Konfigurieren und Verwalten von Vorlagen für Azure Information Protection

Schutzvorlagen, auch als Rights Management-Vorlagen bekannt, sind eine Reihe von vom Administrator definierten Schutzeinstellungen für Azure Information Protection. Diese Einstellungen enthalten Ihre ausgewählten Nutzungsrechte für autorisierte Benutzer sowie Zugriffssteuerungen für den Ablauf und den Offlinezugriff. Diese Vorlagen sind in der Azure Information Protection-Richtlinie integriert.

Bei einem Abonnement, das Klassifizierung, Bezeichnung und Schutz umfasst (Azure Information Protection P1 oder P2):

• Vorlagen, die nicht in den Bezeichnungen für Ihren Mandanten enthalten sind, werden nach den Bezeichnungen im Fensterbereich Azure Information Protection - Global policy (Azure Information Protection – Globale Richtlinie) im Abschnitt Schutzvorlagen angezeigt. Um zu diesem Fensterbereich zu gelangen, wählen Sie die Menüoption Klassifizierungen>Bezeichnungen. Sie können diese Vorlagen in Bezeichnungen konvertieren, oder Sie können eine Verknüpfung mit ihnen herstellen, wenn Sie den Schutz ihrer Bezeichnungen konfigurieren.

Bei einem Abonnement, das nur Schutz umfasst (ein Microsoft 365-Abonnement mit dem Azure Rights Management-Dienst):

• Vorlagen für Ihren Mandanten werden im Fensterbereich Azure Information Protection - Global policy (Azure Information Protection – Globale Richtlinie) im Abschnitt Schutzvorlagen angezeigt. Um zu diesem Fensterbereich zu gelangen, wählen Sie die Menüoption Klassifizierungen>Bezeichnungen. Es werden keine Bezeichnungen angezeigt. Darüber hinaus sehen Sie Konfigurationseinstellungen, die für die Klassifizierung und die Bezeichnung spezifisch sind. Diese Einstellungen haben jedoch entweder keinen Einfluss auf Ihre Vorlagen oder können nicht konfiguriert werden.

Wenn Benutzer beispielsweise melden, dass sie geschützte Inhalte öffnen können, aber sie nicht über die erforderlichen Rechte verfügen, kann das Problem sein, dass der Benutzer nicht in der richtigen Gruppe ist, die für eine Rights Management-Vorlage konfiguriert ist. Oder das Problem kann sein, dass die Vorlage die Neukonfiguration für den Benutzer oder die Gruppe benötigt, wie in diesem Artikel beschrieben.

Hinweis

In einigen Anwendungen und Diensten werden möglicherweise die Optionen Nicht weiterleiten und Nur verschlüsseln (Verschlüsseln) als Vorlage angezeigt. Dabei handelt es sich nicht um Vorlagen, die Sie bearbeiten oder löschen können, sondern vielmehr um Optionen, die standardmäßig mit dem Exchange-Dienst geliefert werden.

Standardvorlagen

Wenn Sie Ihr Abonnement für Azure Information Protection oder für ein Microsoft 365-Abonnement anfordern, das den Azure Rights Management-Dienst enthält, werden automatisch zwei Standardvorlagen für Ihren Mandanten erstellt. Diese Vorlagen gewähren nur autorisierten Benutzern in Ihrer Organisation Zugriff. Wenn diese Vorlagen erstellt werden, verfügen sie über die Berechtigungen, die in der Dokumentation Konfigurieren von Nutzungsrechten für Azure Information Protection aufgeführt sind.

Zusätzlich werden die Vorlagen so konfiguriert, dass sie einen Offlinezugriff für sieben Tage zulassen und kein Ablaufdatum haben.

Hinweis

Sie können diese Einstellungen und die Namen und Beschreibungen der Standardvorlagen ändern. Dies war mit dem klassischen Azure-Portal nicht möglich und wird auch weiterhin nicht für PowerShell unterstützt.

Diese Standardvorlagen erleichtern es Ihnen und anderen Personen, sofort mit dem Schutz sensibler Daten Ihrer Organisation zu beginnen. Diese Vorlagen können mit Azure Information Protection-Bezeichnungen oder alleine mit Anwendungen und Diensten verwendet werden, die Rights Management-Vorlagen verwenden können.

Sie können auch eigene, benutzerdefinierte Vorlagen erstellen. Sie benötigen wahrscheinlich nur einige Vorlagen, aber in Azure ist es möglich, maximal 500 benutzerdefinierte Vorlagen zu speichern.

In den Standardvorlagen enthaltene Rechte

Die folgende Tabelle enthält die Nutzungsrechte, die enthalten sind, wenn die Standardvorlagen erstellt werden. Die Nutzungsrechte sind nach ihren allgemeinen Namen aufgelistet.

Diese Standardvorlagen werden beim Erwerb Ihres Abonnements erstellt, und die Namen und Nutzungsrechte können im Azure-Portal und mit PowerShellgeändert werden.

Anzeigename der Vorlage	Nutzungsrechte vom 6. Oktober 2017 bis zum aktuellen Datum	Nutzungsrechte vor dem 6. Oktober 2017
<Name der Organisation> – nur vertrauliche Ansicht oder Streng vertraulich\alle Mitarbeiter	Anzeigen, Öffnen, Lesen; Kopieren; Rechte anzeigen; Makros zulassen; Drucken; Weiterleiten; Antworten; Allen antworten; Speichern; Inhalt bearbeiten, Bearbeiten	Anzeigen, Öffnen, Lesen
<Name der Organisation> – vertraulich oder Vertraulich\alle Mitarbeiter	Anzeigen, Öffnen, Lesen; Speichern unter; Kopieren; Rechte anzeigen; Rechte ändern; Makros zulassen; Drucken; Weiterleiten; Antworten; Allen antworten; Speichern; Inhalt bearbeiten, Bearbeiten; Vollzugriff	Anzeigen, Öffnen, Lesen; Speichern unter; Inhalt bearbeiten, Bearbeiten; Rechte anzeigen; Makros zulassen; Weiterleiten; Antworten; Allen antworten

Namen für die Standardvorlage

Wenn Sie Ihr Abonnement vor Kurzem erworben haben, werden Ihre Standardvorlagen mit folgenden Namen erstellt:

• Vertraulich \ alle Mitarbeiter

• Streng vertraulich \ alle Mitarbeiter

Wenn Sie Ihr Abonnement vor längerer Zeit erworben haben, werden Ihre Standardvorlagen möglicherweise mit folgenden Namen erstellt:

• <Name der Organisation> – Vertraulich

• <Name der Organisation> – nur vertrauliche Ansicht

Sie können diese Standardvorlagen umbenennen (und neu konfigurieren), wenn Sie das Azure-Portal verwenden.

Hinweis

Werden Ihre Standardvorlagen im Fensterbereich Azure Information Protection – Bezeichnungen nicht angezeigt, werden sie in Bezeichnungen konvertiert oder mit einer Bezeichnung verknüpft. Diese sind noch immer als Vorlage vorhanden. Sie werden im Azure-Portal jedoch als Teil einer Konfiguration der Bezeichnung angezeigt, die Schutzeinstellungen für einen Cloud-Schlüssel enthält. Sie können stets überprüfen, über welche Vorlagen Ihr Mandant verfügt, indem Sie Get-AipServiceTemplate über das AIPService PowerShell-Modul ausführen.

Sie können Vorlagen manuell konvertieren (siehe weiter unten unter Konvertieren von Vorlagen in Bezeichnungen) und bei Bedarf umbenennen. Sie werden automatisch konvertiert, wenn Ihre Azure Information Protection-Standardrichtlinie vor Kurzem erstellt und der Azure Rights Management-Dienst für Ihren Mandanten zu diesem Zeitpunkt aktiviert wurde.

Vorlagen, die archiviert werden, werden im Fensterbereich Azure Information Protection – Bezeichnungen als nicht verfügbar angezeigt. Diese Vorlagen können nicht für Bezeichnungen ausgewählt, können aber in Bezeichnungen konvertiert werden.

Überlegungen zu Vorlagen im Azure-Portal

Bevor Sie diese Vorlagen bearbeiten oder in Bezeichnungen konvertieren, stellen Sie sicher, dass Sie die folgenden Änderungen und Überlegungen zur Kenntnis genommen haben. Aufgrund der Implementierungsänderungen ist die folgende Liste besonders wichtig, falls Sie zuvor Vorlagen im klassischen Azure-Portal verwaltet haben.

• Nachdem Sie eine Vorlage bearbeitet oder konvertiert und die Azure Information Protection-Richtlinie gespeichert haben, werden folgende Änderungen an den ursprünglichen Nutzungsrechten vorgenommen. Bei Bedarf können Sie einzelne Nutzungsrechte mithilfe des Azure-Portals hinzufügen oder entfernen. Verwenden Sie alternativ PowerShell mit den Cmdlets AipServiceRightsDefinition und Set-AipServiceTemplateProperty.

  • Makros zulassen (allgemeiner Name) wird automatisch hinzugefügt. Dieses Nutzungsrecht ist für die Azure Information Protection-Leiste in Office-Apps erforderlich.

• Für die Einstellungen Veröffentlicht und Archiviert werden im Fensterbereich Bezeichnung die Optionen Aktiviert: Ein bzw. Aktiviert: Aus angezeigt. Legen Sie für Vorlagen, die beibehalten werden, aber nicht für Benutzer oder Dienste sichtbar sein sollen, Aktiviert: Aus fest.

• Sie können eine Vorlage im Azure-Portal nicht kopieren oder löschen. Wenn die Vorlage in eine Bezeichnung konvertiert wird, können Sie die Bezeichnung so konfigurieren, dass sie die Vorlage nicht mehr verwendet. Legen Sie dafür für Berechtigungen für Dokumente und E-Mails mit dieser Bezeichnung festlegen die Option Nicht konfiguriert fest. Sie können die Bezeichnung auch löschen. In beiden Szenarien wird die Vorlage jedoch nicht gelöscht und bleibt archiviert.

  Das Löschen von Vorlagen mithilfe des PowerShell-Cmdlets Remove-AipServiceTemplate ist dauerhaft. Sie können dieses PowerShell-Cmdlet auch für Vorlagen verwenden, die nicht in Bezeichnungen konvertiert werden. Es wird allerdings in der Regel empfohlen, keine Vorlagen zu löschen, denn dadurch wird sichergestellt, dass zuvor geschützte Inhalte geöffnet und wie gewünscht verwendet werden können. Als bewährte Methode wird empfohlen, Vorlagen nur zu löschen, wenn Sie sicher sind, dass sie nicht zum Schützen von Dokumenten oder E-Mails in der Produktion verwendet wurden. Bevor Sie eine Vorlage mithilfe von PowerShell dauerhaft löschen, sollten Sie als Vorsichtsmaßnahme erwägen, die Vorlage mit dem Cmdlet Export-AipServiceTemplate als Sicherung zu exportieren.

• Wenn Sie eine Abteilungsvorlage bearbeiten und speichern, wird derzeit die Bereichskonfiguration entfernt. Eine bereichsbezogene Vorlage entspricht in der Azure Information Protection-Richtlinie einer bereichsbezogenen Richtlinie. Wenn Sie die Vorlage in eine Bezeichnung konvertieren, können Sie einen vorhandenen Bereich auswählen.

  Darüber hinaus können Sie die Anwendungskompatibilitätseinstellung für eine Abteilungsvorlage nicht über das Azure-Portal festlegen. Bei Bedarf können Sie die Einstellung für Anwendungskompatibilität mit dem Cmdlet Set-AipServiceTemplate​Property und dem Parameter EnableInLegacyApps festlegen.

• Wenn Sie eine Vorlage in eine Bezeichnung konvertieren oder mit einer Bezeichnung verknüpfen, kann sie nicht länger von anderen Bezeichnungen verwendet werden. Darüber hinaus wird diese Vorlage nicht mehr im Abschnitt Schutzvorlagen angezeigt.

• Sie erstellen keine neue Vorlage im Abschnitt Schutzvorlagen. Stattdessen erstellen Sie eine Bezeichnung mit der Einstellung Schützen und konfigurieren die Nutzungsrechte und -einstellungen im Fensterbereich Schutz. Vollständige Anweisungen finden Sie unter So erstellen Sie eine neue Vorlage.

So konfigurieren Sie die Vorlagen in der Azure Information Protection-Richtlinie

1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben. Gehen Sie anschließend zum Fensterbereich Azure Information Protection – Bezeichnungen.

   Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.

2. Erweitern Sie in der Menüoption Klassifizierungen>Bezeichnungen im Fensterbereich Azure Information Protection – Bezeichnungen die Option Schutzvorlagen, und suchen Sie dann die Vorlage, die Sie konfigurieren möchten.

3. Wählen Sie die Vorlage aus. Im Fensterbereich Bezeichnung können Sie ggf. den Vorlagennamen und die Beschreibung ändern, indem Sie Anzeigename für Bezeichnung und Beschreibung bearbeiten. Wählen Sie dann Schutz mit dem Wert Azure (Cloudschlüssel) aus, um den Fensterbereich Schutz zu öffnen.

4. Im Fensterbereich Schutz können Sie die Berechtigungen, den Inhaltsablauf und die Offlinezugriffseinstellungen ändern. Weitere Informationen zum Konfigurieren der Schutzeinstellungen finden Sie unter Konfigurieren einer Bezeichnung für Rights Management-Schutz.

   Klicken Sie auf OK, um Ihre Änderungen beizubehalten, und klicken Sie dann im Fensterbereich Bezeichnung auf Speichern.

Hinweis

Sie können eine Vorlage auch über die Schaltfläche Vorlage bearbeiten im Fensterbereich Schutz bearbeiten, wenn Sie eine Bezeichnung für die Verwendung einer vordefinierten Vorlage konfiguriert haben. Sofern keine andere Bezeichnung die ausgewählte Vorlage verwendet, wird mit dieser Schaltfläche die Vorlage in eine Bezeichnung konvertiert, und Sie gelangen zu Schritt 5. Weitere Informationen dazu, was beim Konvertieren von Bezeichnungen in Vorlagen geschieht, finden Sie im nächsten Abschnitt.

So konvertieren Sie Vorlagen in Bezeichnungen

Bei einem Abonnement, das Klassifizierung, Bezeichnung und Schutz umfasst, können Sie eine Vorlage in eine Bezeichnung konvertieren. Wenn Sie eine Vorlage konvertieren, wird die ursprüngliche Vorlage beibehalten, wird jedoch im Azure-Portal als in einer neuen Bezeichnung enthalten angezeigt.

Wenn Sie beispielsweise eine Bezeichnung mit dem Namen Marketing konvertieren, die der Marketinggruppe Nutzungsrechte gewährt, wird sie im Azure-Portal nun als Bezeichnung mit dem Namen Marketing angezeigt, die dieselben Schutzeinstellungen aufweist. Wenn Sie die Schutzeinstellungen in dieser neu erstellten Bezeichnung ändern, ändern Sie sie in der Vorlage. Benutzer oder Dienste, die diese Vorlage verwenden, erhalten die neuen Schutzeinstellungen bei der nächsten Aktualisierung der Vorlage.

Es ist nicht erforderlich, alle Vorlagen in Bezeichnungen zu konvertieren. Falls Sie das aber tun, werden die Schutzeinstellungen vollständig in die gesamte Funktionalität der Bezeichnungen integriert, sodass Sie die Einstellungen nicht separat verwalten müssen.

Klicken Sie zum Konvertieren einer Vorlage in eine Bezeichnung mit der rechten Maustaste auf die Vorlage, und klicken Sie auf In Bezeichnung konvertieren. Alternativ können Sie diese Option auch über das Kontextmenü auswählen.

Sie können eine Vorlage auch in eine Bezeichnung konvertieren, wenn Sie eine Bezeichnung für den Schutz und eine vordefinierte Vorlage konfigurieren. Verwenden Sie dazu die Schaltfläche Vorlage bearbeiten.

Bei der Konvertierung einer Vorlage in eine Bezeichnung:

• Der Name der Vorlage wird in den neuen Bezeichnungsnamen konvertiert, und die Beschreibung der Vorlage wird in eine QuickInfo für die Bezeichnung konvertiert.

• Wenn der Status der Vorlage veröffentlicht wurde, wird diese Einstellung für die Bezeichnung auf Aktiviert: Ein festgelegt. Diese wird Benutzern nun angezeigt, wenn Sie die Azure Information Protection-Richtlinie das nächste Mal veröffentlichen. Wenn der Status der Vorlage archiviert wurde, wird diese Einstellung für die Bezeichnung auf Aktiviert: Aus festgelegt und Benutzern nicht als verfügbare Bezeichnung angezeigt.

• Die Schutzeinstellungen werden beibehalten. Sie können diese bei Bedarf bearbeiten und auch andere Bezeichnungseinstellungen wie visuelle Kennzeichnungen und Bedingungen hinzufügen.

• Die ursprüngliche Vorlage wird nicht mehr unter Schutzvorlagen angezeigt und kann nicht als eine vordefinierte Vorlage ausgewählt werden, wenn Sie den Schutz für eine Bezeichnung konfigurieren. Um diese Vorlage im Azure-Portal zu bearbeiten, bearbeiten Sie nun die Bezeichnung, die beim Konvertieren der Vorlage erstellt wurde. Die Vorlage ist weiterhin für den Azure Rights Management-Dienst verfügbar und kann nach wie vor mit PowerShell-Befehlen verwaltet werden.

So erstellen Sie eine neue Vorlage

Vorlagen können mithilfe des Portals oder mithilfe von PowerShell erstellt werden.

Erstellung von Vorlagen mithilfe von PowerShell

Verwenden Sie das Cmdlet Add-AipServiceTemplate, um eine neue Schutzvorlage mithilfe von PowerShell mit dem angegebenen Namen, der Beschreibung, der Richtlinie und der gewünschten Statuseinstellung zu erstellen.

Erstellung von Vorlagen über das Portal

Wenn Sie eine neue Bezeichnung mit der Schutzeinstellung Azure (Cloudschlüssel) erstellen, wird hierdurch eine neue benutzerdefinierte Vorlage erstellt. Auf diese kann dann über Dienste und Anwendungen zugegriffen werden, die in Rights Management-Vorlagen integriert werden.

1. Wählen Sie in der Menüoption Klassifizierungen>Bezeichnungen im Fensterbereich Azure Information Protection – Bezeichnungen die Option Neue Bezeichnung hinzufügen.

2. Behalten Sie im Fensterbereich Bezeichnung die Standardeinstellung Aktiviert: Ein bei und geben Sie dann einen Bezeichnungsnamen und eine Beschreibung für die Vorlage ein.

3. Wählen Sie unter Berechtigungen für Dokumente und E-Mails mit dieser Bezeichnung festlegen die Optionen Schützen und dann Schutz aus:

   

4. Im Fensterbereich Schutz können Sie die Berechtigungen, den Inhaltsablauf und die Offlinezugriffseinstellungen ändern. Weitere Informationen zum Konfigurieren dieser Schutzeinstellungen finden Sie unter Konfigurieren einer Bezeichnung für Rights Management-Schutz.

   Klicken Sie auf OK, um Ihre Änderungen beizubehalten, und klicken Sie dann im Fensterbereich Bezeichnung auf Speichern.

   Im Fensterbereich Azure Information Protection – Bezeichnungen sehen Sie nun Ihre neue Bezeichnung mit der Spalte SCHUTZ, die anzeigt, dass sie Schutzeinstellungen enthält. Diese Schutzeinstellungen werden Anwendungen und Diensten, die den Azure Rights Management-Dienst unterstützen, als Vorlagen angezeigt.

   Obwohl die Bezeichnung aktiviert ist, wird die Vorlage standardmäßig archiviert. Damit Anwendungen und Dienste die Vorlage zum Schützen von Dokumenten und E-Mails verwenden können, führen Sie den letzten Schritt zum Veröffentlichen der Vorlage aus.

5. Wählen Sie in der Menüoption Klassifizierungen>Richtlinien die Richtlinie aus, die die neuen Schutzeinstellungen enthalten soll. Wählen Sie dann Bezeichnungen hinzufügen oder entfernen aus. Wählen Sie im Fensterbereich Richtlinie: Bezeichnungen hinzufügen oder entfernen die neu erstellte Bezeichnung aus, die Ihre Schutzeinstellungen enthält, klicken Sie auf OK und dann auf Speichern.

Nächste Schritte

Es kann bis zu 15 Minuten in Anspruch nehmen, bis ein Computer, auf dem der Azure Information Protection-Client ausgeführt wird, diese geänderten Einstellungen abrufen kann. Informationen dazu, wie Computer und Dienste Vorlagen herunterladen und aktualisieren, finden Sie unter Aktualisieren von Vorlagen für Benutzer und Dienste.

Stellen Sie sicher, dass Sie Benutzern Anweisungen darüber geben, welche Vorlagen ausgewählt werden sollen, wenn der Vorlagenname und die Beschreibung nicht ausreichend sind, um das richtige auszuwählen.

Alle Vorgänge, die Sie im Azure-Portal zum Erstellen und Verwalten von Vorlagen konfigurieren können, können Sie auch mithilfe von PowerShell durchführen. PowerShell bietet darüber hinaus weitere Optionen, die nicht im Portal verfügbar sind. Weitere Informationen finden Sie unter PowerShell-Referenz für benutzerdefinierte Vorlagen.

Um weitere Informationen zum Konfigurieren Ihrer Azure Information Protection-Richtlinie zu erhalten, klicken Sie auf die Links im Abschnitt Konfigurieren der Richtlinie für Ihre Organisation.