Teams für den Schutz hochgradig vertraulicher Daten konfigurieren

Informationssymbol Einige Features in diesem Artikel erfordern Microsoft Syntex – SharePoint Advanced Management

In diesem Artikel sehen wir uns das Einrichten eines Teams an, in dem hochgradig vertrauliche Daten geschützt sind. Bevor Sie die Schritte in diesem Artikel ausführen, müssen Sie die Schritte unter Bereitstellen von Microsoft Teams mit Basisschutz abgeschlossen haben.

Für diese Schutzebene erstellen wir eine Vertraulichkeitsbezeichnung, die in Ihrem Unternehmen für hochgradig vertrauliche Teams und Dateien verwendet werden kann.

Die "Hochgradig vertraulich"-Stufe bietet den folgenden zusätzlichen Schutz gegenüber der Basisstufe:

  • Eine Vertraulichkeitsbezeichnung für das Team, mit der Sie die Gastfreigabe aktivieren oder deaktivieren können und eine Richtlinie für bedingten Zugriff für den Zugriff auf die SharePoint-Website erzwingt.
  • Die Bezeichnung wird auch als Standardbezeichnung für Dateien verwendet und verschlüsselt die Dateien, auf die sie angewendet wird. Nur Mitglieder Ihrer Organisation und Gäste, die Sie angegeben haben, können Dateien entschlüsseln, die diese Bezeichnung verwenden.
  • Nur Teambesitzer können private Kanäle erstellen.
  • Der Websitezugriff ist auf Teammitglieder beschränkt.

Videodemonstration

Schauen Sie sich dieses Video an, um eine exemplarische Vorgehensweise für die in diesem Artikel beschriebenen Verfahren zu finden.

Gastfreigabe

Je nach Art des Unternehmens ist möglicherweise die Gastfreigabe für Teams erforderlich, in denen hochgradig vertrauliche Daten vorhanden sind. Wenn Sie die Zusammenarbeit mit Personen außerhalb Ihrer Organisation in einem solchen Team planen, empfiehlt es sich, die Gastfreigabe zu aktivieren. Microsoft 365 umfasst eine Vielzahl von Sicherheits- und Compliance-Features, um vertrauliche Inhalte sicher freigeben zu können. Dies ist in der Regel eine sicherere Option als das direkte Senden von Inhalten an Personen außerhalb Ihrer Organisation.

Details zur sicheren Freigabe für Gäste finden Sie in den folgenden Ressourcen:

Um die Gastfreigabe zuzulassen oder zu blockieren, verwenden wir Steuerelemente, die in Vertraulichkeitsbezeichnungen verfügbar sind.

Authentifizierungskontext

Wir verwenden einen Microsoft Entra-Authentifizierungskontext , um strengere Zugriffsbedingungen zu erzwingen, wenn Benutzer auf SharePoint-Websites zugreifen.

Fügen Sie zunächst einen Authentifizierungskontext in Microsoft Entra ID hinzu.

So fügen Sie einen Authentifizierungskontext hinzu

  1. Wählen Sie in Microsoft Entra Conditional Access unter Verwaltendie Option Authentifizierungskontexte aus.

  2. Wählen Sie Neuer Authentifizierungskontext aus.

  3. Geben Sie einen Namen und eine Beschreibung ein, und aktivieren Sie das Kontrollkästchen In Apps veröffentlichen .

    Screenshot der Benutzeroberfläche zum Hinzufügen des Authentifizierungskontexts.

  4. Klicken Sie auf Speichern.

Erstellen Sie als Nächstes eine Richtlinie für bedingten Zugriff, die für diesen Authentifizierungskontext gilt und für die Gäste beim Zugriff auf SharePoint die mehrstufige Authentifizierung verwenden müssen.

So erstellen Sie eine Richtlinie für bedingten Zugriff

  1. Wählen Sie unter Bedingter Zugriff von Microsoft Entradie Option Neue Richtlinie erstellen aus.

  2. Geben Sie einen Namen für die Richtlinie ein.

  3. Wählen Sie auf der Registerkarte Benutzer die Option Benutzer und Gruppen auswählen aus, und aktivieren Sie dann das Kontrollkästchen Gast oder externe Benutzer .

  4. Wählen Sie Gastbenutzer für die B2B-Zusammenarbeit aus der Dropdownliste aus.

  5. Wählen Sie auf der Registerkarte Zielressourcen unter Auswählen, wofür diese Richtlinie gilt die Option Authentifizierungskontext aus, und aktivieren Sie das Kontrollkästchen für den von Ihnen erstellten Authentifizierungskontext.

    Screenshot: Authentifizierungskontextoptionen in Cloud-Apps oder Aktionseinstellungen für eine Richtlinie für bedingten Zugriff.

  6. Wählen Sie auf der Registerkarte Gewähren die Option Mehrstufige Authentifizierung erforderlich aus, und wählen Sie dann Auswählen aus.

  7. Wählen Sie aus, ob Sie die Richtlinie aktivieren möchten, und wählen Sie dann Erstellen aus.

Wir verweisen auf den Authentifizierungskontext in der Vertraulichkeitsbezeichnung.

Vertraulichkeitsbezeichnungen

Für die hochsensible Schutzebene verwenden wir eine Vertraulichkeitsbezeichnung, um das Team zu klassifizieren. Wir verwenden diese Bezeichnung auch, um einzelne Dateien im Team zu klassifizieren und zu verschlüsseln. (Es kann auch für Dateien an anderen Dateispeicherorten wie SharePoint oder OneDrive verwendet werden.)

Als ersten Schritt müssen Sie Vertraulichkeitsbezeichnungen für Microsoft Teams aktivieren. Weitere Informationen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites .

Wenn Sie in Ihrer Organisation bereits über Vertraulichkeitsbezeichnungen verfügen, überlegen Sie, wie sich diese Bezeichnung in Ihre allgemeine Bezeichnungsstrategie einfügt. Sie können den Namen oder die Einstellungen bei Bedarf an die Anforderungen Ihrer Organisation anpassen.

Sobald Sie Vertraulichkeitsbezeichnungen für Microsoft Teams aktiviert haben, besteht der nächste Schritt darin, die erforderliche Bezeichnung zu erstellen.

Erstellen einer Vertraulichkeitsbezeichnung

  1. Öffnen Sie das Microsoft Purview Complianceportal.
  2. Erweitern Sie unter Lösungenden Eintrag Informationsschutz.
  3. Wählen Sie Bezeichnung erstellen aus.
  4. Weisen Sie der Bezeichnung einen Namen zu. Wir empfehlen Hochgradig vertraulich, Sie können aber auch einen anderen Namen auswählen, falls dieser bereits verwendet wird.
  5. Fügen Sie einen Anzeigenamen und eine Beschreibung hinzu, und wählen Sie dann Weiter aus.
  6. Wählen Sie auf der Seite Bereich für diese Bezeichnung definierendie Option Elemente, Dateien, E-Mails und Gruppen & Websites aus. Deaktivieren Sie das Kontrollkästchen Besprechungen .
  7. Wählen Sie Weiter aus.
  8. Wählen Sie auf der Seite Schutzeinstellungen für Dateien und E-Mails auswählen die Option Verschlüsselung anwenden oder entfernen aus, und wählen Sie dann Weiter aus.
  9. Wählen Sie auf der Seite Verschlüsselung die Option Verschlüsselungseinstellungen konfigurieren aus.
  10. Wählen Sie unter Berechtigungen bestimmten Benutzern und Gruppen zuweisen die Option Berechtigungen zuweisen aus.
  11. Wählen Sie Alle Benutzer und Gruppen in Ihrer Organisation hinzufügen aus.
  12. Wenn Gäste über Berechtigungen zum Entschlüsseln von Dateien verfügen sollten, wählen Sie Benutzer oder Gruppen hinzufügen aus, und fügen Sie sie hinzu.
  13. Wählen Sie die Option Speichern und dann Weiter aus.
  14. Wählen Sie auf der Seite Automatische Bezeichnung für Dateien und E-Mailsdie Option Weiter aus.
  15. Wählen Sie auf der Seite Schutzeinstellungen für Gruppen und Websites definierendie Optionen Datenschutz und Zugriff externer Benutzer sowie Externe Freigabe und bedingter Zugriff aus, und wählen Sie Weiter aus.
  16. Wählen Sie auf der Seite Definieren von Einstellungen für Datenschutz und den Zugriff externer Benutzer unter Datenschutz die Option Privat aus.
  17. Wenn Sie Gastzugriffe zulassen wollen, wählen Sie unter Externer Benutzerzugriff die Option Zulassen, dass Microsoft 365-Gruppenbesitzer Personen außerhalb Ihrer Organisation als Gäste zur Gruppe hinzufügen.
  18. Wählen Sie Weiter aus.
  19. Wählen Sie auf der Seite Einstellungen für externe Freigabe und bedingten Zugriff definierendie Option Externe Freigabe von beschrifteten SharePoint-Websites steuern aus.
  20. Wählen Sie unter Inhalt kann geteilt werden mit die Option Neue und bestehende Gäste aus, wenn Sie den Gastzugriff erlauben wollen, oder anderenfalls Nur Personen in Ihrer Organisation.
  21. Wählen Sie Bedingten Zugriff von Microsoft Entra verwenden aus, um bezeichnete SharePoint-Websites zu schützen.
  22. Wählen Sie die Option Vorhandenen Authentifizierungskontext auswählen und dann den von Ihnen erstellten Authentifizierungskontext aus der Dropdownliste aus.
  23. Wählen Sie Weiter aus.
  24. Wählen Sie auf der Seite Automatische Bezeichnung für schematisierte Datenressourcen die Option Weiter aus.
  25. Wählen Sie Bezeichnung erstellen und dann Fertig aus.

Nachdem Sie die Bezeichnung erstellt haben, müssen Sie sie für die Benutzer veröffentlichen, die sie verwenden sollen. Für sensiblen Schutz stellen wir die Bezeichnung allen Benutzern zur Verfügung. Sie veröffentlichen die Bezeichnung im Microsoft Purview-Complianceportal auf der Seite Bezeichnungsrichtlinien unter Informationsschutz. Wenn bereits eine Richtlinie vorhanden ist, die für alle Benutzer gilt, fügen Sie diese Bezeichnung zu dieser Richtlinie hinzu. Wenn Sie eine neue Richtlinie erstellen müssen, lesen Sie Veröffentlichen von Vertraulichkeitsbezeichnungen durch Erstellen einer Bezeichnungsrichtlinie.

Teams-Einstellungen

Eine weitere Konfiguration des szenarios mit hoher Vertraulichkeit erfolgt im Team selbst und auf der SharePoint-Website, die dem Team zugeordnet ist. Der nächste Schritt besteht darin, ein Team zu erstellen.

Wir erstellen das Team im Teams Admin Center.

So erstellen Sie ein Team für hochgradig vertrauliche Informationen

  1. Erweitern Sie im Teams Admin Center die Option Teams , und wählen Sie Teams verwalten aus.
  2. Klicken Sie auf Hinzufügen.
  3. Geben Sie einen Namen und eine Beschreibung für das Team ein.
  4. Fügen Sie einen oder mehrere Besitzer für das Team hinzu. (Behalten Sie sich als Besitzer, damit Sie eine Standard-Vertraulichkeitsbezeichnung für dateien unten auswählen können.)
  5. Wählen Sie in der Dropdownliste Vertraulichkeit die Vertraulichkeitsbezeichnung aus, die Sie für hochsensible Informationen erstellt haben.
  6. Wählen Sie Anwenden aus.

Einstellungen für private Kanäle

Auf dieser Ebene wird die Möglichkeit der Erstellung privater Kanäle auf Teambesitzer eingeschränkt.

So schränken Sie die Erstellung privater Kanäle ein

  1. Wählen Sie im Teams Admin Center das Team aus, das Sie erstellt haben, und wählen Sie dann Bearbeiten aus.
  2. Erweitern Sie Nachrichtenberechtigungen.
  3. Legen Sie Private Kanäle hinzufügen und bearbeiten auf Aus fest.
  4. Wählen Sie Anwenden aus.

Einstellungen für freigegebene Kanäle

Freigegebene Kanäle haben keine Einstellungen auf Teamebene. Die Einstellungen für freigegebene Kanäle, die Sie im Teams Admin Center und im Microsoft Entra Admin Center konfigurieren, gelten für einzelne Benutzer.

SharePoint-Einstellungen

Jedes Mal, wenn Sie ein neues Team mit der Bezeichnung „Hochgradig vertraulich“ erstellen, müssen Sie in SharePoint zwei Schritte ausführen:

  • Beschränken des Zugriffs auf die Website auf Mitglieder des Teams
  • Wählen Sie eine Standard-Vertraulichkeitsbezeichnung für die Dokumentbibliothek aus, die mit dem Team verbunden ist.

Die Standard-Vertraulichkeitsbezeichnung muss auf der Website selbst konfiguriert werden und kann nicht über das SharePoint Admin Center oder über PowerShell eingerichtet werden.

Einschränken des Websitezugriffs auf Teammitglieder

Jedes Mal, wenn Sie ein neues Team mit der hochsensiblen Bezeichnung erstellen, müssen Sie die Websitezugriffseinschränkung auf der zugeordneten SharePoint-Website aktivieren. Dadurch wird verhindert, dass Personen von außerhalb des Teams auf die Website oder deren Inhalte zugreifen. (Hierfür ist eine Microsoft Syntex - SharePoint Advanced Management-Lizenz erforderlich.)

Wenn Sie noch keine Websitezugriffseinschränkung verwendet haben, müssen Sie sie für Ihre Organisation aktivieren.

  1. Erweitern Sie im SharePoint Admin Center die Option Richtlinien, und klicken Sie dann auf Zugriffssteuerung.
  2. Wählen Sie Websitezugriffseinschränkung aus.
  3. Wählen Sie Zugriffseinschränkung zulassen und dann Speichern aus.

Es kann bis zu einer Stunde dauern, bis dies wirksam wird.

So aktivieren Sie die Websitezugriffseinschränkung für die Website

  1. Erweitern Sie im SharePoint Admin Center Websites , und wählen Sie Aktive Websites aus.
  2. Wählen Sie die Website aus, die Sie verwalten möchten.
  3. Wählen Sie auf der Registerkarte Einstellungen im Abschnitt Eingeschränkter Websitezugriff die Option Bearbeiten aus.
  4. Aktivieren Sie das Kontrollkästchen Zugriff auf diese Website einschränken , und wählen Sie Speichern aus.

Auswählen einer Standard-Vertraulichkeitsbezeichnung für Dateien

Wir verwenden die Vertraulichkeitsbezeichnung, die wir als Standard-Vertraulichkeitsbezeichnung für die Websitedokumentbibliothek erstellt haben, die mit Teams verbunden ist. Dadurch wird die hochsensible Bezeichnung automatisch auf alle neuen bezeichnungskompatiblen Dateien angewendet, die in die Bibliothek hochgeladen werden, und verschlüsselt sie. (Hierfür ist eine Microsoft Syntex - SharePoint Advanced Management-Lizenz erforderlich.)

Sie müssen ein Teambesitzer sein, um diese Aufgabe ausführen zu können.

So legen Sie eine Standard-Vertraulichkeitsbezeichnung für eine Dokumentbibliothek fest

  1. Navigieren Sie in Teams zum Kanal Allgemein des Teams, das Sie aktualisieren möchten.

  2. Wählen Sie in der Symbolleiste für das Team Dateien aus.

  3. Wählen Sie In SharePoint öffnen aus.

  4. Öffnen Sie auf der SharePoint-Website Einstellungen , und wählen Sie dann Bibliothekseinstellungen aus.

  5. Wählen Sie im Flyoutbereich Bibliothekseinstellungendie Option Standardempfindlichkeitsbezeichnungen aus, und wählen Sie dann im Dropdownfeld die Bezeichnung für hohe Vertraulichkeit aus.

Weitere Informationen zur Funktionsweise von Standardbibliotheksbezeichnungen finden Sie unter Konfigurieren einer Standard-Vertraulichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek und Hinzufügen einer Vertraulichkeitsbezeichnung zur SharePoint-Dokumentbibliothek.

Siehe auch

Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien