Häufig gestellte Fragen zu Azure Information Protection (AIP)

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Der AIP-Client (Azure Information Protection) für einheitliche Bezeichnungen befindet sich nun im Wartungsmodus. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind. Weitere Informationen

Haben Sie eine Frage zu Azure Information Protection (AIP) oder zum Azure Rights Management Service (Azure RMS)?

Sehen Sie nach, ob die Frage unten oder auf den untergeordneten, spezifischeren FAQ-Seiten beantwortet wird.

Was ist der Unterschied zwischen Azure Information Protection und Microsoft Purview Information Protection?

Im Gegensatz zu Azure Information Protection ist Microsoft Purview Information Protection kein Abonnement oder Produkt, das Sie kaufen können. Stattdessen ist es ein Framework für Produkte und integrierte Funktionen, die Ihnen dabei helfen, vertrauliche Informationen Ihrer Organisation zu schützen.

Microsoft Purview Information Protection Produkte enthalten:

  • Azure Information Protection
  • Microsoft 365 Information Protection, z. B. Microsoft 365 DLP
  • Windows Information Protection
  • Microsoft Defender für Cloud-Apps

Microsoft Purview Information Protection Funktionen umfassen:

  • Einheitliche Bezeichnungsverwaltung
  • Beschriftungsoberflächen für Endbenutzer, die in Office Apps integriert sind
  • Die Möglichkeit für Windows, einheitliche Bezeichnungen zu verstehen und den Schutz auf Daten anzuwenden
  • Microsoft Information Protection SDK
  • Funktionalität in Adobe Acrobat Reader zum Anzeigen von gekennzeichneten und geschützten PDFs

Weitere Informationen finden Sie unter Informationsschutzfunktionen zum Schutz Ihrer vertraulichen Daten.

Wie kann ich bestimmen, ob sich mein Mandant auf der einheitlichen Bezeichnungsplattform befindet?

Wenn Ihr Mandant auf der Unified-Labeling-Plattform ist, unterstützt er Vertraulichkeitsbezeichnungen, die von Clients und Diensten verwendet werden können, die Unified-Labeling unterstützen. Wenn Sie Ihr Abonnement für Azure Information Protection im Juni 2019 oder höher erhalten haben, befindet sich Ihr Mandant automatisch auf der einheitlichen Bezeichnungsplattform, und es ist keine weitere Aktion erforderlich. Ihr Tenant könnte auch auf dieser Plattform sein, weil jemand Ihre Azure Information Protection-Bezeichnungen migriert hat.

Wenn Ihr Mandant nicht auf der Unified-Labeling-Plattform ist, sehen Sie das folgende Informationsbanner im Azure-Portal in den Bereichen Azure Information Protection:

Migrationsinformationsbanner

Sie können dies auch überprüfen, indem Sie zu Azure Information Protection>Verwalten>Einheitliche Bezeichnung gehen und den Status der Einheitliche Bezeichnung anzeigen:

Status Beschreibung
Aktiviert Ihr Mandant befindet sich auf der Plattform für einheitliche Bezeichnungen.
Sie können Beschriftungen aus dem Microsoft Purview-Complianceportal erstellen, konfigurieren und veröffentlichen.
Nicht aktiviert Ihr Mandant befindet sich nicht auf der Plattform für einheitliche Bezeichnungen.
Anleitungen und Hinweise zur Migration finden Sie unter Migration von Azure Information Protection-Etiketten zu einheitlichen Vertraulichkeitsbezeichnungen.

Was ist der Unterschied zwischen Azure Information Protection und Azure Rights Management?

Azure Information Protection (AIP) bietet Klassifizierung, Bezeichnung und Schutz für die Dokumente und E-Mails eines Unternehmens.

Inhalte werden mithilfe des Azure Rights Management-Diensts geschützt, der jetzt eine Komponente von AIP ist.

Weitere Informationen finden Sie unter Wie AIP Ihre Daten schützt und Was ist Azure Rights Management?.

Welche Rolle spielt das Identitätsmanagement für Azure Information Protection?

Die Identitätsverwaltung ist eine wichtige Komponente von AIP, da Benutzer über einen gültigen Benutzernamen und ein Kennwort für den Zugriff auf geschützte Inhalte verfügen müssen.

Weitere Informationen zum Schutz Ihrer Daten mit Azure Information Protection finden Sie unter Die Rolle von Azure Information Protection beim Schützen von Daten.

Welches Abonnement benötige ich für Azure Information Protection, und welche Features sind enthalten?

Weitere Informationen zu AIP-Abonnements finden Sie unter:

Benötigt man globale Administratorrechte, um Azure Information Protection zu konfigurieren, oder kann ich das an andere Administratoren delegieren?

Globale Administratoren für einen Microsoft 365-Mandant oder Azure AD-Mandant können natürlich alle Verwaltungsaufgaben für Azure Information Protection ausführen.

Wenn Sie jedoch anderen Benutzern administrative Berechtigungen zuweisen möchten, verwenden Sie dazu die folgenden Rollen:

Beachten Sie außerdem Folgendes beim Verwalten von Administrativen Aufgaben und Rollen:

Problem Details
Unterstützte Kontotypen Microsoft-Konten werden für die delegierte Verwaltung von Azure Information Protection nicht unterstützt, auch wenn diese Konten einer der aufgelisteten Administrativen Rollen zugewiesen sind.
Einstiegskontrollen Wenn Sie Onboardingsteuerelemente konfiguriert haben, wird die Möglichkeit zum Verwalten von Azure Information Protection mit Ausnahme des RMS-Connectors durch diese Konfiguration nicht beeinflusst.

Wenn Sie beispielsweise Onboarding-Steuerelemente so konfiguriert haben, dass die Fähigkeit zum Schutz von Inhalten auf die Gruppe IT-Abteilung beschränkt ist, muss das Konto, mit dem Sie den RMS-Connector installieren und konfigurieren, Mitglied dieser Gruppe sein.
Entfernen des Schutzes Administratoren können den Schutz von Dokumenten oder E-Mails, die durch Azure Information Protection geschützt wurden, nicht automatisch aufheben.

Nur Benutzer, die als Superuser zugewiesen sind, können den Schutz entfernen, und auch nur dann, wenn die Superuser-Funktion aktiviert ist.

Jeder Benutzer mit administrativen Berechtigungen für Azure Information Protection kann das Superbenutzerfeature aktivieren und Benutzern als Superbenutzer zuweisen, einschließlich ihres eigenen Kontos.

Diese Aktionen werden in einem Administratorprotokoll aufgezeichnet.

Weitere Informationen finden Sie im Abschnitt zu den bewährte Sicherheitsmethoden unter Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Datenwiederherstellung.

Tipp: Wenn Ihre Inhalte in SharePoint oder OneDrive gespeichert sind, können Administratoren das Cmdlet Unlock-SensitivityLabelEncryptedFile ausführen, um sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung zu entfernen. Weitere Informationen finden Sie in der Microsoft 365-Dokumentation.
Umstellung auf den einheitlichen Bezeichnungsspeicher Wenn Sie Ihre Azure Information Protection-Etiketten in den Unified Labeling Store migrieren, sollten Sie den folgenden Abschnitt der Dokumentation zur Etikettenmigration lesen:
Administrative Rollen, die die einheitliche Bezeichnungsplattform unterstützen.

Azure Information Protection-Administrator

Mit dieser Azure Active Directory-Administratorrolle kann ein Administrator Azure Information Protection konfigurieren, nicht aber andere Dienste.

Administratoren mit dieser Rolle können:

  • Aktivieren und Deaktivieren des Schutzdienstes Azure Rights Management
  • Konfigurieren von Schutzeinstellungen und Bezeichnungen
  • Konfigurieren der Azure Information Protection-Richtlinie
  • Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und vom AIPService-Modul

Informationen darüber, wie Sie einem Benutzer diese Administratorrolle zuweisen, finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in Azure Active Directory.

Hinweis

Diese Rolle wird im Azure-Portal nicht unterstützt, wenn Ihr Mandant auf der unified labeling platform ist.

Complianceadministrator oder Compliancedatenadministrator

Diese Azure Active Directory Administratorrollen ermöglichen Administratoren folgendes:

  • Konfigurieren von Azure Information Protection, einschließlich Aktivieren und Deaktivieren des Azure Rights Management-Schutzdiensts
  • Konfigurieren von Schutzeinstellungen und Bezeichnungen
  • Konfigurieren der Azure Information Protection-Richtlinie
  • Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und das AIPService-Modul aus.

Informationen darüber, wie Sie einem Benutzer diese Administratorrolle zuweisen, finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in Azure Active Directory.

Um zu sehen, welche anderen Berechtigungen ein Benutzer mit diesen Rollen hat, siehe den Abschnitt Verfügbare Rollen aus der Azure Active Directory-Dokumentation.

Hinweis

Diese Rollen unterstützen nicht die Verfolgung und den Widerruf von Dokumenten für Benutzer.

Sicherheitsadministrator

Diese Azure Active Directory-Administratorrolle ermöglicht es Administratoren, Azure Information Protection im Azure-Portal und einige Aspekte anderer Azure-Dienste zu konfigurieren.

Administratoren mit dieser Rolle können keine PowerShell-Cmdlets aus dem AIPService-Modul ausführen oder Dokumente für Benutzer verfolgen und widerrufen.

Informationen darüber, wie Sie einem Benutzer diese Administratorrolle zuweisen, finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in Azure Active Directory.

Weitere Informationen zu den Berechtigungen, über die ein Benutzer mit dieser Rolle verfügt, finden Sie im Abschnitt Verfügbare Rollen in der Azure Active Directory-Dokumentation.

Azure Rights Management Global Administrator und Connector Administrator

Mit der Rolle "Globaler Administrator" können Benutzer alle PowerShell-Cmdlets aus dem AIPService-Modul ausführen, ohne dass sie zu einem globalen Administrator für andere Cloud-Dienste werden.

Mit der Connectoradministratorrolle können Benutzer nur den RMS-Connector (Rights Management) ausführen.

Diese administrativen Rollen gewähren keine Berechtigungen für Verwaltungskonsolen. Die Rolle des Connector-Administrators unterstützt auch nicht die Nachverfolgung und den Widerruf von Dokumenten für Benutzer (1).

Um eine dieser administrativen Rollen zuzuweisen, verwenden Sie das AIPService PowerShell-Cmdlet Add-AipServiceRoleBasedAdministrator.

Unterstützt Azure Information Protection lokale und hybride Szenarios?

Ja. Obwohl Azure Information Protection eine cloudbasierte Lösung ist, können damit Dokumente und E-Mails, die sowohl lokal als auch in der Cloud gespeichert sind, klassifiziert, bezeichnet und geschützt werden.

Wenn Sie über Exchange Server, SharePoint Server und Windows Dateiserver verfügen, verwenden Sie eine oder beide der folgenden Methoden:

  • Stellen Sie den Connector Rights Management bereit, damit diese lokalen Server den Azure Rights Management Service zum Schutz Ihrer E-Mails und Dokumente nutzen können
  • Synchronisieren und föderieren Sie Ihre Active Directory-Domänencontroller mit Azure AD, um eine nahtlose Authentifizierung für Benutzer zu ermöglichen. Verwenden Sie zum Beispiel Azure AD Connect.

Der Azure Rights Management-Dienst generiert und verwaltet XrML-Zertifikate automatisch nach Bedarf, sodass keine lokale PKI erforderlich ist.

Weitere Informationen darüber, wie Azure Rights Management Zertifikate verwendet, finden Sie in der Durchführung zur Funktionsweise von Azure RMS: Erstnutzung, Schutz von Inhalten, Konsum von Inhalten.

Welche Arten von Daten können von Azure Information Protection klassifiziert und geschützt werden?

Azure Information Protection kann E-Mails und Dokumente klassifizieren und schützen, egal ob sie lokal oder in der Cloud gespeichert sind. Diese Dokumente können z.B. Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen, PDF-Dokumente, textbasierte Dateien und Bilddateien sein.

Weitere Informationen finden Sie in der vollständigen Liste der unterstützten Dateitypen.

Hinweis

Azure Information Protection kann strukturierte Daten wie Datenbankdateien, Kalendereinträge, Yammer-Posts, Sway-Inhalte und OneNote-Notizbücher nicht klassifizieren und schützen.

Tipp

Power BI unterstützt die Klassifizierung mithilfe von Vertraulichkeitsbezeichnungen und kann schutz vor diesen Bezeichnungen auf Daten anwenden, die in die folgenden Dateiformate exportiert werden: .pdf, .xls und .ppt. Weitere Informationen finden Sie unter Datenschutz in Power BI (Vorschauversion).

Azure Information Protection wird als verfügbare Cloud App für den bedingten Zugriff genannt. Wie funktioniert das?

Ja, als Vorschauangebot können Sie Azure AD-Zugangsberechtigungen für Azure Information Protection konfigurieren.

Wenn ein Benutzer ein durch Azure Information Protection geschütztes Dokument öffnet, können Administratoren jetzt basierend auf der bedingten Standardzugriffssteuerung Benutzern den Zugriff in ihrem Mandanten verweigern oder gewähren. Die mehrstufige Authentifizierung (MFA) ist eine der am häufigsten verlangten Bedingungen. Ein weiterer Punkt ist, dass die Geräte mit Ihren Intune-Richtlinien übereinstimmen müssen, so dass beispielsweise mobile Geräte Ihre Kennwortanforderungen und eine Mindestversion des Betriebssystems erfüllen und Computer mit der Domäne verbunden sein müssen.

Weitere Informationen und einige detaillierte Beispiele finden Sie in dem folgenden Blogbeitrag: Conditional Access policies for Azure Information Protection (Richtlinien zum bedingten Zugriff für Azure Information Protection).

Weitere Informationen:

Thema Details
Auswertungshäufigkeit Für Windows-Computer und die aktuelle Vorschauversion werden die Richtlinien für den bedingten Zugriff auf Azure Information Protection bei der Initialisierung der Benutzerumgebung (dieser Vorgang wird auch als Bootstrapping bezeichnet) und anschließend alle 30 Tage ausgewertet.

Um genau festzulegen, wie oft Ihre Richtlinien für bedingten Zugriff ausgewertet werden, konfigurieren Sie die Token-Lebensdauer.
Administratorkonten Wir empfehlen, keine Administratorkonten zu Ihren Richtlinien für bedingten Zugriff hinzuzufügen, da diese Konten nicht auf den Bereich Azure Information Protection im Azure-Portal zugreifen können.
MFA und B2B-Zusammenarbeit Wenn Sie MFA in Ihren Richtlinien für bedingten Zugriff für die Zusammenarbeit mit anderen Unternehmen (B2B) verwenden, müssen Sie Azure AD B2B-Zusammenarbeit verwenden und Gastkonten für die Benutzer erstellen, mit denen Sie in dem anderen Unternehmen zusammenarbeiten möchten.
Nutzungsbedingungen Mit der Azure AD-Vorschauversion vom Dezember 2018 können Sie jetzt Benutzer dazu auffordern, Nutzungsbedingungen zu akzeptieren, bevor sie ein geschütztes Dokument zum ersten Mal öffnen.
Cloud-Apps Wenn Sie für den bedingten Zugriff auf mehrere Cloud-Apps zurückgreifen, wird Ihnen unter Umständen Microsoft Azure Information Protection nicht in der Auswahlliste angezeigt.

Verwenden Sie in diesem Fall das Suchfeld oben in der Liste. Geben Sie „Microsoft Azure Information Protection“ ein, um die verfügbaren Apps zu filtern. Sofern Sie über ein unterstütztes Abonnement verfügen, können Sie nun Microsoft Azure Information Protection auswählen.

Hinweis

Die Azure Information Protection-Unterstützung für bedingten Zugriff befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Ist Azure Information Protection für mein Land geeignet?

Verschiedene Länder haben unterschiedliche Anforderungen und Bestimmungen. Auf der Seite Suitability for different countries (Eignung für unterschiedliche Länder) finden Sie Antworten zu den Fragen für Ihre Organisation.

Wie kann Azure Information Protection bei der Datenschutz-Grundverordnung (DSGVO) helfen?

Hinweis

Wenn Sie daran interessiert sind, personenbezogene Daten anzuzeigen oder zu löschen, lesen Sie bitte die Anleitungen von Microsoft Purview Compliance Manager und im DSGVO-Abschnitt der Microsoft 365 Enterprise Compliance-Website von Microsoft. Allgemeine Informationen über die DSGVO finden Sie im Abschnitt zur DSGVO im Service Trust-Portal.

Lesen Sie hierzu Kompatibilitätsinformationen und ergänzende Informationen zu Azure Information Protection.

Wie kann ich ein Problem melden oder Feedback zu Azure Information Protection übermitteln?

Wenden Sie sich an Ihre Standardsupportkanäle oder an den Microsoft Support, um technischen Support zu erhalten.

Wir laden Sie auch dazu ein, sich mit unserem Engineering-Team auf seiner Yammer-Website zu Azure Information Protection in Verbindung zu setzen.

Was tue ich, wenn meine Frage nicht dabei ist?

Gehen Sie zunächst die unten aufgeführten häufig gestellten Fragen durch, die sich speziell auf die Einstufung und Bezeichnung oder den Datenschutz beziehen. Der Azure Rights Management-Dienst (Azure RMS) bietet die Datenschutztechnologie für Azure Information Protection. Azure RMS kann zusammen mit einer Klassifizierung oder Bezeichnung verwendet werden. Es kann aber auch eigenständig genutzt werden.

Wenn Ihre Frage nicht beantwortet wird, sehen Sie sich die unter Informationen und Support für Azure Information Protection aufgeführten Links und Ressourcen an.