In einer SharePoint Dokumentenablage können Besitzer einer Site Collection seit Juli 2022 definieren neue oder geänderte Dokumente werden automatisch klassifiziert.
When SharePoint is enabled for sensitivity labels, you can configure a default label for document libraries. Then, any new files uploaded to that library, or existing files edited in the library will have that label applied if they don’t already have a sensitivity label, or they have a sensitivity label but with lower priority.
Neu wird die Funktion um eine Möglichkeit ergänzt Dokumente ohne Verschlüsselung automatisch zu verschlüsseln.
Es gilt für alle noch unverschlüsselten Dokumente in der Ablage. Unterstützt sind aktuell Word, Excel, PowerPoint und PDF-Dateien. Verschlüsselt ist ein Dokument, wenn es mit einem Sensitivity Label mit Verschlüsselung klassifiziert ist.
Es handelt sich noch um eine Public Preview und ist in dem Status standardmässig inaktiv. Im inaktiven Status fehlt der im Screenshot markierte Abschnitt.
Für die Aktivierung muss ein SharePoint Administrator die Konfiguration im Tenant aktivieren. Es handelt sich um eine globale Tenantkonfiguration, nicht pro Site Collection. Für die Aktivierung ist das SharePoint Online Management Shell Modul ab Version 16.0.25430.12000 erforderlich.
Ich rate dir vor der Aktivierung die ganze Dokumentation und bekannte Einschränkungen zu lesen. Ausserdem geht Microsoft nicht auf Lizenzanforderungen ein (während einer Public Preview so üblich).
In der Dokumentation vermerkt handelt es sich um der Property ExtendPermissionsToUnprotectedFiles.
ExtendPermissionsToUnprotectedFiles
This property can be used to turn on/off the capability called “Extended SharePoint permissions to unprotected files”.
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $trueNote
Microsoft vermerkt an diversen Stellen den Kurzlink aka.ms/ExtendSharePointPermission. Es wurde von Microsoft vergessen den Link korrekt zu erfassen. Den Link hat scheinbar niemand getestet. Der Link funktioniert nicht und sollte vermutlich auf die offizielle Dokumentation verlinken.
Ich aktiviere in einer Dokumentenablage die neue Option. SharePoint wird mir unterstützte Labels zur Auswahl listen. In meinem Test-Tenant sind es zwei.
Für die Auswahl sollten zwei Konfigurationen bekannt sein.
- Die Funktion “Default sensitivity label for a SharePoint document library” aus 2022 unterstützt keine Sensitivity Labels mit “user-defined permissions”. Die Labels sind bei der Auswahl inaktiv. Am Beispiel sichtbar.
In der Dokumentation ist es notiert:
Limitations
…
As with sensitivity labels for Office for the web, some label configurations that apply encryption aren’t suitable for SharePoint, and so don’t support a default sensitivity label for a SharePoint document library:
- Let users assign permissions when they apply the label and the checkbox In Word, PowerPoint, and Excel, prompt users to specify permissions is selected. This setting is sometimes referred to as “user-defined permissions”.
- User access to content expires is set to a value other than Never.
- Double Key Encryption is selected.
- Die neue Funktion “Configure SharePoint with a sensitivity label to extend permissions to downloaded documents” unterstützt das Gegenteil. Es unterstützt während der Preview Labels mit “user-defined permissions”, aber keine Labels mit “admin-defined permissions”.
After you’ve selected a sensitivity label that applies encryption with user-defined permissions, save the configuration.
…
This feature is mutually exclusive with the option to select a default sensitivity label for a SharePoint document library that supports sensitivity labels without encryption, and sensitivity labels that are configured with the option Assign permissions now (sometimes referred to as “admin-defined permissions”).
Aus dem Grund stehen in meinem Tenant zwei Labels zur Auswahl. Für beide Labels definierte ich user-defined permissions.
Für ein Label mit user-defined permissions ist es heute teils ein probieren und testen. Während meiner Tests waren verschiedene Labels trotz user-defined permissions nicht zur Auswahl verfügbar. Eine Änderung am Label dauert in SharePoint jeweils bis zu 24 Stunden. Mir ist bisher nicht klar welche zusätzliche Konfiguration in einem Label definiert wann es in der Auswahl aktiv oder inaktiv ist. Microsoft führt es in der Dokumentation nicht weiter aus.
Für einen Test sollten Besitzer einer Site Collection beachten, eine Aktivierung der Funktion forciert beim OneDrive Sync Client einen Resync der Dokumentenablage. Bei einer Ablage mit vielen Dokumenten, kann dies zur Verzögerungen bei Mitarbeitenden führen.
After the library is configured with the sensitivity label, all existing files will be resynchronized if the library is synced via the OneDrive sync client. The resynchronization process can take a while and until it’s complete, the extended protection won’t be applied.
Die noch unverschlüsselten Dokumente werden in kurzer Zeit mit dem gewählten Label verschlüsselt, sofern das Dateiformat unterstützt ist.
- Unterstützte Dokumente wie Word, Excel, PowerPoint und PDF werden klassifiziert.
- In meinem Fall hat es die Loop Datei nicht klassifiziert.
- Ein bereits verschlüsseltes Dokument wird nicht angepasst.
The selected sensitivity label will be applied to all files that are unlabeled, and files that are labeled but the label configuration doesn’t apply encryption. The Sensitivity column for the document library displays your selected label for existing, new, and edited files. Users see the selected label displayed when they open the file for editing but won’t experience any changes in permissions as a result of the label.
Es ist ausserdem zu beachten, Mitarbeitende können in dieser Ablage Dokumente nicht mehr mit einem Label ohne Verschlüsselung klassifizieren.
In the SharePoint document library that you’ve configured for the sensitivity label, users can’t remove the applied sensitivity label in their Office apps and can change it only if the replacement label applies encryption.
Die Applikation wird die Änderung nicht zulassen oder einen Fehler ausgeben.
