Kontrollieren Sie eingeschränkte Inhalte mit Office 365-Vertraulichkeitsbezeichnungen

Ob absichtlich oder versehentlich, eingeschränkte Inhalte verlassen die Kontrolle der Organisation, aber die Funktion für Vertraulichkeitsbezeichnungen von Office 365 kann dazu beitragen, diese Lecks zu verhindern.

Da aufgrund der Coronavirus-Pandemie immer mehr Mitarbeiter aus der Ferne arbeiten, verlassen mehr Unternehmensinformationen die Sicherheit des privaten Netzwerks und reisen über das Internet. Mit dieser Zunahme der Mitarbeiter, die außerhalb des Büros mit Unternehmensinhalten umgehen, steigt das Risiko. Administratoren, die Office 365 oder Microsoft 365 verwalten, sollten die Implementierung von Vertraulichkeitsbezeichnungen als eine Möglichkeit in Betracht ziehen um unbefugten Zugriff zu verhindern auf eingeschränkte Informationen.

Verstehen der Vertraulichkeitsbezeichnungsfunktionen

Unternehmen, die entweder Office 365 oder Microsoft 365 verwenden, haben wahrscheinlich eine beträchtliche Menge privater und sensibler Daten, die in der Microsoft-Cloud gehostet werden, einschließlich vertraulicher E-Mails, die in Exchange Online gespeichert sind, wichtiger Verträge in OneDrive oder SharePoint oder sensibler Kommunikation in Microsoft Teams oder Office 365 Gruppen.
Die IT muss diese Informationen sichern, aber dies kann aufgrund der Geschwindigkeit der Datenerstellung und ihres schieren Volumens schwierig sein. Ein Ansatz besteht darin, eine automatische Sensitivitätserkennung und -kennzeichnung von Inhalten zu verwenden. Diese Funktionalität ist eine Komponente des Azure Information Protection Plan 2 und kennzeichnet Inhalte mit der Option, Schutz basierend auf vordefinierten Richtlinien im Compliance-Portal anzuwenden.
Sobald Information Protection eines der vordefinierten Labels erkennt, führt es eine oder mehrere der folgenden Aufgaben aus:

  • Erkennt potenziell vertrauliche Informationen wie Gesundheitsdaten oder Finanzinformationen in Microsoft Office-Dokumenten und wendet dann ein Wasserzeichen auf die Datei an oder fügt in der Fußzeile oder Kopfzeile Text hinzu, der auf vertrauliche Inhalte hinweist.
  • Verhindert, dass der Benutzer sensible Dateien an E-Mails anhängt, oder erzwingt die Verschlüsselung der Datei beim Senden.
  • Schränkt den Zugriff auf Dokumente ein, die für externe Benutzer als sensibel gekennzeichnet sind, wenn sie in SharePoint, OneDrive oder Microsoft Teams gespeichert sind.
  • Verwendet die Data Governance-Plattform Azure Purview, um zu verhindern, dass Benutzer Datenbanktabellenspalten oder -dateien im Blobspeicher sehen.
  • Empfängt Warnungen, wenn das System vertrauliche Daten in der Microsoft 365- oder Azure-Umgebung erkennt.

So starten Sie den Empfindlichkeitskennzeichnungsprozess

Um mit Vertraulichkeitsbezeichnungen in Office 365 zu beginnen, definieren Sie die spezifischen Compliance-Anforderungen, die die Organisation benötigt. Dies können branchenspezifisch oder Anforderungen der Personalabteilung oder des Compliance-Teams sein. Definieren Sie diese Datenschutzparameter durch folgende Fragen:

  • Welche Datenelemente, die in den Systemen des Unternehmens generiert und gespeichert werden, erfordern Einschränkungen?
  • Welchen Labelnamen sollen die Daten haben?
  • Welche Dienste können die betreffenden Daten hosten, wie Exchange, SharePoint, OneDrive, Teams, Office 365-Gruppen und Azure?
  • Welche Maßnahmen sollten ergriffen werden, wenn das System sensible Daten erkennt? Dazu können Verschlüsselung, das Blockieren des Datenaustauschs, die Beschränkung des Zugriffs auf nur interne Benutzer und die Benachrichtigung eines Compliance-Beauftragten gehören.
  • Gibt es ein aktuelles Standardverfahren, um die Benutzer über die mit diesem Datentyp verbundenen Einschränkungen aufzuklären?
Compliance-Center
Richten Sie Vertraulichkeitsbezeichnungen im Abschnitt Informationsschutz im Office 365- oder Microsoft 365-Compliance-Center ein.

Als Nächstes können Administratoren die Bezeichnungen und Richtlinien im Office 365 Compliance Center im Compliance.microsoft.com URL.
Office 365 kann Inhaltstypen in mehreren wichtigen Kategorien erkennen:

  • Finanziell. Das System kann eine Reihe von Finanzdaten finden, die als Text im Inhalt gespeichert sind, einschließlich Bankleitzahlen, Bankkonten, Kreditkarteninformationen und Steueridentifikationsnummern.
  • Medizin und Gesundheit. Inhalte, die persönliche Gesundheitsinformationen enthalten, die möglicherweise unter HIPAA oder anderen Datenschutzbestimmungen fallen.
  • Privatsphäre. Das System von Microsoft erkennt Daten basierend auf Vorschriften anderer Länder, einschließlich der Datenschutz-Grundverordnung der Europäischen Union, des kanadischen Gesetzes zum Schutz personenbezogener Daten und elektronischer Dokumente und Richtlinien zu personenbezogenen Daten in Frankreich, Kanada, Großbritannien, Deutschland, Israel, Japan, Saudi-Arabien und die Vereinigten Staaten.
  • Benutzerdefinierte Etiketten. Diese Kategorie ermöglicht die Anpassung, damit die Organisation ihren eigenen Satz von Inhaltstypen basierend auf ihren Kriterien definieren kann. So kann ein Unternehmen beispielsweise seine Produktnummern oder andere spezifische Textmuster in Dokumenten erkennen und als sensibel kennzeichnen.
Definieren Sie den Namen und andere Parameter für die Vertraulichkeitsbezeichnung.

Nach Auswahl des Labels können Administratoren das System so konfigurieren, dass sensible Inhalte erkannt und gekennzeichnet werden. Der nächste Schritt besteht darin, die Richtlinie zu definieren, die die Aktionen vorschreibt, die mit Daten durchgeführt werden sollen, die der Etikettendefinition entsprechen.

Arbeiten zum Schutz von Inhalten in gängigen Containern

Während Vertraulichkeitsbezeichnungen dabei helfen können, Inhalte basierend auf bestimmten Kriterien auf Dateiebene zu klassifizieren, hat Microsoft benutzerdefinierte Bezeichnungen eingeführt, um Inhalte auf Containerebene zu schützen, d. h. ein Microsoft Team, eine Office 365-Gruppe oder eine SharePoint-Website. Diese Funktion erstellt eine Richtlinie für die Container, die möglicherweise als vertraulich gekennzeichnet sind oder auf die eine Vertraulichkeitsbezeichnung mit den folgenden Funktionen angewendet wurde:

  • Datenschutzeinstellungen (privat oder öffentlich) für Office 365-Gruppe, Microsoft-Team und Kanal basierend auf der Richtlinie für Vertraulichkeitsbezeichnungen;
  • Beschränken des Zugriffs auf alle externen Benutzer vom Zugriff auf die verschiedenen Container basierend auf der Richtlinie;
  • Einschränken des Teilens von Inhalten mit externen Benutzern außerhalb der bestehenden Mitgliedschaft innerhalb der Container;
  • Beschränkung des Zugriffs auf Inhalte von nicht verwalteten Geräten, die entweder persönliche oder nicht konforme Geräte sind; oder
  • Einschränken des Verhaltens von Inhaltsfreigabelinks, die gesendet oder generiert werden, wenn eine Datei von einem der Container freigegeben wird.

So verwenden Sie PowerShell zum Arbeiten mit Office 365-Vertraulichkeitsbezeichnungen

Das Compliance Center kann nicht alle verfügbaren Funktionen für Vertraulichkeitsbezeichnungen ausführen. Administratoren müssen PowerShell verwenden, um einige Konfigurationen anzupassen, z Freigabesteuerelemente für Dokumente in SharePoint und OneDrive.
Im folgenden Beispiel möchte ein Administrator eine Richtlinie definieren, um Bearbeitungen oder Berechtigungsänderungen für Inhalte mit der Bezeichnung . einzuschränken Unternehmens-F&E wenn es in SharePoint oder OneDrive freigegeben wird.
Erstellen Sie zunächst das Label entweder über das Webportal oder über PowerShell:
New-LabelPolicy -Name “Forschung und Entwicklung” -Labels “R and D”,”F and D Management”
Bestimmen Sie als Nächstes den Global Unique Identifier (GUID) des Labels:
Get-Label | Format-Table -Eigenschaft DisplayName, Name, Guid
In diesem Beispiel gibt der Befehl die folgende GUID aus:
8facd7b8-8d20-38a3-8e42-0f96321a848e
Verwenden Sie als Nächstes die GUID, um die Berechtigungen für die Dateien zu ändern, wenn diese über SharePoint oder OneDrive über einen Link freigegeben werden. Die Berechtigungsoptionen umfassen DefaultShareLinkPermission. Die verfügbaren Werte sind:

  • Sicht. Legt die standardmäßige Linkberechtigung für die Site fest, um Berechtigungen anzuzeigen.
  • Bearbeiten. Legt die standardmäßige Linkberechtigung für die Site fest, um Berechtigungen zu bearbeiten.

In diesem Beispiel legt das System freigegebene Dateien, die als Corporate R&D gekennzeichnet sind, so fest, dass sie nur angezeigt werden, sodass der Empfänger keine Änderungen an der Datei oder dem Link vornehmen kann. Der letzte Befehl lautet:
Set-Label -Identity 8facd7b8-8d20-38a3-8e42-0f96321a848e -AdvancedSettings @{DefaultShareLinkPermission=”View”}
Vertraulichkeitslabels bieten Unternehmen eine einfache und effektive Möglichkeit, Automatisierung zu nutzen um Inhalte zu schützen von mehr als nur einem Workload innerhalb des Office 365-Abonnements. Dies hilft nicht nur, Informationen zu schützen, die bestimmte Kriterien erfüllen, wie gesundheitsbezogene oder finanzielle Daten, sondern kann auch auf Containerebene in Microsoft Teams, SharePoint-Sites und Office 365-Gruppen angewendet werden.

Similar Posts

Leave a Reply