Sensitivity labels (Vertraulichkeitsbezeichnungen) für Gruppen und Microsoft Teams anwenden

Sensitivity labels, im Deutschen etwas holprig mit Vertraulichkeitsbezeichnungen übersetzt, sind in Microsoft 365 eine gute Möglichkeit, um Zugriffe auf eine Microsoft 365 Gruppe schnell und einfach zu schützen. Sie können dazu sensitivity labels, welche üblicherweise auf Dokumente oder E-Mails vergeben werden, nutzen. Es ist möglich, mit dem gleichen Label Dokumente oder E-Mails zu schützen und den Zugang zu einer Gruppe. Das Label muss im Compliance Center von Microsoft 365 angelegt und mittels einer Policy veröffentlicht werden. Ein erster Start ist mit Hilfe https://docs.microsoft.com/de-de/microsoft-365/compliance/get-started-with-sensitivity-labels?view=o365-worldwide möglich.

Das Labeln von Dokumenten oder E-Mails ist ein übliches Verfahren und auch schon länger bekannt. Er steht auch in den meisten Microsoft 365 Plänen mit zur Verfügung. Weniger bekannt ist, dass sensitivity labels auch für Microsoft 365 Gruppen verwendet werden können. Dies bedeutet, dass eine Microsoft 365 Gruppe beim Erstellen oder auch zu einem beliebigen Zeitpunkt danach mit einem Label versehen wird. Mit diesem Label können Sie folgendes erreichen. Alle Einstellungen können miteinander kombiniert werden.

  • Für eine gelabelte Gruppe können Sie den Datenschutz (öffentlich oder privat) vorgeben. Wenn Sie zum Beispiel ein Label Vertraulich konfigurieren und ein Benutzer wählt dieses aus, so kann er nur eine private Gruppe erstellen und keine öffentliche Gruppe. Natürlich müssen Sie dies während der Konfiguration mit angeben.
  • Sie könne den Zugriff externer Benutzer reglementieren. Wenn zum Beispiel in Microsoft Teams der Gastzugriff aktiviert ist, ist in allen Teams bzw. in den dahinterliegenden Microsoft 365 Gruppen der Gastzugriff aktiviert. Wenn Sie keine Gäste in dem Team haben wollen, so geht das ohne sensitivity labels nicht. Wenn Sie aber ein entsprechendes Label anwenden, sind trotz aktivierten Gastzugriff keine Gäste erlaubt.
  • Sie können mit einen entsprechend konfigurierten Label die externe Freigabe von SharePoint-Websites kontrollieren.
  • Sie können festlegen, ob der Zugriff von nicht verwalteten Geräten auf Gruppen zulässig ist.
  • Über den Authentifizierungskontext, welcher in einer Richtlinie für den bedingten Zugriff konfiguriert wird, können Sie Zugriff verweigern oder erlauben.

Voraussetzungen

Es sind mehrere Voraussetzungen nötig, damit die Labels auf eine Microsoft 365 Gruppe angewendet werden können:

  • Sie benötigen die Azure Active Directory Premium 1 Lizenz. Diese ist in mehreren Plänen (Microsoft 365 Business Premium, Microsoft E3 und höher, EMS E3 und höher) enthalten, kann aber auch einzeln pro Benutzer erworben werden. Da ist CSP Partner bin, kann ich Ihnen diesbezüglich interessante Angebote machen. Wenn Sie Interesse daran haben, kontaktieren Sie mich hier.
  • Sie müssen erst ein PowerShell Script ausführen, damit Sie überhaupt Labels für Microsoft 365 Gruppen vergeben können. Führen Sie dies nicht aus, ist die Option beim Erstellen des Labels ausgegraut und Sie können Sie nicht konfigurieren. Das untenstehende PowerShell sollte von einem globalen Administrator ausgeführt werden. Warten Sie eine Weile, bis die Änderung im Compliance Center zur Verfügung steht.
# Nur, wenn noch nicht installiert
# Install-Module -Name AzureADPreview  -AllowClobber
# Remove-Module AzureAD
# Nur, wenn nicht in Session enthalten
# Import-Module -Name AzureADPreview  

Connect-AzureAD

$setting=(Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
  if ($setting -eq $null)
  {
    $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b
    $setting = $template.CreateDirectorySetting()
    $setting["EnableMIPLabels"] = "True"
    New-AzureADDirectorySetting -DirectorySetting $setting
  }
  else
  {
    $setting["EnableMIPLabels"] = "True"
    Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting
  }

Label erstellen

Um ein Label zu erstellen, gehen Sie in das Compliance Center unter https://compliance.microsoft.com/informationprotection?viewid=sensitivitylabels. Alternativ klicken Sie im Compliance Center am rechten Rand auf Informationprotection. Erstellen Sie ein neues sensitivity label mit einem Klick auf Create a label. Vergeben Sie einen aussagekräftigen Name, Anzeigenname und Beschreibung. Aktivieren Sie die Option Groups & sites. Gegebenenfalls deaktivieren Sie die Option Files & email. Die darauffolgenden Dialoge sind selbsterklärend. Veröffentlichen Sie nach dem Erstellten des Labels dieses über eine label policy.

Anwenden und entfernen

Typischerweise wird ein Label für eine Gruppe beim Erstellen eines Teams verwendet. Dort erscheint es auch direkt im Dialog zum Erstellen eines neuen Teams.

Beachten Sie dabei, dass wenn Sie ein Label anwenden, dieses auch auf die zu der Microsoft 365 Gruppe gehörigen Website angewendet wird, allerdings nicht auf die Dokumente in der Website.

Um ein Label von einer Microsoft 365 Gruppe zu entfernen oder zu ändern, gibt es mehrere Wege.

  • In Teams wählen Sie aus dem Kontextmenü des Teams den Eintrag Team bearbeiten. Dort können Sie dann die Änderung vornehmen.
  • Gehen Sie in die Gruppenverwaltung von Azure Active Directory, rufen die Gruppe auf und bearbeiten Sie die Eigenschaften der Gruppe. Dort kann das Label entfernt/geändert werden.

Beachten Sie, dass in beiden Fällen das Label der darunter gelegenen zugehörigen SharePoint online Website nicht geändert wird. Dieses müssen Sie gegebenenfalls im SharePoint online Admincenter ändern. Lassen Sie sich dazu die Eigenschaft der Site anzeigen und gehen in den Tab Policies. Dort können Sie das Label ändern.

Fazit

Gerade für Teams, welche erhöhte Sicherheitsanforderungen stellen, bieten sensitivity labels einen unkomplizierten und effektiven Schutz. Sie sind einfach zu erstellen, anzuwenden und zu verwalten. Für den Benutzer ist die Anwendung der Labels demgegenüber transparent.

Arbeiten mit Vorlagen in Microsoft Teams

In der aktuellen Corona Situation ist für viele Firmen Home Office und damit Microsoft Teams das Mittel der Wahl. Dementsprechend gibt es viele KollegInnen, welche entsprechende Anleitungen schreiben wie man Teams am besten einführt, wie man es anpasst und die Nutzer animiert es optimal zu nutzen. Dies ist nicht der nächste Artikel unter vielen zu dem Thema, denn dieser Artikel beschäftigt sich mit dem Thema Vorlagen in Microsoft Teams. Er erläutert, wie Sie einfach ein neues Team aus einem schon bestehenden erzeugen können und wo die Grenzen dessen liegen.
Microsoft Teams wird in vielen Geschäftsprozessen innerhalb einer Organisation eingesetzt. Oft sind dies Projekte und gerade dort kann man gut mit einer generischen Vorlage arbeiten. Eine Vorlage mit allen Kanälen und Tabs wird einmal erstellt und dann bei jedem neuem Projekt wieder verwendet. Dabei ist zu beachten, dass die neuen Teams natürlich eine Kopie sind und Änderungen am Template nicht auf die schon damit erstellten Teams weitergereicht werden. Änderungen an der Vorlage sind immer erst an danach erstellten Teams sichtbar. Die folgenden Ausführungen gelten für alle Teams, welche KEINE privaten Kanäle enthalten. Wie Sie mit privaten Kanälen umgehen, lesen Sie weiter unten.
Wenn Sie ein neues Team aus einem schon vorhandenen Team erstellen möchten, so erstellen Sie ggf. die Vorlage und gehen dann auf Team beitreten oder erstellen.  Dort wählen Sie dann Team erstellen und Erstellen aus… Im nächsten Dialog klicken Sie auf Team. Sie sehen alle Teams, in welchen Sie Mitglied sind. Wählen Sie das entsprechende Team und klicken Sie auf dieses. Im folgenden Fenster geben Sie dem neuen Team ein Name, wählen den Datenschutz und scrollen in dem Fenster ganz nach unten. Erst dann können Sie alle Einstellungen sehen, was Sie übernehmen wollen.
2020-03-29_13h37_16
Das neue Team wird sofort erstellt und steht den Mitgliedern zur Verfügung. Die folgende Abbildung zeigt zum einen die Vorlage und zum anderen das daraus neu erstellte Team.
2020-03-29_13h39_251

Vorlagen und private Kanäle

Wenn man die Vorlage und das neue Team vergleicht, fällt auf, dass der private Kanal Finanzen fehlt. Dies ist keine Einstellung in einer Konfiguration, sondern private Kanäle können in Vorlagen auf diesem Weg nicht verwendet werden. Es gibt allerdings andere Möglichkeiten private Kanäle in einer Vorlage zu verwenden. Bevor wir aber dazu kommen, noch ein paar Worte zu privaten Kanälen.
Auf private Kanäle darf nur ein bestimmter Personenkreis zugreifen, welcher sich zudem im Team bzw. der Office 365 Gruppe, die dem Team zugeordnet ist, befinden muss. Es ist nicht möglich, auf einen privaten Kanal eine bestehende Office 365 Gruppe direkt zu berechtigen. Muss man mit Code Teams Vorlagen erstellen, so muss man die einzelnen Benutzer aus der Office 365 Gruppe holen (aufzählen) und jeden Benutzer einzeln zuordnen. Das ist nicht weiter kompliziert, denn Microsoft Office Graph bietet dafür Methoden. Komplexer wird es, wenn nach dem Erstellen des Teams neue Benutzer hinzugefügt oder entfernt werden. Dazu könnte man an die Gruppe einen Power Automate Workflow hängen, der auf Änderung der Gruppenmitgliedschaft reagiert. Dieser Workflow entfernt oder fügt Mitglieder in die entsprechenden privaten Kanäle hinzu.
Um eine Teamvorlage zu erstellen, welche auch private Kanäle unterstützt, bieten sich verschiedene Wege an. Das eine wäre PowerShell. Man könnte die gesamte Vorlage per PowerShell coden und dieses PowerShell z.B. in Azure Automation oder Azure Function  ablegen. Über eine SharePoint Liste würden die Metadaten des neuen Teams erfasst. Das Speichern des Listeneintrages triggert dann das PowerShell. Eine Übersicht über alle Kommandos PowerShell für Teams finden Sie hier. Beachten Sie bei dieser Technik die Frage der Authentifizierung und des Kontext.
Intern machen die Kommandos der PowerShell Gebrauch von Microsoft Office Graph. Darüber können Sie nicht nur Teams verwalten, sondern so ziemlich alles machen was in Office 365 geht. Mit dem Microsoft Office Graph können Sie auch direkt arbeiten, Sie brauchen dafür kein PowerShell.
Microsoft stellt auch eigene Vorlagen für Teams zur Verfügung, welche Teams für verschiedene Branchen abbilden. Diese Vorlagen nutzen ebenfalls direkt Microsoft Office Graph. Eine Dokumentation dazu gibt hier. Die Definition eines Teams erfolgt in JSON. Eine Anleitung, wie solch eine Vorlage erstellt und ausgeführt wird, finden Sie hier. Natürlich wäre es auch möglich, wie in dem Beispiel oben, zu einem schon bestehenden Team weitere private Kanäle hinzuzufügen. Das ist das schöne an Microsoft Office Graph, er ist einfach und gleichzeitig extrem flexibel.
Das Erstellen einer Vorlage kann allerdings für jemand ohne einen Entwicklerhintergrund schwierig werden. Es ist aber nicht unmöglich, zumal man die Vorlage direkt im Browser auch testen kann. Aber vielleicht ist da der Dienstleister oder das Tool eines Drittanbieters die bessere Wahl…

Vielen Dank für Ihr Interesse an meinem Blogeintrag.
Gerne beantworte ich Ihnen persönlich weitergehende Fragen zu diesem Thema.
Kontaktieren Sie mich einfach über mein Kontaktformular oder schreiben Sie einen Kommentar.
Sie wollen mehr über meine Leistungen erfahren? Dann klicken Sie hier.