M365-Gruppen mit Vertraulichkeitsbezeichnungen verwalten
In Microsoft 365 (M365) bieten Vertraulichkeitsbezeichnungen oder im Original “Sensitivity Labels” eine gute Möglichkeit, sensible Informationen in deinem Unternehmen zu klassifizieren und zu schützen. Sie sind wichtig für die Verwaltung von M365-Gruppen, die Gewährleistung der Datensicherheit und die Kontrolle des Zugriffs und sollten ein integraler Bestandteil jeder Governance-Strategie sein.
Dieser Beitrag führt dich durch die Aktivierung von Vertraulichkeitsbezeichnungen für M365-Gruppen mit PowerShell, die Erstellung der Kennzeichnungen und die verschiedenen Optionen für die Freigabe und externe Benutzer.
Die Teams Manager App erlaubt dir, Vertraulichkeitsbezeichnungen automatisiert und einheitlich auf neue Gruppen oder Teams anzuwenden. Erfahre mehr!
Wie kann ich die Unterstützung von Vertraulichkeitsbezeichnungen in PowerShell aktivieren?
Um veröffentlichte Labels auf Gruppen, Microsoft Teams oder SharePoint-Sites anzuwenden, musst du die Funktion zunächst in Microsoft Entra ID aktivieren.
Hier findest du eine schrittweise Anleitung zur Aktivierung von Vertraulichkeitsbezeichnungen.
1. Öffne die PowerShell-App (in aktuellen Windows-Versionen ist sie standardmäßig installiert).
2. Kopiere die folgenden PowerShell-Befehle und füge sie ein, um das erforderliche Modul zu installieren und zu verbinden.
Install-Module AzureADPreviewImport-Module AzureADPreviewAzureADPreview\Connect-AzureAD3. Melde dich bei Microsoft Entra (https://entra.microsoft.com/) mit deinem Admin-Konto an.
4. Verwende den folgenden Powershell-Befehl, um die vorhandenen Container-Einstellungen anzuzeigen.
$grpUnifiedSetting = (Get-AzureADDirectorySetting | where -Property DisplayName -Value “Group.Unified” -EQ)
$Setting = $grpUnifiedSetting
$grpUnifiedSetting.ValuesWenn du kein Ergebnis erhältst, gibt es noch keine Gruppeneinstellungen für deinen Tenant und du musst sie in den nächsten 2 Schritten erstellen.
Wenn du eine Liste der vorhandenen Gruppeneinstellungen erhältst, musst du keine weiteren Gruppeneinstellungen erstellen und kannst die Schritte 5 und 6 auslassen – fahre stattdessen bitte mit Schritt 7 fort.
5. Wähle mit diesem Befehl die Einstellungsvorlage für “Group.Unified” aus:
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq “Group.Unified” }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ6. Erstelle neue Einstellungen (ein neues Einstellungsobjekt) mit diesem Befehl:
$Setting = $Template.CreateDirectorySetting()7. Da es nun Gruppeneinstellungen für deinen Tenant gibt, kannst du mit diesem Befehl die Vertraulichkeitsbezeichnungen aktivieren:
$Setting[“EnableMIPLabels”] = “True”8. Je nachdem, ob in deinem Tenant bereits Gruppeneinstellungen vorhanden waren oder nicht, wähle einen der beiden folgenden Befehle, um die Änderungen zu speichern:
- Speichere die Änderungen für neue Gruppeneinstellungen:
New-AzureADDirectorySetting -DirectorySetting $Setting- Speichere die Änderungen für bereits vorhandene Gruppeneinstellungen:
Set-AzureADDirectorySetting -Id $grpUnifiedSetting.Id -DirectorySetting $Setting9. Prüfe mit diesem folgenden Befehl, ob die Vertraulichkeitsbezeichnungen korrekt aktiviert wurden. Es hat funktioniert, wenn der Wert für EnableMIPLabels auf “True” gesetzt ist.
$Setting.ValuesAls letzten Schritt musst du die Synchronisierung von Vertraulichkeitsbezeichnungen mit Entra (Azure AD) aktivieren, um die Labels für M365-Gruppen, Teams oder SharePoint-Sites direkt von Entra aus verwenden zu können.
10. Installiere und verbinde das erforderliche Security & Compliance Modul mit diesem Befehl:
Install-Module ExchangeOnlineManagementImport-Module ExchangeOnlineManagementConnect-IPPSSession11. Melde dich mit deinem Administratorkonto bei Entra an.
12. Und zuguterletzt, synchronisiere deine Vertraulichkeitsbezeichnungen mit dem folgenden Befehl mit Entra (Azure AD):
Execute-AzureAdLabelSyncDu kannst nun im Microsoft Compliance Center / Microsoft Purview Vertraulichkeitsbezeichnungen für Teams, Microsoft 365 Gruppen und SharePoint-Sites erstellen und verwenden:
Ruf https://compliance.microsoft.com/ auf und klick auf “Information Protection”.
Hier findest du nun die Möglichkeit, neue Labels zu erstellen.
Bei der Erstellung neuer Labels kannst du sie auf Gruppen und Seiten anwenden. Im folgenden Prozess kannst du auch die Freigabeoptionen und den externen Zugriff für die M365-Gruppe festlegen.
Was sind die Optionen für Sensitivity Labels?
Wenn es um Vertraulichkeitsbezeichnungen geht, gibt es eine ganze Reihe von Optionen, die du berücksichtigen kannst.
Die wichtigsten drei sind:
- Freigabe sehr eingeschränkt und nur innerhalb der Organisation und nicht für Gäste möglich.
- Freigabe für Gäste innerhalb einer M365-Gruppe möglich
- Freigabe für jeden möglich, der den Link hat. – Achtung! Sei bitte vorsichtig mit dieser Einstellung: Dies sollte nur für M365-Gruppen gelten, in denen Daten freigegeben werden, die für jeden zugänglich sind. – In den meisten Fällen sollte diese Option gar nicht zur Verfügung stehen.
Weitere Informationen und Tipps zur Fehlerbehebung bei häufigen Problemen findest du in diesem Artikel in Microsoft Learn:
Wie kann ich Vertraulichkeitsbezeichnungen automatisch anwenden?
Wenn du Teams, Gruppen oder Standorten automatisch Vertraulichkeitsbezeichnungen zuweisen möchtest, ist der Teams Manager das richtige Tool für dich. Mit der M365 Governance-App kannst du Vorlagen und Automatisierungen erstellen, um deine manuelle Routinearbeit zu reduzieren.
Finde heraus, wie Teams Manager dir helfen kann:
Head of Marketing & Sales bei Solutions2Share – Florian Pflanz verfügt über 6 Jahre M365-Erfahrung und war an zahlreichen Projekten zur Microsoft Teams Governance beteiligt. In über 200 Workshops hat er umfangreiches Wissen und Best Practices zu Microsoft Teams und den Managementanforderungen von Unternehmen gesammelt.
