Wie wird die technische Implementierung von Microsoft Purview Information Protection in Kombination mit Azure Information Protection (AIP) für automatisierte Labeling-Workflows orchestriert?

Die Orchestrierung der technischen Implementierung erfolgt über die funktionale Trennung von Control Plane (Microsoft Purview) und Data Plane (AIP/Unified Labeling Client). In Microsoft Purview definieren wir die Sensitivity Labels und die zugehörigen Auto-Labeling-Richtlinien. Diese Richtlinien nutzen Sensitive Information Types (SITs) oder Trainable Classifiers, um Muster wie Kreditkartennummern, Steuer-IDs oder spezifische Dokumententypen automatisiert zu erkennen.

Die technische Ausführung unterscheidet sich je nach Ort der Datenhaltung:

  1. Service-seitiges Labeling: Purview scannt Daten direkt in SharePoint Online, OneDrive for Business und Exchange Online. Die Zuweisung des Labels erfolgt im Hintergrund durch den Microsoft 365 Compliance-Dienst, ohne dass eine Nutzerinteraktion erforderlich ist.
  2. Client-seitiges Labeling: Hier greift der AIP Unified Labeling Client oder die native Integration in Office-Apps. Die Prüfung des Inhalts erfolgt in Echtzeit während der Erstellung oder Bearbeitung des Dokuments.

Die folgende Tabelle verdeutlicht die Rollenverteilung innerhalb der Orchestrierung:

KomponenteFunktionRolle in der Orchestrierung
Purview Compliance PortalRichtliniendefinitionZentrale Steuerung (Control Plane)
SITs / ClassifiersErkennungslogikTrigger für die Label-Zuweisung
AIP Unified Labeling ClientLokale DurchsetzungAnwendung von Labels auf Dateisystemebene
Microsoft Graph APIProgrammatischer ZugriffIntegration in externe Workflows

Für komplexe Automatisierungsszenarien, die über die Standard-Richtlinien hinausgehen, implementieren wir über die Microsoft Graph API Schnittstellen, um Labeling-Prozesse in Drittsysteme zu integrieren. Dies ist insbesondere bei der Anbindung von Legacy-Datenquellen relevant, wofür wir im Rahmen unserer IT-Consulting & Digitale Strategie spezifische Middleware-Architekturen entwickeln. Die Synchronisation der Richtlinien erfolgt über Microsoft Entra ID, wodurch sichergestellt wird, dass die Label-Berechtigungen konsistent mit den Nutzeridentitäten verknüpft sind.

Wir empfehlen, den Fokus konsequent auf service-seitiges Auto-Labeling zu legen und den lokalen AIP-Client nur noch als Fallback für Offline-Szenarien zu betrachten, da die zentrale Steuerung in Purview die Fehlerrate bei der Klassifizierung massiv senkt und die Wartbarkeit der Richtlinien drastisch erhöht.

Sergej Wiens

Sergej Wiens

Gründer & Software Architekt