E-Mails und Dokumente schützen
Bezeichnungen und Richtlinien bieten einer Organisation also immensen Spielraum im Umgang mit Daten. Ein Beispiel soll dies verdeutlichen. Wir erstellen hierfür eine Vertraulichkeitsbezeichnung. Alles Notwendige finden Sie im Compliance Center bei den Lösungen und hier beim "Informationsschutz". Auf der einleitenden Konfigurationsseite sehen Sie oben bereits die beiden wesentlichen Elemente: "Bezeichnungen" und "Bezeichnungsrichtlinien". Wählen Sie Ersteres, führt Sie ein selbsterklärender Assistent durch die Konfiguration. Auf der ersten Seite vergeben Sie den Namen und einen erklärenden Text für die Bezeichnung. Dies wird dem Benutzer in Word oder auch Outlook später angezeigt und zur Auswahl angeboten. Das gilt sowohl für die Desktopversionen als auch für die Webvarianten der Office-Produkte.

Als Geltungsbereich entscheiden wir uns in unserem Beispiel für Dateien und E-Mails. Auf der nächsten Seite wird es spannend, hier entscheiden Sie bei Anwendung des "Labels", ob Sie die Daten verschlüsseln, markieren, also beispielsweise mit einem Wasserzeichen versehen, oder ob Sie beides möchten, was häufig Sinn ergibt. So wird direkt mit dem Dokument ersichtlich, dass dieses geschützt ist. Auf der Seite "Verschlüsselung" geben Sie an, für welche Zielgruppe das Dokument (oder die E-Mail) verschlüsselt werden soll und ob Berechtigungen zugewiesen werden sollen. Schließen Sie die Bezeichnung mit Texten für die Inhaltsmarkierung ab, also Texte für ein Wasserzeichen und wahlweise eine Kopf- oder Fußzeile.

Bezeichnungen anwenden
Sie können beliebige "Label" erstellen, um sie je nach Bedarf für einen Kreis von Anwendern zu aktivieren. Hierfür wechseln wir in unserem Beispiel zum Tab "Bezeichnungsrichtlinien" und erstellen über "Bezeichnung veröffentlichen" eine neue Richtlinie. Es lassen sich auch mehrere "Vertraulichkeitsbezeichnungen" in einer Richtlinie kombinieren, auch nachträglich.

Zuerst geben wir nun die Zielgruppe in Form von Benutzern und Gruppen an. Bei den "Einstellungen" wird es dann spannender, die Optionen hier definieren, ob eine "Vertraulichkeitsbezeichnung" zu erzwingen ist oder ob der Anwender nur einen Hinweis erhält und dann die Wahl selbst trifft, sie auf ein Dokument anzuwenden. Das war es eigentlich schon. Benutzer, die mit der Richtlinie adressiert worden sind, erhalten in ihren Office-Produkten die jeweiligen Vertraulichkeitsbezeichnungen zur Auswahl. Alternativ werden sie beim Speichern aufgefordert, Berechtigungen oder die Verschlüsselung festzulegen. Dies hängt davon ab, was Sie in der "Bezeichnung" definiert haben.

Wenn Sie neu im Thema sind und sich mit den Funktionen vertraut machen möchten, benötigen Sie übrigens keine separierte Testumgebung als Spielwiese. Bei der Veröffentlichung von Bezeichnungen können Sie als Ziel eine Gruppe angeben. Alles, was Sie benötigen, sind die Lizenzen für die Office-Produkte, die Webvarianten sind hier schon ausreichend. Als Ziel für die Bezeichnung können Sie dann Testuser angeben und weiter im Detail schauen und ausprobieren, wie sich die Fülle an Optionen und Einstellungen auswirkt, wenn Sie an den einzelnen Stellschrauben drehen.

Kein globaler Administrator für Compliance-Aktionen
Der globale Administrator, der ja in Entra ID die umfassendsten Berechtigungen hat, sollte bei den Security- und Compliance-Funktionen weitestgehend eine Funktion am Rande haben. Betriebsrat oder andere interne Gremien dürften sich bedanken, wenn jeder Global Admin auf Schutzfunktionen und stellenweise auch auf damit verbundene Dateninhalte zugreifen kann. Demzufolge finden Sie eine eigene Rollenverwaltung im Admin Center, die es gestattet, ausgewählten Mitarbeitern Funktionen zuzuweisen, die klar zum Datenschutz gehören. Der Global Admin verfügt zwar über die Rechte, die Rollen und die Mitgliedschaften zu verwalten, er selbst ist hier aber erst einmal ausgenommen. Dies gilt zum Beispiel für den Inhalts-Explorer, auf den ein Globaler Administrator keinen Zugriff hat.

Übrigens müssen Sie die Mitgliedschaften in administrativen Rollen im Admin Center an mehreren Stellen pflegen. Neben den Rollen im Compliance Center hat zum Beispiel Exchange Online dienstspezifische Rollen, deren Administration entsprechend bei Exchange Online erfolgt.

PowerShell und Fehlersuche
Die Anwendung von Vertraulichkeitsbezeichnungen unter Windows mit Office-Produkten ist stabil. Sollte jedoch in einer Anwendung, Word zum Beispiel, die Schaltfläche "Vertraulichkeit" grau hinterlegt und ohne Funktion sein, ist das ein Zeichen dafür, dass für den Anwender keine "Bezeichnungen" vorhanden sind oder diese in der Konfiguration von Bezeichnung und Richtlinie nicht im Scope des jeweiligen Benutzers sind.

Für den Fall, dass auf dem Computer eines Anwenders doch einmal eine Analyse notwendig ist, bietet sich zum Beispiel das PowerShell-Modul "aipservice" an. Es umfasst ein großes Repertoire an Cmdlets, um zum Beispiel die Verbindung zum Microsoft-Cloud-Backend zu prüfen oder Protokolle zu generieren. Es lohnt sich deshalb, mit den verschiedenen Cmdlets zu experimentieren – insbesondere mit denjenigen, die das Verhalten von "SuperUsern" steuern. Dieses Feature muss "Enabled" werden, hierzu dient das Cmdlet "Enable-Aip-ServiceSuperUserFeature". Danach lassen sich die "SuperUser" von der Power-Shell aus administrieren und zum Beispiel Benutzer definieren, die auf geschützte Inhalte zugreifen dürfen. Dies kann hilfreich sein, in falschen Händen stellen sie aber auch ein Risiko dar, das gut abgewogen sein muss.

Fazit
Unser kleiner Streifzug durch einige wichtige Compliance-Werkzeuge hat Sie hoffentlich neugierig gemacht. Die Redmonder bieten zudem in den Microsoft Docs eine Fülle an Dokumentationen und auch Lernmodule, die das ganze Spektrum der Compliance-Lösungen vertiefen. Es ist nur zu empfehlen, mit diesen Quellen tiefer in die Materie einzutauchen, um proaktiv gewappnet zu sein und um sicherzustellen, dass der Umgang mit Daten korrekt und sicher erfolgt.

ln/dr/Klaus Bierschenk

Im ersten Teil der Workshopserie haben wir das Admin Center als Dreh- und Angelpunkt beleuchtet und eine Begriffsklärung in Sachen Defender vorgenommen. Im zweiten Teil beschäftigten wir uns mit dem Anlegen von regelmäßigen Sicherheitschecks und wie Ihnen dabei Vorlagen helfen.