels
Wenn es um Vertraulichkeitsbezeichnungen geht, gibt es eine ganze Reihe von Optionen, die Sie berücksichtigen können.
Die wichtigsten drei sind:
- Freigabe sehr eingeschränkt und nur innerhalb der Organisation und nicht für Gäste möglich.
- Freigabe für Gäste innerhalb einer M365-Gruppe möglich
- Freigabe für jeden möglich, der den Link hat. – Achtung! Seien Sie bitte vorsichtig mit dieser Einstellung: Dies sollte nur für M365-Gruppen gelten, in denen Daten freigegeben werden, die für jeden zugänglich sind. – In den meisten Fällen sollte diese Option gar nicht zur Verfügung stehen.
Weitere Informationen und Tipps zur Fehlerbehebung bei häufigen Problemen finden Sie in diesem Artikel in Microsoft Learn:
Vertraulichkeitsbezeichnungen automatisch anwenden
Wenn Sie Teams, Gruppen oder Standorten automatisch Vertraulichkeitsbezeichnungen zuweisen möchten, ist der Teams Manager das richtige Tool für Sie. Mit der M365 Governance-App können Sie Vorlagen und Automatisierungen erstellen, um Ihre manuelle Routinearbeit zu reduzieren.
Finden Sie heraus, wie Teams Manager Ihnen helfen kann:
Head of Marketing & Sales bei Solutions2Share – Florian Pflanz verfügt über 6 Jahre M365-Erfahrung und war an zahlreichen Projekten zur Microsoft Teams Governance beteiligt. In über 200 Workshops hat er umfangreiches Wissen und Best Practices zu Microsoft Teams und den Managementanforderungen von Unternehmen gesammelt.
