Mit Office 365 beabsichtigte Microsoft unter anderem, zwei Services, die vorher getrennt waren, miteinander zu verbinden. Bezeichnungen in Office 365 wurden ursprünglich als „Aufbewahrungsbezeichnungen“ entwickelt und dazu verwendet, festzulegen, wie lange Inhalte in Office 365 aufbewahrt werden sollten. Azure Information Protection-Bezeichnungen waren Teil eines Azure-Services, der Inhalte mit Zugriffskontrollen versehen sollte.

Im weiteren Sinne der Frage „Warum versehen wir Dokumente mit Bezeichnungen?“ können diese beiden Anwendungsfälle beschrieben werden als „Wie lange muss ich dies aufbewahren?“ und „Unter welchen Bedingungen darf hierauf zugegriffen werden?“

Im Grunde geht es also um Aufbewahrung und Vertraulichkeit. Aufbewahrung unterliegt in der Regel Vorschriften wie dieser: „Finanzdaten müssen mindestens für einen Zeitraum von sieben Jahren aufbewahrt werden.“ Vertraulichkeit hat mehr mit Sicherheitsaspekten zu tun, zum Beispiel: „Wer kann wo auf welchen Inhalt zugreifen?“ Diese Anforderungen werden in der Regel von verschiedenen Teams innerhalb eines geschäftlichen Umfelds definiert. Für eine stimmige Bezeichnungsstrategie ist also die Beteiligung beider erforderlich.

Nehmen wir Verträge als Beispiel. Ein Vertrag beliebiger Art soll beispielsweise drei Jahre lang aufbewahrt werden. Nicht alle Verträge sind allerdings in gleichem Maße vertraulich. Ein Vertrag über die Lieferung von Wasserkrügen ins Büro ist noch relativ unbedenklich. Ein Vertrag über die Übermittlung von Derivaten an bestimmte Kunden, in dem vielleicht auch noch deren Steuernummern festgehalten werden, ist da schon eine ganz andere Hausnummer.

Aufbewahrungsbezeichnungen in Office 365

Heute geht Microsoft folgendermaßen mit Bezeichnungen in Office 365 um. Bitte beachten Sie, dass in meiner Beispielumgebung alle aktiven Benutzer mit E3-Lizenzen ausgestattet sind.

Malcolm Singer ist ein IT-Administrator, der neue Aufbewahrungs- und Vertraulichkeitsbezeichnungen erstellen muss. Dafür muss er über das Sicherheits- und Compliance-Center die Registerkarte „Klassifizierungen“ aufrufen und entschließt sich, hier mit den Aufbewahrungsbezeichnungen zu beginnen.

Wenn Malcolm eine neue Bezeichnung erstellt, geht er folgendermaßen vor:

  • Er vergibt einen Namen, den die Benutzer sehen.
  • Er trägt etwaige Notizen für künftige Administratoren ein.
  • Er verfasst eine Beschreibung für Benutzer, die sich nicht sicher sind, was die Bezeichnung zu bedeuten hat.

Obwohl es möglich ist, Aufbewahrungsbezeichnungen ohne Einstellungen zu erstellen, besteht der eigentliche Sinn von Aufbewahrungsbezeichnungen darin, dass damit ein Aufbewahrungszeitraum und die nach Ablauf dieses Zeitraums zu ergreifenden Schritte erfasst werden sollen.

In diesem Beispiel etwa müssen Verträge für drei Jahre aufbewahrt werden. Im Anschluss ist Cindy aus der Finanzabteilung für die Überprüfung zuständig. Die Zeit läuft, sobald der Inhalt mit der Bezeichnung versehen wurde.

Aufbewahrungsbezeichnungen beinhalten die Option, ein Dokument als SharePoint-Datensatz zu deklarieren, was bedeutet, dass es nicht bearbeitet oder gelöscht werden kann. Allerdings können die Metadaten eines Datensatzes bearbeitet werden. In diesem Beispiel versieht Malcolm den Inhalt nicht mit einer Bezeichnung, um ihn als Datensatz zu deklarieren.

Sobald Bezeichnungen in Office 365 erstellt wurden, müssen sie noch veröffentlicht werden, um zur Verfügung zu stehen. Bezeichnungen in Office 365 werden im Rahmen einer Bezeichnungsrichtlinie veröffentlicht. Dabei können einzelne Bezeichnungen in mehreren Bezeichnungsrichtlinien verwendet werden.

Wenn eine Aufbewahrungsbezeichnung in einer Bezeichnungsrichtlinie veröffentlicht wurde, kann sie in allen unterstützten Office 365-Services (Gruppen, Exchange, SharePoint und OneDrive) verfügbar gemacht oder auf bestimmte Services beschränkt werden. Wird letztere Option verwendet, kann eine Bezeichnungsrichtlinie auch auf bestimmte Benutzer oder Benutzergruppen beschränkt werden. Ein recht häufig auftretender Anwendungsfall in diesem Zusammenhang wäre: „Abteilung X hat sehr fein abgestimmte Bezeichnungsanforderungen, die für niemand anders gelten.“

In diesem Fall steht die Bezeichnungsrichtlinie allen Benutzern in allen Services zur Verfügung.

Darum ist das wichtig

Inwiefern ist all das also wichtig?

Die Finanzabteilung verfügt möglicherweise über einen ausgefeilten Bezeichnungskatalog zur Identifikation ihrer jeweiligen Aufbewahrungsrichtlinien. Dieser könnte etwa Bezeichnungen für Verträge, Gutschriften, Forderungen, Verbindlichkeiten und so weiter enthalten.

Möglicherweise hat Malcolm bereits ein Dutzend Labels für die Finanzabteilung erstellt und sie in die „Bezeichnungsrichtlinie Finanzen“ eingefügt.

Im folgenden Monat eröffnet das Anlagenteam Malcolm, dass sie sicherstellen möchten, dass Verträge nicht gelöscht werden. Nach einem kurzen Gespräch stellt Malcolm fest, dass die Definition von „Vertrag“, die von der Finanzabteilung verwendet wird, auch für das Anlagenteam anwendbar ist. Die anderen Bezeichnungen sind für dieses Team allerdings überflüssig. Entsprechend erstellt Malcolm eine neue „Bezeichnungsrichtlinie Anlagen“, in der nur eine Bezeichnung enthalten ist – die für Verträge. Beide Richtlinien beschränken sich auf den jeweiligen Bedarf der Abteilungen Anlagen und Finanzen.

Vertraulichkeitsbezeichnungen in Office 365

Die Arbeit mit Vertraulichkeitsbezeichnungen ist ein wenig komplexer. Wir müssen dabei bestimmte Funktionen berücksichtigen, die zuvor nur im Rahmen der Azure Information Protection (AIP) zur Verfügung standen und nun in 365-Enterprise-Lizenzen integriert werden.

Bitte beachten: Das bedeutet nicht, dass AIP vollumfänglich in Office 365 eingebaut wird. Vielmehr bedeutet es, dass Lizenzen für die Enterprise-Version von Office 365 um Funktionen ergänzt werden, die vormals zu AIP gehörten.

Vertraulichkeitsbezeichnungen unterscheiden sich in einigen wichtigen Punkten von Aufbewahrungsbezeichnungen. Einerseits beinhalten Vertraulichkeitsbezeichnungen Registerkarten für Verlustvermeidung, Verschlüsselungskonfiguration und Markierung. Bei Vertraulichkeitsbezeichnungen geht es zudem stärker um die Kennzeichnung, wie mit den Dokumenten umzugehen ist, während Aufbewahrungsbezeichnungen mit der Dauer der Aufbewahrung durch Firmen zusammenhängen.

Der Verschlüsselungsabschnitt kann etwas irreführend sein, da die Einstellungen, die hier vorgenommen werden können, recht kleinteilig sind und sich nicht nur auf eine spezifische Verschlüsselungsmethode beziehen. Wenn Sie allerdings bereits mit der alten Informationsrechteverwaltung (Information Rights Management, IRM) vertraut sind, werden Sie sich richtig heimisch fühlen.

Einleitend können Sie entscheiden, ob Sie die Regel nur für Dateien oder für E-Mails und Dateien verwenden wollen. Sie können den Zugriff auf Daten auf bestimmte Zeiträume beschränken oder eine Online-Verbindung des Benutzers voraussetzen, damit dieser auf die Daten zugreifen kann. Auch auf Offline-Dateien können Sie den Zugriff zeitlich beschränken. So ist gewährleistet, dass niemand seinen Arbeitsplatz verlässt und auf alle Dateien auf der vollgepackten Festplatte noch mühelos zugegriffen werden kann.

Darüber hinaus können Sie spezifische Zugriffsrechte bestimmten Benutzern oder Benutzergruppen in Ihrer Umgebung zuweisen oder sie nach E-Mail-Adresse oder Domänenname verteilen. Sie können diese Rechte entweder nach der Rolle (Mitautor, Mitbesitzer, Anzeigender Benutzer oder Prüfer) oder durch Einstellungen aus der folgenden Liste anpassen.

Oben habe ich die gleichen Regeln für den Geltungsbereich und die Verfügbarkeit auf jkmccoy und julie.wins angewendet. jkmccoy allerdings kann nur Inhalte aufrufen, die mit „TLM Secret“ bezeichnet sind, während julie.wins Mitautorin für Inhalte mit der Bezeichnung „TLM Secret“ ist.

Das Versehen von Inhalten mit Bezeichnungen ist recht unkompliziert. Man setzt damit Zeichen in Dokumente, egal ob als Text in der Kopf- oder Fußzeile oder als ganzseitiges Wasserzeichen. Derzeit liegen diese Zeichen nur in Textform vor; Bilder sind dafür nicht festgelegt.

Schließlich und endlich helfen Vertraulichkeitsbezeichnungen bei der Vermeidung von Datenverlusten am Endpunkt. Indem Sie diesen Schalter aktivieren, schützen Sie das Dokument effektiv mit Windows Information Protection.

Im nächsten Beitrag werde ich etwas mehr ins Detail gehen, was automatische Bezeichnungen betrifft. Warum sich auf ohnehin schon erschöpfte Menschen verlassen, wenn man Bezeichnungen hinzufügt? Erleichtern Sie allen die Arbeit, indem Sie diesen Prozess automatisieren!


Sie möchten noch mehr über Office 365 erfahren? Abonnieren Sie unseren Blog, um jede Woche Neuigkeiten zu erhalten!