Sensitivity labels (Vertraulichkeitsbezeichnungen) für Gruppen und Microsoft Teams anwenden

Sensitivity labels, im Deutschen etwas holprig mit Vertraulichkeitsbezeichnungen übersetzt, sind in Microsoft 365 eine gute Möglichkeit, um Zugriffe auf eine Microsoft 365 Gruppe schnell und einfach zu schützen. Sie können dazu sensitivity labels, welche üblicherweise auf Dokumente oder E-Mails vergeben werden, nutzen. Es ist möglich, mit dem gleichen Label Dokumente oder E-Mails zu schützen und den Zugang zu einer Gruppe. Das Label muss im Compliance Center von Microsoft 365 angelegt und mittels einer Policy veröffentlicht werden. Ein erster Start ist mit Hilfe https://docs.microsoft.com/de-de/microsoft-365/compliance/get-started-with-sensitivity-labels?view=o365-worldwide möglich.

Das Labeln von Dokumenten oder E-Mails ist ein übliches Verfahren und auch schon länger bekannt. Er steht auch in den meisten Microsoft 365 Plänen mit zur Verfügung. Weniger bekannt ist, dass sensitivity labels auch für Microsoft 365 Gruppen verwendet werden können. Dies bedeutet, dass eine Microsoft 365 Gruppe beim Erstellen oder auch zu einem beliebigen Zeitpunkt danach mit einem Label versehen wird. Mit diesem Label können Sie folgendes erreichen. Alle Einstellungen können miteinander kombiniert werden.

  • Für eine gelabelte Gruppe können Sie den Datenschutz (öffentlich oder privat) vorgeben. Wenn Sie zum Beispiel ein Label Vertraulich konfigurieren und ein Benutzer wählt dieses aus, so kann er nur eine private Gruppe erstellen und keine öffentliche Gruppe. Natürlich müssen Sie dies während der Konfiguration mit angeben.
  • Sie könne den Zugriff externer Benutzer reglementieren. Wenn zum Beispiel in Microsoft Teams der Gastzugriff aktiviert ist, ist in allen Teams bzw. in den dahinterliegenden Microsoft 365 Gruppen der Gastzugriff aktiviert. Wenn Sie keine Gäste in dem Team haben wollen, so geht das ohne sensitivity labels nicht. Wenn Sie aber ein entsprechendes Label anwenden, sind trotz aktivierten Gastzugriff keine Gäste erlaubt.
  • Sie können mit einen entsprechend konfigurierten Label die externe Freigabe von SharePoint-Websites kontrollieren.
  • Sie können festlegen, ob der Zugriff von nicht verwalteten Geräten auf Gruppen zulässig ist.
  • Über den Authentifizierungskontext, welcher in einer Richtlinie für den bedingten Zugriff konfiguriert wird, können Sie Zugriff verweigern oder erlauben.

Voraussetzungen

Es sind mehrere Voraussetzungen nötig, damit die Labels auf eine Microsoft 365 Gruppe angewendet werden können:

  • Sie benötigen die Azure Active Directory Premium 1 Lizenz. Diese ist in mehreren Plänen (Microsoft 365 Business Premium, Microsoft E3 und höher, EMS E3 und höher) enthalten, kann aber auch einzeln pro Benutzer erworben werden. Da ist CSP Partner bin, kann ich Ihnen diesbezüglich interessante Angebote machen. Wenn Sie Interesse daran haben, kontaktieren Sie mich hier.
  • Sie müssen erst ein PowerShell Script ausführen, damit Sie überhaupt Labels für Microsoft 365 Gruppen vergeben können. Führen Sie dies nicht aus, ist die Option beim Erstellen des Labels ausgegraut und Sie können Sie nicht konfigurieren. Das untenstehende PowerShell sollte von einem globalen Administrator ausgeführt werden. Warten Sie eine Weile, bis die Änderung im Compliance Center zur Verfügung steht.
# Nur, wenn noch nicht installiert
# Install-Module -Name AzureADPreview  -AllowClobber
# Remove-Module AzureAD
# Nur, wenn nicht in Session enthalten
# Import-Module -Name AzureADPreview  

Connect-AzureAD

$setting=(Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ)
  if ($setting -eq $null)
  {
    $template = Get-AzureADDirectorySettingTemplate -Id 62375ab9-6b52-47ed-826b-58e47e0e304b
    $setting = $template.CreateDirectorySetting()
    $setting["EnableMIPLabels"] = "True"
    New-AzureADDirectorySetting -DirectorySetting $setting
  }
  else
  {
    $setting["EnableMIPLabels"] = "True"
    Set-AzureADDirectorySetting -Id $setting.Id -DirectorySetting $setting
  }

Label erstellen

Um ein Label zu erstellen, gehen Sie in das Compliance Center unter https://compliance.microsoft.com/informationprotection?viewid=sensitivitylabels. Alternativ klicken Sie im Compliance Center am rechten Rand auf Informationprotection. Erstellen Sie ein neues sensitivity label mit einem Klick auf Create a label. Vergeben Sie einen aussagekräftigen Name, Anzeigenname und Beschreibung. Aktivieren Sie die Option Groups & sites. Gegebenenfalls deaktivieren Sie die Option Files & email. Die darauffolgenden Dialoge sind selbsterklärend. Veröffentlichen Sie nach dem Erstellten des Labels dieses über eine label policy.

Anwenden und entfernen

Typischerweise wird ein Label für eine Gruppe beim Erstellen eines Teams verwendet. Dort erscheint es auch direkt im Dialog zum Erstellen eines neuen Teams.

Beachten Sie dabei, dass wenn Sie ein Label anwenden, dieses auch auf die zu der Microsoft 365 Gruppe gehörigen Website angewendet wird, allerdings nicht auf die Dokumente in der Website.

Um ein Label von einer Microsoft 365 Gruppe zu entfernen oder zu ändern, gibt es mehrere Wege.

  • In Teams wählen Sie aus dem Kontextmenü des Teams den Eintrag Team bearbeiten. Dort können Sie dann die Änderung vornehmen.
  • Gehen Sie in die Gruppenverwaltung von Azure Active Directory, rufen die Gruppe auf und bearbeiten Sie die Eigenschaften der Gruppe. Dort kann das Label entfernt/geändert werden.

Beachten Sie, dass in beiden Fällen das Label der darunter gelegenen zugehörigen SharePoint online Website nicht geändert wird. Dieses müssen Sie gegebenenfalls im SharePoint online Admincenter ändern. Lassen Sie sich dazu die Eigenschaft der Site anzeigen und gehen in den Tab Policies. Dort können Sie das Label ändern.

Fazit

Gerade für Teams, welche erhöhte Sicherheitsanforderungen stellen, bieten sensitivity labels einen unkomplizierten und effektiven Schutz. Sie sind einfach zu erstellen, anzuwenden und zu verwalten. Für den Benutzer ist die Anwendung der Labels demgegenüber transparent.