Office-Dokumente verschlüsseln: So nutzen Sie die automatischen Sensitivity Labels in Microsoft 365

Sensible Dokumente sollten verschlüsselt werden – aus Datenschutzgründen wie aus DSGVO-Anforderungen. Microsoft bietet dafür über die Vertraulichkeitsbezeichnungen (Sensitivity Labels) eine universelle Lösung für Office- und andere Dateitypen an. Lesen Sie hier, wie Sie diese einrichten, automatisieren und welche Anwendungen das unterstützen.

Schutzstatus mit Vertraulichkeitsbezeichnungen festlegen

Microsoft stellt mit Microsoft Information Protection (MIP) ein Paket an Funktionen bereit, mit denen Sie vertrauliche Informationen in den verschiedensten Szenarien schützen und verwalten können. Zu den wichtigsten Funktionen gehören die Vertraulichkeitsbezeichnungen (Sensitivity Labels). Damit können Sie Inhalte nach ihrem Schutzstaus kennzeichnen und zusätzlich auch verschlüsseln. Diese Option ist insbesondere dann gefragt, wenn sensible Daten in der Cloud abgelegt verarbeiten werden sollen.

Automatisch Office-Dokumente verschlüsseln mit E5-Lizenz

Die Vertraulichkeitsbezeichnungen sind ab der Office 365-Lizenz E3 enthalten. Allerdings müssen die Labels hier manuell vergeben werden, was einen erhöhten Aufwand für die Anwender bedeutet. Um das Kennzeichnen zu automatisieren, ist eine erweiterte Lizenz mit Auto-Labeling erforderlich, also eine Office 365 E5-Lizenz oder ein Lizenz Add-On wie Microsoft 365 E5 Security & Compliance. Damit lassen sich dann Szenarien realisieren wie: „Alle Dateien, die im Team der Geschäftsleitung abgelegt werden, automatisch mit dem Label Internal Only versehen.“

Die Aktivierung von Auto-Labeling erfolgt über das Microsoft 365 Compliance Center:

Sie können hier zunächst die Orte für das automatische, regelbasierende Vergeben von Labels festlegen, also Exchange, SharePoint, OneDrive – und damit auch Teams:

Zu beachten ist, dass sich der automatische Schutz nur auf bestimmte Dateitypen beschränkt. Eingeschlossen sind Office Dateien vom Typ DOCX, PPTX und XSLX in SharePoint und OneDrive. Bei Exchange Online gilt, dass PDF-Anhänge und Office-Dateien anhand der festgelegten Auto-Labeling-Richtlinie überprüft werden. Trifft die Richtlinie zu, wird die E-Mail als zu schützend gekennzeichnet, allerdings nicht der Anhang. Weitere Details dazu finden Sie hier: Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte.

Automatischer Schutz auch für bestimmte nicht-Office-Dateien

Sensible Inhalte finden sich oft auch in Dateien außerhalb des Office-Spektrums. Hier ist vor allem das PDF-Format zu nennen, verbreitet sind zudem JPG, PNG, Visio (VSDX) und etliche andere. Eine komplette Liste der von MIP unterstützten Formatefinden Sie in folgendem Artikel: Unterstützte Dateitypen für Klassifizierung und Schutz.

Auch diese Formate können Sie automatisch mit einem Label versehen. Dazu müssen Sie in der Microsoft Defender for Cloud Apps eine Dateirichtlinie erstellen:

Weitere Informationen dazu finden Sie hier: Tutorial: Automatisches Anwenden von Azure Information Protection-Klassifizierungsbezeichnungen

Der abgebildete Dienst Microsoft Defender for Cloud Apps ist übrigens nicht Bestandteil des E5-Pakets. Die Lizenz ist über unterschiedliche Pakete zu erwerben: Erste Schritte mit Microsoft Defender für Cloud-Apps.

Für nicht-unterstütze Dateitypen den AIP-Client einsetzen

Falls Sie Dateien verschlüsseln wollen, die nicht in der Liste der Unterstützte Dateitypen für Klassifizierung und Schutz aufgeführt sind, können Sie den Azure Information Protection (AIP)-Client nutzen. Mit dieser Anwendung können Sie jedes beliebige Dateiformat verschlüsseln und wieder entschlüsseln.

Sofern sich ein Format nicht auf der Liste befindet, eignet sich der Information Protection Viewer allerdings nicht zur Dateianzeige. Eine solche Datei muss dann erst entschlüsselt abgespeichert werden, um sie anschließend mit der zugehörigen Client-Anwendung zu öffnen. Diese Lücke betrifft zum Beispiel auch noch Videoformate.

Mit PowerShell nicht-unterstützte Typen verschlüsseln

Um auch solche nicht unterstützten Dateien mittels automatischem Labeling zu schützen, können Sie folgendermaßen vorgehen (Grundlagen zur Verwendung der PowerShell finden Sie hier):

1. Synchronisieren Sie den Ordner mit den Video-Dateien, die verschlüsselt werden sollen, mit OneDrive for Business.
2. Verschlüsseln Sie die Video-Dateien am lokalen Rechner mit folgendem PowerShell-Skript:

   Set-AIPFileLabel -Path C:\Project Videos\ -LabelId d9f23ae3-1324-1234-1234-f515f824c57b

3. Anschließend synchronisiert OneDrive for Business die verschlüsselten Video-Dateien wieder nach SharePoint Online.

Ausblick:

Microsoft hat dazu nun eine neue Funktion angekündigt, die zum gleichen Ergebnis führt. Damit kann einer SharePoint Online Dokumentenbibliothek ein Label zugewiesen werden, dass dann automatisch auf alle Dateien in dieser Bibliothek angewendet wird.  Mehr Infos dazu gibt es hier: https://www.microsoft.com/en-us/microsoft-365/roadmap?filters=&searchterms=85621

• About
• Latest Posts

Nicki Borell

Nicki Borell ist Microsoft Regional Director, MVP für Office Apps & Services, Mitgründer von Experts Inside und Gründer des Labels „Xperts at Work“. Als Team setzen wir erfolgreich IT- und Strategieprojekte im gehobenen Mittelstand und Großkundensegment um. Profitieren Sie von unserer Expertise, unserer Kompetenz und unserem Fachwissen, das wir zusammen mit starken Partnern in jedes unserer Projekte mit einbringen. Kontakt: nb@expertsinside.com

Latest posts by Nicki Borell (see all)

• Nach zwei Jahren Copilot: Was haben wir erreicht, und wo werden die Erwartungen enttäuscht? - 14. März 2025
• KI-generierte Texte entlarven – was leisten KI-Detektor-Tools? - 12. Dezember 2024
• Copilot-Einsatz vorbereiten: Mit Metadaten die KI füttern, oder alternativ den semantischen Index verwenden - 16. Oktober 2024