Häufig gestellte Fragen zu Azure Information Protection (AIP)
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der Microsoft Purview Information Protection-Client (ohne das Add-In) ist allgemein verfügbar.
Haben Sie eine Frage zu Azure Information Protection (AIP) oder zum Azure Rights Management Service (Azure RMS)?
Sehen Sie nach, ob die Frage unten oder auf den untergeordneten, spezifischeren FAQ-Seiten beantwortet wird.
Was ist Microsoft Information Protection und Azure Information Protection?
Im Gegensatz zu Azure Information Protection ist Microsoft Purview Information Protection kein Abonnement oder Produkt, das Sie kaufen können. Stattdessen ist es ein Framework für Produkte und integrierte Funktionen, die Ihnen dabei helfen, die vertraulichen Informationen Ihrer Organisation zu schützen.
Zu den Produkten von Microsoft Purview Information Protection gehören:
- Azure Information Protection
- Microsoft 365 Information Protection, z. B. Microsoft 365 DLP
- Windows Information Protection
- Microsoft Defender für Cloud-Apps
Microsoft Purview Information Protection schließen folgende Funktionalitäten ein:
- Einheitliche Bezeichnungsverwaltung
- Beschriftungsoberflächen für Endbenutzer, die in Office Apps integriert sind
- Die Möglichkeit für Windows, einheitliche Bezeichnungen zu verstehen und den Schutz auf Daten anzuwenden
- Microsoft Information Protection SDK
- Funktionalität in Adobe Acrobat Reader zum Anzeigen von gekennzeichneten und geschützten PDFs
Weitere Informationen finden Sie unter Informationsschutzfunktionen zum Schutz Ihrer vertraulichen Daten.
Was ist der Unterschied zwischen Azure Information Protection und Azure Rights Management?
Azure Information Protection (AIP) bietet Klassifizierung, Bezeichnung und Schutz für die Dokumente und E-Mails eines Unternehmens.
Inhalte werden mithilfe des Azure Rights Management-Diensts geschützt, der jetzt eine Komponente von AIP ist.
Weitere Informationen finden Sie unter Wie AIP Ihre Daten schützt und Was ist Azure Rights Management?.
Welches Abonnement benötige ich für Azure Information Protection und welche Features sind enthalten?
Weitere Informationen zu AIP-Abonnements finden Sie unter:
- Microsoft 365 Lizenzierungsleitfaden für Sicherheit und Compliance
- Vergleich der Pläne für den modernen Arbeitsplatz (PDF-Download)
Benötigt man globale Administratorrechte, um Azure Information Protection zu konfigurieren, oder kann ich das an andere Administratoren delegieren?
Globale Administratoren für einen Microsoft 365-Mandanten oder Microsoft Entra-Mandanten können offensichtlich alle administrativen Aufgaben für Azure Information Protection ausführen.
Wenn Sie jedoch anderen Benutzern administrative Berechtigungen zuweisen möchten, verwenden Sie dazu die folgenden Rollen:
- Azure Information Protection-Administrator
- Compliance-Administrator oder Compliance-Daten-Administrator
- Sicherheitsadministrator
- Azure Rights Management Global Administrator und Connector Administrator
Beachten Sie außerdem Folgendes beim Verwalten von Administrativen Aufgaben und Rollen:
Problem | Details |
---|---|
Unterstützte Kontotypen | Microsoft-Konten werden für die delegierte Verwaltung von Azure Information Protection nicht unterstützt, auch wenn diese Konten einer der aufgelisteten Administrativen Rollen zugewiesen sind. |
Einstiegskontrollen | Wenn Sie Onboarding-Steuerelemente konfiguriert haben, wirkt sich diese Konfiguration nicht auf die Verwaltung von Azure Information Protection aus, mit Ausnahme des RMS-Connectors. Wenn Sie beispielsweise Onboarding-Steuerelemente so konfiguriert haben, dass die Fähigkeit zum Schutz von Inhalten auf die Gruppe IT-Abteilung beschränkt ist, muss das Konto, mit dem Sie den RMS-Connector installieren und konfigurieren, Mitglied dieser Gruppe sein. |
Entfernen des Schutzes | Administratoren können den Schutz von Dokumenten oder E-Mails, die durch Azure Information Protection geschützt wurden, nicht automatisch aufheben. Nur Benutzer, die als Superbenutzer zugewiesen sind, können den Schutz entfernen und nur, wenn das Superbenutzerfeature aktiviert ist. Jeder Benutzer mit administrativen Berechtigungen für Azure Information Protection kann das Superbenutzerfeature aktivieren und Benutzern als Superbenutzer zuweisen, einschließlich ihres eigenen Kontos. Diese Aktionen werden in einem Administratorprotokoll aufgezeichnet. Weitere Informationen finden Sie im Abschnitt zu den bewährte Sicherheitsmethoden unter Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Datenwiederherstellung. Tipp: Wenn Ihre Inhalte in SharePoint oder OneDrive gespeichert sind, können Administratoren das Cmdlet Unlock-SensitivityLabelEncryptedFile ausführen, um sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung zu entfernen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft 365. |
Umstellung auf den einheitlichen Bezeichnungsspeicher | Wenn Sie Ihre Azure Information Protection-Bezeichnungen in den einheitlichen Bezeichnungsspeicher migrieren, lesen Sie unbedingt den folgenden Abschnitt aus der Dokumentation zur Bezeichnungsmigration: Administrative Rollen, die die einheitliche Bezeichnungsplattform unterstützen. |
Azure Information Protection-Administrator
Mit dieser Microsoft Entra-Administratorrolle kann ein Administrator Azure Information Protection konfigurieren, aber nicht mit anderen Diensten.
Administratoren mit dieser Rolle können:
- Aktivieren und Deaktivieren des Schutzdienstes Azure Rights Management
- Konfigurieren von Schutzeinstellungen und Bezeichnungen
- Konfigurieren der Azure Information Protection-Richtlinie
- Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und vom AIPService-Modul
Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.
Compliance-Administrator oder Compliance-Daten-Administrator
Diese Microsoft Entra-Administratorrollen ermöglichen Administratoren Folgendes:
- Konfigurieren von Azure Information Protection, einschließlich Aktivieren und Deaktivieren des Azure Rights Management-Schutzdiensts
- Konfigurieren von Schutzeinstellungen und Bezeichnungen
- Konfigurieren der Azure Information Protection-Richtlinie
- Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und das AIPService-Modul aus.
Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.
Informationen zu anderen Berechtigungen, die ein Benutzer mit diesen Rollen besitzt, finden Sie im Abschnitt "Verfügbare Rollen " in der Microsoft Entra-Dokumentation.
Hinweis
Diese Rollen unterstützen nicht die Verfolgung und den Widerruf von Dokumenten für Benutzer.
Sicherheitsadministrator
Mit dieser Microsoft Entra-Administratorrolle können Administratoren Azure Information Protection im Azure-Portal und einige Aspekte anderer Azure-Dienste konfigurieren.
Administratoren mit dieser Rolle können keine PowerShell-Cmdlets aus dem AIPService-Modul ausführen oder Dokumente für Benutzer verfolgen und widerrufen.
Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.
Informationen zu anderen Berechtigungen, die ein Benutzer mit dieser Rolle besitzt, finden Sie im Abschnitt "Verfügbare Rollen " in der Microsoft Entra-Dokumentation.
Azure Rights Management Global Administrator und Connector Administrator
Mit der Rolle "Globaler Administrator" können Benutzer alle PowerShell-Cmdlets aus dem AIPService-Modul ausführen, ohne dass sie zu einem globalen Administrator für andere Cloud-Dienste werden.
Mit der Connectoradministratorrolle können Benutzer nur den RMS-Connector (Rights Management) ausführen.
Diese administrativen Rollen gewähren keine Berechtigungen für Verwaltungskonsolen. Die Rolle des Connector-Administrators unterstützt auch nicht die Nachverfolgung und den Widerruf von Dokumenten für Benutzer (1).
Um eine dieser administrativen Rollen zuzuweisen, verwenden Sie das AIPService PowerShell-Cmdlet Add-AipServiceRoleBasedAdministrator.
Unterstützt Azure Information Protection lokale und Hybridszenarien?
Ja. Obwohl Azure Information Protection eine cloudbasierte Lösung ist, kann sie Dokumente und E-Mails klassifizieren, bezeichnen und schützen, die lokal sowie in der Cloud gespeichert sind.
Wenn Sie über Exchange Server, SharePoint Server und Windows Dateiserver verfügen, verwenden Sie eine oder beide der folgenden Methoden:
- Stellen Sie den Connector Rights Management bereit, damit diese lokalen Server den Azure Rights Management Service zum Schutz Ihrer E-Mails und Dokumente nutzen können
- Synchronisieren und verbinden Sie Ihre Active Directory-Aufgaben Standard-Controller mit Microsoft Entra-ID, um eine nahtlose Authentifizierung für Benutzer zu ermöglichen. Verwenden Sie beispielsweise Microsoft Entra Verbinden.
Der Azure Rights Management-Dienst generiert und verwaltet XrML-Zertifikate automatisch nach Bedarf, sodass keine lokale PKI erforderlich ist.
Weitere Informationen darüber, wie Azure Rights Management Zertifikate verwendet, finden Sie in der Durchführung zur Funktionsweise von Azure RMS: Erstnutzung, Schutz von Inhalten, Konsum von Inhalten.
Welche Arten von Daten können Azure Information Protection klassifizieren und schützen?
Azure Information Protection kann E-Mail-Nachrichten und Dokumente klassifizieren und schützen, unabhängig davon, ob sie lokal oder in der Cloud gespeichert sind. Zu diesen Dokumenten gehören Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen, PDF-Dokumente, textbasierte Dateien und Bilddateien.
Weitere Informationen finden Sie in der vollständigen Liste der unterstützten Dateitypen.
Hinweis
Azure Information Protection kann strukturierte Daten wie Datenbankdateien, Kalendereinträge, Yammer-Posts, Sway-Inhalte und OneNote-Notizbücher nicht klassifizieren und schützen.
Tipp
Power BI unterstützt die Klassifizierung mithilfe von Vertraulichkeitsbezeichnungen und kann schutz vor diesen Bezeichnungen auf Daten anwenden, die in die folgenden Dateiformate exportiert werden: .pdf, .xls und .ppt. Weitere Informationen finden Sie unter Datenschutz in Power BI (Vorschauversion).
Azure Information Protection wird als verfügbare Cloud App für den bedingten Zugriff genannt. Wie funktioniert das?
Ja, Sie können den bedingten Zugriff von Microsoft Entra für Azure Information Protection konfigurieren.
Wenn ein Benutzer ein Dokument öffnet, das durch Azure Information Protection geschützt ist, können Administratoren jetzt den Zugriff auf Benutzer in ihrem Mandanten basierend auf den standardmäßigen Steuerelementen für bedingten Zugriff blockieren oder gewähren. Die Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist eine der am häufigsten angeforderten Bedingungen. Ein weiterer Punkt ist, dass die Geräte mit Ihren Intune-Richtlinien übereinstimmen müssen, so dass beispielsweise mobile Geräte Ihre Kennwortanforderungen und eine Mindestversion des Betriebssystems erfüllen und Computer mit der Domäne verbunden sein müssen.
Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und verschlüsselte Dokumente.
Weitere Informationen:
Thema | Details |
---|---|
Auswertungshäufigkeit | Für Windows-Computer und die aktuelle Vorschauversion werden die Richtlinien für den bedingten Zugriff auf Azure Information Protection bei der Initialisierung der Benutzerumgebung (dieser Vorgang wird auch als Bootstrapping bezeichnet) und anschließend alle 30 Tage ausgewertet. Um genau festzulegen, wie oft Ihre Richtlinien für bedingten Zugriff ausgewertet werden, konfigurieren Sie die Token-Lebensdauer. |
Administratorkonten | Wir empfehlen, keine Administratorkonten zu Ihren Richtlinien für bedingten Zugriff hinzuzufügen, da diese Konten nicht auf den Bereich Azure Information Protection im Azure-Portal zugreifen können. |
MFA und B2B-Zusammenarbeit | Wenn Sie MFA in Ihren Richtlinien für bedingten Zugriff für die Zusammenarbeit mit anderen Organisationen (B2B) verwenden, müssen Sie die Zusammenarbeit mit Microsoft Entra B2B verwenden und Gastkonten für die Benutzer erstellen, für die Sie in der anderen Organisation freigeben möchten. |
Nutzungsbedingungen | Mit der Microsoft Entra Dezember 2018-Vorschauversion können Sie jetzt Benutzer auffordern, eine Nutzungsbedingungen zu akzeptieren, bevor sie ein geschütztes Dokument zum ersten Mal öffnen. |
Cloud-Apps | Wenn Sie viele Cloud-Apps für bedingten Zugriff verwenden, wird möglicherweise microsoft Information Protection-Synchronisierungsdienst und Microsoft Rights Management Service in der Liste nicht angezeigt, um sie auszuwählen. Verwenden Sie in diesem Fall das Suchfeld oben in der Liste. Beginnen Sie mit der Eingabe von "Microsoft Information Protection Sync Service" und "Microsoft Rights Management Service", um die verfügbaren Apps zu filtern. Bereitstellung eines unterstützten Abonnements; Diese Option wird dann angezeigt und kann ausgewählt werden. |
Hinweis
Die Azure Information Protection-Unterstützung für bedingten Zugriff befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Ist Azure Information Protection für mein Land geeignet?
Unterschiedliche Länder haben unterschiedliche Anforderungen und Vorschriften. Informationen zur Beantwortung dieser Frage für Ihre Organisation finden Sie unter "Eignung für unterschiedliche Länder".
Wie kann Azure Information Protection bei der DSGVO helfen?
Hinweis
Wenn Sie daran interessiert sind, personenbezogene Daten anzuzeigen oder zu löschen, lesen Sie die Anleitungen von Microsoft im Microsoft Purview Compliance Manager und im DSGVO-Abschnitt der Microsoft 365 Enterprise Compliance-Website. Allgemeine Informationen über die DSGVO finden Sie im Abschnitt zur DSGVO im Service Trust-Portal.
Wo finde ich unterstützende Informationen für Azure Information Protection – z. B. Rechtliche, Compliance und SLAs?
Siehe Compliance und unterstützende Informationen für Azure Information Protection.
Wie kann ich ein Problem melden oder Feedback zu Azure Information Protection senden?
Verwenden Sie für technischen Support Ihre Standardsupportkanäle, oder wenden Sie sich an Microsoft-Support.
Wir laden Sie auch ein, sich mit unserem Entwicklungsteam auf ihrer Azure Information Protection-Yammer-Website zu engagieren.
Was tue ich, wenn meine Frage nicht dabei ist?
Gehen Sie zunächst die unten aufgeführten häufig gestellten Fragen durch, die sich speziell auf die Einstufung und Kennzeichnung oder den Datenschutz beziehen. Der Azure Rights Management Service (Azure RMS) bietet die Datenschutztechnologie für Azure Information Protection. Azure RMS kann mit Klassifizierung und Bezeichnung oder allein verwendet werden.