Microsoft Purview | Sensitivity Labels: Architektur & Praxis-Guide

Die Menge sensibler Daten in Unternehmen wächst stetig, und mit ihr das Risiko. Sobald Daten die Grenzen von Firewalls und Netzwerken überschreiten, reichen klassische perimeterbasierte Sicherheitsmodelle und reine NTFS-Berechtigungen nicht mehr aus. Der Schutz verschiebt sich deshalb auf eine andere Ebene: Identität und Daten werden zum neuen Perimeter.

Microsoft Purview Sensitivity Labels (Vertraulichkeitsbezeichnungen) sind das Herzstück dieser datenzentrierten Strategie. Sie klassifizieren Daten nicht nur, sondern heften den Schutz direkt an das Datenobjekt. Das wirkt unabhängig davon, ob die Datei in SharePoint Online liegt, per E-Mail versendet wird oder auf einem USB-Stick landet.

Bevor du startest, prüfst du kurz, ob deine Umgebung bereit ist. Damit Sensitivity Labels sauber funktionieren, brauchst du folgende Grundlagen.

Lizenzen: Microsoft 365 Business Premium ist die Basis für diesen Artikel. Damit erstellst du Labels, weist sie manuell zu und verschlüsselst Inhalte. Office 365 E5, Microsoft 365 E5 oder die passenden Compliance Add-ons brauchst du erst, wenn du später Auto-Labeling oder Trainable Classifiers nutzen willst.

Berechtigungen: Du benötigst Zugriff auf das Microsoft Purview Portal. Mindestens eine dieser Rollen sollte deinem Account zugewiesen sein: Global Administrator, Compliance Administrator oder Compliance Data Administrator. Nach dem Least-Privilege-Prinzip reicht für das reine Erstellen und Veröffentlichen von Labels der Compliance Administrator, der Global Administrator ist dafür nicht nötig.

Office-Versionen (Client-Seite): Moderne Office-Versionen (Microsoft 365 Apps) haben den Client für Sensitivity Labels fest eingebaut (Built-in Labeling). Du musst also keine separate Software und kein Add-in mehr auf den Clients verteilen.

Sensitivity Labels sind weit mehr als digitale Aufkleber. Sie sind Teil der Microsoft Purview Information Protection Plattform und greifen tief in die Architektur deines Tenants ein. Für Administratoren zählen drei Ebenen: Klassifizierung, Transport und Durchsetzung.

Bei der Anwendung schreibt ein Sensitivity Label Metadaten im Klartext in die Datei. Bei Office-Dokumenten (Word, Excel, PowerPoint) landen sie als Custom Document Properties in der Datei docProps/custom.xml, benannt nach dem Muster MSIP_Label_<GUID>_*, also etwa MSIP_Label_<GUID>_Name für den Labelnamen oder MSIP_Label_<GUID>_Enabled. Bei E-Mails trägt der Transport-Header den Eintrag msip_labels.

Diese Trennung ist wichtig, weil der Klassifizierungsgrad dadurch maschinenlesbar bleibt. Da die Tag-ID unverschlüsselt sichtbar ist, erkennen DLP-Lösungen, Drittanbieter-Apps oder Firewalls die Klassifizierung, ohne den Inhalt entschlüsseln zu müssen. Und weil die Metadaten dauerhaft mit der Datei verbunden bleiben, reist der Klassifizierungsgrad mit, auch wenn die Datei die M365-Umgebung verlässt.

Hinter der Verwaltungsoberfläche arbeitet ein gestaffeltes Backend aus zwei Ebenen.

Auf der Management Plane (Purview) erstellst du Labels und verteilst sie über Label Policies (Veröffentlichungsrichtlinien) an Benutzer oder Gruppen, zum Beispiel über Entra ID Security Groups. Eine Policy steuert nicht nur, wer ein Label sieht, sondern auch das Default Label und die Begründungspflicht beim Herabstufen der Vertraulichkeit.

Auf der Data Plane (Azure RMS) greift der Dienst, sobald ein Label Verschlüsselung erfordert. Azure RMS ist die kryptografische Engine. Der Inhalt wird verschlüsselt und mit einer Publishing License versehen, die festlegt, wer (Authentifizierung via Entra ID) welche Nutzungsrechte erhält, also View, Edit, Print oder Export.

Damit Anwender Labels nutzen können, muss die Software label-aware sein. In modernen Office-Versionen für Desktop, Web und Mobile ist die Funktion nativ integriert (Built-in Labeling).

Dritthersteller wie Adobe Acrobat, CAD-Software oder Cloud-Security-Gateways nutzen das Microsoft Information Protection (MIP) SDK, um Labels zu lesen und zu schreiben. Das sorgt für konsistentes Verhalten über das Microsoft-Ökosystem hinaus.

Container vs. Item-Level

Ein häufiges Missverständnis liegt im Geltungsbereich. Hier unterscheidest du zwei Welten.

Achtung: Container-Labels verschlüsseln nicht die Dateien darin. Sie steuern die Einstellungen des Containers, etwa "Gastzugriff blockieren" oder "Zugriff nur von verwalteten Geräten erlauben".

Um Sensitivity Labels produktiv einzusetzen, hältst du eine feste Reihenfolge ein, sonst läufst du in Konfigurationsfehler: Scopes aktivieren, Taxonomie planen, Labels bauen, Policies veröffentlichen.

Bevor du das erste Label erstellst, machst du den Tenant bereit für die tiefe Integration. Der alte Button "Unified Labeling aktivieren" ist Geschichte. Heute aktivierst du zwei Features explizit.

A) Labels für Container (Teams und SharePoint) aktivieren

Standardmäßig sehen Sensitivity Labels nur Dateien und E-Mails. Willst du Labels auch für Microsoft Teams, M365 Gruppen oder SharePoint Sites nutzen, etwa um Gastzugriff auf geheime Teams zu blockieren, aktivierst du dieses Feature einmalig auf Tenant-Ebene über das Microsoft Entra ID Directory Setting.

Da das alte AzureADPreview-Modul abgekündigt ist, erfolgt die Aktivierung über das Microsoft Graph PowerShell SDK. Konkret setzt du in der Directory-Setting-Vorlage Group.Unified den Wert EnableMIPLabels auf true. Du liest die Vorlage über Get-MgBetaDirectorySetting und schreibst mit Update-MgBetaDirectorySetting zurück. Ohne diesen Schritt erscheinen die Reiter für Gruppen und Websites im Label-Assistenten gar nicht erst.

B) SharePoint-Integration und Co-Authoring

Früher waren verschlüsselte Dateien für SharePoint schwarze Boxen: Die Suche konnte sie nicht indexieren, gemeinsames Bearbeiten im Browser war unmöglich. Die Lösung ist die Funktion "Co-authoring for files with sensitivity labels".

Sobald sie aktiv ist, liest SharePoint Online den Inhalt verschlüsselter Dateien. Das ist die Voraussetzung für drei Dinge: die Volltextsuche findet Dokumente auch anhand ihres Inhalts, eDiscovery erfasst kritische Inhalte, und verschlüsselte Word-, Excel- und PowerPoint-Dateien lassen sich direkt im Browser von mehreren Personen gleichzeitig bearbeiten.

Bevor du im Portal klickst, nimmst du Stift und Papier. Eine zu komplexe Struktur überfordert die Nutzer und führt dazu, dass sie das erstbeste Label wählen, nur um weiterarbeiten zu können.

Starte mit maximal drei bis fünf Hauptkategorien (Parent Labels). Eine bewährte Struktur sieht so aus:

Nach den Basis-Infos fragt der Assistent, wo die Bezeichnung gelten soll. Hier definierst du die Reichweite. Für den Anfang sind zwei Haken relevant.

Mit Elemente (Items) gilt das Label für Dateien (Word, Excel, PowerPoint, PDF) und E-Mails. Mit Gruppen und Websites (Groups & Sites) gilt es für Microsoft Teams, M365 Gruppen und SharePoint Sites. Die zweite Option erscheint nur, wenn du die Container-Voraussetzungen erfüllt hast.

Hast du Elemente gewählt, konfigurierst du, was technisch passiert, wenn ein Nutzer das Label anklickt.

A) Encryption (Verschlüsselung)

Dies ist die stärkste Schutzfunktion. Du hast zwei Strategien. Mit Assign permissions now legst du als Admin statisch fest, wer Zugriff hat. Beispiel: Label "Intern" gewährt Zugriff für alle Mitarbeiter über eine dynamische Entra ID Gruppe, Label "HR Gehaltsdaten" nur für die Sicherheitsgruppe HR. Der Nutzer muss nicht nachdenken, die Regeln sind fest hinterlegt.

Mit Let users assign permissions entscheidet der Ersteller. Beim Auswählen des Labels fragt Office, wer lesen darf, ähnlich wie "Nicht weiterleiten" in Outlook. Das gibt Fachabteilungen Flexibilität für Ad-hoc-Projekte und E-Mails an Externe, ohne dass die IT für jedes Projekt ein neues Label baut.

B) Content Marking (Inhaltsmarkierung)

Markierungen machen den Schutzstatus sichtbar, über Wasserzeichen, Kopf- oder Fußzeilen. Ein Wasserzeichen quer über die Seite ist wirksam, kann das Dokument aber schwer lesbar machen. Wähle dezente Farben und prüfe die Lesbarkeit. Kopf- und Fußzeilen stören den Lesefluss weniger und bleiben beim Ausdruck sichtbar.

Ein Label ohne Policy ist unsichtbar. Du hast das Schild gemalt, aber noch nicht aufgehängt. Über Label Policies steuerst du, welche Benutzer oder Gruppen welche Labels sehen. Drei Stellschrauben sind entscheidend.

A) Default Label: Hier legst du fest, welches Label automatisch gesetzt ist, wenn ein Nutzer ein neues Dokument oder eine E-Mail erstellt. Viele Firmen starten mit "General / Intern". So bleibt keine Datei unklassifiziert, ohne den Nutzer bei jeder E-Mail zu unterbrechen.

B) Mandatory Labeling: Aktivierst du diese Option, muss der Nutzer ein Label wählen, bevor er speichern oder versenden kann. Das ist in hochregulierten Bereichen sinnvoll, kann aber den Workflow stören. Kombiniere es deshalb mit einer Begründungspflicht beim Herabstufen (Require justification to remove a label or lower its classification).

C) Priority: Die Reihenfolge der Labels in der Liste ist Logik, keine Kosmetik. Das Label ganz unten hat die höchste Priorität. M365 nutzt diese Hierarchie zur Konfliktlösung. Trägt ein Anhang "Streng Vertraulich" (hohe Prio), die E-Mail selbst aber "Öffentlich" (niedrige Prio), schlägt der Client je nach Einstellung vor, die E-Mail hochzustufen. Das System schützt zugunsten der höheren Priorität.

Der häufigste Fehler beim Rollout ist Ungeduld. Die Compliance-Architektur ist mächtig, aber nicht in Echtzeit.

Veröffentliche deine erste Policy nie sofort an "All Users". Lege eine Sicherheitsgruppe "IT-Pilot" an und weise die Policy zuerst dieser zu. Rechne danach mit dem Sync-Puffer: Änderungen an Label Policies werden nicht sofort gepusht, es kann bis zu 24 Stunden dauern, bis die Labels in allen Outlook-Clients, in Word Online oder auf Mobilgeräten erscheinen.

Taucht ein Label beim User nicht auf, starte deshalb kein vorschnelles Troubleshooting, sondern warte erst den Sync-Zyklus ab. Ein Neustart der Office-Apps kann den Vorgang beschleunigen, erzwingt aber keinen sofortigen Sync vom Server.

Nach dem Rollout musst du wissen, ob die Policies genutzt werden und wo deine sensiblen Daten liegen. Microsoft Purview bietet dafür zwei Werkzeuge im Bereich Data Classification.

A) Der Aktivitäten-Explorer (Activity Explorer) zeigt die Dynamik und beantwortet die Frage "wer hat was getan?". Du siehst, welche Dateien neu gelabelt, welche herabgestuft und welche gedruckt oder auf USB-Sticks kopiert wurden (Letzteres in Kombination mit Endpoint DLP). Nutze den Filter "Aktivität", um gezielt nach "Bezeichnung geändert" oder "Bezeichnung entfernt" zu suchen. Das sind oft Indikatoren für Schulungsbedarf oder unerwünschtes Verhalten.

B) Der Inhalts-Explorer (Content Explorer) zeigt den Zustand und beantwortet die Frage "wo liegen unsere Daten?". Du navigierst durch SharePoint, OneDrive und Exchange und erkennst etwa, dass in einer OneDrive-Freigabe 50 Dateien mit Kreditkartennummern liegen.

Microsoft verwaltet die kryptografischen Schlüssel für deine Labels (RMS-Keys), sofern du keine Nischenlösung wie DKE (Double Key Encryption) nutzt. Das größte Risiko im Alltag ist aber nicht der Schlüsselverlust bei Microsoft, sondern der Zugriffsverlust durch Mitarbeiterfluktuation.

Das Szenario: Ein Mitarbeiter verlässt das Unternehmen. Er hat Projektdateien mit einem Label versehen, das benutzerdefinierten Zugriff nutzt oder den Zugriff strikt auf "Projektgruppe A" beschränkt. Sein Account wird gelöscht. Jahre später muss die Rechtsabteilung an diese Dateien. Die Verschlüsselung ist noch aktiv, niemand hat mehr Berechtigung. Die Datei wird zum digitalen Briefbeschwerer. Selbst als Global Admin hast du standardmäßig keinen Zugriff auf den verschlüsselten Inhalt, nur auf den Container.

Die Lösung ist das Super User Feature von Azure Information Protection, eine Art Generalschlüssel für Admins. Es ist standardmäßig deaktiviert und wird über das AIPService-Modul aktiviert.

powershell

Ohne aktives Super-User-Feature stehst du bei Offboarding-Prozessen oder Compliance-Ermittlungen vor verschlossenen Türen. Microsoft empfiehlt, das Feature nur bei Bedarf zu aktivieren und danach über Disable-AipServiceSuperUserFeature wieder abzuschalten, weil ein dauerhaft aktiver Generalschlüssel selbst ein Risiko ist. Überwache die Nutzung über Get-AipServiceAdminLog.

Manuelle Klassifizierung ist gut, Automatisierung skaliert besser, birgt aber auch mehr Risiko. Microsoft Purview kennt zwei Wege, Labels ohne User-Interaktion zu setzen. Den Unterschied musst du kennen, um Performance-Probleme zu vermeiden und die Lizenz korrekt einzuschätzen.

Dies passiert direkt in der App (Word, Excel, Outlook) auf dem Gerät des Nutzers. Sobald jemand eine Kreditkartennummer tippt, analysiert der lokale Client den Inhalt gegen die konfigurierten Sensitive Information Types (SITs). Der User bekommt entweder einen Tooltip ("wir haben sensible Daten gefunden, bitte Label Vertraulich anwenden") oder das Label wird beim Speichern automatisch gesetzt. Der Vorteil ist das unmittelbare Feedback und der Lerneffekt im Arbeitsfluss.

Dies läuft komplett ohne User-Interaktion auf Server-Ebene in SharePoint, OneDrive und Exchange. Die Cloud-Dienste scannen ruhende Daten (Data-at-Rest) oder E-Mails im Transit. Passt ein Muster, wird die Datei im Hintergrund gelabelt und verschlüsselt.

Schalte eine Service-Side-Policy nie sofort scharf. Purview zwingt dich praktisch in den Simulationsmodus: Die Policy läuft bis zu 24 Stunden im Testbetrieb und liefert einen Report ("ich hätte 5.000 Dokumente als Streng Vertraulich markiert"). Erst wenn dieser Report keine False Positives zeigt, aktivierst du die Policy.

Damit die Automatisierung greift, muss das System wissen, wonach es sucht. Purview bietet drei Ebenen.

A) Typen vertraulicher Informationen (SITs): der Standard. Microsoft liefert hunderte Vorlagen für Mustererkennung per RegEx mit, etwa für Kreditkartennummern, Ausweisnummern oder Steuer-IDs. Eigene Muster lassen sich ergänzen.

B) Trainierbare Klassifizierer (Trainable Classifiers): Machine Learning für Inhalte, die sich nicht per RegEx fassen lassen, etwa "Quellcode" oder "Steuerunterlagen". Diese Klassifizierer bewerten den semantischen Kontext und sind ein E5-Feature.

C) EDM-Klassifizierer (Exact Data Match): für maximale Präzision. Willst du wissen, ob eine Kundennummer wirklich zu deinem Kundenstamm gehört und nicht nur irgendeine zehnstellige Zahl ist, lädst du Hashwerte deiner Datenbank hoch. Purview vergleicht exakt gegen diese Daten.

Trotz guter Planung kommt es vor: Ein User sieht sein Label nicht, oder die Verschlüsselung zickt. Microsoft Purview bietet dafür den Bereich Diagnostics, der typische Szenarien prüft, ohne dass du PowerShell-Logs wälzen musst.

Findet ein Benutzer die benötigte Bezeichnung nicht, liegt es meist an der Label Policy. Prüfe, ob der User wirklich in der zugewiesenen Sicherheitsgruppe ist. Im Diagnosetool gibst du den Usernamen ein, und das System zeigt, welche Policies effektiv für ihn gelten.

Hängt es an der Synchronisierung, greift erneut die 24-Stunden-Regel. Hast du den User gerade erst zur Gruppe hinzugefügt, kann es dauern. Ein Neustart der Office-Apps hilft oft, erzwingt aber keinen sofortigen Sync vom Server.

Haben externe User Probleme mit verschlüsselten Inhalten, prüfe im Aktivitäten-Explorer, ob der Zugriff verweigert wurde, oder ob das Problem am Identity-Provider der Gegenseite liegt.

Sensitivity Labels sind kein optionales Nice-to-have, sondern das Fundament einer modernen Zero-Trust-Architektur. Der alte Ansatz, eine hohe Mauer um das Netzwerk zu bauen, funktioniert in Zeiten von Homeoffice und Cloud-Collaboration nicht mehr.

Der Soll-Zustand ist klar: Sensible Daten schützen sich selbst, durch verschlüsselte Metadaten, die mit der Datei reisen. In der Praxis klafft oft eine Lücke, weil die Komplexität von Azure RMS und Taxonomie gescheut wird und Labels nur rudimentär eingeführt werden.

Wer die Zeit in saubere Planung investiert (Crawl-Walk-Run-Ansatz), profitiert mehrfach. DSGVO-Anforderungen und ISO-27001-Vorgaben zur Datenklassifizierung werden oft direkt unterstützt. Schatten-IT verliert an Schärfe, denn eine verschlüsselte Datei bleibt auch in einer privaten Dropbox unlesbarer Datenmüll für Dritte. Und Datenschutz wird messbar und nachvollziehbar.

Die Reise endet nicht bei Office-Dokumenten, Microsoft baut die Integration aus.

Wichtigster Treiber ist Microsoft 365 Copilot. Copilot respektiert Sensitivity Labels und die damit verbundenen Nutzungsrechte. Das Risiko ohne Labels: Copilot kann sensible Daten, auf die der User Zugriff hat, etwa Gehaltstabellen, ungewollt in Zusammenfassungen aggregieren oder in einem unsicheren Kontext preisgeben. Mit sauberen Labels verhindert das System, dass vertrauliche Inhalte für unberechtigte Nutzer in KI-Antworten einfließen. Ohne saubere Labels wird der KI-Einsatz zum unkalkulierbaren Risiko.

Über die Microsoft Purview Data Map werden Labels zunehmend auf strukturierte Daten ausgeweitet. Das Konzept wächst über Word und Excel hinaus in Richtung SQL-Datenbanken, Azure Blob Storage und sogar AWS S3 Buckets. Wer heute die Grundlagen legt und seine Mitarbeiter schult, baut nicht nur Schutzmechanismen auf, sondern bereitet das Unternehmen auf eine KI-gestützte Zukunft vor.

Weitere Links