Teilen über


Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, können Sie den Zugriff auf Inhalte einschränken, auf die die Bezeichnung angewendet wird. Mit den Verschlüsselungseinstellungen für eine Vertraulichkeitsbezeichnung können Sie beispielsweise Inhalte so schützen, dass:

  • Nur Benutzer in Ihrer Organisation ein vertrauliches Dokument oder vertrauliche E-Mails öffnen können.
  • Nur Benutzer in der Marketingabteilung das Ankündigungsdokument oder die Ankündigungs-E-Mail für die Werbeaktion bearbeiten und drucken können, während alle anderen Benutzer in der Organisation dieses Dokument oder diese E-Mail nur lesen können.
  • Benutzer können eine E-Mail nicht weiterleiten oder Informationen daraus kopieren, die Neuigkeiten über eine interne Neuorganisation enthalten.
  • Die aktuelle Preisliste, die an Geschäftspartner gesendet wird, kann nach einem angegebenen Datum nicht mehr geöffnet werden.
  • Nur die Personen, die eine Besprechungseinladung gesendet haben, um ein vertrauliches Projekt zu starten, können die Besprechungseinladung öffnen und nicht an andere weiterleiten.

Wenn ein Dokument, eine E-Mail oder eine Besprechungseinladung verschlüsselt ist, wird der Zugriff auf den Inhalt eingeschränkt, sodass:

  • Kann nur von Benutzern entschlüsselt werden, die durch die Verschlüsselungseinstellungen der Bezeichnung dazu autorisiert sind.
  • Bleibt verschlüsselt, ganz gleich, wo sich diese befindet, ob innerhalb oder außerhalb Ihrer Organisation, auch wenn sie umbenannt wurde.
  • Er sowohl im Ruhezustand (z. B. in einem OneDrive-Konto) als auch während der Übertragung (z. B. eine E-Mail während der Übertragung über das Internet) verschlüsselt ist.

Als Administrator können Sie bei der Konfigurierung einer Vertraulichkeitsbezeichnung für die Zwecke der Verschlüsselung eine der folgenden Optionen auswählen:

  • Berechtigungen sofort zuweisen, um genau zu bestimmen, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn sie die Bezeichnung auf Inhalte anwenden. Auf diese Weise ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können.

Die Verschlüsselungseinstellungen sind verfügbar, wenn Sie eine Vertraulichkeitsbezeichnung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal erstellen.

Hinweis

Eine Vertraulichkeitsbezeichnung in Outlook kann S/MIME-Schutz anstelle von Verschlüsselung und Berechtigungen aus dem Azure Rights Management-Dienst anwenden. Weitere Informationen finden Sie unter Konfigurieren einer Bezeichnung zum Anwenden des S/MIME-Schutzes in Outlook.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Grundlegendes zur Funktionsweise der Verschlüsselung

Sofern Sie nicht S/MIME für Outlook verwenden, verwenden Verschlüsselungen, die von Vertraulichkeitsbezeichnungen auf Dokumente, E-Mails und Besprechungseinladungen angewendet werden, den Azure Rights Management-Dienst (Azure RMS) von Microsoft Purview Information Protection. Diese Schutzlösung verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Weitere Informationen finden Sie unter Was ist Azure Rights Management?.

Wenn Sie diese Verschlüsselungslösung verwenden, wird mit der Funktion Administrator sichergestellt, dass autorisierte Personen und Dienste die Daten, die für Ihre Organisation verschlüsselt wurden, immer lesen und überprüfen können. Bei Bedarf kann die Verschlüsselung darauf entfernt oder geändert werden. Weitere Informationen hierzu finden Sie unter Konfigurieren von Administratoren für Azure Dienste zur Informationssicherung und -Recherche oder Datenwiederherstellung.

Wichtig

Sie können auch Vertraulichkeitsbezeichnungen verwenden, um die Verschlüsselung auf Audio- und Videostreams für Teams-Besprechungen anzuwenden. Dabei wird jedoch eine andere Verschlüsselungsmethode verwendet und nicht der Azure Rights Management-Dienst, der für E-Mails, Besprechungseinladungen und Dokumente verwendet wird. Weitere Informationen zur Verschlüsselung, die für Teams-Besprechungen verwendet wird, finden Sie unter Medienverschlüsselung aus dem Teams-Sicherheitsleitfaden.

Wichtige Voraussetzungen

Bevor Sie Verschlüsselung verwenden können, müssen Sie möglicherweise einige Konfigurationsaufgaben ausführen. Wenn Sie Verschlüsselungseinstellungen konfigurieren, wird nicht überprüft, ob diese Voraussetzungen erfüllt sind.

  • Aktivieren von Azure Rights Management

    Damit Vertraulichkeitsbezeichnungen die Verschlüsselung mit Rights Management anwenden können, muss der Azure Rights Management-Dienst von Microsoft Purview Information Protection für Ihren Mandanten aktiviert werden. In neueren Mandanten ist dies die Standardeinstellung, möglicherweise müssen Sie den Dienst jedoch manuell aktivieren. Weitere Informationen finden Sie unter Aktivieren des Schutzdienstes von Azure Information Protection.

  • Überprüfen auf Netzwerkanforderungen

    Möglicherweise müssen Sie einige Änderungen an Ihren Netzwerkgeräten vornehmen, z. B. Firewalls erstellen. Weitere Informationen finden Sie unter Firewalls und Netzwerkinfrastruktur.

  • Überprüfen Ihrer Microsoft Entra-Konfiguration

    Es gibt einige Microsoft Entra Konfigurationen, die den autorisierten Zugriff auf verschlüsselte Inhalte verhindern können. Beispiele hierfür sind mandantenübergreifende Zugriffseinstellungen und Richtlinien für bedingten Zugriff. Weitere Informationen finden Sie unter Microsoft Entra Konfiguration für verschlüsselte Inhalte.

  • Konfigurieren von Exchange für Azure Rights Management

    Exchange muss nicht für Azure Rights Management konfiguriert werden, bevor Benutzer Bezeichnungen in Outlook anwenden können, um ihre E-Mails zu verschlüsseln. Bis Exchange jedoch für Azure Rights Management konfiguriert ist, erhalten Sie nicht die volle Funktionalität der Verschlüsselung mit Rights Management.

    Beispielsweise können Benutzer verschlüsselte E-Mails oder verschlüsselte Besprechungseinladungen auf Mobiltelefonen oder mit Outlook im Web nicht anzeigen, verschlüsselte E-Mails können nicht für die Suche indiziert werden, und Sie können Exchange Online DLP für den Rights Management-Schutz nicht konfigurieren.

    Um sicherzustellen, dass Exchange diese zusätzlichen Szenarien unterstützen kann:

Konfigurieren einer Bezeichnung für die Verschlüsselung

  1. Befolgen Sie die allgemeinen Anweisungen zum Erstellen oder Bearbeiten einer Vertraulichkeitsbezeichnung , und stellen Sie sicher, dass die Option Dateien & andere Datenressourcen für den Bereich der Bezeichnung ausgewählt ist:

    Option

  2. Stellen Sie dann auf der Seite Schutzeinstellungen für die ausgewählten Elementtypen auswählen sicher, dass Sie Zugriff steuern auswählen.

    Schutzoptionen bei Vertraulichkeitsbezeichnungen für Elemente.

  3. Wählen Sie auf der Seite Zugriffssteuerung eine der folgenden Optionen aus:

    • Zugriffssteuerungseinstellungen entfernen, wenn sie bereits auf Elemente angewendet wurden: Wenn Sie diese Option auswählen, entfernt das Anwenden der Bezeichnung die vorhandene Verschlüsselung, auch wenn sie unabhängig von einer Vertraulichkeitsbezeichnung angewendet wurde.

      Es ist wichtig zu verstehen, dass diese Einstellung zu einer Vertraulichkeitsbezeichnung führen kann, die Benutzer möglicherweise nicht anwenden können, wenn sie nicht über ausreichende Berechtigungen zum Entfernen der vorhandenen Verschlüsselung verfügen. Weitere Informationen zu diesem Szenario finden Sie in dem Abschnitt Was geschieht mit einer bestehenden Verschlüsselung, wenn eine Bezeichnung angewendet wird?.

    • Konfigurieren von Zugriffssteuerungseinstellungen: Aktiviert die Verschlüsselung mit Rights Management und macht die folgenden Einstellungen sichtbar:

      Vertraulichkeitsbezeichnungsoptionen für die Verschlüsselung.

      Anweisungen für die Einstellungen finden Sie in dem folgenden Abschnitt Konfigurieren von Verschlüsselungseinstellungen.

Bearbeiten von Bezeichnungen, um die Verschlüsselung neu anzuwenden oder vorhandene Verschlüsselungseinstellungen zu ändern

Es ist eine gängige Bereitstellungsstrategie, zunächst Vertraulichkeitsbezeichnungen zu konfigurieren, die keine Verschlüsselung anwenden, und später einige der vorhandenen Bezeichnungen zu bearbeiten, um die Verschlüsselung anzuwenden. Wenn die Bezeichnungsänderungen Ihre Apps erreichen, wenden die von Ihnen bearbeiteten Bezeichnungen diese Verschlüsselung auf neu bezeichnete Elemente an.

Bei Dateien, auf die in SharePoint und OneDrive zugegriffen wird, wenn Sie SharePoint und OneDrive für Vertraulichkeitsbezeichnungen aktiviert haben, ändert sich die neue verschlüsselungsfähige status von Dateien automatisch, wenn auf diese Dateien beim nächsten Zugriff zugegriffen wird. Sie werden beispielsweise in Office für das Web geöffnet oder heruntergeladen. Es ist nicht erforderlich, die Bezeichnung zu entfernen und erneut zu verwenden. Beispielsweise werden Dateien, die zuvor unverschlüsselt waren, verschlüsselt.

Für andere Elemente, die bereits bezeichnet sind, behalten sie ihre vorherige Verschlüsselung status bei, es sei denn, Sie entfernen die Bezeichnung und wenden sie erneut an. Wenn Sie beispielsweise die Vertraulichkeitsbezeichnung so geändert haben, dass jetzt Verschlüsselung angewendet wird, bleiben diese Elemente unverschlüsselt, wenn Sie zuvor bezeichnete und unverschlüsselte Dokumente oder E-Mails in Office Desktop oder Office Mobile öffnen, es sei denn, Sie entfernen die Bezeichnung und wenden sie erneut an. Wenn Sie die Einstellungen für Vertraulichkeitsbezeichnungen so ändern, dass keine Verschlüsselung angewendet wird (entfernen Sie die Option für die Zugriffssteuerung), bleiben diese Elemente verschlüsselt, es sei denn, Sie entfernen die Bezeichnung und wenden sie erneut an.

Wenn Sie die Verschlüsselungseinstellungen für Benutzer oder Berechtigungen ändern, werden die neuen Einstellungen für Elemente, die bereits mit Verschlüsselung und der Option Berechtigungen jetzt gekennzeichnet sind, auf vorhandene Elemente angewendet, wenn sich Benutzer beim Verschlüsselungsdienst authentifizieren. In den meisten Fällen ist es nicht erforderlich, die Bezeichnung zu entfernen und erneut zu verwenden. Wenn Benutzer jedoch bereits ein verschlüsseltes Dokument oder eine verschlüsselte E-Mail geöffnet haben, erhalten sie die neuen Einstellungen erst, wenn ihre Nutzungslizenz abgelaufen ist und sie sich erneut authentifizieren müssen. Weitere Informationen zu diesem Szenario finden Sie in der zugehörigen häufig gestellten Frage zur Funktionsweise der Verschlüsselung.

Wenn Sie die Verschlüsselungsoptionen ändern, damit Benutzer Berechtigungen zuweisen können, gilt diese Änderung nur für neu bezeichnete oder neu bezeichnete Elemente. Zum Beispiel:

  • Sie ändern die Bezeichnung, indem Sie jetzt Berechtigungen zuweisen, damit Benutzer Berechtigungen zuweisen können, oder umgekehrt.
  • Sie ändern die Bezeichnung von "Nicht weiterleiten" in "Nur verschlüsseln", oder umgekehrt.

Was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Bezeichnung angewendet wird

Wenn eine Vertraulichkeitsbezeichnung auf unverschlüsselten Inhalt angewendet wird, ist das Ergebnis für die Verschlüsselungsoptionen, die Sie auswählen können, selbsterklärend. Wenn Sie beispielsweise nicht Zugriff steuern ausgewählt haben, bleibt der Inhalt unverschlüsselt.

Allerdings ist der Inhalt möglicherweise bereits verschlüsselt. Ein anderer Benutzer kann beispielsweise Folgendes angewendet haben:

  • Ihre eigenen Berechtigungen, die benutzerdefinierte Berechtigungen umfassen, wenn sie durch eine Bezeichnung aufgefordert werden, benutzerdefinierte Berechtigungen vom Microsoft Purview Information Protection-Client und den Dokumentschutz mit eingeschränktem Zugriff innerhalb einer Office-App.
  • Eine Rights Management-Vorlage, die den Inhalt unabhängig von einer Bezeichnung verschlüsselt. Diese Kategorie umfasst die Regeln für den E-Mail-Verkehr, die die Verschlüsselung mithilfe des Rechteschutzes anwenden.
  • Eine Bezeichnung, die Verschlüsselung mit Berechtigungen zulässt, die vom Administrator zugewiesen wurden.

In der folgenden Tabelle wird dargestellt, was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Vertraulichkeitsbezeichnung auf diese Inhalte angewendet wird:

Verschlüsselung: nicht ausgewählt Verschlüsselung: konfiguriert Verschlüsselung: Entfernen
Von einem Benutzer festgelegte Berechtigungen Die ursprüngliche Verschlüsselung wird entfernt Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt
Rights Management-Vorlage Die ursprüngliche Verschlüsselung bleibt erhalten Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt
Bezeichnung mit von dem Administrator definierten Berechtigungen Die ursprüngliche Verschlüsselung wird entfernt Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt

In den Fällen, in denen die neue Verschlüsselung mit Bezeichnungen angewendet oder die ursprüngliche Verschlüsselung entfernt wird, geschieht dies nur, wenn der Benutzer, der die Bezeichnung anwendet, über ein Nutzungsrecht oder eine Rolle verfügt, das bzw. die diese Aktion unterstützt:

Wenn der Benutzer nicht über eines dieser Rechte oder Rollen verfügt, kann die Bezeichnung nicht angewendet werden und die ursprüngliche Verschlüsselung bleibt erhalten. Dem Benutzer wird die folgende Meldung angezeigt: Sie verfügen nicht über die erforderlichen Berechtigungen zum Ändern der Vertraulichkeitsbezeichnung. Wenden Sie sich an den Inhaltsbesitzer.

So kann beispielsweise die Person, die „Keine Weiterleitung“ auf eine E-Mail-Nachricht anwendet, den Thread so kennzeichnen, dass die Verschlüsselung ersetzt oder entfernt wird, weil die Person der Besitzer des Rights Management für die E-Mail ist. Mit Ausnahme der Administratoren können Empfänger dieser E-Mail diese nicht erneut beschriften, weil Sie nicht über die erforderlichen Nutzungsrechte verfügen.

Email Anlagen für verschlüsselte E-Mail-Nachrichten und Besprechungseinladungen

Wenn eine E-Mail-Nachricht oder Besprechungseinladung mit einer beliebigen Methode verschlüsselt wird, erben alle unverschlüsselten Office-Dokumente, die an die E-Mail oder Einladung angefügt sind, automatisch die gleichen Verschlüsselungseinstellungen. Sie können diese Verschlüsselungsvererbung nicht deaktivieren, z. B. mit einer Einstellung oder Bezeichnungsdefinition.

Jede Vertraulichkeitsbezeichnung aus der E-Mail-Nachricht oder Besprechungseinladung wird nicht von der Anlage geerbt, kann aber automatisch angewendet werden, wenn ein Benutzer im selben Mandanten das Dokument öffnet. Weitere Informationen finden Sie unter Verschlüsselungsbasierter Bezeichnungsabgleich für Dokumente.

Dokumente, die bereits verschlüsselt und dann als Anlagen hinzugefügt wurden, erhalten immer die ursprüngliche Verschlüsselung.

Konfigurieren von Verschlüsselungseinstellungen

Wenn Sie auf der Seite Zugriffssteuerung die Option Zugriffssteuerungseinstellungen konfigurieren auswählen, um eine Vertraulichkeitsbezeichnung zu erstellen oder zu bearbeiten, wählen Sie eine der folgenden Optionen aus:

  • Berechtigungen sofort zuweisen, damit Sie genau bestimmen können, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten. Weitere Informationen hierzu finden Sie im nächsten Abschnitt Berechtigungen sofort zuweisen.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn Ihre Benutzer die Bezeichnung auf Inhalte anwenden. Mit deiser Option ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können. Weitere Informationen hierzu finden Sie auf dieser Seite im Abschnitt Benutzern die Zuweisung von Berechtigungen überlassen.

Liegt beispielsweise eine Vertraulichkeitsbezeichnung namens Streng vertraulich vor, die auf Ihre vertraulichsten Inhalte angewendet wird, können Sie jetzt festlegen, wer welche Art von Berechtigungen für diese Inhalte erhält.

Wenn Sie hingegen über eine Vertraulichkeitsbezeichnung namens Geschäftsverträge verfügen und der Workflow in Ihrer Organisation erfordert, dass Ihre Mitarbeiter ungeplant mit anderen Personen an diesen Inhalten zusammenarbeiten, können Sie zulassen, dass Ihre Benutzer jeweils entscheiden, wer eine Berechtigung erhält, wenn sie diese Bezeichnung zuweisen. Diese Flexibilität fördert die Produktivität Ihrer Benutzer und verringert die Anfragen an Ihre Administratoren, Vertraulichkeitsbezeichnungen für spezifische Szenarios zu erstellen oder zu aktualisieren.

Auswählen, ob Berechtigungen jetzt zugewiesen werden sollen oder ob Benutzer Berechtigungen zuweisen dürfen:

Optionen zum Auswählen von vom Administrator definierten Berechtigungen oder benutzerdefinierten Berechtigungen.

Berechtigungen sofort zuweisen

Verwenden Sie die folgenden Optionen, um zu steuern, wer auf E-Mails, Besprechungseinladungen (sofern aktiviert) oder Dokumente zugreifen kann, auf die diese Bezeichnung angewendet wird. Sie haben folgende Möglichkeiten:

  • Lassen Sie zu, dass der Zugriff auf bezeichnete Inhalte abläuft, entweder an einem bestimmten Datum oder nach einer bestimmten Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Nach diesem Zeitpunkt können Benutzer das beschriftete Element nicht mehr öffnen. Wenn Sie ein Datum angeben, ist es um Mitternacht an diesem Datum in Ihrer aktuellen Zeitzone wirksam. Einige E-Mail-Clients erzwingen aufgrund ihrer Zwischenspeicherungsmechanismen möglicherweise nicht den Ablauf und zeigen E-Mails nach ihrem Ablaufdatum an.

  • Erlauben Sie den Offline-Zugriff nie, immer oder für eine bestimmte Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Verwenden Sie diese Einstellung, um ein Gleichgewicht zwischen Ihren Sicherheitsanforderungen und der Möglichkeit für Benutzer herzustellen, verschlüsselte Inhalte zu öffnen, wenn sie keine Internetverbindung haben. Wenn Sie den Offlinezugriff auf nie oder eine Anzahl von Tagen beschränken, müssen Benutzer bei Erreichen dieses Schwellenwerts erneut authentifiziert werden, und ihr Zugriff wird protokolliert. Weitere Informationen zur Funktionsweise dieses Prozesses finden Sie im folgenden Abschnitt zur Rights Management-Nutzungslizenz.

Zugriffssteuerungseinstellungen für verschlüsselte Inhalte:

Einstellungen für von Administratoren definierte Berechtigungen.

Empfehlungen für die Einstellungen für Ablauf und Offlinezugriff:

Einstellung Empfohlene Einstellung
Benutzerzugriff auf Inhalt läuft ab Nie, es sei denn, der Inhalt hat eine bestimmte zeitgebundene Anforderung.
Offlinezugriff zulassen Hängt von der Vertraulichkeit des Inhalts ab:

- Nur für eine bestimmte Anzahl von Tagen = 7 für vertrauliche Geschäftsdaten, die für das Unternehmen Schaden verursachen könnten, wenn sie mit nicht autorisierten Personen geteilt werden. Diese Empfehlung bietet einen ausgewogenen Kompromiss zwischen Flexibilität und Sicherheit. Beispiele hierfür sind Verträge, Sicherheitsberichte, Prognosezusammenfassungen und Vertriebskontodaten.

- Nie für sehr vertrauliche Geschäftsdaten, die für das Unternehmen Schaden verursachen würden, wenn sie für nicht autorisierte Personen freigegeben würden. Diese Empfehlung priorisiert die Sicherheit gegenüber der Flexibilität, und stellt sicher, dass ein oder mehrere Benutzer ein Dokument nicht mehr öffnen können, wenn Sie deren Zugriff entfernen. Beispiele hierfür sind Mitarbeiter- und Kundeninformationen, Kennwörter, Quellcode und vorab angekündigte Finanzberichte.

- Immer für weniger vertrauliche Inhalte, bei denen es keine Rolle spielt, ob Benutzer verschlüsselte Inhalte während bis zu 30 Tagen (oder die konfigurierte Gültigkeitsdauer der Nutzungslizenz für den Mandanten) öffnen können, nachdem ihr Zugriff entfernt wurde und sie zuvor den verschlüsselten Inhalt geöffnet haben.

Nur Bezeichnungen, die zum Zuweisen von Berechtigungen konfiguriert sind, unterstützen jetzt unterschiedliche Werte für den Offlinezugriff. Bezeichnungen, mit denen Benutzer die Berechtigungen automatisch zuweisen können, verwenden die Gültigkeitsdauer der Rights Management-Nutzungslizenz des Mandanten. Beispiel: Bezeichnungen, die für „Nicht weiterleiten“, „Nur verschlüsseln“ konfiguriert sind und Benutzer auffordern, ihre eigenen Berechtigungen anzugeben. Der Standardwert für diese Einstellung ist 30 Tage.

Rights Management-Verwendungslizenz für den Offlinezugriff

Hinweis

Obwohl Sie die Verschlüsselungseinstellung so konfigurieren können, dass der Offlinezugriff zugelassen wird, unterstützen einige Apps den Offlinezugriff für verschlüsselte Inhalte möglicherweise nicht. Beispielsweise werden bezeichnete und verschlüsselte Dateien in Power BI-Desktop nicht geöffnet, wenn Sie offline sind.

Wenn ein Benutzer ein Element öffnet, das durch Verschlüsselung aus dem Azure Rights Management-Dienst geschützt wurde, wird dem Benutzer eine Azure Rights Management-Nutzungslizenz für diesen Inhalt gewährt. Hierbei handelt es sich um ein Zertifikat, das die Nutzungsberechtigungen des Benutzers für das Dokument oder die E-Mail sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde. Die Verwendungslizenz enthält außerdem ein Ablaufdatum, sofern eins festgelegt wurde, und eine Gültigkeitsdauer.

Wenn kein Ablaufdatum festgelegt wurde, beträgt die Standardgültigkeitsdauer der Nutzungslizenz für einen Mandanten 30 Tage. Für die Dauer der Nutzungslizenz wird der Benutzer für den Inhalt nicht erneut authentifiziert oder erneut authentifiziert. Dieser Prozess ermöglicht es dem Benutzer, das geschützte Dokument oder die E-Mail ohne Internetverbindung zu öffnen. Wenn die Gültigkeitsdauer der Nutzungslizenz abläuft und der Benutzer das nächste Mal auf das geschützte Dokument oder die E-Mail zugreift, muss der Benutzer erneut authentifiziert und erneut authentifiziert werden.

Zusätzlich zur erneuten Authentifizierung werden die Verschlüsselungseinstellungen und die Benutzergruppenmitgliedschaft neu ausgewertet. Dies bedeutet, dass Benutzer unterschiedliche Zugriffsergebnisse für dasselbe Element erleben können, wenn änderungen an den Verschlüsselungseinstellungen oder der Gruppenmitgliedschaft seit dem letzten Zugriff auf den Inhalt vorliegen.

Informationen zum Ändern der Standardeinstellung von 30 Tagen finden Sie unter Rights Management-Verwendungslizenz.

Zuweisen von Berechtigungen für bestimmte Benutzer oder Gruppen

Sie können bestimmten Personen Berechtigungen erteilen, sodass nur sie mit dem gekennzeichneten Inhalt interagieren können:

  1. Zuerst fügen Sie Benutzer oder Gruppen hinzu, denen Berechtigungen für gekennzeichnete Inhalte erteilt werden.

  2. Dann wählen Sie die Berechtigungen aus, die diese Benutzer für die gekennzeichneten Inhalte haben sollten.

Zuweisen von Berechtigungen:

Verschlüsselungsoptionen zum Zuweisen von Berechtigungen an Benutzer.

Hinzufügen von Benutzern und Gruppen

Wenn Sie Berechtigungen zuweisen, können Sie folgende Optionen auswählen:

  • Jeder in Ihrem organization (alle Mandantenmitglieder). Diese Einstellung schließt Gastkonten aus.

  • Alle authentifizierten Benutzer. Stellen Sie sicher, dass Sie die Voraussetzungen und Einschränkungen dieser Einstellung verstehen, bevor Sie sie auswählen.

  • Eine bestimmte Benutzer- oder E-Mail-aktivierte Sicherheitsgruppe, Verteilergruppe oder Microsoft 365-Gruppe in Microsoft Entra ID. Die Microsoft 365-Gruppe kann die statische oder dynamische Mitgliedschaft haben. Sie können keine dynamische Verteilergruppe aus Exchange verwenden, da dieser Gruppentyp nicht mit Microsoft Entra ID synchronisiert wird. Sie können auch keine Sicherheitsgruppe verwenden, die nicht E-Mail-aktiviert ist.

    Obwohl Sie Gruppen, die E-Mail-Kontakte enthalten, als bequeme Methode festlegen können, um mehreren Personen außerhalb Ihres Unternehmens Zugriff zu gewähren, gibt es derzeit ein bekanntes Problem mit dieser Konfiguration. Weitere Informationen finden Sie unter E-Mail-Kontakte in Gruppen haben zeitweise Zugriff auf verschlüsselte Inhalte.

  • Beliebige E-Mail-Adresse oder Domäne. Verwenden Sie diese Option, um alle Benutzer in einer anderen organization anzugeben, die Microsoft Entra ID verwenden, indem Sie einen beliebigen Domänennamen aus diesem organization eingeben. Sie können diese Option auch für Anbieter sozialer Dienste verwenden, indem Sie deren Domänennamen eingeben, z. B. gmail.comhotmail.com oder Outlook.com.

    Hinweis

    Wenn Sie eine Domäne aus einer organization angeben, die Microsoft Entra ID verwendet, können Sie den Zugriff auf diese bestimmte Domäne nicht einschränken. Stattdessen werden alle überprüften Domänen in Microsoft Entra ID automatisch für den Mandanten eingeschlossen, der den von Ihnen angegebenen Domänennamen besitzt.

Wenn Sie alle Benutzer und Gruppen in Ihrer Organisation auswählen oder das Verzeichnis durchsuchen, müssen die Benutzer oder Gruppen eine E-Mail-Adresse aufweisen.

Als bewährte Methode sollten Sie Gruppen anstelle von Benutzern verwenden. Diese Strategie vereinfacht Ihre Konfiguration.

Voraussetzungen und Einschränkungen für „Hinzufügen von allen authentifizierten Benutzern“

Diese Einstellung schränkt den Zugriff der Benutzer auf den Inhalt nicht ein, der von der Bezeichnung verschlüsselt wird, während sie den Inhalt weiterhin verschlüsselt und Ihnen Optionen zum Einschränken des Inhalts (Berechtigungen) und zum Zugriff auf (Ablauf und Offlinezugriff) bietet. Die Anwendung, die die verschlüsselten Inhalte öffnet, muss die verwendete Authentifizierung unterstützen können. Aus diesem Grund funktionieren Verbundanbieter für soziale Netzwerke wie Google und einmalige Kennungsauthentifizierung nur für E-Mail- und Besprechungseinladungen und nur, wenn Sie Exchange Online verwenden. Microsoft-Konten können mit Office 365-Apps und dem Microsoft Purview Information Protection-Viewer verwendet werden.

Hinweis

Erwägen Sie die Verwendung dieser Einstellung mit sharePoint- und OneDrive-Integration mit Microsoft Entra B2B, wenn Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert sind.

Einige typische Szenarien für die Einstellung "Alle authentifizierten Benutzer":

  • Es ist Ihnen egal, wer auf den Inhalt zugreift, aber Sie möchten die Nutzung einschränken. So möchten Sie beispielsweise nicht, dass der Inhalt bearbeitet, kopiert oder gedruckt wird.
  • Sie müssen nicht einschränken, wer auf die Inhalte zugreift, aber Sie möchten bestätigen können, wer die Inhalte öffnet.
  • Sie fordern, dass der Inhalt im Standby und bei der Übermittlung verschlüsselt werden muss, aber es sind keine Zugriffskontrollen erforderlich.

Berechtigungen auswählen

Wenn Sie die Berechtigungen für diese Benutzer oder Gruppen auswählen, können Sie folgende Optionen auswählen:

  • Eine vordefinierte Berechtigungsstufe mit einer voreingestellten Gruppe von Rechten, z. B. Editor oder Eingeschränkte Editor.
  • Benutzerdefinierte Berechtigungen, wobei Sie ein oder mehrere Nutzungsrechte auswählen.

Weitere Informationen, die Ihnen bei der Auswahl der entsprechenden Berechtigungen helfen, finden Sie unter Nutzungsrechte und Beschreibungen.

Verschlüsselungsoptionen zum Auswählen von Berechtigungsstufen oder benutzerdefinierten Berechtigungen.

Beachten Sie, dass dieselbe Bezeichnung verschiedenen Benutzern unterschiedliche Berechtigungen erteilen kann. Beispielsweise kann eine einzelne Bezeichnung einigen Benutzern eingeschränkte Editor und einen anderen Benutzer als Besitzer zuweisen, wie im folgenden Screenshot gezeigt.

Fügen Sie dazu Benutzer oder Gruppen hinzu, weisen Ihnen Berechtigungen zu, und speichern Sie diese Einstellungen. Wiederholen Sie dann diese Schritte, indem Sie Benutzer hinzufügen und ihnen Berechtigungen zuweisen, wobei die Einstellungen jedes Mal gespeichert werden. Sie können diese Konfiguration so oft wie nötig wiederholen, um unterschiedliche Berechtigungen für verschiedene Benutzer zu definieren.

Verschiedene Benutzer, die für die Verschlüsselung mit unterschiedlichen Berechtigungen konfiguriert sind.

Rights Management-Aussteller (Benutzer, der die Vertraulichkeitsbezeichnung anwendet) hat immer Vollzugriff

Standardmäßig verwendet die Verschlüsselung für eine Vertraulichkeitsbezeichnung den Azure Rights Management-Dienst aus Microsoft Purview Information Protection. Wenn ein Benutzer eine Vertraulichkeitsbezeichnung anwendet, um ein Dokument oder eine E-Mail mithilfe von Verschlüsselung zu schützen, wird dieser Benutzer der Rights Management-Aussteller für diesen Inhalt.

Der Rights Management-Aussteller erhält immer Vollzugriff für das Dokument oder die E-Mail. Außerdem gilt:

  • Wenn die Verschlüsselungseinstellungen ein Ablaufdatum umfassen, kann der Rights Management-Aussteller das Dokument oder die E-Mail nach diesem Datum immer noch öffnen und bearbeiten.
  • Der Rights Management-Aussteller kann immer offline auf das Dokument oder die E-Mail zugreifen.
  • Der Rights Management-Aussteller kann ein Dokument weiterhin öffnen, nachdem es zurückgezogen wurde.

Weitere Informationen finden Sie unter Rights Management-Aussteller und Rights Management-Besitzer.

Dynamische Wasserzeichen

Hinweis

Diese Option ist eine Vorschau und kann sich noch ändern.

Ermitteln Sie die erforderlichen Mindestversionen mithilfe der Funktionstabellen und der Zeile Dynamische Wasserzeichen.

Wenn ein Benutzer auf eine Datei mit dieser Vertraulichkeitsbezeichnung zugreift, wird der universelle Prinzipalname (UPN) standardmäßig dynamisch als Wasserzeichen auf jeder Seite der Datei eingefügt. In der Regel entspricht der UPN eines Benutzers seiner E-Mail-Adresse. Optional können Sie mithilfe des PowerShell-Cmdlets Set-Label mit dem Parameter DynamicWatermarkDisplay eine benutzerdefinierte Zeichenfolge angeben, die auch Variablen unterstützt, die Datum und Uhrzeit enthalten.

Dieses Wasserzeichen ist beim Anzeigen der Datei auf einem Gerät gut sichtbar und wird beim Drucken beibehalten, jedoch nicht beim Export. Diese Wasserzeichen sind sicherer als die standardmäßigen Inhaltsmarkierungen für eine Bezeichnung, da der Benutzer sie nicht manuell entfernen oder ändern kann.

Die einzige Möglichkeit zum Entfernen des Wasserzeichens besteht darin, das Dokument neu zu bezeichnen, indem Sie eine Vertraulichkeitsbezeichnung auswählen, die ein anderes dynamisches Wasserzeichen anwendet, oder kein dynamisches Wasserzeichen. Wie bei allen verschlüsselten Inhalten muss ein Benutzer jedoch über das Nutzungsrecht "Exportieren" oder "Vollzugriff" verfügen, um die vorhandene Verschlüsselung zu entfernen.

Dieses schützende Wasserzeichen wird nur für Vertraulichkeitsbezeichnungen unterstützt, die Verschlüsselung anwenden, und mit der Konfiguration Berechtigungen zuweisen, die manchmal auch als "vom Administrator definierte Berechtigungen" bezeichnet wird. Verwenden Sie es für Ihre vertraulichsten Dokumente als visuelle Abschreckung vor Bildschirmaufnahmen der Person, die das Dokument geöffnet hat. Beachten Sie jedoch die folgenden Überlegungen.

Um ein beschriftetes Dokument zu öffnen, das dynamische Wasserzeichen anwendet, muss eines der folgenden Aussagen zutreffen:

  • Der Benutzer ist der Rights Management-Besitzer, was meistens bedeutet, dass er die Bezeichnung selbst angewendet hat. Weitere Informationen finden Sie unter Rights Management-Aussteller und Rights Management-Besitzer.

  • Der Benutzer öffnet das Dokument mit einer App, die dynamische Wasserzeichen versteht. Verwenden Sie die Funktionstabellen und die Zeile Dynamische Wasserzeichen , um unterstützte Versionen zu bestätigen.

  • Der Benutzer öffnet das Dokument in Office im Web.

Wenn keine dieser Bedingungen erfüllt ist, wenn ein Benutzer das Dokument in einer Office-App öffnet, wird das Dokument nicht geöffnet. Stellen Sie sicher, dass Sie diese Einschränkung verstehen, bevor Sie diese Bezeichnungskonfiguration verwenden.

Achtung

Microsoft Office-Apps verweigern entweder den Zugriff, wenn sie keine dynamischen Wasserzeichen unterstützen, oder erzwingen dynamische Wasserzeichen, wenn dies der Fall ist.

Überlegungen zu dokumenten mit früheren Bezeichnungen:

  • Wie alle geänderten Verschlüsselungseinstellungen wird ein neu konfiguriertes dynamisches Wasserzeichen nicht sofort angewendet, wenn Sie bereits über eine gültige Rights Management-Nutzungslizenz für ein Dokument verfügen. Nachdem die Nutzungslizenz abgelaufen ist, müssen Sie sich erneut beim Azure Rights Management-Dienst authentifizieren, um das Dokument zu öffnen. Anschließend wird die dynamische Wasserzeicheneinstellung angewendet.

  • Es gibt keine automatische Erkennung und Auflösung, wenn die Vertraulichkeitsbezeichnung zuvor ein Standardwasserzeichen als Inhaltsmarkierung angewendet hat.

Verschlüsselung mit Doppelschlüssel

Hinweis

Identifizieren Sie für die integrierte Bezeichnung die erforderlichen Mindestversionen mithilfe der Funktionstabellen und der Zeile Double Key Encryption (DKE).

Wählen Sie die Option Doppelschlüsselverschlüsselungsbezeichnung erst aus, nachdem Sie den Double Key Encryption-Dienst konfiguriert haben. Sie müssen diese Doppelschlüsselverschlüsselung für Dateien und E-Mails verwenden, auf die diese Bezeichnung angewendet wird. Nachdem die Bezeichnung konfiguriert und gespeichert wurde, können Sie sie nicht mehr bearbeiten.

Weitere Informationen, Voraussetzungen und Konfigurationsanweisungen finden Sie unter Double Key Encryption (DKE).

Benutzern die Zuweisung von Berechtigungen überlassen

Wichtig

Nicht alle Bezeichnungs-Assistenten unterstützen alle Optionen, mit denen Benutzer ihre eigenen Berechtigungen zuweisen können. Verwenden Sie diesen Abschnitt, um mehr zu erfahren.

Sie können die folgenden Optionen verwenden, um Benutzern zu erlauben, Berechtigungen zuweisen zu können, wenn sie eine Vertraulichkeitsbezeichnung manuell auf Inhalte anwenden:

  • In Outlook kann ein Benutzer für seine ausgewählten Empfänger Einschränkungen auswählen, die der Option Nicht weiterleiten oder Nur verschlüsseln entsprechen.

    Die Option "Nicht weiterleiten" wird von allen E-Mail-Clients unterstützt, die Vertraulichkeitsbezeichnungen unterstützen. Das Anwenden der Option Nur verschlüsseln mit einer Vertraulichkeitsbezeichnung ist jedoch eine neuere Version. Bei E-Mail-Clients, die diese Funktion nicht unterstützen, wird die Bezeichnung nicht sichtbar sein.

    Um die Mindestversionen für Outlook-Apps zu überprüfen, die integrierten Bezeichnungen verwenden, um die Anwendung der Option „Nur verschlüsseln“ mit einer Vertraulichkeitsbezeichnung zu unterstützen, verwenden Sie die Funktionstabelle für Outlook und die Zeile Benutzern die Zuweisung von Berechtigungen überlassen: – Nur verschlüsseln.

  • In Word, PowerPoint und Excel wird ein Benutzer aufgefordert, ihre eigenen Berechtigungen für bestimmte Benutzer, Gruppen oder Organisationen auszuwählen.

    Bei Office-Apps, die diese Funktion nicht unterstützen, ist die Bezeichnung entweder für Benutzer nicht sichtbar, oder die Bezeichnung ist aus Gründen der Konsistenz sichtbar, kann aber nicht mit einer Erklärungsmeldung an Benutzer angewendet werden.

    Um zu überprüfen, welche Office-Apps diese Option unterstützen, verwenden Sie die Funktionstabelle für Word, Excel und PowerPoint und die Zeilen unter Benutzern das Zuweisen von Berechtigungen erlauben.

Hinweis

Sie können diese Konfigurationen nicht verwenden, wenn der Bezeichnungsbereich E-Mails (für Do Not Forward und Encrypt-Only) oder Dateien (zum Auffordern von Benutzern in Word, PowerPoint und Excel) ausschließt. Weitere Informationen finden Sie unter Bereichsbezeichnungen nur für Dateien oder E-Mails.

Wenn die Optionen unterstützt werden, verwenden Sie die folgende Tabelle, um zu ermitteln, wann Benutzer die Vertraulichkeitsbezeichnung sehen:

Einstellung Die Bezeichnung ist in Outlook sichtbar Die Bezeichnung ist in Word, Excel, PowerPoint sichtbar
Setzen Sie in Outlook Einschränkungen mit der Option "Nicht weiterleiten" oder "Nur verschlüsseln durch Ja Nein
In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben Nein Ja

Wenn beide Einstellungen ausgewählt sind, ist die Bezeichnung sowohl in Outlook als auch in Word, Excel und PowerPoint sichtbar.

Eine Vertraulichkeitsbezeichnung, mit der Benutzer Berechtigungen zuweisen können, kann Benutzern empfohlen werden, kann jedoch nur automatisch für die Optionen Nicht weiterleiten und Encrypt-Only angewendet werden.

Konfigurieren der dem Benutzer zugewiesenen Berechtigungen:

Verschlüsselungseinstellungen für benutzerdefinierte Berechtigungen.

Einschränkungen in Outlook

Wenn ein Benutzer in Outlook eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für eine Nachricht gestattet, entsprechen die Einschränkungen der Option Nicht weiterleiten oder Nur Verschlüsseln. Der Benutzer sieht oben in der Nachricht den Namen und die Beschreibung der Bezeichnung, die den Inhalt als geschützt ausweist. Anders als in Word, PowerPoint und Excel (mehr dazu im nächsten Abschnitt) werden die Benutzer hier nicht aufgefordert, bestimmte Berechtigungen auszuwählen. Für diese Konfiguration steuert der Administrator die Berechtigungen, aber nicht, wer Zugriff hat.

Vertraulichkeitsbezeichnung, die auf die Nachricht in Outlook angewendet wird.

Wenn eine dieser beiden Optionen auf eine E-Mail angewendet wird, wird die E-Mail verschlüsselt und die Empfänger müssen authentifiziert werden. Die Empfänger haben dann automatisch eingeschränkte Nutzungsrechte:

  • Nicht weiterleiten: Die Empfänger können die E-Mail nicht weiterleiten, ausdrucken oder daraus kopieren. Wenn beispielsweise im Outlook-Client die Schaltfläche „Weiterleiten“ nicht verfügbar ist, sind die Menüoptionen „Speichern unter“ und „Drucken“ ebenfalls nicht verfügbar, und Sie können in den Feldern „An“, „CC“ oder „Bcc“ keine Empfänger hinzufügen oder ändern.

    Weitere Informationen zur Funktionsweise dieser Option finden Sie unter Option Nicht weiterleiten für E-Mails.

  • Nur verschlüsseln: Die Empfänger haben alle Nutzungsrechte außer Speichern unter, Exportieren und Vollzugriff. Diese Kombination von Nutzungsrechten bedeutet, dass die Empfänger keine Einschränkungen haben, außer dass sie den Schutz nicht entfernen können. Ein Empfänger kann z. B. eine Kopie der E-Mail erstellen, diese ausdrucken und weiterleiten.

    Weitere Informationen zur Funktionsweise dieser Option finden Sie unter Option Nur Verschlüsselung für E-Mails.

Unverschlüsselte Office-Dokumente, die an die E-Mail oder Besprechungseinladung angefügt sind, erben automatisch die gleichen Einschränkungen. Für "Nicht weiterleiten" gelten für diese Dokumente die Nutzungsrechte "Inhalt bearbeiten", "Bearbeiten", "Speichern", "Anzeigen", "Öffnen", "Lesen" und "Makros zulassen". Wenn der Benutzer unterschiedliche Nutzungsrechte für eine Anlage wünscht oder es sich bei der Anlage nicht um ein Office-Dokument handelt, das diesen geerbten Schutz unterstützt, muss der Benutzer die Datei verschlüsseln, bevor er sie an die E-Mail- oder Besprechungseinladung anfügt.

Berechtigungen in Word, PowerPoint und Excel

Wenn ein Benutzer in Word, PowerPoint oder Excel eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für ein Dokument gestattet, wird der Benutzer aufgefordert, Benutzer und Berechtigungen für die Verschlüsselung auszuwählen. Bei dieser Konfiguration steuert der Benutzer und nicht der Administrator, wer auf das Dokument zugreifen kann und welche Berechtigungen er besitzt.

Unterstützung für organisationsweite benutzerdefinierte Berechtigungen

Für die integrierte Bezeichnung in Windows können Benutzer zusätzlich einen Domänennamen angeben, wenn sie aufgefordert werden, ihre Auswahl an Benutzern und Berechtigungen anzugeben. Wenn ein Domänenname eingegeben wird, gelten die Berechtigungen für alle Benutzer in einem organization, dem die Domäne gehört, und diese befindet sich in Microsoft Entra ID. Um die Mindestversionen zu identifizieren, die diese Einstellung unterstützen, verwenden Sie die Funktionstabelle und die Zeile Benutzer zuweisen von Berechtigungen zulassen: - Benutzer auffordern, benutzerdefinierte Berechtigungen (Benutzer, Gruppen und Organisationen) einzugeben.

Älteres Dialogfeld mit Text zur Unterstützung organization-weiten benutzerdefinierten Berechtigungen.

Hinweis

Das angezeigte Dialogfeld wird in den neuesten Versionen von Office-Apps aktualisiert, aber die Unterstützung für organization-weiten benutzerdefinierten Berechtigungen bleibt bestehen, wenn ein Domänenname eingegeben wird. Informationen zu dieser Unterstützung sind im Popupinformationsfeld enthalten.

Beispielsweise gibt ein Benutzer @contoso.com (oder contoso.com) ein und gewährt Lesezugriff. Da die Contoso Corporation die contoso.com Domäne besitzt, erhalten alle Benutzer in dieser Domäne und alle anderen Domänen, die dem organization in Microsoft Entra ID gehören, Lesezugriff.

Hinweis

Wenn Sie diese Werte angeben, sollten Sie sie nicht in Anführungszeichen setzen.

Es ist wichtig, die Benutzer darüber zu informieren, dass der Zugriff nicht nur auf die Benutzer in der angegebenen Domäne beschränkt ist. @sales.contoso.com würde z. B. den Zugriff nicht nur auf Benutzer in der Unterdomäne sales einschränken, sondern auch Benutzern in der marketing.contoso.com Domäne und sogar Benutzern mit einem nicht zusammenhängenden Namespace im selben Microsoft Entra Mandanten Zugriff gewähren.

Beispielkonfigurationen für die Verschlüsselungseinstellungen

Führen Sie für jedes folgende Beispiel die Konfiguration auf der Seite Zugriffssteuerung aus, wenn die Option Zugriffssteuerungseinstellungen konfigurieren ausgewählt ist:

Wenden Sie die Zugriffssteuerungsbasierte Verschlüsselungsoption in der Konfiguration der Vertraulichkeitsbezeichnung an.

Beispiel 1: Bezeichnung, die "Nicht weiterleiten" beim Senden einer verschlüsselten E-Mail-Nachricht an ein Gmail-Konto anwendet

Diese Bezeichnung wird nur in Outlook und Outlook im Web angezeigt und Sie müssen Exchange Online verwenden. Weisen Sie Benutzer an, diese Bezeichnung auszuwählen, wenn sie eine verschlüsselte E-Mail an Personen senden müssen, die ein Gmail-Konto (oder ein anderes E-Mail-Konto außerhalb Ihrer Organisation) verwenden.

Ihre Benutzer geben die Gmail-Adresse in das Feld An ein. Dann wählen sie die Bezeichnung aus, und die Option "Nicht weiterleiten" wird der E-Mail automatisch hinzugefügt. Das hat zur Folge, dass Empfänger die E-Mail nicht weiterleiten, drucken oder daraus kopieren können und die E-Mail nicht über die Option Speichern unter außerhalb ihres Postfachs speichern können.

  1. Auf der Seite Zugriffssteuerung : Wählen Sie für Berechtigungen jetzt zuweisen oder Benutzern die Entscheidung erlauben? die Option Benutzern das Zuweisen von Berechtigungen erlauben, wenn sie die Bezeichnung anwenden aus.

  2. Aktivieren Sie das Kontrollkästchen In Outlook Einschränkungen durchsetzen, die der Option "Nicht weiterleiten" entsprechen.

  3. Wenn das Kontrollkästchen In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben aktiviert ist, deaktivieren Sie es.

  4. Wählen Sie Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 2: Bezeichnung, die die Nur-Lese-Berechtigung auf alle Benutzer in einer anderen Organisation beschränkt

Diese Bezeichnung eignet sich für die schreibgeschützte Freigabe streng vertraulicher Dokumente, wobei zum Anzeigen der Dokumente immer eine Internetverbindung benötigt wird.

Diese Bezeichnung eignet sich nicht für E-Mails.

  1. Auf der Seite *Zugriffssteuerung : Wählen Sie für Berechtigungen jetzt zuweisen oder Benutzer entscheiden? die Option Berechtigungen jetzt zuweisen aus.

  2. Wählen Sie für Offlinezugriff zulassen die Option Nie aus.

  3. Wählen Sie Berechtigungen zuweisen aus.

  4. Wählen Sie im Bereich Berechtigungen zuweisen die Option Spezifische E-Mail-Adressen oder Domänen hinzufügen aus.

  5. Geben Sie in das Textfeld den Namen einer Domäne der anderen Organisation ein, z. B. fabrikam.com. Wählen Sie dann Hinzufügen aus.

  6. Klicken Sie auf Berechtigungen auswählen.

  7. Wählen Sie im Bereich Berechtigungen auswählen im Dropdownfeld Viewer aus und klicken Sie anschließend auf Speichern.

  8. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.

  9. Wählen Sie auf der Seite Zugriffssteuerungdie Option Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 3: Hinzufügen externer Benutzer zu einer vorhandenen Bezeichnung, die Inhalt verschlüsselt

Die neuen Benutzer, die Sie hinzufügen, können Dokumente und E-Mails öffnen, die bereits mit dieser Bezeichnung geschützt sind. Die Berechtigungen, die Sie diesen Benutzern gewähren, können sich von den Berechtigungen der vorhandenen Benutzer unterscheiden.

  1. Auf der Seite Zugriffssteuerung : Für Berechtigungen jetzt zuweisen oder Benutzern die Entscheidung überlassen? stellen Sie sicher, dass Berechtigungen jetzt zuweisen ausgewählt ist.

  2. Wählen Sie Berechtigungen zuweisen aus.

  3. Wählen Sie im Bereich Berechtigungen zuweisen die Option Spezifische E-Mail-Adressen oder Domänen hinzufügen aus.

  4. Geben Sie in das Textfeld die E-Mail-Adresse des ersten hinzuzufügenden Benutzers (oder der ersten Gruppe) ein, und wählen Sie dann Hinzufügen aus.

  5. Klicken Sie auf Berechtigungen auswählen.

  6. Wählen Sie im Bereich Berechtigungen auswählen die Berechtigungen für diesen Benutzer (oder die Gruppe) aus und klicken Sie anschließend auf Speichern.

  7. Wiederholen Sie im Bereich Berechtigungen zuweisen die Schritte 3 bis 6 für jeden Benutzer (oder jede Gruppe), zu dem bzw. der Sie diese Bezeichnung hinzufügen möchten. Klicken Sie dann auf Speichern.

  8. Wählen Sie auf der Seite Zugriffssteuerungdie Option Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 4: Bezeichnung, die Inhalte verschlüsselt, aber nicht einschränkt, wer darauf zugreifen kann

Diese Konfiguration hat den Vorteil, dass Sie zur Verschlüsselung einer E-Mail oder eines Dokuments keine Benutzer, Gruppen oder Domänen angeben müssen. Der Inhalt wird trotzdem verschlüsselt, und Sie können Nutzungsrechte, ein Ablaufdatum und Offlinezugriff festlegen.

Verwenden Sie diese Konfiguration nur, wenn Sie nicht einschränken müssen, wer das geschützte Dokument oder die E-Mail öffnen kann. Weitere Informationen zu dieser Einstellung.

  1. Auf der Seite Zugriffssteuerung : Für Berechtigungen jetzt zuweisen oder Benutzern die Entscheidung überlassen? stellen Sie sicher, dass Berechtigungen jetzt zuweisen ausgewählt ist.

  2. Konfigurieren Sie die Einstellungen für Benutzerzugriff auf Inhalte läuft ab und Offlinezugriff zulassen wie erforderlich.

  3. Wählen Sie Berechtigungen zuweisen aus.

  4. Wählen Sie im Bereich Berechtigungen zuweisendie Option Alle authentifizierten Benutzer hinzufügen aus.

    Benutzer und Gruppen werden Authentifizierte Benutzer automatisch hinzugefügt. Sie können diesen Wert nicht ändern, sondern nur löschen, wodurch die Auswahl Alle authentifizierten Benutzer hinzufügen aufgehoben wird.

  5. Klicken Sie auf Berechtigungen auswählen.

  6. Wählen Sie im Bereich Berechtigungen auswählen im Dropdownfeld die gewünschten Berechtigungen und klicken Sie anschließend auf Speichern.

  7. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.

  8. Wählen Sie auf der Seite Zugriffssteuerungdie Option Weiter aus, und schließen Sie die Konfiguration ab.

Überlegungen zu verschlüsselten Inhalten

Durch die Verschlüsselung Ihrer sensibelsten Dokumente und E-Mails können Sie sicherstellen, dass nur autorisierte Personen auf diese Daten zugreifen können. Es müssen jedoch einige Überlegungen berücksichtigt werden:

  • Wenn Ihre OrganisationAktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive nicht gewählt hat:

    • Suche, eDiscovery und Delve werden für verschlüsselten Dateien nicht funktionieren.
    • funktionieren DLP-Richtlinien für die Metadaten dieser verschlüsselten Dateien (einschließlich Aufbewahrungsbezeichnungen), aber nicht für die Inhalte dieser Dateien (z. B. Kreditkartennummern innerhalb von Dateien).
    • Benutzer können verschlüsselte Dateien nicht mit Office für das Web öffnen. Wenn Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert sind, können Benutzer Office für das Web verwenden, um verschlüsselte Dateien zu öffnen, mit einigen Einschränkungen, einschließlich verschlüsselung, die mit einem lokalen Schlüssel (als "Hold Your Own Key" oder HYOK bezeichnet) angewendet wurde, Doppelschlüsselverschlüsselung und Verschlüsselung, die unabhängig von einer Vertraulichkeitsbezeichnung angewendet wurde.
  • Wenn Sie verschlüsselte Dokumente für Personen außerhalb Ihrer Organisation freigeben, müssen Sie möglicherweise Gastkonten erstellen und Richtlinien für den bedingten Zugriff ändern. Weitere Informationen finden Sie unter Freigabe verschlüsselter Dokumente für externe Benutzer.

  • Wenn autorisierte Benutzer verschlüsselte Dokumente in ihren Office-Apps öffnen, sehen sie den Bezeichnungsnamen und die Beschreibung in einer gelben Meldungsleiste oben in ihrer App. Wenn die Verschlüsselungsberechtigungen auf Personen außerhalb Ihrer Organisation erweitert werden, überprüfen Sie sorgfältig die Bezeichnungsnamen und Beschreibungen, die beim Öffnen des Dokuments in dieser Meldungsleiste angezeigt werden.

  • Damit mehrere Benutzer eine verschlüsselte Datei gleichzeitig bearbeiten können, müssen sie alle Office für das Web verwenden, oder Sie haben die gemeinsame Erstellung für Dateien aktiviert, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, und alle Benutzer verfügen über Office Apps, die dieses Feature unterstützen. Wenn dies nicht der Fall ist und die Datei bereits geöffnet ist:

    • In Office-Apps (Windows, Mac, Android und IOS) wird Benutzern eine „Datei wird verwendet“-Nachricht mit dem Namen der Person angezeigt, die die Datei ausgecheckt hat. Sie können dann eine schreibgeschützte Kopie anzeigen oder eine Kopie der Datei speichern und bearbeiten sowie benachrichtigt werden, wenn die Datei verfügbar ist.
    • In Office für Web wird Benutzern eine Fehlermeldung angezeigt, dass Sie das Dokument nicht zusammen mit anderen Personen bearbeiten können. Sie können dann In der Leseansicht öffnen auswählen.
  • Die Funktion zum automatischen Speichern in Office-Apps ist für verschlüsselte Dateien deaktiviert, wenn Sie die Gemeinsame Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, nicht aktiviert haben. Benutzern wird eine Meldung angezeigt, dass die Datei eingeschränkte Berechtigungen hat, die entfernt werden müssen, bevor das automatische Speichern aktiviert werden kann.

  • Office für Windows unterstützt Bezeichnungen, die Verschlüsselungen anwenden, wenn Benutzer nicht mit dem Internet verbunden sind. Für die anderen Plattformen (macOS, iOS, Android) müssen Benutzer jedoch online sein, damit diese Bezeichnungen in Office-Apps angewendet werden können. Der Microsoft Purview Information Protection-Client muss auch online sein, um diese Bezeichnungen in Explorer und PowerShell anzuwenden. Benutzer müssen nicht online sein, um verschlüsselte Inhalte zu öffnen. Weitere Informationen zum Offlinezugriff finde Sie im Abschnitt Rights Management-Verwendungslizenz für den Offlinezugriff.

  • Das Öffnen verschlüsselter Dateien in Office-Anwendungen (Windows, Mac, Android und iOS) kann länger dauern.

  • Wenn beim Auschecken des Dokuments in SharePoint mithilfe einer Office-App eine Bezeichnung hinzugefügt wird, die Verschlüsselung anwendet, und der Benutzer dann das Auschecken verwirft, bleibt das Dokument mit der Bezeichnung versehen und wird verschlüsselt.

  • Sofern Sie nicht die gemeinsame Dokumenterstellung für Dateien aktiviert haben, die mit Vertraulichkeitsbezeichnungen verschlüsselt wurden, werden die folgenden Aktionen für verschlüsselte Dateien von Office-Apps (Windows, Mac, Android und iOS) nicht unterstützt, und Benutzern wird eine Fehlermeldung angezeigt, dass ein Fehler aufgetreten ist. Allerdings kann die SharePoint-Funktionalität als Alternative verwendet werden:

Für eine optimale Zusammenarbeit bei Dateien, die mit einer Vertraulichkeitsbezeichnung verschlüsselt sind, empfehlen wir die Verwendung von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive sowie Office im Web.

Nächste Schritte

Müssen Sie Ihre gekennzeichneten und verschlüsselten Dokumente mit Personen außerhalb Ihrer Organisation teilen? Informationen hierzu finden Sie unter Teilen verschlüsselter Dokumente mit externen Benutzern.

Informationen zur Verwendung von Vertraulichkeitsbezeichnungen zum Verschlüsseln von Video- und Audiodatenströmen für Teams-Besprechungen finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Kalenderelementen, Teams-Besprechungen und Chats.