Nachrichtenverschlüsselung – FAQ

Microsoft Purview Message Encryption kombiniert E-Mail-Verschlüsselung und Rechteverwaltungsfunktionen. Die Rechteverwaltungsfunktionen werden von Azure Information Protection unterstützt.

Sie können die Microsoft Purview-Nachrichtenverschlüsselung unter den folgenden Bedingungen verwenden:

• Wenn Sie noch nie office 365 Message Encryption (OME) oder IRM (Information Rights Management) für Exchange eingerichtet haben.

• Wenn Sie OME und IRM eingerichtet haben, können Sie diese Schritte ausführen, wenn Sie auch den Azure Rights Management-Dienst von Azure Information Protection verwenden.

• Wenn Sie Exchange mit dem Active Directory Rights Management-Dienst (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie ad RMS zuerst zu Azure Information Protection migrieren . Wenn Sie die Migration abgeschlossen haben, können Sie die Microsoft Purview-Nachrichtenverschlüsselung erfolgreich einrichten.

  Wenn Sie sich dafür entscheiden, weiterhin lokales AD RMS mit Exchange zu verwenden, anstatt zu Azure Information Protection zu migrieren, können Sie die Microsoft Purview-Nachrichtenverschlüsselung nicht verwenden.

Um Die Microsoft Purview-Nachrichtenverschlüsselung verwenden zu können, benötigen Sie einen der folgenden Pläne:

• Microsoft Purview Message Encryption wird als Teil von Office 365 Enterprise E3 und E5, Microsoft 365 Enterprise E3 und E5, Microsoft 365 Business Premium, Office 365 A1, A3 und A5 sowie Office 365 Government G3 und G5 angeboten. Sie benötigen keine zusätzlichen Lizenzen, um die neuen Schutzfunktionen von Azure Information Protection zu erhalten.

• Sie können azure Information Protection Plan 1 auch den folgenden Plänen hinzufügen, um die Microsoft Purview-Nachrichtenverschlüsselung zu erhalten: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard oder Office 365 Enterprise E1.

• Jeder Benutzer, der von Der Microsoft Purview-Nachrichtenverschlüsselung profitiert, benötigt eine Lizenz für die Verwendung der Nachrichtenverschlüsselung.

• Eine vollständige Liste finden Sie in den Exchange-Dienstbeschreibungen für die Microsoft Purview-Nachrichtenverschlüsselung.

Ja! Microsoft empfiehlt, die Schritte zum Einrichten von BYOK auszuführen, bevor Sie die Microsoft Purview-Nachrichtenverschlüsselung einrichten.

Weitere Informationen zu BYOK finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Nein Die Microsoft Purview-Nachrichtenverschlüsselung und die Option zum Bereitstellen und Steuern Ihrer eigenen Verschlüsselungsschlüssel( BYOK) von Azure Information Protection waren nicht für die Reaktion auf Vorladungen von Strafverfolgungsbehörden konzipiert. OME mit BYOK für Azure Information Protection wurde für Compliance-fokussierte Organisationen entwickelt. Microsoft nimmt Anforderungen von Drittanbietern für Kundendaten ernst. Als Cloud-Dienstanbieter setzen wir uns stets für die Privatsphäre Ihrer Daten ein. Für den Fall, dass wir eine Vorladung erhalten, versuchen wir immer, den Dritten direkt an Sie umzuleiten, um die Informationen zu erhalten. (Lesen Sie den Blog von Brad Smith: Schutz von Kundendaten vor Staatlichem Snooping). Wir veröffentlichen in regelmäßigen Abständen detaillierte Informationen über die anfrage, die wir erhalten. Weitere Informationen zu Datenanforderungen von Drittanbietern finden Sie unter Reagieren auf Anfragen von Behörden und Strafverfolgungsbehörden für den Zugriff auf Kundendaten im Microsoft Trust Center. Siehe auch "Offenlegung von Kundendaten" in den Nutzungsbedingungen für Onlinedienste (OST).

Die Microsoft Purview-Nachrichtenverschlüsselung ist eine Weiterentwicklung der vorhandenen IRM- und OME-Legacylösungen. In der folgenden Tabelle finden Sie weitere Details.

Vergleich der Legacy-OME-, IRM- und Microsoft Purview-Nachrichtenverschlüsselung

Weitere Informationen finden Sie unter Einrichten der Microsoft Purview-Nachrichtenverschlüsselung.

Die Office 365-Nachrichtenverschlüsselung (Office 365 Message Encryption, OME) wurde am 1. Juli 2023 eingestellt. Sie wird automatisch durch die Microsoft Purview-Nachrichtenverschlüsselung ersetzt.
Wenn Sie jedoch über ein aktives Absenderpostfach verfügen, können Sie weiterhin E-Mails von OME anzeigen.

Nein Wenn Sie Exchange Online mit dem Active Directory Rights Management-Dienst (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie ad RMS zuerst zu Azure Information Protection migrieren .

Lokale Benutzer können verschlüsselte E-Mails mithilfe von Exchange Online-Nachrichtenflussregeln senden. Sie müssen E-Mails über Exchange weiterleiten. Weitere Informationen finden Sie unter Teil 2: Konfigurieren von E-Mails für den Nachrichtenfluss von Ihrem E-Mail-Server an Microsoft 365.

Sie können geschützte Nachrichten aus Outlook 2016, Outlook 2013 für Windows und Mac sowie aus Outlook im Web erstellen. Weitere Informationen zum Senden verschlüsselter Nachrichten finden Sie unter Senden, Anzeigen und Beantworten verschlüsselter Nachrichten in Outlook für PC.

Microsoft 365-Benutzer können Outlook für Windows und Mac (2013 und 2016), Outlook im Web und Outlook Mobile (Android und iOS) lesen und antworten. Sie können auch den nativen iOS-E-Mail-Client verwenden, wenn Ihre Organisation dies zulässt. Wenn Sie kein Microsoft 365-Benutzer sind, können Sie verschlüsselte Nachrichten im Web über Ihren Webbrowser lesen und beantworten.

Microsoft 365-Benutzer können Outlook für PC-Versionen 2019 und Microsoft 365 verwenden, um E-Mails zu erstellen, die mit der richtlinie nur verschlüsseln geschützt sind. Nachrichten, auf die die Richtlinie nur verschlüsseln angewendet wurde, können direkt in Outlook im Web, in Outlook für iOS und Android und Outlook für PC-Versionen 2019 und Microsoft 365 gelesen werden.

Ja. Die maximale Nachrichtengröße, die Sie mit der Microsoft Purview-Nachrichtenverschlüsselung senden können, einschließlich Anlagen, beträgt 25 MB. Weitere Informationen finden Sie unter Nachrichtengrenzwerte.

Ja. In einigen Fällen in einer Exchange-Hybridbereitstellung werden beim Einschließen von Empfängern in die BCC-Zeile die BCC-Empfänger entfernt, bevor E-Mails verschlüsselt werden. Die bewährte Methode besteht darin, zu exchange Online zu wechseln oder alle Empfänger in die Felder An: oder CC einzufügen.

Das Portal für verschlüsselte Nachrichten unterstützt nur E-Mails. Das Portal unterstützt keine anderen Nachrichtentypen wie Kalender oder Voicemail.

Sie können einen beliebigen Dateityp an eine geschützte E-Mail anfügen. Schutzrichtlinien werden nur auf eine Teilmenge der Dateiformate angewendet, die unter Unterstützte Dateitypen erwähnt werden. Microsoft Purview Message Encryption unterstützt nur die folgenden Office-Dateierweiterungen:

• DOCX
• docm
• dotx
• dotm
• PPTX
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• XLSX
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Die Microsoft Purview-Nachrichtenverschlüsselung unterstützt nicht die 97-2003-Versionen der folgenden Office-Programme: Word (.doc), Excel (.xls) und PowerPoint (.ppt).

Der Schutz wird von E-Mails nur an unverschlüsselte Anlagen geerbt. Wenn ein Dateiformat unterstützt wird, z. B. eine Word-, Excel- oder PowerPoint-Datei, ist die Datei immer geschützt, auch nachdem der Empfänger die Anlage heruntergeladen hat. Angenommen, eine Anlage ist durch "Nicht weiterleiten" geschützt. Der ursprüngliche Empfänger lädt die Datei herunter, erstellt eine Nachricht an einen neuen Empfänger und fügt die Datei an. Wenn der neue Empfänger die Datei empfängt, kann er sie nicht öffnen.

Die kurze Antwort lautet Ja! Wenn sie in Exchange Online aktiviert ist, können Sie mit der PDF-Verschlüsselung vertrauliche PDF-Dokumente schützen, die an E-Mails angefügt sind. Wenn Sie eine E-Mail senden, verschlüsselt der Office 365-Dienst PDF-Dateianlagen für Outlook im Web, Outlook für Mac, Outlook für iOS und Outlook für Android. Sie können PDFs, die Sie senden, ohne weitere Schritte verschlüsseln.

Outlook 64-Bit unterstützt nativ die Verschlüsselung von PDF-Dateianlagen, während outlook 32-Bit dies nicht tut. Wenn Sie Outlook 32-Bit verwenden, müssen Sie exchange-Nachrichtenflussregeln oder DLP-Richtlinien einrichten, um zuerst die Verschlüsselung auf PDF-Anlagen anzuwenden. Wenn Sie eine unverschlüsselte E-Mail von Outlook Desktop mit einer PDF-Anlage senden, sendet der Client die Nachricht mit der Anlage zuerst an den Dienst. Wenn der Dienst die unverschlüsselten E-Mails empfängt, wendet der Dienst den Microsoft Purview-Nachrichtenverschlüsselungsschutz über die Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) oder die Nachrichtenflussregel in Exchange Online an. Als Nächstes verschlüsselt Exchange Online die Nachricht und die PDF-Dateianlage.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Verschlüsselung für PDF-Anlagen zu aktivieren:

Set-IRMConfiguration -EnablePdfEncryption $true

Mit der PDF-Verschlüsselung können Sie vertrauliche PDF-Dokumente durch sichere Kommunikation oder sichere Zusammenarbeit schützen. Für alle Outlook-Clients erben Nachrichten und ungeschützte PDF-Anlagen den Schutz der Microsoft Purview-Nachrichtenverschlüsselung der Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) oder nachrichtenflussregel in Exchange Online. Wenn ein Outlook im Web-Benutzer ein ungeschütztes PDF-Dokument anfügt und schutz auf die Nachricht anwendet, erbt die Nachricht den Schutz der Nachricht. Benutzer können die verschlüsselten Anlagen nur in Anwendungen öffnen, die geschützte PDF-Dateien unterstützen (z. B. das Verschlüsselte Nachrichtenportal und azure Information Protection Viewer).

Not yet. SharePoint Online- oder OneDrive for Business-Anlagen werden nicht unterstützt. Sie können eine E-Mail-Nachricht verschlüsseln, aber nicht die Cloudanlagen.

Wenn Anlagen mit einer geschützten E-Mail geschützt sind, können Sie Dokumente direkt mithilfe von Outlook-Clients in der Vorschau anzeigen. Outlook unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx, doc, xls, ppt). Outlook im Web unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx) und PDF.

Outlook im Web unterstützt die Sperrung geschützter E-Mails. Weitere Informationen finden Sie unter Widerrufen einer verschlüsselten Nachricht, die Sie gesendet haben .

Das Portal für verschlüsselte Nachrichten unterstützt die Vorschau aller verschlüsselten Anlagenkopien, die der verschlüsselten E-Mail hinzugefügt werden. Zu den unterstützten Dateitypen gehören Word-, Excel-, PowerPoint- und PDF-Dateien.

Ja. Verwenden Sie Nachrichtenflussregeln in Exchange Online, um eine Nachricht basierend auf bestimmten Bedingungen automatisch zu verschlüsseln. Sie können z. B. Richtlinien erstellen, die auf der Empfänger-ID, der Empfängerdomäne oder dem Inhalt im Text oder Betreff der Nachricht basieren. Weitere Informationen finden Sie unter Definieren von Nachrichtenflussregeln zum Verschlüsseln von E-Mail-Nachrichten in Office 365.

Administratoren können eine Nachrichtenflussregel einrichten, um die Verschlüsselung für ausgehende E-Mails zu entfernen. Sie können nur eine Regel einrichten, um die Verschlüsselung für eingehende E-Mails zu entfernen, die aus Ihrer Exchange Online-Organisation stammen.

Für ein Exchange Online-Postfach müssen Administratoren die Journalentschlüsselung aktivieren und eine Exchange Online-Journalregel einrichten, um eine entschlüsselte Kopie der E-Mail im Journalpostfach zu generieren. Die Journalregel verwendet alle E-Mails oder Anlagen mit Verschlüsselung und sendet das Original sowie eine entschlüsselte Kopie in das Journalpostfach. Sie können nur eine Journalregel einrichten, die E-Mails oder Anlagen entschlüsseln kann, wenn das verschlüsselte Element aus Ihrer Organisation stammt.
So aktivieren Sie die Exchange Online-Journalerstellung:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Ja! Sie können Nachrichtenflussregeln in Exchange Online oder mithilfe von DLP im Microsoft Purview-Complianceportal einrichten.

Ja, für E-Mails, die von einem Exchange Online-Postfach in Ihrer Organisation gesendet werden! Informationen zum Anpassen von E-Mail-Nachrichten und dem Portal für verschlüsselte Nachrichten finden Sie unter Hinzufügen der Marke Ihrer Organisation zu Ihren verschlüsselten Nachrichten.

Die Aktivitätsprotokolle des verschlüsselten Nachrichtenportals erfassen nur Ereignisse für externe Empfänger, indem sie auf die verschlüsselten Nachrichtenportale zugreifen. Aktivitäten in E-Mail-Clients, die von externen Empfängern ausgelöst werden, werden nicht aufgezeichnet. Informationen zu internen Empfängern finden Sie unter MailItemsAccessed-Postfachüberwachungsaktion in Purview Audit (Premium) – E-Mail-Elemente, auf die zugegriffen wird.

Es gibt einen Verschlüsselungsbericht im Compliance Center. Weitere Informationen finden Sie unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Purview-Complianceportal.

Ja, die meisten Nachrichten, die durch die Microsoft Purview-Nachrichtenverschlüsselung geschützt sind, sind auffindbar. Durch die Microsoft Purview-Nachrichtenverschlüsselung geschützte E-Mails, die Sie von einer anderen Microsoft 365-Organisation erhalten, deren benutzerdefiniertes Branding über eine Nachrichtenflussregel angewendet wird, können von Ihrem eDiscovery-Dienst nicht wiederhergestellt werden. Anders ausgedrückt: Wenn auf die E-Mail nicht über das Postfach des Benutzers zugegriffen werden kann, sondern nur über einen Link zum verschlüsselten Nachrichtenportal angezeigt wird, ist die E-Mail nicht durchsuchbar. Weitere Informationen finden Sie unter eDiscovery-Aktivitäten, die verschlüsselte Elemente unterstützen .

Wenn jemand eine E-Mail-Nachricht sendet, die einer Verschlüsselungs-E-Mail-Flussregel entspricht, wird die Nachricht vor dem Senden verschlüsselt.

Ja! Sie können verschlüsselte Nachrichten für ein freigegebenes Postfach öffnen. Wenn die E-Mail von derselben Organisation gesendet wird, können Sie die E-Mail öffnen, wenn Sie bei einem unterstützten Outlook-Client angemeldet sind. Wenn die E-Mail von einer externen Organisation gesendet wird, müssen Sie Outlook im Web verwenden.

• Benutzer können geschützte E-Mails in einem freigegebenen Postfach öffnen, in dem das freigegebene Postfach eine geschützte E-Mail als Teil einer Verteilergruppe empfangen hat.

• Benutzer können Anlagen anzeigen, die schutz von E-Mails erben, wenn sie Outlook für Windows, Outlook für Mac, Outlook für Android, Outlook für iOS und Outlook im Web verwenden.

In der folgenden Tabelle sind die unterstützten Clients für freigegebene Postfächer aufgeführt.

Derzeit gibt es zwei bekannte Einschränkungen:

• Sie können keine Anlagen zu E-Mails öffnen, die Sie auf mobilen Geräten erhalten, indem Sie Outlook Mobile verwenden.

• Es gibt zwei Möglichkeiten, benutzern das Anzeigen der verschlüsselten E-Mails direkt in Outlook 32-Bit zu ermöglichen:

  1. Weisen Sie dem freigegebenen Postfach direkt einen Benutzer zu, wobei Vollzugriffsberechtigungen und automatisches Zuordnen aktiviert sind. Bei Outlook 64-Bit müssen Benutzer dem Postfach nicht direkt zugewiesen werden. Die automatische Zuordnung ist für Exchange standardmäßig aktiviert.
  2. Weisen Sie einem freigegebenen Postfach eine E-Mail-aktivierte Sicherheitsgruppe zu. Diese Methode erfordert Outlook-Version 2402 und unterstützt nur E-Mails, die nach Juni 2024 generiert wurden.

So weisen Sie dem freigegebenen Postfach einen Benutzer zu

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell.aspx) her.

2. Führen Sie das Add-MailboxPermission Cmdlet mit dem Parameter aus Automapping . In diesem Beispiel erhält Ayla Vollzugriffsberechtigungen für ein Supportpostfach.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

(Öffentliche Vorschau) So weisen Sie dem freigegebenen Postfach eine E-Mail-aktivierte Sicherheitsgruppe zu

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell.aspx) her.

2. Führen Sie das Cmdlet Add-MailboxPermission aus, um die Seucrity-Gruppe zuzuweisen. Im folgenden Beispiel erhält die Contoso-Front-Desk-Sicherheitsgruppe Vollzugriffsberechtigungen für ein Supportpostfach.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Beachten Sie, dass die Einschränkung bei dieser Methode darin besteht, dass E-Mails entweder mit den Optoins Do Not Forward oder Encrypt-only verschlüsselt werden müssen. Es können nur E-Mails geöffnet werden, die vom freigegebenen Postfach oder von E-Mails innerhalb einer Organisation gesendet wurden.

Wenn Stellvertretungen die Vollzugriffsberechtigung für das Postfach eines Benutzers erhalten, wird der delegierte Zugriff auf verschlüsselte E-Mails in Outlook im Web, Outlook für Mac, Outlook für iOS und Outlook für Android unterstützt. Outlook für Windows unterstützt keinen delegierten Zugriff.

Sie können sich beim Portal für verschlüsselte Nachrichten anmelden, um E-Mails abzurufen, solange die Organisation des Absenders aktiv ist und die E-Mail nicht so konfiguriert wurde, dass sie abläuft.

Überprüfen Sie zunächst den Junk- oder Spam-Ordner in Ihrem E-Mail-Client. DKIM- und DMARC-Einstellungen für Ihre Organisation können dazu führen, dass diese E-Mails als Spam gefiltert werden.

Überprüfen Sie als Nächstes die Quarantäne im Compliance Center. Nachrichten, die einen einmaligen Passcode enthalten, insbesondere die ersten, die Ihre Organisation empfängt, werden häufig unter Quarantäne gesetzt.