Konfigurieren Sie die Nutzungsrechte für Azure Information Protection
In diesem Artikel werden Nutzungsrechte beschrieben, die automatisch angewendet werden können, wenn eine Bezeichnung oder Vorlage von Benutzern, Administratoren oder konfigurierten Diensten ausgewählt wird.
Verwendungsrechte werden ausgewählt, wenn Sie Vertraulichkeitsbezeichnungen oder Schutzvorlagen für verschlüsselung konfigurieren. Sie können zum Beispiel Rollen auswählen, die eine logische Gruppierung von Nutzungsrechten konfigurieren, oder die einzelnen Rechte separat konfigurieren. Alternativ können Benutzer die Nutzungsrechte selbst auswählen und anwenden.
Aus Gründen der Vollständigkeit enthält der Artikel Werte aus dem klassischen Azure-Portal, das am 8. Januar 2018 außer Kraft gesetzt wurde.
Wichtig
In diesem Artikel erfahren Sie, wie Nutzungsrechte von Anwendungen interpretiert werden sollen.
Anwendungen können variieren, wie sie Nutzungsrechte implementieren, und wir empfehlen, mit der Dokumentation Ihrer Anwendung zu beraten und Ihre eigenen Tests durchzuführen, um das Anwendungsverhalten zu überprüfen, bevor sie in der Produktion bereitgestellt werden.
Nutzungsrechte und Beschreibungen
In der folgenden Tabelle sind die Nutzungsrechte aufgelistet und beschrieben, die Rights Management unterstützt, und wie sie verwendet und interpretiert werden. Sie sind mit ihrem allgemeinen Namen aufgelistet, wie die Nutzungsrechte in der Regel angezeigt werden, bzw. über den auf sie verwiesen wird, als benutzerfreundlichere Version des Einzelwortwerts, der im Code verwendet wird (der Richtliniencodierungswert).
In dieser Tabelle:
Die API-Konstante oder der API-Wert ist der SDK-Name für einen MSIPC- oder Microsoft Purview Information Protection-SDK-API-Aufruf, der verwendet wird, wenn Sie eine Anwendung schreiben, die überprüft, ob ein Nutzungsrecht vorhanden ist, oder einer Richtlinie ein Nutzungsrecht hinzufügt.
Das Bezeichnungs-Administrationszentrum ist das Microsoft Purview-Complianceportal, in dem Sie Vertraulichkeitsbezeichnungen konfigurieren.
Nutzungsrecht | Beschreibung | Implementierung |
---|---|---|
Allgemeiner Name: Inhalt bearbeiten, Bearbeiten Richtliniencodierung: DOCEDIT |
Ermöglicht dem Benutzer, den Inhalt in der Anwendung, einschließlich Office im Web, zu ändern, neu anzuordnen, zu formatieren oder zu sortieren. Gewährt nicht das Recht, die bearbeitete Kopie zu speichern. Wenn Sie nicht über Office 365 ProPlus mit einer Mindestversion von 1807 verfügen, reicht dieses Recht in Word nicht aus, um Änderungen nachverfolgen zu aktivieren oder zu deaktivieren oder um alle Funktionen zum Nachverfolgen von Änderungen als Überprüfer zu nutzen. Für die Verwendung aller Optionen zum Nachverfolgen von Änderungen ist stattdessen das folgende Recht erforderlich: Vollzugriff. |
Benutzerdefinierte Office-Rechte: als Teil der Optionen Änderung und Vollzugriff. Name im klassischen Azure-Portal: Inhalt bearbeiten Name im Microsoft Purview-Complianceportal und im Azure-Portal: Inhalt bearbeiten, Bearbeiten (DOCEDIT) Name in AD RMS-Vorlagen: Bearbeiten API-Konstante oder -Wert: MSIPC: Nicht verfügbar. MIP SDK: DOCEDIT |
Allgemeiner Name: Speichern Richtliniencodierung: EDIT |
Ermöglicht dem Benutzer, das Dokument am aktuellen Speicherort zu speichern. In Office im Web ermöglicht es dem Benutzer auch das Bearbeiten des Inhalts. In Office-Anwendungen ermöglicht dieses Recht dem Benutzer, die Datei an einem neuen Ort und unter einem neuen Namen zu speichern, wenn das ausgewählte Dateiformat über eine integrierte Unterstützung für den Schutz durch Rights Management verfügt. Die Beschränkung für das Dateiformat stellt sicher, dass der ursprüngliche Schutz nicht von der Datei entfernt werden kann. |
Benutzerdefinierte Office-Rechte: als Teil der Optionen Änderung und Vollzugriff. Name im klassischen Azure-Portal: Datei speichern Name im Microsoft Purview-Complianceportal und im Azure-Portal: Speichern (EDIT) Name in AD RMS-Vorlagen: Speichern API-Konstante oder -Wert: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
Allgemeiner Name: Kommentar Richtliniencodierung: COMMENT |
Ermöglicht der Option, dem Inhalt Anmerkungen oder Kommentare hinzuzufügen. Dieses Recht ist im SDK verfügbar, als Ad-hoc-Richtlinie in AzureInformationProtection und dem RMS-Schutz-Modul für Windows PowerShell verfügbar und wurde in einigen Anwendungen von Softwareherstellern implementiert. Es wird allerdings nicht häufig verwendet und nicht von Office-Anwendungen unterstützt. |
Benutzerdefinierte Office-Rechte: nicht implementiert. Name im klassischen Azure-Portal: nicht implementiert. Name im Microsoft Purview-Complianceportal und Azure-Portal: Nicht implementiert. Name in AD RMS-Vorlagen: nicht implementiert. API-Konstante oder -Wert: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
Allgemeiner Name: Speichern unter, Exportieren Richtliniencodierung: EXPORT |
Aktiviert die Option zum Speichern des Inhalts unter einem anderen Dateinamen (Speichern unter). Beim Azure Information Protection-Client kann die Datei ohne Schutz gespeichert und auch mit neuen Einstellungen und Berechtigungen erneut geschützt werden. Diese zulässigen Aktionen bedeuten, dass ein Benutzer mit diesem Recht eine Azure Information Protection-Bezeichnung von einem geschützten Dokument oder einer geschützten E-Mail ändern oder entfernen kann. Dieses Recht erlaubt dem Benutzer auch andere Exportoptionen in Anwendungen, z .B. An OneNote senden. |
Benutzerdefinierte Office-Rechte: als Teil der Optionen Vollzugriff. Name im klassischen Azure-Portal: Inhalt exportieren (Speichern unter) Name im Microsoft Purview-Complianceportal und im Azure-Portal: Speichern unter, Exportieren (EXPORT) Name in AD RMS-Vorlagen: Exportieren (Speichern unter) API-Konstante oder -Wert: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
Allgemeiner Name: Weiterleiten Richtliniencodierung: FORWARD |
Aktiviert die Option zum Weiterleiten einer E-Mail-Nachricht und zum Hinzufügen von Empfängern in der An- und Cc-Zeile. Dieses Recht wird nicht auf Dokumente angewendet, sondern nur auf E-Mail-Nachrichten. Erlaubt der Weiterleitung nicht, als Teil des Weiterleitungsvorgangs anderen Benutzern Berechtigungen zu gewähren. Wenn Sie dieses Recht gewähren, gewähren Sie auch das Recht Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und darüber hinaus das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anhang übermittelt wird. Gegen Sie dieses Recht auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben. |
Benutzerdefinierte Office-Rechte: Bei Verwendung der Standardrichtlinie Nicht weiterleiten verweigert. Name im klassischen Azure-Portal: Weiterleiten Name im Microsoft Purview-Complianceportal und im Azure-Portal: Vorwärts (VORWÄRTS) Name in AD RMS-Vorlagen: Weiterleiten API-Konstante oder -Wert: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
Allgemeiner Name: Vollzugriff Richtliniencodierung: OWNER |
Gewährt alle Berechtigungen für das Dokument, und alle verfügbaren Aktionen können ausgeführt werden. Bietet die Möglichkeit zum Entfernen des Schutzes und erneuten Schützen eines Dokuments. Beachten Sie, dass dieses Nutzungsrecht nicht mit dem des Rights Management-Besitzers identisch ist. |
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Option Vollzugriff. Name im klassischen Azure-Portal: Vollzugriff Name im Microsoft Purview-Complianceportal und im Azure-Portal: Vollständige Kontrolle (EIGENTÜMER) Name in AD RMS-Vorlagen: Vollzugriff API-Konstante oder -Wert: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
Allgemeiner Name: Drucken Richtliniencodierung: PRINT |
Aktiviert die Optionen zum Drucken des Inhalts. | Benutzerdefinierte Office-Rechte: wie die Option Inhalt drucken in benutzerdefinierten Berechtigungen. Keine Pro-Empfänger-Einstellung. Name im klassischen Azure-Portal: Drucken Name im Microsoft Purview-Complianceportal und im Azure-Portal: Drucken (PRINT) Name in AD RMS-Vorlagen: Drucken API-Konstante oder -Wert: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
Allgemeiner Name: Antworten Richtliniencodierung: REPLY |
Aktiviert die Antworten-Option in einem E-Mail-Client, ohne Änderungen in der An- oder Cc-Zeile zuzulassen. Wenn Sie dieses Recht gewähren, gewähren Sie auch das Recht Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und darüber hinaus das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anhang übermittelt wird. Gegen Sie dieses Recht auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben. |
Benutzerdefinierte Office-Rechte: nicht zutreffend. Name im klassischen Azure-Portal: Antworten Name im klassischen Azure-Portal: Antworten (REPLY) Name in AD RMS-Vorlagen: Antworten API-Konstante oder -Wert: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
Allgemeiner Name: Allen Antworten Richtliniencodierung: REPLYALL |
Aktiviert die Allen Antworten-Option in einem E-Mail-Client, erlaubt dem Benutzer jedoch nicht, in der An- oder Cc-Zeile Empfänger hinzuzufügen. Wenn Sie dieses Recht gewähren, gewähren Sie auch das Recht Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und darüber hinaus das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anhang übermittelt wird. Gegen Sie dieses Recht auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben. |
Benutzerdefinierte Office-Rechte: nicht zutreffend. Name im klassischen Azure-Portal: Allen antworten Name im Microsoft Purview-Complianceportal und im Azure-Portal: Alle antworten (REPLY ALL) Name in AD RMS-Vorlagen: Allen antworten API-Konstante oder -Wert: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
Allgemeiner Name: Anzeigen, Öffnen, Lesen Richtliniencodierung: VIEW |
Ermöglicht dem Benutzer, das Dokument zu öffnen und den Inhalt zu sehen. In Excel genügt dieses Recht nicht zum Sortieren von Daten. Dafür ist das folgende Recht erforderlich: Inhalt bearbeiten, Bearbeiten. Zum Filtern von Daten in Excel benötigen Sie die folgenden beiden Rechte: Inhalt bearbeiten, Bearbeiten und Kopieren. |
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinie Lesen, Option Anzeigen. Name im klassischen Azure-Portal: Anzeigen Name im Microsoft Purview-Complianceportal und im Azure-Portal: Ansehen, Öffnen, Lesen (VIEW) Name in AD RMS-Vorlagen: Lesen API-Konstante oder -Wert: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
Allgemeiner Name: Kopieren Richtliniencodierung: EXTRACT |
Aktiviert Optionen zum Kopieren von Daten (einschließlich Screenshots) aus dem Dokument in dasselbe oder ein anderes Dokument. In einigen Anwendungen wird auch das Speichern des gesamten Dokuments in ungeschützter Form ermöglicht. In Skype for Business und ähnlichen Anwendungen mit Bildschirmfreigabe muss der Referent dieses Recht haben, ein geschütztes Dokument erfolgreich präsentieren zu können. Wenn der Referent dieses Recht nicht hat, können die Teilnehmer das Dokument nicht sehen, und es wird geschwärzt angezeigt. |
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinienoption Benutzern mit Lesezugriff das Kopieren des Inhalts erlauben. Name im klassischen Azure-Portal: Inhalt kopieren und extrahieren Name im Microsoft Purview-Complianceportal und im Azure-Portal: Kopieren (EXTRACT) Name in AD RMS-Vorlagen: Extrahieren API-Konstante oder -Wert: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
Allgemeiner Name: Rechte anzeigen Richtliniencodierung: VIEWRIGHTSDATA |
Ermöglicht dem Benutzer, die Richtlinie anzuzeigen, die auf das Dokument angewendet wird. Von Office Apps oder Azure Information Protection-Clients nicht unterstützt. |
Benutzerdefinierte Office-Rechte: nicht implementiert. Name im klassischen Azure-Portal: Zugewiesene Rechte anzeigen Name im Microsoft Purview-Complianceportal und im Azure-Portal: Ansichtsrechte (VIEWRIGHTSDATA). Name in AD RMS-Vorlagen: Rechte anzeigen API-Konstante oder -Wert: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
Allgemeiner Name: Rechte ändern Richtliniencodierung: EDITRIGHTSDATA |
Ermöglicht dem Benutzer, die Richtlinie zu ändern, die auf das Dokument angewendet wird. Beinhaltet, das Entfernen des Schutzes einzubeziehen. Von Office Apps oder Azure Information Protection-Clients nicht unterstützt. |
Benutzerdefinierte Office-Rechte: nicht implementiert. Name im klassischen Azure-Portal: Rechte ändern Name im Microsoft Purview-Complianceportal und im Azure-Portal: Bearbeitungsrechte (EDITRIGHTSDATA). Name in AD RMS-Vorlagen: Rechte bearbeiten API-Konstante oder -Wert: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
Allgemeiner Name: Makros zulassen Richtliniencodierung: OBJMODEL |
Aktiviert die Option zum Ausführen von Makros oder anderem programmgesteuertem oder Remotezugriff auf den Inhalt in einem Dokument. | Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinienoption Programmgesteuerten Zugriff zulassen. Keine Pro-Empfänger-Einstellung. Name im klassischen Azure-Portal: Makros zulassen Name im Microsoft Purview-Complianceportal und im Azure-Portal: Makros zulassen (OBJMODEL) Name in AD RMS-Vorlagen: Makros zulassen API-Konstante oder -Wert: MSIPC: nicht implementiert. MIP SDK: OBJMODEL |
In Berechtigungsstufen enthaltene Rechte
Einige Anwendungen gruppieren Nutzungsrechte in Berechtigungsstufen, um die Auswahl von Nutzungsrechten zu vereinfachen, die in der Regel zusammen verwendet werden. Diese Berechtigungsstufen unterstützen das Abstrahieren eines Komplexitätsniveaus vor den Benutzern, damit sie rollenbasierte Optionen auswählen können. Beispiel: Prüfer und Mitautor. Obwohl diese Optionen Benutzern häufig eine Zusammenfassung der Rechte anzeigen, enthalten sie möglicherweise nicht jede Berechtigung, die in der vorherigen Tabelle aufgelistet wird.
In der folgenden Tabelle finden Sie eine Liste dieser Berechtigungsstufen und eine vollständige Liste der Nutzungsrechte, die sie enthalten. Die Nutzungsrechte sind nach ihren allgemeinen Namen aufgelistet.
Berechtigungsstufe | Anwendungen | Enthaltene Nutzungsrechte |
---|---|---|
Viewer | Klassisches Azure-Portal Azure-Portal Azure Information Protection-Client für Windows |
Anzeigen, Öffnen, Lesen; Rechte anzeigen; Antworten [1]; Allen Antworten [1]; Makros zulassen [2] Hinweis: Verwenden Sie für E-Mails „Prüfer“ statt dieser Berechtigungsstufe, um sicherzustellen, dass eine E-Mail-Antwort als E-Mail-Nachricht und nicht als Anlage empfangen wird. „Prüfer“ ist auch erforderlich, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Azure Rights Management-Diensts ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben. |
Prüfer | Klassisches Azure-Portal Azure-Portal Azure Information Protection-Client für Windows |
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Rechte anzeigen; Antworten: Allen antworten [3]; Weiterleiten [3]; Makros zulassen [2] |
Mitautor | Klassisches Azure-Portal Azure-Portal Azure Information Protection-Client für Windows |
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Makros zulassen; Speichern unter, Exportieren [4]; Drucken; Antworten [3]; Allen antworten [3]; Weiterleiten [3] |
Mitbesitzer | Klassisches Azure-Portal Azure-Portal Azure Information Protection-Client für Windows |
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Rechte ändern; Makros zulassen; Speichern unter, Exportieren; Drucken; Antworten [3]; Allen antworten [3]; Weiterleiten [3]; Vollzugriff |
Fußnote 1
Nicht im Microsoft Purview-Complianceportal oder Azure-Portal enthalten.
Fußnote 2
Für den Azure Information Protection-Client für Windows ist dieses Recht für die Information Protection-Leiste in Office-Apps erforderlich.
Fußnote 3
Gilt nicht für den Azure Information Protection-Client für Windows.
Fußnote 4
Nicht enthalten im Microsoft Purview-Complianceportal, im Azure-Portal oder im Azure Information Protection Client für Windows.
„Nicht weiterleiten“-Option für E-Mails
Exchange-Clients und -Dienste (z. B. Outlook-Client, Outlook im Web, Exchange-Nachrichtenflussregeln) haben eine zusätzliche Information Rights-Schutzoption für E-Mails: Nicht weiterleiten.
Obwohl diese Option für Benutzer (und Exchange-Administratoren) so angezeigt wird, als sei sie eine Rights Management-Standardvorlage, die sie auswählen können, ist Nicht weiterleiten keine Vorlage. Dies erklärt, warum sie im Azure-Portal nicht angezeigt wird, wenn Sie Schutzvorlagen anzeigen und verwalten. Stattdessen stellt die Option Nicht weiterleiten eine Reihe von Nutzungsrechten dar, die von Benutzern dynamisch auf ihre E-Mail-Empfänger angewendet werden.
Wenn die Option Nicht weiterleiten auf eine E-Mail angewendet wird, wird die E-Mail verschlüsselt, und die Empfänger müssen authentifiziert werden. Die Empfänger können sie dann nicht weiterleiten, drucken oder etwas daraus kopieren. Beispielsweise ist im Outlook-Client die Schaltfläche Weiterleiten nicht verfügbar, die Menüoptionen Speichern unter und Drucken sind nicht verfügbar, und Sie können in den Feldern An, Cc oder Bcc keine Empfänger hinzufügen oder ändern.
Nicht geschützte Office-Dokumente, die an die E-Mail angefügt sind, erben automatisch dieselben Einschränkungen. Die auf diese Dokumente angewendeten Nutzungsrechte sind Inhalt bearbeiten, Bearbeiten; Speichern; Anzeigen, Öffnen, Lesen und Makros zulassen. Wenn Sie unterschiedliche Nutzungsrechte für einen Anhang wünschen oder Ihr Anhang kein Office-Dokument ist, das diesen geerbten Schutz unterstützt, müssen Sie die Datei schützen, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.
Unterschied zwischen Nicht weiterleiten und nicht gewährtem Nutzungsrecht Weiterleiten
Es besteht ein wichtiger Unterschied zwischen dem Anwenden der Option Nicht weiterleiten und dem Anwenden einer Vorlage, die nicht das Nutzungsrecht zum Weiterleiten einer E-Mail-Nachricht gewährt: Die Option Nicht weiterleiten verwendet eine dynamische Liste von autorisierten Benutzern, die auf den vom Benutzer ausgewählten Empfängern der ursprünglichen E-Mail basiert, während den Rechten in der Vorlage eine statische Liste autorisierter Benutzer zugrunde liegt, die der Administrator zuvor angegeben hat. Wo liegt der Unterschied? Ein Beispiel sollte das Verständnis vereinfachen:
Ein Benutzer möchte per E-Mail einige Informationen an bestimmte Personen in der Marketingabteilung senden, die sonst niemand erfahren soll. Sollte er die E-Mail-Nachricht mit einer Vorlage schützen, die die Rechte (Anzeigen, Antworten und Speichern) auf die Marketingabteilung beschränkt? Oder sollte er die Nicht weiterleiten-Option wählen? Beides würde dazu führen, dass die Empfänger die E-Mail nicht weiterleiten können.
Wenn er die Vorlage anwendet, können die Empfänger die Informationen noch für andere in der Marketingabteilung freigeben. Ein Empfänger könnte die E-Mail z.B. im Explorer ziehen und auf einem freigegebenen Speicherort oder einem USB-Laufwerk ablegen. Nun können alle Mitarbeiter der Marketingabteilung, die Zugriff auf diesen Speicherort haben (sowie der Besitzer der E-Mail), die Informationen in der E-Mail anzeigen.
Wenn er die Nicht weiterleiten-Option angewendet hat, können die Empfänger die Informationen nicht für andere in der Marketingabteilung freigeben, indem sie die E-Mail an einen anderen Speicherort verschieben. In diesem Szenario können nur die ursprünglichen Empfänger (und der E-Mail-Besitzer) die Informationen in der E-Mail anzeigen.
Hinweis
Verwenden Sie Nicht weiterleiten, wenn es wichtig ist, dass nur die vom Absender ausgewählten Empfänger die Informationen in der E-Mail einsehen. Verwenden Sie eine Vorlage für E-Mails, um die Rechte auf eine Gruppe von Personen zu beschränken, die der Administrator unabhängig von der Empfängerauswahl des Absenders im Voraus festlegt.
Option "Nur Verschlüsselung" für E-Mails
Wenn Exchange Online die neuen Funktionen für Office 365 Message Encryption verwendet, wird eine neue Encrypt E-Mail-Option verfügbar, um die Daten ohne zusätzliche Einschränkungen zu verschlüsseln.
Diese Option steht Mandanten zur Verfügung, die Exchange Online verwenden und wie folgt ausgewählt werden können:
- In Outlook im Web mit der Option Verschlüsseln oder einer Vertraulichkeitsbezeichnung, die für Benutzer Berechtigungen zuweisen lassen und die Option Nur verschlüsseln konfiguriert ist
- Als weitere Option zum Schutz von Rechten für eine Mailflow-Regel
- Als Office 365 DLP-Aktion
- Aus der Outlook-App für Desktops und mobile Geräte:
- Mit einer Vertraulichkeitsbezeichnung, die für Benutzer Berechtigungen zuweisen lassen und die Option Nur verschlüsseln konfiguriert ist, für Windows, macOS, iOS und Android, wenn Sie die integrierte Beschriftung mit den in der Tabelle für Vertraulichkeitsbezeichnungsfunktionen in Outlook aufgeführten Mindestversionen verwenden.
- Mit der Option "Verschlüsseln " unter Windows und macOS für die versionen, die in der Tabelle der unterstützten Versionen für Microsoft 365 Apps nach Updatekanal aufgeführt sind.
Weitere Informationen über die Option "Nur verschlüsseln" finden Sie in dem folgenden Blog-Beitrag, in dem sie erstmals vom Office-Team angekündigt wurde: Encrypt wird nur in Office 365 Message Encryption eingeführt.
Wenn diese Option ausgewählt ist, wird die E-Mail verschlüsselt, und die Empfänger müssen sich authentifizieren. Dann verfügen die Empfänger über alle Nutzungsrechte mit Ausnahme von Speichern unter, Exportieren und Vollzugriff. Diese Kombination von Nutzungsrechten bedeutet, dass für die Empfänger keine Einschränkungen gelten, außer dass sie den Schutz nicht entfernen können. Ein Empfänger kann z. B. etwas aus der E-Mail kopieren, die E-Mail drucken und weiterleiten.
Ebenso erben ungeschützte Office-Dokumente, die an die E-Mail angefügt sind, standardmäßig dieselben Berechtigungen. Diese Dokumente werden automatisch geschützt, und wenn sie heruntergeladen werden, können sie von den Empfängern in Office-Anwendungen gespeichert, bearbeitet, kopiert und gedruckt werden. Wenn das Dokument von einem Empfänger gespeichert wird, kann es unter einem neuen Namen und sogar in einem anderen Format gespeichert werden. Allerdings sind nur Dateiformate verfügbar, die den Schutz unterstützen, sodass das Dokument nicht ohne den ursprünglichen Schutz gespeichert werden kann. Wenn Sie unterschiedliche Nutzungsrechte für einen Anhang wünschen oder Ihr Anhang kein Office-Dokument ist, das diesen geerbten Schutz unterstützt, müssen Sie die Datei schützen, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.
Alternativ können Sie diese Schutzvererbung von Dokumenten ändern, indem Sie in Exchange Online PowerShell Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
angeben. Verwenden Sie diese Konfiguration, wenn der ursprüngliche Schutz für das Dokument nicht beibehalten werden muss, nachdem der Benutzer sich authentifiziert hat. Wenn Empfänger die E-Mail-Nachricht öffnen, ist das Dokument nicht geschützt.
Wenn der ursprüngliche Schutz eines angefügten Dokuments erhalten bleiben muss, lesen Sie Sichere Zusammenarbeit an Dokumenten mithilfe von Azure Information Protection.
Hinweis
Wenn Verweise auf DecryptAttachmentFromPortal angezeigt werden, ist dieser Parameter jetzt für Set-IRMConfiguration veraltet. Sofern Sie diesen Parameter nicht zuvor festgelegt haben, ist er nicht verfügbar.
Automatisches Verschlüsseln von PDF-Dokumenten mit Exchange Online
Wenn Exchange Online die neuen Funktionen für die Office 365 Nachrichtenverschlüsselung verwendet, können Sie nicht geschützte PDF-Dokumente automatisch verschlüsseln, wenn sie an eine verschlüsselte E-Mail angefügt sind. Das Dokument erbt dieselben Berechtigungen wie die für die E-Mail-Nachricht. Um diese Konfiguration zu aktivieren, setzen Sie EnablePdfEncryption $True mit Set-IRMConfiguration.
Empfänger, die noch keinen Reader installiert haben, der den ISO-Standard für PDF-Verschlüsselung unterstützt, können einen der Reader installieren, die unter PDF-Reader, die Microsoft Purview Information Protection unterstützen aufgeführt sind. Alternativ können Empfänger das geschützte PDF-Dokument im OME-Portal lesen.
Rights Management-Aussteller und Rights Management-Besitzer
Wenn ein Dokument oder eine E-Mail mithilfe des Azure Rights Management-Diensts geschützt ist, wird das Konto, das diesen Inhalt schützt, automatisch der Rights Management-Aussteller dieses Inhalts. Dieses Konto wird als issuer-Feld in den Verwendungsprotokollen protokolliert.
Dem Rights Management-Aussteller wird immer das Nutzungsrecht „Vollzugriff“ für das Dokument oder die E-Mail gewährt, und darüber hinaus:
Wenn die Schutzeinstellungen ein Ablaufdatum umfassen, kann der Rights Management-Aussteller das Dokument oder die E-Mail nach diesem Datum immer noch öffnen und bearbeiten.
Der Rights Management-Aussteller kann stets offline auf das Dokument oder die E-Mail zugreifen.
Der Rights Management-Aussteller kann ein Dokument immer noch öffnen, nachdem es widerrufen wurde.
Standardmäßig ist dieses Konto auch der Rights Management-Besitzer dieses Inhalts, was der Fall ist, wenn ein Benutzer, der das Dokument oder die E-Mail erstellt hat, den Schutz initiiert. Aber es gibt einige Szenarien, in denen ein Administrator oder Dienst Inhalte im Auftrag von Benutzern schützen kann. Zum Beispiel:
Ein Administrator schützt viele Dateien auf einer Dateifreigabe auf einmal: Das Administratorkonto in Microsoft Entra ID schützt die Dokumente für die Benutzer.
Der Rights Management-Connector schützt Office-Dokumente in einem Windows Server-Ordner: Das Dienstprinzipalkonto in Microsoft Entra ID, das für den RMS-Connector erstellt wird, schützt die Dokumente für die Benutzer.
In diesen Szenarien kann der Rights Management-Aussteller den Rights Management-Besitzer mithilfe der Azure Information Protection-SDKs oder von PowerShell einem anderen Konto zuweisen. Wenn Sie z.B. das Protect-RMSFile-PowerShell-Cmdlet mit dem Azure Information Protection-Client verwenden, können Sie den OwnerEmail-Parameter angeben, um den Rights Management-Besitzer einem anderen Konto zuzuweisen.
Wenn der Rights Management-Aussteller im Auftrag von Benutzern schützt, stellt das Zuweisen des Rights Management-Besitzers sicher, dass der ursprüngliche Dokument- oder E-Mail-Besitzer das gleiche Maß an Kontrolle über seinen geschützten Inhalt hat, als hätte er den Schutz selbst initiiert.
Beispielsweise kann der Benutzer, der das Dokument erstellt hat, es drucken, obwohl es jetzt mit einer Vorlage geschützt ist, die das Nutzungsrecht „Drucken“ nicht enthält. Derselbe Benutzer kann stets unabhängig von der Einstellung für Offlinezugriff oder Ablaufdatum, die in dieser Vorlage konfiguriert sein könnten, auf sein Dokument zugreifen. Da der Rights Management-Besitzer über das Nutzungsrecht „Vollzugriff“ verfügt, kann dieser Benutzer darüber hinaus sein Dokument auch erneut schützen, um weiteren Benutzern Zugriff zu gewähren (an diesem Punkt wird der Benutzer dann sowohl zum Rights Management-Aussteller als auch Rights Management-Besitzer), und dieser Benutzer kann sogar den Schutz entfernen. Allerdings kann nur der Rights Management-Aussteller ein Dokument nachverfolgen und widerrufen.
Der Rights Management-Besitzer für ein Dokument oder eine E-Mail wird im Feld owner-email der Verwendungsprotokolle protokolliert.
Hinweis
Der Rights Management-Besitzer ist vom Besitzer des Windows-Dateisystems unabhängig. Sie sind häufig identisch, können jedoch unterschiedlich sein, auch wenn Sie nicht die SDKs oder PowerShell verwenden.
Rights Management-Nutzungslizenz
Wenn ein Benutzer ein Dokument oder eine E-Mail öffnet, das/die von Azure Rights Management geschützt wurde, erhält der Benutzer eine Rights Management-Nutzungslizenz für diesen Inhalt. Diese Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte für das Dokument oder die E-Mail-Nachricht und den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde. Die Lizenz enthält auch ein ggf. festgelegtes Ablaufdatum und die Gültigkeitsdauer der Nutzungslizenz.
Ein Benutzer muss über eine gültige Nutzungslizenz zum Öffnen des Inhalts zusätzlich zu seinem Rechtekontozertifikat (Rights Account Certificate, RAC) verfügen. Dieses Zertifikat wird zugewiesen, wenn die Benutzerumgebung initialisiert und dann alle 31 Tage verlängert wird.
Für die Dauer der Nutzungslizenz erfolgt für den Benutzer keine erneute Authentifizierung oder Autorisierung für den Inhalt. Auf diese Weise kann der Benutzer das Öffnen des geschützten Dokuments oder der E-Mail ohne Internetverbindung fortsetzen. Beim nächsten Zugriff des Benutzers auf das geschützte Dokument oder die geschützte E-Mail nach Ablauf der Gültigkeitsdauer der Nutzungslizenz muss der Benutzer erneut authentifiziert und autorisiert werden.
Wenn Dokumente und E-Mail-Nachrichten mithilfe einer Bezeichnung oder Vorlage geschützt werden, die die Schutzeinstellungen definiert, können Sie diese Einstellungen in Ihrer Bezeichnung oder Vorlage ändern, ohne den Inhalt erneut schützen zu müssen. Wenn der Benutzer bereits auf den Inhalt zugegriffen hat, werden die Änderungen wirksam, wenn seine Nutzungslizenz abgelaufen ist. Wenn Benutzer jedoch benutzerdefinierte Berechtigungen (auch bekannt als Ad-hoc-Rechterichtlinie) anwenden, und diese Berechtigungen geändert werden müssen, nachdem das Dokument oder die E-Mail geschützt worden ist, muss dieser Inhalt erneut mit den neuen Berechtigungen geschützt werden. Benutzerdefinierte Berechtigungen für eine E-Mail-Nachricht werden mit der Option „Nicht weiterleiten“ implementiert.
Die Standardgültigkeitsdauer der Nutzungslizenz für einen Mandanten beträgt 30 Tage, und Sie können diesen Wert mithilfe des PowerShell-Cmdlets Set-AipServiceMaxUseLicenseValidityTime konfigurieren. Sie können mithilfe einer Vertraulichkeitsbezeichnung, die jetzt zum Zuweisen von Berechtigungen konfiguriert wird, oder einer Vorlage eine restriktivere Einstellung dafür konfigurieren, wann Schutz angewendet wird:
Wenn Sie ein Sensitivitätslabel konfigurieren, übernimmt die Gültigkeitsdauer der Nutzungslizenz ihren Wert aus der Einstellung Offline-Zugriff erlauben.
Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung für eine Vertraulichkeitsbezeichnung finden Sie in der Tabelle mit Empfehlungen aus den Anweisungen zum Konfigurieren von Berechtigungen jetzt für eine Vertraulichkeitsbezeichnung.
Wenn Sie eine Vorlage mithilfe von PowerShell konfigurieren, wird der Wert für die Gültigkeitsdauer der Nutzungslizenz vom LicenseValidityDuration-Parameter in den Cmdlets Set-AipServiceTemplateProperty und Add-AipServiceTemplate übernommen.
Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung mithilfe von PowerShell finden Sie in der Hilfe zu dem jeweiligen Cmdlet.
Weitere Informationen
- Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung
- Configuring super users for Azure Information Protection and discovery services or data recovery (Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Wiederherstellung von Daten)