Sensitivity Labels in Microsoft Teams

Möchten Sie Ihre Compliance in Microsoft Teams verbessern? Sie brauchen dafür Vertraulichkeitsbezeichnungen, sogenannte Sensitivity Labels.

Die Nutzung von Microsoft Teams in Unternehmen verbreitet sich immer mehr. Es kann daher häufiger vorkommen, dass in bestimmten Teams geschäftskritische Inhalte (wie z.B. Finanzen oder Informationen im Personalwesen) gespeichert oder über diese diskutiert werden. Hier sollten besonders hohe Schutzmaßnahmen ergriffen werden, um die Sicherheit der Inhalte zu gewährleisten, unabhängig davon, ob sie sich in einer Datei oder in einem Chat befinden. Für weitere Hinweise zur Verwaltung von MS Teams, lesen Sie dazu unseren Artikel “Einfache Teams Verwaltung durch Fachabteilung”.

Sensitive Daten schützen

Microsoft Information Protection (Informationsschutz) bietet dafür einige Funktionen, um sensitive Daten zu erkennen, Daten zu schützen und Datenverluste in Microsoft 365 Anwendungen (z. B. Word, PowerPoint und Outlook) und Diensten (z. B. Teams, SharePoint und Exchange) zu verhindern.

Die Sensitivity Labels (Vertraulichkeitsbezeichnungen) von Microsoft Information Protection können zum Schutz von Dokumenten (z.B. zur Verschlüsselung einer Excel-Datei) und Containern (z. B. zur Beschränkung des Zugriffs auf ein vertrauliches Team) verwendet werden. So lassen sie sich mit den Richtlinien zum Datenschutz, zur Mitgliedschaft externer Benutzer und zum Zugriff auf nicht verwaltete Geräte verknüpfen.

Fühlen Sie sich verloren, wenn es um die Sicherheit in Microsoft Teams geht? Eine Übersicht der wichtigsten Einstellungen und Konfigurationsmöglichkeiten finden Sie in dem Artikel „Sicherheit in Microsoft Teams„.

Beispiele für die Nutzung von Sensitivity Labels

Datenschutzstufe für Teams festlegen

Bei der Anlage von Teams können Sensitivity Labels genutzt werden, um ein Team mit einer bestimmten (öffentlichen oder privaten) Datenschutzeinstellung zu erstellen. Existiert ein Sensitivity Label mit dem Namen „Vertraulich“, für die die Option zum Datenschutz als privat konfiguriert ist, wird bei der Teamanlage dieses Label dafür sorgen, dass das Team privat ist. Wenn nun ein Benutzer ein neues Team erstellt und das Sensitivity Label „Vertraulich“ auswählt, steht dem Benutzer nur die Datenschutzoption „Privat“ zur Verfügung. Andere Datenschutzoptionen, wie „Öffentlich“, stehen dem Benutzer nicht mehr zur Auswahl:

Bei Teams mit einem Sensitivity Label wird dieses in der oberen rechten Ecke der Kanäle angezeigt:

Ein Teambesitzer kann das Sensitivity Label und die Datenschutzeinstellung des Teams jederzeit ändern:

Gastzugriff auf Teams steuern

Es können Sensitivity Label verwendet werden, um den Gastzugriff auf die jeweiligen Teams zu steuern. Teams, die mit einem Label erstellt wurden, die keinen Gastzugriff erlauben, sind nur für Benutzer in der Organisation verfügbar. Personen außerhalb der Organisation können dem Team nicht hinzugefügt werden.

Einrichtung der Sensitivity Labels

Anlage der Sensitivity Labels

Die Teams-Administratoren können über die Sensitivity Labels den Zugriff auf vertrauliche Organisationsinhalte schützen und regeln, die während der Zusammenarbeit innerhalb eines Teams entstanden sind. Der erste Schritt zur Sicherung sensibler Inhalte in Teams, Websites und Gruppen ist die Erstellung von Sensitivity Labels mit Richtlinien.

Beispielsweise kann ein Sensitivity Label mit der Bezeichnung „Vertraulich“ erstellt werden, welches festlegt, dass jedes Team, jede Site oder Gruppe, die mit diesem Label erstellt wird, privat ist. Somit kann selbst ein Team- oder Site-Eigentümer keine Benutzer außerhalb der Organisation hinzufügen.

Im Microsoft 365 Compliance können die Sensitivity Labels unter dem Menüpunkt Informationsschutz angelegt werden.

Bereiche für Sensitivity Labels

Die Sensitivity Labels können auf Dateien, E-Mails, Container wie SharePoint-Websites und Microsoft Teams und vieles mehr angewendet werden.

Bei Dateien und E-Mails können Verschlüsselungs- und Inhaltsmarkierungseinstellungen konfiguriert werden, welche die entsprechenden E-Mails und Office-Dateien schützen. Auch automatische Bezeichnungsbedingungen können eingestellt werden, um die Sensitivity Labels automatisch auf Inhalte in Office, Dateien in Azure und mehr anzuwenden.
Um Sensitivity Labels auf Teams, Share Point-Websites und Microsoft 365-Gruppen anzuwenden, müssen zunächst einige Schritte durchgeführt werden, um das Feature zu aktivieren. Dazu finden Sie eine Anleitung bei Microsoft.

Mit den Sensitivity Labels können im Bereich für Gruppen und Webseiten Datenschutz, Zugriffskontrolle und andere Einstellungen zum Schutz von entsprechenden Teams, Microsoft 365-Gruppen und SharePoint-Webseiten vorgenommen werden.

Folgende Einstellungen sind hierbei möglich:

• Einstellungen für den Datenschutz und Zugriff externer Benutzer
• Einstellungen für den Gerätezugriff (Zugriff von nicht verwalteten Geräten aus) und die externe Freigabe von bezeichneten SharePoint-Websites

Abschließend muss das Sensitivity Label noch veröffentlich werden, in dem eine Richtlinie für dieses Label hinzugefügt wird. Allen Benutzern, denen die entsprechende Richtlinie zugeordnet wurde, können das Label nun für die Gruppen oder Websites auswählen.

Nutzung von Sensitivity Labels in Microsoft Teams

Wurden von der Unternehmens-IT, Sensitivity Labels konfiguriert, lassen diese sich in den Teams-Einstellungen von Microsoft Teams auswählen. Diese beinhalten dann speziell konfigurierbare Schutzfunktionen, welche automatisch auf das jeweilige Team angewandt werden.
Wenn nun ein Benutzer ein Team erstellt und dabei ein Sensitivity Label auswählt, gelten alle zugrunde liegenden Richtlinien automatisch für dieses. Wird z.B. während der Teamerstellung das Label „Vertraulich“ ausgewählt, wird das neue Team automatisch den Zugriff auf genehmigte Mitglieder in der Organisation beschränken und das Hinzufügen von Personen außerhalb der Organisation verhindern. Das Team wird dann als privat festgelegt, so wie im genannten Beispiel „Datenschutzstufe für Teams festlegen“.

Anzeige der Sensitivity Labels im Microsoft 365 Admin Center

Im Microsoft 365 Admin Center lässt sich bei einer Gruppe das zugewiesene Sensitivity Label anzeigen.

Darüber lassen sich auch Gruppen mit Sensitivity Labels erstellen oder bearbeiten.

Auch im Azure Active Directory-Portal lassen sich Gruppen mit solchen Labels erstellen und bearbeiten.

Aktuell lassen sich im Microsoft Teams Admin Center keine Sensitivity Labels anzeigen oder bearbeiten, obwohl Microsoft hier widersprüchliche Angaben macht:

https://docs.microsoft.com/de-de/microsoft-365/compliance/sensitivity-labels-teams-groups-sites?view=o365-worldwide#support-for-sensitivity-labels

https://docs.microsoft.com/de-DE/microsoftteams/sensitivity-labels?#microsoft-teams-admin-center

Fazit

In den Unternehmen müssen Mitarbeiter mit Kollegen aus der Organisation, sowie mit Personen außerhalb ihrer Organisation kommunizieren und zusammenarbeiten. Dadurch kann es sein, dass Daten nicht mehr durch eine Firewall geschützt sind, sondern zwischen verschiedenen Apps, Diensten und Geräten ausgetauscht werden. Die Unternehmens-IT sollte dies auf eine geschützte Weise absichern, um den Compliance-Richtlinien des Unternehmens zu entsprechen.

Die Sensitivity Labels von Microsoft Information Protection bieten hierfür eine gute Lösung, mithilfe derer Daten der Organisation geschützt und klassifiziert werden können. Vor allem Einstellungen für den Datenschutz, der Zugriff von nicht verwalteten Geräten und der externe Benutzerzugriff bzw. die externe Freigabe sind wichtige Richtlinien, welche ganz einfach durch die Unternehmens-IT gesteuert werden können. Nicht zu vergessen sind die Benutzer selbst, deren Zusammenarbeit und Produktivität hierbei nicht beeinträchtigt wird.