So unterstützen Office-Anwendungen und -Dienste Azure Rights Management

Endbenutzer-Office-App lizenzen und Office-Dienste können den Azure Rights Management-Dienst aus Azure Information Protection verwenden, um die Daten Ihrer Organisation zu schützen. Diese Office-App lizenzen sind Word, Excel, PowerPoint und Outlook. Bei den Office-Diensten handelt es sich um Exchange und Microsoft SharePoint. Die Office-Konfigurationen, die den Azure Rights Management-Dienst unterstützen, verwenden häufig den Begriff Information Rights Management (IRM).

Office-App lizenzen: Word, Excel, PowerPoint, Outlook

Diese Anwendungen unterstützen die integrierte Azure-Rechteverwaltung und ermöglichen es Benutzern, ein gespeichertes Dokument oder eine zu versendende E-Mail-Nachricht zu schützen. Benutzer können Vorlagen anwenden, um den Schutz anzuwenden. Oder für Word, Excel und PowerPoint können Benutzer angepasste Einstellungen für Zugriff, Rechte und Nutzungseinschränkungen auswählen.

Beispielsweise können Benutzer ein Word-Dokument so konfigurieren, dass nur von Personen in Ihrer Organisation darauf zugegriffen werden kann. Oder steuern Sie, ob eine Excel-Kalkulationstabelle bearbeitet oder auf schreibgeschützt beschränkt werden kann, oder verhindern Sie, dass sie gedruckt wird. Bei zeitkritischen Dateien kann eine Ablaufzeit konfiguriert werden, für die der Zugriff auf die Datei nicht mehr möglich ist. Diese Konfiguration kann direkt von Benutzern oder durch Anwenden einer Schutzvorlage vorgenommen werden. Für Outlook können Benutzer auch die Option "Nicht weiterleiten" auswählen, um Datenlecks zu verhindern.

Wenn Sie bereit sind, Office-Anwendungen zu konfigurieren, siehe Office-Anwendungen: Konfiguration für Clients.

Für relevante bekannte Probleme siehe AIP bekannte Probleme in Office-Anwendungen.

Exchange Online und Exchange Server

Wenn Sie Exchange Online oder Exchange Server verwenden, können Sie Optionen für Azure Information Protection konfigurieren. Mit dieser Konfiguration kann Exchange die folgenden Schutzlösungen bereitstellen:

  • Exchange ActiveSync IRM , sodass mobile Geräte geschützte E-Mail-Nachrichten schützen und nutzen können.

  • E-Mail-Schutzunterstützung für Outlook im Web, die ähnlich wie der Outlook-Client implementiert wird. Mit dieser Konfiguration können Benutzer E-Mail-Nachrichten mithilfe von Schutzvorlagen oder Optionen schützen. Benutzer können geschützte E-Mail-Nachrichten lesen und verwenden, die an sie gesendet werden.

  • Schutzregeln für Outlook-Clients, die ein Administrator so konfiguriert, dass automatisch Schutzvorlagen und Optionen auf E-Mail-Nachrichten für bestimmte Empfänger angewendet werden. Wenn beispielsweise interne E-Mails an Ihre Rechtsabteilung gesendet werden, können sie nur von Mitgliedern der Rechtsabteilung gelesen und nicht weitergeleitet werden. Benutzer sehen den Schutz, der vor dem Senden auf die E-Mail-Nachricht angewendet wurde, und sie können diesen Schutz standardmäßig entfernen, wenn sie entscheiden, dass er nicht erforderlich ist. E-Mails werden verschlüsselt, bevor sie gesendet werden. Weitere Informationen finden Sie unter Outlook-Schutzregeln und Erstellen einer Outlook-Schutzregel in der Exchange-Bibliothek.

  • Nachrichtenflussregeln , die ein Administrator so konfiguriert, dass automatisch Schutzvorlagen oder Optionen auf E-Mail-Nachrichten angewendet werden. Diese Regeln basieren auf Eigenschaften wie Absender, Empfänger, Nachrichtenbetreff und Inhalt. Diese Regeln ähneln dem Konzept von Schutzregeln, ermöglichen benutzern jedoch nicht das Entfernen des Schutzes, da der Schutz vom Exchange-Dienst und nicht vom Client festgelegt wird. Da der Schutz vom Dienst festgelegt wird, spielt es keine Rolle, über welches Gerät oder welches Betriebssystem die Benutzer verfügen. Weitere Informationen finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online und Erstellen einer Transportschutzregel für Lokales Exchange.

  • Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP), die Gruppen von Bedingungen zum Filtern von E-Mail-Nachrichten enthalten und Maßnahmen ergreifen, um Datenverluste für vertrauliche oder vertrauliche Inhalte zu verhindern. Eine der Aktionen, die Sie angeben können, besteht darin, Verschlüsselung als Schutz anzuwenden, indem Sie eine der Schutzvorlagen oder -optionen angeben. Richtlinien Tipps können verwendet werden, wenn vertrauliche Daten erkannt werden, um Benutzer darüber zu informieren, dass sie möglicherweise Schutz anwenden müssen. Weitere Informationen finden Sie in der Exchange Online-Dokumentation unter Verhinderung von Datenverlust.

  • Message Encryption, die den Versand geschützter E-Mail-Nachrichten und geschützter Office-Dokumente als Anhänge an beliebige E-Mail-Adressen auf beliebigen Geräten unterstützt. Bei Benutzerkonten, die keine Microsoft Entra-ID verwenden, unterstützt eine Weboberfläche Anbieter für soziale Identitäten oder eine einmalige Kennung. Weitere Informationen finden Sie unter Einrichten der neuen Microsoft 365 Message Encryption-Funktionen, die auf Azure Information Protection aufbauen, in der Microsoft 365-Dokumentation. Weitere Informationen zu dieser Konfiguration finden Sie unter Microsoft 365 Message Encryption.

Wenn Sie Exchange vor Ort verwenden, können Sie die IRM-Funktionen mit dem Azure Rights Management-Dienst nutzen, indem Sie den Microsoft Rights Management Connector bereitstellen. Dieser Connector fungiert als Relay zwischen Ihren lokalen Servern und dem Azure Rights Management-Dienst.

Weitere Informationen zu den E-Mail-Optionen, die Sie zum Schutz von E-Mails verwenden können, finden Sie unter Option "Nicht weiterleiten" für E-Mails und Option "Nur verschlüsseln" für E-Mails.

Wenn Sie bereit sind, Exchange zum Schutz von E-Mails zu konfigurieren:

SharePoint in Microsoft 365 und SharePoint Server

Wenn Sie SharePoint in Microsoft 365 oder SharePoint Server verwenden, können Sie Dokumente mit der SharePoint-Funktion zur Verwaltung von Informationsrechten (IRM) schützen. Mit diesem Feature können Administratoren Listen oder Bibliotheken schützen, sodass beim Auschecken eines Dokuments die heruntergeladene Datei geschützt ist, sodass nur autorisierte Personen die Datei gemäß den von Ihnen angegebenen Informationsschutzrichtlinien anzeigen und verwenden können. Die Datei kann beispielsweise schreibgeschützt sein, das Kopieren von Text deaktivieren, das Speichern einer lokalen Kopie verhindern und das Drucken der Datei verhindern.

Word-, PowerPoint-, Excel- und PDF-Dokumente unterstützen diesen SharePoint IRM-Schutz. Standardmäßig ist der Schutz auf die Person beschränkt, die das Dokument herunterlädt. Sie können diese Standardeinstellung mit einer Konfigurationsoption namens "Gruppenschutz zulassen" ändern, wodurch der Schutz auf eine von Ihnen angegebene Gruppe erweitert wird. Sie können beispielsweise eine Gruppe angeben, die über die Berechtigung zum Bearbeiten von Dokumenten in der Bibliothek verfügt, damit dieselbe Gruppe von Benutzern das Dokument außerhalb von SharePoint bearbeiten kann, unabhängig davon, welcher Benutzer das Dokument heruntergeladen hat. Oder Sie können eine Gruppe angeben, die in SharePoint keine Berechtigungen erteilt hat, aber Benutzer in dieser Gruppe müssen auf das Dokument außerhalb von SharePoint zugreifen. Für SharePoint-Listen und -Bibliotheken wird dieser Schutz immer von einem Administrator konfiguriert, nie einem Endbenutzer. Sie legen die Berechtigungen auf Websiteebene fest, und diese Berechtigungen werden standardmäßig von einer beliebigen Liste oder Bibliothek auf dieser Website geerbt. Wenn Sie SharePoint in Microsoft 365 verwenden, können Benutzer auch ihre Microsoft OneDrive-Bibliothek für den IRM-Schutz konfigurieren.

Für ein differenziertes Steuerelement können Sie eine Liste oder Bibliothek auf der Website konfigurieren, um das Erben von Berechtigungen vom übergeordneten Element zu beenden. Sie können dann IRM-Berechtigungen auf dieser Ebene (Liste oder Bibliothek) konfigurieren und sie werden dann als "eindeutige Berechtigungen" bezeichnet Die Berechtigungen werden jedoch immer auf Containerebene festgelegt; Sie können keine Berechtigungen für einzelne Dateien festlegen.

Der IRM-Dienst muss zuerst für SharePoint aktiviert sein. Anschließend geben Sie IRM-Berechtigungen für eine Bibliothek an. Für SharePoint und OneDrive können Benutzer auch IRM-Berechtigungen für ihre OneDrive-Bibliothek festlegen. SharePoint verwendet keine Richtlinienvorlagen für Rechte, obwohl es SharePoint-Konfigurationseinstellungen gibt, die Sie auswählen können, die mit einigen Einstellungen übereinstimmen, die Sie in den Vorlagen angeben können.

Wenn Sie SharePoint Server verwenden, können Sie diesen IRM-Schutz nutzen, indem Sie den Microsoft Rights Management Connector einsetzen. Dieser Connector fungiert als Relay zwischen Ihren lokalen Servern und dem Rights Management-Clouddienst. Weitere Informationen finden Sie unter Bereitstellen des Microsoft Rights Management-Connectors.

Hinweis

Bei der Verwendung von SharePoint IRM gibt es einige Einschränkungen:

  • Sie können die standard- oder benutzerdefinierten Schutzvorlagen, die Sie im Azure-Portal verwalten, nicht verwenden.

  • Dateien mit der Dateinamenerweiterung PPDF für geschützte PDF-Dateien werden nicht unterstützt. Weitere Informationen zum Anzeigen geschützter PDF-Dokumente finden Sie unter Geschützte PDF-Reader für Microsoft Purview Information Protection.

  • Kollaboration wird nicht unterstützt, wenn mehrere Personen gleichzeitig ein Dokument bearbeiten. Zum Bearbeiten eines Dokuments in einer IRM-geschützten Bibliothek müssen Sie zuerst das Dokument auschecken und herunterladen und dann in Ihrer Office-App lizenzierung bearbeiten. Folglich kann jeweils nur eine Person das Dokument bearbeiten.

Wenn Sie bei Bibliotheken, die nicht IRM-geschützt sind, nur den Schutz auf eine Datei anwenden, die Sie dann auf SharePoint oder OneDrive hochladen, funktionieren die folgenden Funktionen nicht mit dieser Datei: Co-Authoring, Office für das Web, Suche, Dokumentenvorschau, Miniaturansicht, eDiscovery und Data Loss Prevention (DLP).

Wichtig

SharePoint IRM kann in Kombination mit Vertraulichkeitsbezeichnungen verwendet werden, die Schutz anwenden. Wenn Sie beide Features zusammen verwenden, ändert sich das Verhalten für geschützte Dateien. Weitere Informationen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive.

Wenn Sie SharePoint IRM-Schutz verwenden, wendet der Azure Rights Management-Dienst Nutzungseinschränkungen und Datenverschlüsselung für Dokumente an, wenn sie aus SharePoint heruntergeladen werden und nicht, wenn das Dokument zum ersten Mal in SharePoint erstellt oder in die Bibliothek hochgeladen wird. Informationen zum Schutz der Dokumente vor dem Herunterladen finden Sie in der SharePoint-Dokumentation unter Datenverschlüsselung in OneDrive und SharePoint.

Für kommende Änderungen siehe Aktualisierungen der SharePoint-Sicherheit, Verwaltung und Migration.

Wenn Sie bereit sind, SharePoint für IRM zu konfigurieren:

Nächste Schritte

Wenn Sie Microsoft 365 nutzen, könnte Sie ein Blick auf Dateischutzlösungen in Microsoft 365 interessieren, der empfohlene Funktionen zum Schutz von Dateien in Microsoft 365 enthält.

Wenn Sie sehen möchten, wie andere Anwendungen und Dienste den Azure Rights Management-Dienst von Azure Information Protection unterstützen, erfahren Sie , wie Anwendungen den Azure Rights Management-Dienst unterstützen.

Wenn Sie bereit sind, mit der Bereitstellung zu beginnen, die auch die Konfiguration dieser Anwendungen und Dienste umfasst, lesen Sie den AIP-Bereitstellungsfahrplan für Klassifizierung, Bezeichnung und Schutz.