Nachrichtenverschlüsselung – FAQ

Microsoft Purview-Nachrichtenverschlüsselung kombiniert E-Mail-Verschlüsselung und Rechteverwaltungsfunktionen. Die Rights Management-Funktionen werden von Azure Information Protection unterstützt.

Sie können Microsoft Purview-Nachrichtenverschlüsselung unter den folgenden Bedingungen verwenden:

• Wenn Sie Office 365 Nachrichtenverschlüsselung (Message Encryption, OME) oder Information Rights Management (IRM) für Exchange nicht eingerichtet haben.

• Wenn Sie OME und IRM einrichten, können Sie diese Schritte ausführen, wenn Sie auch den Azure Rights Management-Dienst aus Azure Information Protection verwenden.

• Wenn Sie Exchange mit dem Active Directory Rights Management-Dienst (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie zuerst AD RMS zu Azure Information Protection migrieren. Wenn Sie die Migration abgeschlossen haben, können Sie Microsoft Purview-Nachrichtenverschlüsselung erfolgreich einrichten.

  Wenn Sie sich dafür entscheiden, weiterhin lokales AD RMS mit Exchange zu verwenden, anstatt zu Azure Information Protection zu migrieren, können Sie Microsoft Purview-Nachrichtenverschlüsselung nicht verwenden.

Um Microsoft Purview-Nachrichtenverschlüsselung verwenden zu können, benötigen Sie einen der folgenden Pläne:

• Microsoft Purview-Nachrichtenverschlüsselung wird im Rahmen der Office 365 Enterprise E3 und E5, Microsoft 365 Enterprise E3 und E5, Microsoft 365 Business Premium, Office 365 A1, A3 und A5 sowie Office 365 Government G3 und G5. Sie benötigen keine zusätzlichen Lizenzen, um die neuen Schutzfunktionen von Azure Information Protection zu erhalten.

• Sie können Azure Information Protection Plan 1 auch den folgenden Plänen hinzufügen, um Microsoft Purview-Nachrichtenverschlüsselung zu erhalten: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard oder Office 365 Enterprise E1.

• Jeder Benutzer, der von Microsoft Purview-Nachrichtenverschlüsselung profitiert, benötigt eine Lizenz für die Verwendung der Nachrichtenverschlüsselung.

• Die vollständige Liste finden Sie in den Exchange-Dienstbeschreibungen für Microsoft Purview-Nachrichtenverschlüsselung.

Ja! Microsoft empfiehlt, die Schritte zum Einrichten von BYOK auszuführen, bevor Sie Microsoft Purview-Nachrichtenverschlüsselung einrichten.

Weitere Informationen zu BYOK finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Nein Microsoft Purview-Nachrichtenverschlüsselung und die Option zum Bereitstellen und Steuern eigener Verschlüsselungsschlüssel (byok) aus Azure Information Protection nicht für die Reaktion auf Vorladungen von Strafverfolgungsbehörden konzipiert. OME mit BYOK für Azure Information Protection wurde für Compliance-orientierte Organisationen entwickelt. Microsoft nimmt Anforderungen für Kundendaten ernst. Als Cloud-Dienstanbieter setzen wir uns stets für die Privatsphäre Ihrer Daten ein. Für den Fall, dass wir eine Vorladung erhalten, versuchen wir immer, die Anforderung direkt an Sie umzuleiten, um die Informationen zu erhalten. (Lesen Sie den Blog von Brad Smith: Schutz von Kundendaten vor Staatlichem Snooping). Wir veröffentlichen in regelmäßigen Abständen detaillierte Informationen über die anfrage, die wir erhalten. Weitere Informationen zu Nicht-Microsoft-Datenanforderungen finden Sie unter Reagieren auf Anfragen von Behörden und Strafverfolgungsbehörden für den Zugriff auf Kundendaten im Microsoft Trust Center. Siehe auch "Offenlegung von Kundendaten" in den Nutzungsbedingungen für Onlinedienste (OST).

Microsoft Purview-Nachrichtenverschlüsselung ist eine Weiterentwicklung der vorhandenen IRM- und OME-Legacylösungen. In der folgenden Tabelle finden Sie weitere Details.

Vergleich von Legacy-OME, IRM und Microsoft Purview-Nachrichtenverschlüsselung

Weitere Informationen finden Sie unter Einrichten von Microsoft Purview-Nachrichtenverschlüsselung.

Office 365 Message Encryption (OME) wurde am 1. Juli 2023 eingestellt. Sie wird automatisch durch Microsoft Purview-Nachrichtenverschlüsselung ersetzt. Wenn Sie über ein aktives Absenderpostfach verfügen, können Sie weiterhin E-Mails von OME anzeigen.

Nein Wenn Sie Exchange Online mit active Directory Rights Management Service (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie zuerst AD RMS zu Azure Information Protection migrieren.

Lokale Benutzer können verschlüsselte E-Mails mithilfe von Exchange Online Nachrichtenflussregeln senden. Sie müssen E-Mails über Exchange weiterleiten. Weitere Informationen finden Sie unter Teil 2: Konfigurieren von E-Mails für den Nachrichtenfluss von Ihrem E-Mail-Server an Microsoft 365.

Sie können geschützte Nachrichten aus Outlook 2016, Outlook 2013 für Windows und Mac und aus Outlook im Web erstellen. Weitere Informationen zum Senden verschlüsselter Nachrichten finden Sie unter Senden, Anzeigen und Beantworten verschlüsselter Nachrichten in Outlook für PC.

Microsoft 365-Benutzer können Outlook für Windows und Mac (2013 und 2016), Outlook im Web und Outlook Mobile (Android und iOS) lesen und antworten. Sie können auch den nativen iOS-E-Mail-Client verwenden, wenn Ihr organization dies zulässt. Wenn Sie kein Microsoft 365-Benutzer sind, können Sie verschlüsselte Nachrichten im Web über Ihren Webbrowser lesen und beantworten.

Microsoft 365-Benutzer können Outlook für PC-Versionen 2019 und Microsoft 365 verwenden, um E-Mails zu erstellen, die mit der richtlinie nur verschlüsseln geschützt sind. Nachrichten, auf die die Richtlinie nur verschlüsseln angewendet wurde, können direkt in Outlook im Web gelesen werden, in Outlook für iOS und Android und Outlook für DIE PC-Versionen 2019 und Microsoft 365.

Ja. Die maximale Nachrichtengröße, die Sie mit Microsoft Purview-Nachrichtenverschlüsselung senden können, einschließlich Anlagen, beträgt 25 MB. Weitere Informationen finden Sie unter Nachrichtengrenzwerte.

Ja. In einigen Fällen, in denen Connectors konfiguriert sind, z. B. eine Exchange-Hybridbereitstellung, werden beim Einschließen von Empfängern in die BCC-Zeile die BCC-Empfänger entfernt, bevor E-Mails verschlüsselt werden. Die bewährte Methode besteht darin, zu einem Exchange Online zu wechseln oder alle Empfänger in die Felder An: oder CC zu platzieren.

Das Portal für verschlüsselte Nachrichten unterstützt nur E-Mails. Das Portal unterstützt keine anderen Nachrichtentypen wie Kalender oder Voicemail.

Sie können einen beliebigen Dateityp an eine geschützte E-Mail anfügen. Schutzrichtlinien werden nur auf eine Teilmenge der Dateiformate angewendet, die unter Unterstützte Dateitypen erwähnt werden. Standardmäßig verschlüsselt Microsoft Purview-Nachrichtenverschlüsselung die folgenden Office-Dateierweiterungen:

• DOCX
• docm
• dotx
• dotm
• PPTX
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• XLSX
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview-Nachrichtenverschlüsselung unterstützt nicht die 97-2003-Versionen der folgenden Office-Programme: Word (.doc), Excel (.xls) und PowerPoint (.ppt).

Wenn die PDF-Verschlüsselung in Exchange Online aktiviert ist, können Sie außerdem vertrauliche PDF-Dokumente schützen, die an E-Mails angefügt sind. Wenn Sie eine E-Mail senden, verschlüsselt der Office 365-Dienst PDF-Dateianlagen für die neuesten Versionen von Outlook, einschließlich:

• Outlook Desktop (neu)
• Outlook im Web
• Outlook für Mac
• Outlook für iOS
• Outlook für Android

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Verschlüsselung für PDF-Anlagen zu aktivieren, indem Sie ein Geschäfts-, Schul- oder Unikonto verwenden, das mindestens über die Rolle Information Rights Management in Ihrem Mandanten verfügt:

   Set-IRMConfiguration -EnablePdfEncryption $true

Der Schutz wird von E-Mails nur an unverschlüsselte Anlagen geerbt. Wenn ein Dateiformat unterstützt wird, z. B. eine Word-, Excel- oder PowerPoint-Datei, ist die Datei immer geschützt, auch nachdem der Empfänger die Anlage heruntergeladen hat.

Angenommen, eine Anlage ist durch "Nicht weiterleiten" geschützt. Der ursprüngliche Empfänger lädt die Datei herunter, erstellt eine Nachricht an einen neuen Empfänger und fügt die Datei an. Wenn der neue Empfänger die Datei empfängt, kann er sie nicht öffnen.

Not yet. SharePoint- oder OneDrive-Anlagen werden nicht unterstützt. Sie können eine E-Mail-Nachricht verschlüsseln, aber nicht die Cloudanlagen.

Wenn Anlagen mit einer geschützten E-Mail geschützt sind, können Sie Dokumente direkt mithilfe von Outlook-Clients in der Vorschau anzeigen. Outlook unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx, doc, xls, ppt). Outlook im Web unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx) und PDF.

Outlook im Web unterstützt den Widerruf geschützter E-Mails. Weitere Informationen finden Sie unter Widerrufen einer verschlüsselten Nachricht, die Sie gesendet haben .

Das Portal für verschlüsselte Nachrichten unterstützt die Vorschau aller verschlüsselten Anlagenkopien, die der verschlüsselten E-Mail hinzugefügt werden. Zu den unterstützten Dateitypen gehören Word-, Excel-, PowerPoint- und PDF-Dateien.

Ja. Verwenden Sie Nachrichtenflussregeln in Exchange Online, um eine Nachricht basierend auf bestimmten Bedingungen automatisch zu verschlüsseln. Sie können z. B. Richtlinien erstellen, die auf der Empfänger-ID, der Empfängerdomäne oder dem Inhalt im Text oder Betreff der Nachricht basieren. Weitere Informationen finden Sie unter Definieren von Nachrichtenflussregeln zum Verschlüsseln von E-Mail-Nachrichten in Office 365.

Administratoren können eine Nachrichtenflussregel einrichten, um die Verschlüsselung für ausgehende E-Mails zu entfernen. Sie können nur eine Regel einrichten, um die Verschlüsselung für eingehende E-Mails zu entfernen, die von Ihrem Exchange Online organization stammen.

Für ein Exchange Online Postfach müssen Administratoren die Journalentschlüsselung aktivieren und eine Exchange Online Journalregel einrichten, um eine entschlüsselte Kopie der E-Mail im Journalpostfach zu generieren. Die Journalregel verwendet alle E-Mails oder Anlagen mit Verschlüsselung und sendet das Original sowie eine entschlüsselte Kopie in das Journalpostfach. Sie können nur eine Journalregel einrichten, die E-Mails oder Anlagen entschlüsseln kann, wenn das verschlüsselte Element von Ihrem organization stammt.
So aktivieren Sie Exchange Online Journaling:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Ja! Sie können Nachrichtenflussregeln in Exchange Online oder mithilfe von DLP im Microsoft Purview-Complianceportal einrichten.

Ja, für E-Mails, die von einem Exchange Online Postfach in Ihrem organization gesendet werden! Informationen zum Anpassen von E-Mail-Nachrichten und dem Portal für verschlüsselte Nachrichten finden Sie unter Hinzufügen der Marke Ihrer organization zu Ihren verschlüsselten Nachrichten.

Die Aktivitätsprotokolle des verschlüsselten Nachrichtenportals erfassen nur Ereignisse für externe Empfänger, indem sie auf die verschlüsselten Nachrichtenportale zugreifen. Aktivitäten in E-Mail-Clients, die von externen Empfängern ausgelöst werden, werden nicht aufgezeichnet. Informationen zu internen Empfängern finden Sie unter MailItemsAccessed-Postfachüberwachungsaktion in Purview Audit (Premium) – E-Mail-Elemente, auf die zugegriffen wird.

Der Microsoft Purview-Complianceportal enthält einen Verschlüsselungsbericht. Weitere Informationen finden Sie unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Purview-Complianceportal.

Ja, die meisten nachrichten, die durch Microsoft Purview-Nachrichtenverschlüsselung geschützt sind, sind auffindbar. Microsoft Purview-Nachrichtenverschlüsselung geschützte E-Mails, die Sie von einer anderen Microsoft 365-organization erhalten, für die ein benutzerdefiniertes Branding über eine Nachrichtenflussregel angewendet wird, ist von Ihrem eDiscovery-Dienst nicht wiederherstellbar. Anders ausgedrückt: Wenn auf die E-Mail nicht über das Postfach des Benutzers zugegriffen werden kann, sondern nur über einen Link zum verschlüsselten Nachrichtenportal angezeigt wird, ist die E-Mail nicht durchsuchbar. Weitere Informationen finden Sie unter eDiscovery-Aktivitäten, die verschlüsselte Elemente unterstützen .

Wenn eine E-Mail-Nachricht einer Verschlüsselungs-E-Mail-Flussregel entspricht, verschlüsselt Exchange die nachricht, die sie sendet.

Ja! Sie können verschlüsselte Nachrichten für ein freigegebenes Postfach öffnen. Wenn die E-Mail von demselben organization gesendet wird, können Sie die E-Mail öffnen, wenn Sie bei einem unterstützten Outlook-Client angemeldet sind. Wenn die E-Mail von einem externen organization gesendet wird, müssen Sie Outlook im Web verwenden.

• Benutzer können geschützte E-Mails in einem freigegebenen Postfach öffnen, in dem das freigegebene Postfach eine geschützte E-Mail als Teil einer Verteilergruppe empfangen hat.

• Benutzer können Anlagen anzeigen, die schutz von E-Mails erben, wenn sie Outlook für Windows, Outlook für Mac, Outlook für Android, Outlook für iOS und Outlook im Web verwenden.

In der folgenden Tabelle sind die unterstützten Clients für freigegebene Postfächer aufgeführt.

Derzeit gibt es zwei bekannte Einschränkungen:

• Sie können keine Anlagen zu E-Mails öffnen, die Sie auf mobilen Geräten erhalten, indem Sie Outlook Mobile verwenden.

• Es gibt zwei Möglichkeiten, benutzern zu ermöglichen, die verschlüsselten E-Mails direkt in Outlook für Windows anzuzeigen:

  1. Weisen Sie dem freigegebenen Postfach direkt einen Benutzer zu, wobei Vollzugriffsberechtigungen und automatisches Zuordnen aktiviert sind. Bei Outlook 64-Bit müssen Benutzer dem Postfach nicht direkt zugewiesen werden. Die automatische Zuordnung ist für Exchange standardmäßig aktiviert.
  2. Weisen Sie einem freigegebenen Postfach eine E-Mail-aktivierte Sicherheitsgruppe zu. Diese Methode erfordert Outlook-Version 2402 und unterstützt nur E-Mails, die nach Juni 2024 generiert wurden.

So weisen Sie einem freigegebenen Postfach einen Benutzer zu

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Add-MailboxPermission Cmdlet mit dem Parameter aus Automapping . In diesem Beispiel wird Ayla die Vollzugriffsberechtigung für ein Supportpostfach erteilt.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

So weisen Sie dem freigegebenen Postfach eine E-Mail-aktivierte Sicherheitsgruppe zu

Um diese Methode verwenden zu können, müssen Sie E-Mails mit den Schutzoptionen Nicht weiterleiten oder nur verschlüsseln verschlüsseln verschlüsseln. Nur E-Mails, die vom freigegebenen Postfach initiiert wurden, oder E-Mails, die innerhalb eines organization gesendet wurden, können geöffnet werden.

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.

2. Führen Sie das Add-MailboxPermission Cmdlet aus, um die Sicherheitsgruppe zuzuweisen. Im folgenden Beispiel wird der Contoso-Front-Desk-Sicherheitsgruppe vollzugriffsberechtigung für ein Supportpostfach erteilt.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Wenn Stellvertretungen die Vollzugriffsberechtigung für das Postfach eines Benutzers erhalten, wird der delegierte Zugriff auf verschlüsselte E-Mails in Outlook im Web, Outlook für Mac, Outlook für iOS und Outlook für Android unterstützt. Outlook für Windows unterstützt keinen delegierten Zugriff.

Sie können sich beim Portal für verschlüsselte Nachrichten anmelden, um E-Mails abzurufen, solange die organization des Absenders aktiv ist und die E-Mail nicht für den Ablauf konfiguriert ist.

Überprüfen Sie zunächst den Junk- oder Spam-Ordner in Ihrem E-Mail-Client. DKIM- und DMARC-Einstellungen für Ihre organization können dazu führen, dass diese E-Mails als Spam gefiltert werden.

Überprüfen Sie als Nächstes die Quarantäne im Complianceportal. Nachrichten, die einen Einmalpasscode enthalten, insbesondere die ersten, die Ihr organization empfängt, werden häufig unter Quarantäne gesetzt.