M365 Information Protection: Sensitivity-Labels und Teams

Datensicherheit steht sehr stark im Fokus vieler IT-Projekte, gerade wenn es um eine Transition zu Cloud Services geht. Ebenso bringen die neuen mobilen Arbeitsweisen, welche durch die weltweite Pandemie starken Vorschub bekommen haben, weitere Anforderungen an den Datenschutz hervor. Durch den Einsatz von Sensitivity-Labels können Daten daher klassifiziert und vor dem unbeabsichtigten Teil mit Dritten geschützt werden. Zusätzlich zur Klassifizierung von Dokumenten besteht diese Möglichkeit nun auch für Teams und SharePoint Online Sites, damit auch in diesen Tools die Anforderungen der Datensicherheit erfüllt werden.  

Sensitivity Labels 

Microsoft 365 Information Protection bietet Usern die Möglichkeit, Informationen und Dokumente zu klassifizieren.  Hierzu werden Dokumente mit einem Sensitivity-Label versehen (Vertraulichkeitsbezeichnung). Diese Label können visuelle Marker (Header, Footer, Watermark) oder auch Berechtigungen und Verschlüsselung auf Dokumente anwenden. Vergleicht man die durch Labeling vergebenen Rechte mit den klassischen File-Server Berechtigungen (z.B. NTFS ACLs), so zeigt sich ein wesentlicher Unterschied: File-Server Berechtigungen wirken auf dem Verzeichnis, in welchem die Datei abgelegt wurde. Label Berechtigungen hingegen wirken direkt auf die Datei (diese sind im Header der Datei gespeichert) und sind unabhängig vom Speicherort. Wird eine gelabelte Datei in ein anderes Verzeichnis verschoben oder gar als E-Mail-Attachment verschickt, so bleibt der Schutz durch das Label erhalten. Dieser Artikel fokussiert sich auf die Möglichkeiten des Labelings von M365 Groups und soll keine grundlegende Einführung für Sensitivity Labels geben. Weitere Informationen zum Thema Sensitivity Labels im Allgemeinen finden sich in der Microsoft Dokumentation:
https://docs.microsoft.com/en-us/microsoft-365/compliance/sensitivity-labels?view=o365-worldwide 

Labeling für M365 Groups / Teams / SharePoint Team Sites 

Die Möglichkeiten zur Anwendung von Sensitivity-Labels wurde mittlerweile auf M365 Groups erweitert. Eine M365 Group ist ein neuer (cloud only) Gruppentyp und ist die Basis für z.B. ein „Team“ in Microsoft Teams. Jedes Team in Microsoft Teams basiert auf einer M365 Group. Als Grundausstattung erhält jede M365 Group automatisch eine SharePoint Online Team Site, welche z.B. zur Ablage von Daten aus Microsoft Teams heraus genutzt wird. Nun ist es möglich auch eine M365 Group mit einem Sensitivity-Label zu klassifizieren und hierüber gewisse Eigenschaften und Konfigurationen vorzugeben. 

Public / Private Teams 

Ein Microsoft Teams „Team“ kann entweder Private oder Public sein. In einem Public Team kann jeder Mitarbeiter der Organisation aus eigener Kraft Mitglied werden und diesem Team beitreten. Mitglied in einem Private Team wird man nur durch Einladung des Team Owner. Mit Sensitivity-Labels lässt sich nun steuern, welche Privacy Einstellung ein neues Team erhalten soll, wenn ein bestimmtes Label angewendet wird. So könnte man z.B. steuern, dass ein mit „Confidential“ klassifiziertes Team automatisch als Private Team angelegt wird. 

Privacy Settings für M365 Groups in Sensitivity Labels
Privacy Settings für M365 Groups in Sensitivity Labels

External User Access

Über die Anlage von Gastkonten ist es möglich, externe Personen als Mitglied in M365 Groups / Teams aufzunehmen. Hierüber erhalten die externen Personen Zugriff auf die Informationen im Team, wie z.B. die in SharePoint gespeicherten Dokumente. In vielen Fällen ist dies gewünscht, um in Projekten mit Externen zusammenzuarbeiten. Ohne Sensitivity- Labels ist die Einstellung, ob Externe in Teams aufgenommen werden dürfen, eine Einstellung, die für den gesamten M365 Tenant gilt. 

Global Guest Access Settings für Microsoft Teams
Global Guest Access Settings für Microsoft Teams

Für unser „Confidential“ Team wäre es wünschenswert, wenn keine Externen aufgenommen werden könnten. Genau dies lässt sich mit Sensitivity Labels vorgeben. Über die Anwendung des Labels lässt sich steuern, ob Externe durch den Team Owner aufgenommen werden dürfen oder nicht. 

External User Settings für M365 Groups in Sensitivity Labels
External User Settings für M365 Groups in Sensitivity Labels

External Sharing

Genau wie die Einstellung für Guest Access sind auch die Einstellungen für die Freigabe von Dokumenten (Sharing Policies) Einstellungen, die global für den gesamten M365 Tenant gelten. Auch hier besteht oft der Wunsch, das Sharing für dedizierte Teams und SharePoint Sites strenger zu regulieren.

Global Guest Access Settings für Microsoft Teams
Global Guest Access Settings für Microsoft Team

Auch hier bieten SensitivityLabels eine Möglichkeit zur Konfiguration an. Wurden die Tenant Einstellungen z.B. auf „New and existing guests“ gesetzt (siehe Screenshot oben), so kann über ein Label die Einstellung für bestimmte SharePoint Sites restriktiver eingestellt werden. Für unser „Confidential“ Team könnte z.B. das Teilen mit Externen unterbunden werden. 

External Sharing Settings für SharePoint Online in Sensitivity Labels
External Sharing Settings für SharePoint Online in Sensitivity Labels

Mit dieser Einstellung wird unterbunden, dass ein Dokument, welches in einer SharePoint Site gespeichert ist, die als „Confidential“ gelabelt wurde, mit Externen außerhalb der Organisation geteilt werden kann. Andere Teams, welche nicht als „Confidential“ gelabelt wurden, sind nicht davon betroffen und behalten ihre Möglichkeit zum Teilen mit Externen. 

Teilen mit Externen wird unterbunden
Teilen mit Externen wird unterbunden

Hinweis: die Sharing Settings können nur restriktiver als die globalen Tenant Einstellungen gesetzt werden. Wurden die Tenant-Einstellungen wie oben auf „New and existing guests“ gestellt, so kann per Sensitivity Label die Einstellung nicht auf „Anyone“ hochgesetzt werden. Es ist generell nicht möglich dedizierte Einstellungen offener zur gestalten, als es von den Tenant-Einstellungen vorgegeben wurde. 

Aktivierung im Tenant 

In der Standardeinstellung ist die Funktion zum Labeling von M365 Groups / Teams nicht aktiviert. Die Aktivierung erfolgt per PowerShell und benötigt das AzureADPreView Modul. 

M365 Groups werden teilweise auch als „unified groups“ bezeichnet, so auch in der PowerShell. Die Einstellung zur Aktivierung [EnableMIPLabels=True] befindet sich in einem AzureAD Directory Setting für den Objekttyp „Group.Unified„. Hier versteckt sich ein weiterer Hinweis auf eine andere Namensgebung „MIPLabels“ – MIP = Microsoft Information Protection. 

Hier die PowerShell Befehle zur Aktivierung: 

Import-Module AzureADPreview 

Connect-AzureAD 

$Setting = Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id 

$Setting.Values 

$Setting["EnableMIPLabels"] = "True" 

Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting 
Ausgabe der neuen Directory Settings
Ausgabe der neuen Directory Settings

Link zur Microsoft Dokumentation: Enable sensitivity label support in PowerShell 

https://docs.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-assign-sensitivity-labels#enable-sensitivity-label-support-in-powershell 

Prüfen der Einstellung 

Erfahrungsgemäß dauert es einige Stunden, bis die Aktivierung greift. Es wird empfohlen, 24h abzuwarten und einfach am nächsten Tag fortzufahren. Sobald die Einstellungen in alle Workloads synchronisiert wurden und wirksam sind, werden die Dialoge in Teams und SharePoint erweitert. Für unseren Test haben wir ein neues Label angelegt: „Confidential M365 Group“ 

Neues Team 

Die Auswahl des Labels stellt die Privacy Einstellungen automatisch auf „Private“ 

Auswahl des Labels
Auswahl des Labels

Neue SharePoint Team Site 

Unter “Sensitivity” steht dann das Label „Confidential M365 Group“ zur Auswahl. 

Label Confidential M365 Group
Label Confidential M365 Group

Neue Outlook Group 

Outlook on the Web wertet die Label Einstellungen aus und gibt eine Vorschau (Private Group, No Guests) 

Neue Outlook Group Vorschau
Neue Outlook Group Vorschau

Neue M365 Group im AzureAD Admin Center 

Auch im AzureAD Admin Center wird bei der Erstellung einer neuen M365 Group die Label Zuweisung abgefragt. 

M365 Group in AzureAD Admin Center
M365 Group in AzureAD Admin Center

Sharing Policy wird auf SharePoint Site angewendet 

Wurde das Label erfolgreich auf ein Team angewendet, so erhält die zugehörige SharePoint Online Team Site neue Sharing Settings: „Only People in your organization“ 

Mittels Sensitivity-Label geänderte Sharing Settings einer SharePoint Online Site
Mittels Sensitivity-Label geänderte Sharing Settings einer SharePoint Online Site

Hinzufügen von Gast Konten wird unterdrückt 

Wird versucht ein Gast-Konto als Mitglied hinzuzufügen, so gelingt dies nun nicht mehr. (Mein persönliches Konto ist in meinem Demo Tenant als Gast eingeladen worden.) 

Hinzufügen eines Gast Kontos wird verhindert
Hinzufügen eines Gast Kontos wird verhindert

Fazit 

Durch die Anwendung von Sensitivity-Labels auf M365 Groups stehen erweiterte Information Protection Maßnahmen zur Verfügung. Die Mitgliedschaft von Gästen und das Teilen von Dokumenten mit Externen können so dediziert und gezielt für einzelne M365 Groups / Teams geregelt werden.