Wanneer ik met organisaties praat over dataclassificatie en informatiebeveiliging in Microsoft Purview, merk ik vaak dat er verwarring is tussen container labeling (bijvoorbeeld op een Teams-site of SharePoint-bibliotheek) en item labeling (op documenten en e-mails). Op papier lijken ze op elkaar: je plakt er een label op en klaar. In de praktijk zijn de scope, het effect en de manier waarop ze elkaar aanvullen heel verschillend. Tijd om dat verschil scherp te krijgen.
Wat is container labeling?
Container labeling gaat over de buitenkant: de samenwerkingsomgeving waar de data zich bevindt. Denk aan:
- Een Microsoft Teams-team
- Een SharePoint-site
- Een Microsoft 365-groep
Een containerlabel bepaalt vooral de spelregels in die omgeving. Voorbeelden:
- Wie mag lid worden (alleen mensen binnen de organisatie of ook externen?)
- Moet het team privé of openbaar zijn?
- Mag er gasttoegang worden ingeschakeld?
Container labeling gaat dus over toegang en samenwerking op de plek waar data wordt gedeeld. Het label regelt de context en de randvoorwaarden, maar niet automatisch wat er gebeurt met de individuele bestanden die je erin plaatst.
Eenmalige PowerShell-synchronisatie nodig als je containerlabels gaat gebruiken
Voordat je containerlabels kunt toepassen op Teams, SharePoint of Microsoft 365-groepen, moet je één keer een PowerShell-synchronisatie uitvoeren. Daarmee zorg je dat de gevoeligheidslabels die je in Purview hebt gedefinieerd ook zichtbaar worden in Entra ID (voorheen Azure AD). Volg daarvoor de stappen van deze Microsoft Learn-page. Dit is een eenmalige stap: als je nieuwe labels toevoegt of bestaande labels aanpast, worden die daarna automatisch gesynchroniseerd.
Wat is item labeling?
Item labeling gaat over de inhoud zelf: de documenten, e-mails en (komt vaak minder voor) chatberichten. Een itemlabel kan bijvoorbeeld zeggen:
- Dit document mag alleen intern gedeeld worden.
- Dit e-mailbericht moet versleuteld worden.
- Dit bestand krijgt een watermerk of restrictie op downloaden.
Item labeling volgt de data, ook als je die buiten de originele container deelt. Stuur je een gelabeld document uit een “intern-only” SharePoint naar een externe partij als bijlage? Dan blijft het label en de beveiliging op dat document actief.
Hoe vullen ze elkaar aan?
- Container labeling = de hekken om het speelveld. Het bepaalt wie er überhaupt binnen mag komen en onder welke regels.
- Item labeling = de beveiliging van de bal. Zelfs als de bal buiten het veld terechtkomt, blijft hij beschermd.
Samen vormen ze een dubbele laag beveiliging:
- Container labels voorkomen dat gevoelige informatie té makkelijk wordt gedeeld in niet-gereguleerde omgevingen.
- Item labels zorgen dat individuele documenten beschermd blijven, ook als ze per ongeluk of bewust buiten die container belanden.
Gevoeligheidslabels vs. SharePoint/Teams-instellingen
Nog een bron van verwarring: het verschil tussen gevoeligheidslabels in Purview en de settings in Teams of SharePoint zelf.
- Gevoeligheidslabels (itemlabeling en containerlabeling via Purview):
- Zijn organisatiebreed consistent.
- Hebben een herkenbare naam en policy (bijv. “Vertrouwelijk – Intern”).
- Komen zowel op containers (Teams/Sites) als op items (documenten/e-mails) terug.
- Zorgen voor naleving over de hele Microsoft 365-omgeving heen.
- Settings in Teams/SharePoint zelf:
- Zijn vaak technisch ingesteld door beheerders of site owners.
- Gaan bijvoorbeeld over permissies, gasttoegang of versiebeheer.
- Zijn vaak minder herkenbaar voor eindgebruikers en staan los van de Purview-labelstructuur.
Het verschil is dat gevoeligheidslabels een centraal beleid vertegenwoordigen, terwijl de losse settings op SharePoint/Teams meer “lokale knoppen” zijn die je als beheerder kunt gebruiken.
Nieuwe ontwikkeling: overerven van containerlabels naar items
Tot nu toe stond een containerlabel volledig los van de labels op documenten. Maar dat verandert: volgens de Microsoft Roadmap (ID 421192) komt er vanaf oktober 2025 een nieuwe feature beschikbaar:
Microsoft Purview compliance portal – Enable admins to set default document library label based on container label of a group/site/team.
Nieuwe en bewerkte documenten in de default documentbibliotheek krijgen automatisch het label van de container. Als er al een default document library labeling stond ingesteld door de SharePoint-admin, blijft die leidend.
Impact
- Overerven wordt mogelijk: documenten krijgen dan automatisch een label op basis van de container.
- Minder handwerk voor gebruikers: consistente toepassing zonder dat iedereen handmatig hoeft te kiezen.
- Beperkingen: betreft de standaard document library, en alleen voor nieuwe of aangepaste documenten.
Conclusie
Met Microsoft Purview heb je goede tools in handen om data te beschermen, maar zorg dat je het verschil helder hebt:
- Container labeling = context beschermen.
- Item labeling = inhoud beschermen.
- Gevoeligheidslabels = consistent beleid.
- SharePoint/Teams-settings = praktische knoppen.
En let op: het blijft een roadmap, dus wijzigingen kunnen altijd gebeuren, maar als de roadmap niet verandert komt er vanaf oktober 2025 met containerlabel inheritance een belangrijke nieuwe mogelijkheid bij, waarmee containerlabels automatisch doorwerken op documenten in de default library. Dat verlaagt de drempel voor adoptie, maar vraagt ook om slimme afspraken, heldere naamgeving en goede communicatie.
