Sensitivity Labels Deep Dive Sensitivity Labels Deep Dive
Tiefe Referenz zu Taxonomie, Verschlüsselung, Inhaltsmarkierung, Auto-Labeling und Containerlabels in Microsoft Purview. Deep reference for taxonomy, encryption, content marking, auto-labeling, and container labels in Microsoft Purview.
Hinweis zur Struktur
Structure note
Diese Seite kombiniert Architektur, Governance, Workload-Besonderheiten, Betriebsdetails und PowerShell-Referenzen für Microsoft Purview. This page combines architecture, governance, workload-specific behavior, operational details, and PowerShell reference material for Microsoft Purview.
DLP Deep Dive
DLP Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Sensitivity Labels Deep Dive
Sensitivity Labels Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Retention Deep Dive
Retention Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
eDiscovery Deep Dive
eDiscovery Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Audit & Information Protection Deep Dive
Audit & Information Protection Deep Dive
Direkt zur Deep-Dive-Seite wechseln Jump directly to the deep-dive page
Übersicht
Overview
Taxonomie und Hierarchie Taxonomy and hierarchy
Labels erstellen
Create labels
Felder und Scope Fields and scope
Encryption
Encryption
Berechtigungen und Offline-Zugriff Permissions and offline access
Content marking
Content marking
Watermark, Header, Footer Watermark, header, footer
Auto-Labeling
Auto-labeling
Client und Service Client and service
Container Labels
Container labels
Groups, Sites, Privacy Groups, sites, privacy
Label Policies
Label policies
Veröffentlichen und Defaults Publish and defaults
Office Apps
Office apps
Clientverhalten Client behavior
Power BI
Power BI
Labels in Analytics Labels in analytics
Teams Meetings
Teams meetings
Meeting-Optionen per Label Meeting options by label
PowerShell
PowerShell
Cmdlets Cmdlets
Übersicht Overview
Sensitivity Labels klassifizieren und schützen Inhalte sowie Container. Sie transportieren Schutzlogik in Dokumente, E-Mails, Teams-Container, SharePoint-Sites und zunehmend auch strukturierte Datenquellen. Sensitivity labels classify and protect content and containers. They carry protection logic into documents, emails, Teams containers, SharePoint sites, and increasingly into structured data sources.
| Element Element | Bedeutung Meaning | Praxisbezug Practical impact |
|---|---|---|
| Taxonomie Taxonomy | Oberste Kategorisierung wie Public, Internal, Confidential, Highly Confidential Top-level categorization such as Public, Internal, Confidential, Highly Confidential | Macht Schutzstufen verständlich und skalierbar Makes protection tiers understandable and scalable |
| Hierarchie Hierarchy | Labels und optionale Sublabels mit vererbten Erwartungen Labels and optional sublabels with inherited expectations | Hilft Fachbereichen bei klaren Auswahlpfaden Helps business users with clear selection paths |
| Priorität Priority | Numerische Reihenfolge bestimmt Verhalten bei Konflikten Numeric order determines behavior in conflicts | Wichtig für Empfehlungen und Pflichtlabeling Important for recommendations and mandatory labeling |
| Items Items | Dateien und E-Mails mit Verschlüsselung und Markierungen Files and emails with encryption and markings | Kernfunktion für Office Apps Core function for Office apps |
| Groups & Sites Groups & sites | Container-Einstellungen wie Privacy und externes Teilen Container settings such as privacy and external sharing | Steuert Teams, M365 Groups und SharePoint Controls Teams, M365 Groups, and SharePoint |
| Schematized data assets Schematized data assets | Labels für Datenquellen in Purview und Power BI-Szenarien Labels for data sources in Purview and Power BI scenarios | Unterstützt Governance über analytische Workloads hinweg Supports governance across analytical workloads |
Labels erstellen Create labels
Beim Erstellen eines Labels sollten Name, Nutzerbeschreibung, Adminbeschreibung, Farbe und Scope so gestaltet werden, dass Benutzer die Schutzstufe sicher wählen können. Technische Präzision und Benutzerverständlichkeit müssen zusammenpassen. When creating a label, name, user description, admin description, color, and scope should be designed so users can confidently choose the protection tier. Technical precision and user comprehension must align.
| Feld Field | Zweck Purpose | Empfehlung Recommendation |
|---|---|---|
| Label name Label name | Interner technischer Name Internal technical name | Stabil halten, auch wenn Anzeigenamen später angepasst werden Keep stable even if display names change later |
| Display name Display name | Benutzer sichtbarer Name User-visible name | Klar, kurz, ohne Organisationsjargon Clear, short, without organization-specific jargon |
| Description for users Description for users | Erklärt, wann das Label zu wählen ist Explains when to choose the label | Nutzen und erwartete Schutzwirkung nennen State use case and expected protection |
| Description for admins Description for admins | Dokumentiert Zweck und Governance Documents intent and governance | Owner, Datenklasse und Kontrollziel angeben Include owner, data class, and control objective |
| Label color Label color | Visuelle Orientierung in Apps Visual guidance in apps | Nur wenige, konsistente Farben nutzen Use only a few consistent colors |
| Scope: Items Scope: Items | Dateien und E-Mails Files and emails | Für Markierung und Verschlüsselung aktivieren Enable for marking and encryption |
| Scope: Groups & Sites Scope: Groups & sites | M365-Gruppen, Teams und Sites M365 groups, Teams, and sites | Nur für Container-bezogene Labels einschalten Enable only for container-focused labels |
| Scope: Schematized data assets Scope: Schematized data assets | Strukturierte Datenobjekte Structured data assets | Mit Data Governance und Analytics abstimmen Coordinate with data governance and analytics |
Encryption Encryption
Ein Label kann Azure Rights Management-basierte Verschlüsselung anwenden. Die Berechtigung kann fest vorgegeben werden oder Benutzern über Optionen wie Do Not Forward oder Encrypt-Only überlassen bleiben. A label can apply Azure Rights Management-based encryption. Permissions can be pre-defined or delegated to users through options such as Do Not Forward or Encrypt-Only.
| Option Option | Beschreibung Description | Wichtige Auswirkung Key impact |
|---|---|---|
| Assign permissions now Assign permissions now | Admins definieren konkrete Benutzer, Gruppen oder Domänen Admins define specific users, groups, or domains | Höchste Steuerbarkeit und geringeres Fehlbedienungsrisiko Highest control and lower user error risk |
| Let users assign permissions Let users assign permissions | Benutzer wählen Empfänger oder vordefinierte RMS-Optionen Users choose recipients or predefined RMS options | Flexibel, aber stärker von Benutzertraining abhängig Flexible but more dependent on user training |
| Do Not Forward Do Not Forward | Empfänger dürfen nicht weiterleiten oder kopieren Recipients cannot forward or copy | Häufig für ad-hoc vertrauliche Mails genutzt Common for ad-hoc confidential emails |
| Encrypt-Only Encrypt-Only | Transportgeschützt ohne starke Nutzungsrechte Transport protection without restrictive usage rights | Besser für Interoperabilität, schwächerer Schutz Better for interoperability, weaker control |
| Content expires Content expires | Ablauf nie, an Datum oder nach Tagen Expires never, on date, or after days | Für externe Freigaben und Projektzugriffe nützlich Useful for external sharing and project access |
| Allow offline access Allow offline access | Bestimmt Dauer lokaler Nutzung ohne Reauthentifizierung Determines local use duration without reauthentication | Wichtig bei mobilen oder isolierten Geräten Important for mobile or disconnected devices |
| Double key encryption Double key encryption | Zweiter Schlüssel bleibt unter Kundencustody Second key remains under customer custody | Höhere Kontrolle, aber mehr Betriebsaufwand Higher control but more operational effort |
| Recht Right | Bedeutung Meaning | Typischer Einsatz Typical use |
|---|---|---|
| View View | Inhalt öffnen und lesen Open and read content | Minimalrecht für externe Leser Minimum right for external readers |
| Edit Edit | Inhalt ändern Modify content | Interne Bearbeitung und Zusammenarbeit Internal editing and collaboration |
| Save Save | Geänderten Inhalt speichern Save modified content | Sinnvoll gemeinsam mit Edit Sensible together with edit |
| Print Print | Drucken des Inhalts Print content | Bei hochvertraulichen Stufen oft deaktiviert Often disabled for highly confidential tiers |
| Copy Copy | Text oder Objekte kopieren Copy text or objects | Schlüsselrecht für Exfiltrationsrisiko Key right for exfiltration risk |
| Export Export | In andere Formate oder ungeschützte Ziele exportieren Export to other formats or unprotected targets | Nur für kontrollierte Szenarien erlauben Allow only in controlled scenarios |
| Reply / Reply All Reply / Reply All | Antworten auf geschützte E-Mail Reply to protected email | Bei vertraulichen Mailflüssen erforderlich Required for confidential mail flows |
| Forward Forward | Weiterleiten an andere Empfänger Forward to other recipients | Bei striktem Schutz meist blockiert Usually blocked in strict protection |
| Full Control Full Control | Alle Rechte inklusive Berechtigungsänderung All rights including permission changes | Nur für Owner oder Spezialgruppen Only for owners or special groups |
Content Marking Content marking
Content Marking macht die Klassifizierung für Benutzer sichtbar. Wasserzeichen, Kopf- und Fußzeilen erinnern an den Schutzstatus auch dann, wenn Empfänger Richtlinien nicht aktiv wahrnehmen. Content marking makes classification visible to users. Watermarks, headers, and footers remind people of the protection state even when recipients are not actively thinking about policy.
| Markierung Marking | Konfigurierbare Optionen Configurable options | Hinweis Note |
|---|---|---|
| Watermark Watermark | Text, Schriftgröße, Farbe, Layout Text, font size, color, layout | Sollte lesbar sein, ohne Inhalte unbrauchbar zu machen Should be readable without making content unusable |
| Header Header | Text, Größe, Farbe, Ausrichtung Text, size, color, alignment | Gut für dokumentbasierte Hinweise Good for document-focused warnings |
| Footer Footer | Text, Größe, Farbe, Ausrichtung Text, size, color, alignment | Häufig für Compliance-Hinweise oder Klassifizierungen Common for compliance notes or classifications |
| Dynamisches Wasserzeichen Dynamic watermark | Benutzer-E-Mail, Name oder andere Variablen User email, name, or other variables | Nützlich gegen absichtliche Bildschirmfotos Useful against intentional screenshots |
| Mehrsprachigkeit Multilingual wording | Lokalisierte Texte pro Benutzergruppe Localized wording per user audience | Vermeidet Missverständnisse in globalen Tenants Avoids confusion in global tenants |
| Kompatibilität Compatibility | Nicht jede Drittanwendung zeigt Markierungen gleich an Not every third-party app renders markings consistently | Mit Office, PDFs und Exportpfaden testen Test with Office, PDFs, and export paths |
Auto-Labeling Auto-labeling
Auto-Labeling kann clientseitig in Office oder serverseitig in Exchange, SharePoint und OneDrive erfolgen. Empfehlungen eignen sich für die Einführung, automatische Anwendung für reife und gut getestete Policies. Auto-labeling can happen client-side in Office or service-side in Exchange, SharePoint, and OneDrive. Recommendations suit adoption phases; automatic application suits mature and well-tested policies.
| Variante Variant | Funktionsweise How it works | Geeignet für Best for |
|---|---|---|
| Client-side recommended Client-side recommended | Office empfiehlt ein Label, Benutzer bestätigt Office recommends a label and the user confirms | Benutzerakzeptanz und Training User adoption and training |
| Client-side automatic Client-side automatic | Office wendet das Label sofort an Office applies the label immediately | Strenge Vorgaben für klar erkennbare Inhalte Strict requirements for clearly recognizable content |
| Service-side policy Service-side policy | Purview scannt Inhalte im Dienst und labelt nachträglich Purview scans content in the service and labels afterward | Bestandsdaten in Exchange, SharePoint, OneDrive Data at rest in Exchange, SharePoint, OneDrive |
| Simulation mode Simulation mode | Treffer werden gemeldet, aber nicht erzwungen Matches are reported but not enforced | Pflichtschritt vor produktiver Aktivierung Mandatory step before production activation |
| Bedingung Condition | Beispiel Example | Bemerkung Remark |
|---|---|---|
| SITs SITs | 10 Kreditkartennummern mit hoher Confidence 10 credit card numbers with high confidence | Sehr präzise bei strukturierten Daten Very precise for structured data |
| Trainable classifier Trainable classifier | Dokument als Legal oder HR erkannt Document detected as legal or HR | Gut für semantische Klassifizierung Good for semantic classification |
| Dokumenteigenschaften Document properties | Vertragstyp = Acquisition Contract type = Acquisition | Nützlich in gereiften DMS- oder SharePoint-Prozessen Useful in mature DMS or SharePoint processes |
| Header oder Footer enthält Header or footer contains | Vorhandene Stempel aus Altprozessen Existing stamps from legacy processes | Hilft bei Migrationsszenarien Helps in migration scenarios |
| Attachment contains Attachment contains | Anhang enthält sensibles Muster Attachment contains sensitive pattern | Erweitert Schutz für E-Mail-Anhänge Extends protection to email attachments |
| Label inheritance Label inheritance | Anhang übernimmt E-Mail-Label oder Export übernimmt Dataset-Label Attachment inherits email label or export inherits dataset label | Wichtig für konsistente Schutzketten Important for consistent protection chains |
Container Labels (Groups & Sites) Container labels (groups & sites)
Container Labels steuern nicht Dateischutz, sondern Governance-Eigenschaften von Teams, Microsoft 365 Groups und SharePoint Sites. Sie definieren Collaboration-Grenzen auf Containerebene. Container labels do not protect files directly; they govern Teams, Microsoft 365 Groups, and SharePoint sites. They define collaboration boundaries at the container level.
| Einstellung Setting | Mögliche Werte Possible values | Auswirkung Impact |
|---|---|---|
| Privacy Privacy | Public, Private, None Public, Private, None | Bestimmt Sichtbarkeit und Mitgliedschaftsmodell Determines visibility and membership model |
| External user access External user access | Erlaubt oder blockiert Gäste Allow or block guests | Wichtig für Partnerzusammenarbeit Important for partner collaboration |
| External sharing from SharePoint External sharing from SharePoint | Anyone, New and existing guests, Existing guests, Only people in org Anyone, New and existing guests, Existing guests, Only people in org | Steuert Link-Flexibilität pro Site Controls link flexibility per site |
| Unmanaged devices Unmanaged devices | Voller Zugriff, Web only, Block Full access, web only, block | Kopplung mit Conditional Access Couples with conditional access |
| Authentication context Authentication context | Benutzerdefinierter CA-Kontext Custom CA context | Feinsteuerung für Sites mit erhöhtem Risiko Fine-grained control for high-risk sites |
| Default sharing link Default sharing link | People in org, Specific people, Existing access People in org, Specific people, Existing access | Beeinflusst Benutzerverhalten stark Strongly influences user behavior |
| Sensitivity of meetings and teams Sensitivity of meetings and teams | Label kann Teams- und Meetingoptionen mitsteuern Label can influence Teams and meeting behavior | Einheitliche Governance für Kollaboration Unified collaboration governance |
Label Policies Label policies
Erst durch eine Label Policy werden Labels für Zielgruppen sichtbar. Diese Richtlinien bestimmen Veröffentlichung, Default-Labels, Pflichtbegründung und Hilfelinks. Labels become visible to audiences only through a label policy. These policies control publication, default labels, justification requirements, and help links.
| Option Option | Beschreibung Description | Warum wichtig Why important |
|---|---|---|
| Target users or groups Target users or groups | Nur definierte Benutzer erhalten das Labelset Only defined users receive the label set | Erlaubt gestufte Einführung Enables phased rollout |
| Default label for documents Default label for documents | Office schlägt Standard für neue Dateien vor Office suggests a default for new files | Reduziert unlabeled content Reduces unlabeled content |
| Default label for emails Default label for emails | Standardklassifikation für Mailerstellung Default classification for composing mail | Hilft bei konsistenter Kommunikation Helps ensure consistent communications |
| Default label for meetings Default label for meetings | Meetingoptionen nach Standardlabel Meeting options based on default label | Relevant für Teams Premium und Besprechungen Relevant for Teams Premium and meetings |
| Require justification for label change Require justification for label change | Downgrade oder Entfernen muss begründet werden Downgrade or removal must be justified | Wichtig für Audit und Nachvollziehbarkeit Important for audit and traceability |
| Require users to apply a label Require users to apply a label | Benutzer dürfen nicht unlabeled speichern oder senden Users cannot save or send unlabeled content | Hoher Reifegrad, mehr Schulungsbedarf High maturity, more training required |
| Custom help page Custom help page | Link auf interne Richtlinie oder FAQ Link to internal policy or FAQ | Reduziert Supporttickets Reduces support tickets |
Labels in Office Apps Labels in Office apps
| Thema Topic | Beschreibung Description | Bedeutung Significance |
|---|---|---|
| Sensitivity button Sensitivity button | Zentrale Auswahlfläche in Word, Excel, PowerPoint und Outlook Central selection surface in Word, Excel, PowerPoint, and Outlook | Macht Labels Teil des Standardworkflows Makes labels part of the standard workflow |
| Label selection Label selection | Benutzer wählen anhand von Name, Beschreibung und Farbe Users choose based on name, description, and color | Gute Taxonomie senkt Fehlklassifizierung Good taxonomy reduces misclassification |
| Visual markings Visual markings | Header, Footer und Wasserzeichen sofort sichtbar Headers, footers, and watermarks visible immediately | Verstärkt Klassifizierungsbewusstsein Strengthens classification awareness |
| Built-in labeling Built-in labeling | Heutiger Standard in Microsoft 365 Apps Current standard in Microsoft 365 Apps | AIP Add-in wird nur noch für Alt-Szenarien benötigt AIP add-in is needed only for legacy scenarios |
| AIP add-in AIP add-in | Ältere Erweiterung für Office Legacy extension for Office | Nur nutzen, wenn Built-in Funktionen nicht ausreichen Use only when built-in features are insufficient |
| Coauthoring with encryption Coauthoring with encryption | Geschützte Dateien können gemeinsam bearbeitet werden, wenn Rechte passen Protected files can be coauthored when rights allow | Wichtig für moderne Zusammenarbeit Important for modern collaboration |
| Offline behavior Offline behavior | Lokale Nutzung abhängig von RMS-Token und Policy Local use depends on RMS token and policy | Mit mobilen und Remote-Szenarien testen Test with mobile and remote scenarios |
| Label inheritance in attachments Label inheritance in attachments | Anhänge oder exportierte Inhalte können Schutz übernehmen Attachments or exported content can inherit protection | Hilft bei Schutzkontinuität Helps continuity of protection |
Labels in Power BI Labels in Power BI
| Funktion Function | Beschreibung Description | Hinweis Note |
|---|---|---|
| Mandatory labeling Mandatory labeling | Berichte oder Datasets müssen gekennzeichnet werden Reports or datasets must be labeled | Setzt Governance im Self-Service BI durch Enforces governance in self-service BI |
| Default labels Default labels | Standardlabel für neue Artefakte Default label for new artifacts | Reduziert unklassifizierte Reports Reduces unlabeled reports |
| Inheritance from data sources Inheritance from data sources | Power BI kann Labels aus Quellen übernehmen Power BI can inherit labels from sources | Wichtig für End-to-End-Datenfluss Important for end-to-end data flow |
| Export with labels Export with labels | Exporte nach Excel, PDF oder PPT übernehmen Schutz Exports to Excel, PDF, or PPT inherit protection | Verhindert Schutzverlust bei Ableitungen Prevents protection loss on derivatives |
| Service and desktop parity Service and desktop parity | Verhalten in Service und Desktop abstimmen Align behavior between service and desktop | Testen Sie alle Publish- und Exportpfade Test all publish and export paths |
| User education User education | BI-Entwickler müssen Label-Auswirkungen kennen BI developers must understand label impacts | Vor allem bei externen Freigaben relevant Especially relevant for external sharing |
Labels for Teams Meetings Labels for Teams meetings
| Meeting setting Meeting setting | Per Label steuerbar Controllable by label | Beispiel Example |
|---|---|---|
| Lobby Lobby | Ja Yes | Externe Teilnehmer warten immer in der Lobby External participants always wait in the lobby |
| Who can present Who can present | Ja Yes | Nur Organisatoren und benannte Personen Only organizers and named people |
| End-to-end encryption End-to-end encryption | Ja, in unterstützten Szenarien Yes, in supported scenarios | Für hochvertrauliche Calls aktivieren Enable for highly confidential calls |
| Watermarks Watermarks | Ja Yes | Dynamische Wasserzeichen gegen Bildschirmfotos Dynamic watermarks against screenshots |
| Recording Recording | Ja Yes | Aufzeichnung für bestimmte Labelstufen blockieren Block recording for certain label tiers |
| Transcription Transcription | Ja Yes | Transkription in streng regulierten Meetings deaktivieren Disable transcription in highly regulated meetings |
| Meeting chat Meeting chat | Indirekt über Richtlinien und Container Indirectly via policies and containers | Mit Communication Compliance kombinieren Combine with communication compliance |
PowerShell PowerShell
| Cmdlet Cmdlet | Zweck Purpose | Hinweis Note |
|---|---|---|
| New-Label New-Label | Neues Sensitivity Label anlegen Create a new sensitivity label | Grundobjekt für Klassifizierung Base object for classification |
| Set-Label Set-Label | Labeloptionen aktualisieren Update label options | Für Farbe, Markierungen oder Verschlüsselung For color, markings, or encryption |
| Get-Label Get-Label | Vorhandene Labels abrufen Retrieve existing labels | Hilfreich für Inventar und Skripting Helpful for inventory and scripting |
| New-LabelPolicy New-LabelPolicy | Labels veröffentlichen Publish labels | Zielgruppen und Defaults definieren Define audiences and defaults |
| Set-LabelPolicy Set-LabelPolicy | Policy verfeinern Refine policy | Für Defaults, Justification und Scope For defaults, justification, and scope |
| Get-LabelPolicy Get-LabelPolicy | Policy-Konfiguration auslesen Read policy configuration | Wichtig für Drift-Analysen Important for drift analysis |
PowerShell
PowerShell
Connect-IPPSSession
New-Label -Name "Highly Confidential" `
-DisplayName "Highly Confidential" `
-Tooltip "Use for the most sensitive files and emails." `
-Comment "Executive, legal, and regulated content"
Get-Label | Select-Object Name, DisplayName, Priority
PowerShell
PowerShell
New-LabelPolicy -Name "Global Publishing" `
-Labels "Public","Internal","Confidential","Highly Confidential" `
-ExchangeLocation All `
-SharePointLocation All `
-OneDriveLocation All `
-AdvancedSettings @{mandatory="true";requiredowngradejustification="true"}
Get-LabelPolicy | Format-Table Name, Enabled, Priority
Praxisempfehlung
Operational recommendation
Purview-Konfigurationen sollten immer zuerst mit Pilotgruppen, Testdaten und klar dokumentierten Ausnahmen validiert werden. Purview configurations should always be validated first with pilot groups, test data, and clearly documented exceptions.