Microsoft 365

Information Protection – Sensitivity Labels

8. Juli 2020

In Microsoft 365 gibt es den Service Microsoft Information Protection (MIP), oder Azure Information Protection (AIP). Die Sensitivity Labels sind ein Teil von MIP. In dem Beitrag findest du Informationen wie du es konfigurierst und wo du Sensitivity Labels einsetzen kannst. Hilfe zum Nachlesen findest du hier.

Allgemeine Ratschläge zum Thema Information Protection vorab:

  • Jede Änderung an Information Protection Labels benötigt bis zu 24 Stunden bis es in deinem Tenant vollständig angepasst ist. Hüte dich “kurze Anpassungen” für einen Test auszuprobieren. So schnell wird es nicht funktionieren, und wenn du eine Fehlkonfiguration bemerkst benötigt es erneut 24 Stunden bis alles zurückgesetzt wurde.

  • Die Office Client Apps Word, Excel oder PowerPoint aktualisieren Anpassungen an Information Protection Labels bei jedem Start. Nimmst du eine Anpassung an einem Label vor kannst du es dort am schnellsten sehen. Die Inhalte im Web und andere Microsoft 365 Dienste benötigen bis zu 24 Stunden für die Aktualisierung.

  • Es gibt “Azure Information Protection Labels” (Classic Labels) und neue Information Protection Unified Labels. Für eine Konfiguration solltest du nur noch Unified Labels verwenden. Die Classic Labels wurden auf Ende März 2021 abgekündigt. Einen Vergleich zwischen Classic und Unified Labels findest du in der Hilfe zusammengefasst. In dem Beitrag gehe ich immer von Unified Labels aus.

Inhaltsverzeichnis

Wobei helfen mir Sensitivity Labels?

Mit Sensitivity Labels kannst du Klassifizierungen von Inhalten in Microsoft 365 Diensten durchführen und auf Basis der Klassifizierung Regeln definieren. Mit Sensitivity Labels kannst du zum Beispiel besser steuern, dass ein Dokument nur von berechtigten Mitarbeitern angesehen wird, oder speziell für Personen ausserhalb des Unternehmens der Zugriff kontrolliert wird.

Wo kann ich Sensitivity Labels einsetzen?

Im Moment in folgenden Diensten:

  • Outlook im Web
  • Outlook Client
  • SharePoint Online
  • OneDrive for Business
  • Office im Web
  • Office Client Applikationen
  • Office Mobile App
  • Microsoft Teams
  • Microsoft 365 Groups
  • Microsoft Stream
  • Windows 10 Explorer

Je nach Dienst setzt Microsoft bestimmte Versionen der Client Apps voraus damit Sensitivity Labels unterstützt werden. Besuche die Hilfe für eine Übersicht.

Welche Lizenzanforderung hat Microsoft Information Protection?

Je nach Office- oder Microsoft-Lizenz ist der Funktionsumfang von Information Protection begrenzt. Es gibt eine Vielzahl an Optionen wie du es lizenzieren kannst. Nachfolgend eine Liste wo Information Protection als Lizenz inkludiert ist, je nach Paket mit eingeschränktem Funktionsumfang.

  • Office 365 E3 (Basispaket von Information Protection)
  • Office 365 E5
  • Microsoft 365 E3 oder E5
  • Azure Information Protection Premium P1 oder P2 (als Einzellizenz)
  • Enterprise Mobility + Security E3 oder E5 (als Security Paket)

Hier findest du eine Tabelle mit Unterschieden zum Basispaket, P1 und P2.

Wo werden Sensitivity Labels verwaltet?

Im Security Center von Microsoft 365 unter https://security.microsoft.com/sensitivity?viewid=sensitivitylabels.

Welche Rolle wird für die Administration von Sensitivity Labels benötigt?

Eine der vordefinierten Rollen als Security Administrator, Compliance Data Administrator oder Compliance Administrator. Alternativ kannst du eine eigene Rolle für Sensitivity Label Administrator anlegen. Beachte die Hilfe.

Wie konfiguriere ich Sensitivity Labels für Microsoft Teams, Microsoft 365 Groups und SharePoint Sites?

Standardmässig ist es im Tenant nicht aktiviert. Du musst per PowerShell zwei Einstellungen vornehmen.

  • Aktiviere in der Microsoft 365 Groups Policy die Option für MIP-Labels. Eine Anleitung findest du hier.
  • Aktiviere den Sync der Labels zwischen MIP und Microsoft 365 Groups. Den Sync musst du nur einmalig starten, danach werden weitere Anpassungen automatisch synchronisiert. Eine Anleitung findest du hier.

Nachdem du die zwei Einstellungen gesetzt hast wirst du bei der Erstellung/Änderung von Labels eine zusätzliche Option finden in der du aktivieren kannst ob ein Label für Gruppen und SharePoint Sites verfügbar ist. Fehlen die zwei obigen Einstellungen wird diese Option nicht angezeigt.

Sobald so ein Label angelegt wurde fügt es in Teams, Groups und SharePoint Sites ein zusätzliches Dropdown ein um die Klassifizierung anzugeben. Zur Erinnerung, es kann 24 Stunden dauern.

Für was sind verschlüsselte Labels?

Bei der Erstellung von Labels kannst du angeben ob sie verschlüsselt sein sollen. Mit Verschlüsselung kannst du bestimmen welche Personengruppe was mit einem Dokument oder E-Mail durchführen darf. Teilt eine interne Person so ein Dokument/E-Mail an eine nicht autorisierte Person wird die Person das Dokument nicht lesen können. Mehr zu Labels mit Verschlüsselung hier.

Was muss ich bei SharePoint Online und OneDrive for Business mit Sensitivity Labels beachten?

Labels ohne Verschlüsselung
Für Labels ohne Verschlüsselung nichts besonderes. Wie oben im Punkt erwähnt muss das Label für SharePoint Sites verfügbar sein.

Labels mit Verschlüsselung
Labels mit Verschlüsselung konnten bis Mai 2020 in Office im Web nicht geöffnet werden. Es verwies darauf das Dokument in der Office Client App zu öffnen. Es gab weitere Einschränkungen die mit der Anpassung von Mai behoben wurden. Beachte die Info. Seit Mai sind verschlüsselte Labels im Web möglich. Es ist standardmässig deaktiviert. Du musst es einmalig aktivieren. Bevor du es aktivierst beachte die zusätzlichen Notizen.

  • Du kannst es direkt im Security Center aktivieren. In der Administrator von Labels solltest du eine Info sehen.
  • Via PowerShell mit Set-SPOTenant -EnableAIPIntegration $true .

Gedulde dich nach der Anpassung. Es dauert bis die Einstellung für deinen Tenant vollständig aktiv ist.

Wie kann ich in Office Applikationen und Windows 10 Sensitivity Labels einsetzen?

Microsoft stellt einen Client für die Installation zur Verfügung.

  • Anleitung zur Installation und Anforderungen findest du hier.
  • Den Client kannst du hier runterladen. Zur Erinnerung, es muss der neue Client für Unified Labels sein (AzInfoProtection_UL….).

Der Client fügt den Office Applikationen eine neue Option hinzu die Sensitivity Labels aus MIP anzugeben.

Zudem kannst du mit dem Client andere Dateien im Windows Explorer mit den Labels versehen. Es wird ein neuer Punkt “Classify and protect” im Context Menü eingefügt.

In meinen Office Applikationen fehlen alle Labels. Was kann ich tun?
Es kann unterschiedliche Gründe haben.

  • Die Labels wurden im Security Center nicht in einer Label Policy publiziert.
  • Die Labels wurden für Benutzergruppen eingeschränkt.
  • Die Änderung ist nicht fertig repliziert, warte noch ein paar Stunden. Alternativ kannst du einen Reset des MIP-Clients versuchen.
  • Der MIP-Client ist mit einem anderen Account angemeldet.
    Im Sensitivity Menü findest du eine Option um die Einstellungen des MIP-Clients anzuzeigen. Kontrolliere mit welchem Account du angemeldet bist.

Sollte dort ein anderer Account als der von deinem Unternehmen stehen musst du alle Office Applikationen schliessen und für den MIP-Client eine Neuanmeldung forcieren. Hier findest du wie es geht. Achte vor der Neuanmeldung darauf ob die Office Applikation mit dem korrekten Account angemeldet ist. Der MIP-Client nimmt diesen Account für die Anmeldung.

Sind mehrsprachige Labels möglich?

Es wird seitens Microsoft eingeschränkt unterstützt.

  • Office Client Applikationen unterstützen mehrsprachige Labels.
  • Office Mobile App unterstützt mehrsprachige Labels.
  • Teams Mobile App unterstützt mehrsprachige Labels nicht.
  • Microsoft 365 Dienste (wie SharePoint Sites, Teams, Office im Web, Outlook im Web,…) unterstützen mehrsprachige Labels nicht.

Wird Mehrsprachigkeit nicht unterstützt zeigt es die Standardsprache an, selbst wenn das Label übersetzt ist. Die Standardsprache ist die Sprache in der ein Label initial angelegt wurde. Ob und wann die Dienste mehrsprachige Labels unterstützen ist nicht bekannt.

Kann der Benutzer ein Label nachträglich ändern?

Ja, eine Änderung notiert es in den Audit Logs. Ein Administrator kann auch fordern eine Begründung für die Änderung anzugeben.

Können für Benutzer unterschiedliche Labels angezeigt werden?

Ja, es kann mehrere Labels geben die unterschiedliche Personen sehen. Zum Beispiel eine Standardkonfiguration für alle Mitarbeiter und eigene Labels für ein definiertes Projekt. Über Personengruppen definiert ein Administrator wer das Label auswählen darf. Weitere Hilfe in Label Policies.

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert