Teilen über


Nachrichtenverschlüsselung verwalten

Nachdem Sie die Purview-Nachrichtenverschlüsselung eingerichtet haben, können Sie die Konfiguration Ihrer Bereitstellung auf verschiedene Arten anpassen. Sie können z. B. konfigurieren, ob einmal bestandene Codes aktiviert, die Schaltfläche Verschlüsseln in Outlook im Web angezeigt werden soll und vieles mehr. In den Aufgaben in diesem Artikel wird beschrieben, wie das geht.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Verwalten, ob Google-, Yahoo- und Microsoft-Kontoempfänger diese Konten verwenden können, um sich beim Portal für verschlüsselte Nachrichten anzumelden

Wenn Sie die Nachrichtenverschlüsselung einrichten, können Benutzer in Ihrem organization Nachrichten an Empfänger senden, die sich außerhalb Ihrer organization befinden. Wenn der Empfänger eine Social Media-ID verwendet, z. B. ein Google-Konto, ein Yahoo-Konto oder ein Microsoft-Konto, kann sich der Empfänger mit einer Social Media-ID beim verschlüsselten Nachrichtenportal anmelden. Wenn Sie möchten, können Sie festlegen, dass Empfänger keine Social Media-IDs verwenden dürfen, um sich beim verschlüsselten Nachrichtenportal anzumelden.

So verwalten Sie, ob Empfänger soziale IDs verwenden können, um sich beim Portal für verschlüsselte Nachrichten anzumelden

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet Set-OMEConfiguration mit dem Parameter SocialIdSignIn wie folgt aus:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>
    

    So deaktivieren Sie beispielsweise soziale IDs:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false
    

    So aktivieren Sie soziale IDs:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
    

Verwalten der Verwendung von Einmalpasscodes für das Portal für verschlüsselte Nachrichten

Wenn der Empfänger einer per Nachrichtenverschlüsselung verschlüsselten Nachricht Outlook unabhängig vom vom vom Empfänger verwendeten Konto nicht verwendet, erhält der Empfänger einen zeitlich begrenzten Webansichtslink, über den er die Nachricht lesen kann. Dieser Link enthält einen Einmalpasscode. Als Administrator können Sie entscheiden, ob Empfänger einmalige Passcodes verwenden können, um sich beim Portal für verschlüsselte Nachrichten anzumelden.

So verwalten Sie, ob OME Einmalpasscodes generiert

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über globale Administratorberechtigungen in Ihrem organization verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Führen Sie das Cmdlet Set-OMEConfiguration mit dem Parameter OTPEnabled aus:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>
    

    So deaktivieren Sie beispielsweise Einmalpasscodes:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false
    

    So aktivieren Sie Einmalpasscodes:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
    

Verwalten der Anzeige der Schaltfläche "Verschlüsseln" in Outlook im Web

Als Administrator können Sie festlegen, ob diese Schaltfläche endbenutzern angezeigt werden soll.

So verwalten Sie, ob die Schaltfläche Verschlüsseln in Outlook im Web

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über globale Administratorberechtigungen in Ihrem organization verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Führen Sie das Cmdlet Set-IRMConfiguration mit dem Parameter -SimplifiedClientAccessEnabled aus:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>
    

    So deaktivieren Sie beispielsweise die Schaltfläche Verschlüsseln :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
    

    So aktivieren Sie die Schaltfläche Verschlüsseln :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
    

Aktivieren der dienstseitigen Entschlüsselung von E-Mail-Nachrichten für iOS-Mail-App-Benutzer

Die iOS-Mail-App kann keine Nachrichten entschlüsseln, die mit Nachrichtenverschlüsselung geschützt sind. Als Microsoft 365-Administrator können Sie die dienstseitige Entschlüsselung für Nachrichten anwenden, die an die iOS-Mail-App übermittelt werden. Wenn Sie die dienstseitige Entschlüsselung verwenden möchten, sendet der Dienst eine entschlüsselte Kopie der Nachricht an das iOS-Gerät. Das Clientgerät speichert eine entschlüsselte Kopie der Nachricht. Die Nachricht enthält auch Informationen zu Nutzungsrechten, obwohl die iOS-Mail-App keine clientseitigen Nutzungsrechte auf den Benutzer anwendet. Der Benutzer kann die Nachricht auch dann kopieren oder drucken, wenn er ursprünglich nicht über die berechtigung dazu verfügte. Wenn der Benutzer jedoch versucht, eine Aktion abzuschließen, die den Microsoft 365-E-Mail-Server erfordert, z. B. das Weiterleiten der Nachricht, lässt der Server die Aktion nicht zu, wenn der Benutzer ursprünglich nicht über das Nutzungsrecht verfügte. Endbenutzer können jedoch die Verwendungseinschränkung "Nicht weiterleiten" umgehen, indem sie die Nachricht von einem anderen Konto innerhalb der iOS-Mail-App weiterleiten. Unabhängig davon, ob Sie die dienstseitige Entschlüsselung von E-Mails einrichten, können Anlagen zu verschlüsselten und durch Rechte geschützten E-Mails nicht in der iOS-Mail-App angezeigt werden.

Wenn Sie das Senden entschlüsselter Nachrichten an iOS-Mail-App-Benutzer nicht zulassen, erhalten Benutzer eine Nachricht, die besagt, dass sie nicht über die Rechte zum Anzeigen der Nachricht verfügen. Standardmäßig ist die dienstseitige Entschlüsselung von E-Mail-Nachrichten nicht aktiviert.

Weitere Informationen und eine Ansicht der Clienterfahrung finden Sie unter Anzeigen verschlüsselter Nachrichten auf Ihrem iPhone oder iPad.

So verwalten Sie, ob Benutzer der iOS-Mail-App Nachrichten anzeigen können, die durch Nachrichtenverschlüsselung geschützt sind

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über globale Administratorberechtigungen in Ihrem organization verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Führen Sie das Cmdlet Set-ActiveSyncOrganizations mit dem Parameter AllowRMSSupportForUnenedApps aus:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>
    

    So konfigurieren Sie beispielsweise den Dienst so, dass Nachrichten entschlüsselt werden, bevor sie an nicht optimierte Apps wie die iOS-Mail-App gesendet werden:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true
    

    Oder konfigurieren Sie den Dienst so, dass er keine entschlüsselten Nachrichten an nicht optimierte Apps sendet:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
    

Hinweis

Einzelne Postfachrichtlinien (OWA/ActiveSync) überschreiben diese Einstellungen (d. h. wenn -IRMEnabled innerhalb der jeweiligen OWA-Postfachrichtlinie oder ActiveSync-Postfachrichtlinie auf False festgelegt ist, werden diese Konfigurationen nicht angewendet).

Aktivieren der dienstseitigen Entschlüsselung von E-Mail-Anlagen für Webbrowser-E-Mail-Clients

Wenn Sie Office 365 Nachrichtenverschlüsselung verwenden, werden Anlagen normalerweise automatisch verschlüsselt. Als Administrator können Sie die dienstseitige Entschlüsselung für E-Mail-Anlagen anwenden, die Benutzer aus einem Webbrowser herunterladen.

Wenn Sie die dienstseitige Entschlüsselung verwenden, sendet der Dienst eine entschlüsselte Kopie der Datei an das Gerät. Die Nachricht ist weiterhin verschlüsselt. Die E-Mail-Anlage enthält auch Informationen zu Nutzungsrechten, obwohl der Browser keine clientseitigen Nutzungsrechte auf den Benutzer anwendet. Der Benutzer kann die E-Mail-Anlage auch dann kopieren oder drucken, wenn er ursprünglich nicht über die Berechtigung dazu verfügte. Wenn der Benutzer jedoch versucht, eine Aktion abzuschließen, die den Microsoft 365-E-Mail-Server erfordert, z. B. das Weiterleiten der Anlage, lässt der Server die Aktion nicht zu, wenn der Benutzer ursprünglich nicht über das Nutzungsrecht verfügte.

Unabhängig davon, ob Sie die dienstseitige Entschlüsselung von Anlagen einrichten, können Benutzer keine Anlagen zu verschlüsselten und mit Rechten geschützten E-Mails in der iOS-Mail-App anzeigen.

Wenn Sie entschlüsselte E-Mail-Anlagen nicht zulassen (Standardeinstellung), erhalten Benutzer eine Meldung, die besagt, dass sie nicht über die Rechte zum Anzeigen der Anlage verfügen.

Weitere Informationen dazu, wie Microsoft 365 die Verschlüsselung für E-Mails und E-Mail-Anlagen mit der Option Encrypt-Only implementiert, finden Sie unter Option Nur verschlüsseln für E-Mails.

So verwalten Sie, ob E-Mail-Anlagen beim Herunterladen aus einem Webbrowser entschlüsselt werden

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über globale Administratorberechtigungen in Ihrem organization verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Führen Sie das Cmdlet Set-IRMConfiguration mit dem DecryptAttachmentForEncryptOnly-Parameter aus:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>
    

    So konfigurieren Sie beispielsweise den Dienst so, dass E-Mail-Anlagen entschlüsselt werden, wenn ein Benutzer sie aus einem Webbrowser herunterlädt:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
    

    So konfigurieren Sie den Dienst so, dass verschlüsselte E-Mail-Anlagen beim Download unverändert belassen werden:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
    

Stellen Sie sicher, dass alle externen Empfänger das Portal für verschlüsselte Nachrichten verwenden, um verschlüsselte E-Mails zu lesen.

Sie können benutzerdefinierte Brandingvorlagen verwenden, um Empfänger zu erzwingen, eine Wrapper-E-Mail zu empfangen, die sie zum Lesen verschlüsselter E-Mails im Portal für verschlüsselte Nachrichten leitet, anstatt Outlook oder Outlook im Web zu verwenden. Möglicherweise möchten Sie diese Erfahrung erzwingen, wenn Sie eine bessere Kontrolle darüber wünschen, wie Empfänger die empfangene E-Mail verwenden. Wenn externe Empfänger beispielsweise E-Mails im Webportal anzeigen, können Sie ein Ablaufdatum für die E-Mail festlegen und die E-Mail widerrufen. Diese Features werden nur über das Portal für verschlüsselte Nachrichten unterstützt. Sie können die Option Verschlüsseln und die Option Nicht weiterleiten verwenden, wenn Sie die Nachrichtenflussregeln erstellen.

Verwenden einer benutzerdefinierten Vorlage, um zu erzwingen, dass alle externen Empfänger das Portal für verschlüsselte Nachrichten und verschlüsselte E-Mails verwenden

  1. Verwenden Sie ein Geschäfts-, Schul- oder Unikonto, das über globale Administratorberechtigungen in Ihrem organization verfügt, und stellen Sie eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Führen Sie das Cmdlet New-TransportRule aus:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"
    

    Dabei gilt:

    • mail flow rule name ist der Name, den Sie für die neue Nachrichtenflussregel verwenden möchten.

    • option name ist entweder Encrypt oder Do Not Forward.

    • template name ist der Name, den Sie der benutzerdefinierten Brandingvorlage gegeben haben, z. B OME Configuration. .

    So verschlüsseln Sie alle externen E-Mails mit der Vorlage "OME-Konfiguration", und wenden Sie die option Encrypt-Only an:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
    

    So verschlüsseln Sie alle externen E-Mails mit der Vorlage "OME-Konfiguration" und wenden die Option Nicht weiterleiten an:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
    

Anpassen der Darstellung von E-Mail-Nachrichten und des Portals für verschlüsselte Nachrichten

Ausführliche Informationen dazu, wie Sie Microsoft Purview-Nachrichtenverschlüsselung für Ihre organization anpassen können, finden Sie unter Hinzufügen der Marke Ihrer organization zu Ihren verschlüsselten Nachrichten. Zum Nachverfolgen und Widerrufen verschlüsselter Nachrichten müssen Sie Ihr benutzerdefiniertes Branding zum Portal für verschlüsselte Nachrichten hinzufügen.

Deaktivieren von Microsoft Purview-Nachrichtenverschlüsselung

Wir hoffen, dass es nicht dazu kommt, aber bei Bedarf ist das Deaktivieren von Microsoft Purview-Nachrichtenverschlüsselung einfach. Entfernen Sie zunächst alle von Ihnen erstellten Nachrichtenflussregeln, die Microsoft Purview-Nachrichtenverschlüsselung verwenden. Informationen zum Entfernen von Nachrichtenflussregeln finden Sie unter Verwalten von Nachrichtenflussregeln. Führen Sie dann diese Schritte in Exchange Online PowerShell aus.

So deaktivieren Sie Microsoft Purview-Nachrichtenverschlüsselung

  1. Stellen Sie mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her. Anleitungen finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  2. Wenn Sie die Schaltfläche Verschlüsseln in Outlook im Web aktiviert haben, deaktivieren Sie sie, indem Sie das Cmdlet Set-IRMConfiguration mit dem Parameter SimplifiedClientAccessEnabled ausführen. Überspringen Sie andernfalls diesen Schritt.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
    
  3. Deaktivieren Sie die Microsoft Purview-Nachrichtenverschlüsselung, indem Sie das Cmdlet Set-IRMConfiguration ausführen, wobei der Parameter AzureRMSLicensingEnabled auf false festgelegt ist:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false