E-Mail-Kontakte in Gruppen haben zeitweiligen Zugriff auf verschlüsselte Inhalte
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
- Sie arbeiten mit inhalten, die vom Azure Information Protection-Dienst verschlüsselt werden.
- Nutzungsrechte werden einer Gruppe zugewiesen, die E-Mail-Kontakte enthält.
In diesem Szenario verlieren die E-Mail-Kontakte den Zugriff auf den verschlüsselten Inhalt oder haben nur zeitweilig Zugriff auf den Inhalt.
Anmerkung: Eine typische Möglichkeit zum Anwenden dieser Verschlüsselung ist die Verwendung von Vertraulichkeitsbezeichnungen, die über das Microsoft Purview-Complianceportal erstellt und veröffentlicht werden.
Ursache
Dieses Problem tritt aufgrund eines bekannten Problems auf, das E-Mail-Kontakte in Gruppen betrifft, denen Nutzungsrechte zugewiesen sind.
In diesem Fall handelt es sich bei den E-Mail-Kontakten um Benutzer außerhalb Ihrer Organisation, die über den Microsoft Entra-Objekttyp Contact anstelle von User verfügen. Im Exchange Admin Center zeigen diese Kontakte den KontakttypMailContact an.
Führen Sie das folgende Cmdlet Get-AzureADGroupMember aus, um den Objekttyp für Gruppenmitglieder zu überprüfen:
Get-AzureADGroupMember -ObjectId <ObjectID>| fl
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.
Anmerkung: Ersetzen Sie < in diesem Cmdlet ObjectID> durch die betroffene Gruppen-ID. Öffnen Sie die Gruppe im Azure-Portal, um die Gruppen-ID abzurufen. Überprüfen Sie in der Ausgabe, ob das ObjectType
Attribut benutzer - oder kontakt für jedes Gruppenmitglied anzeigt.
Problemumgehung
Fügen Sie Benutzer, die sich außerhalb Ihrer Organisation befinden, als Gastbenutzer anstelle von E-Mail-Kontakten in der vorhandenen Gruppe hinzu, der Sie Nutzungsrechte und Zugriff gewährt haben. Alternativ können Sie die betroffenen E-Mail-Kontakte direkt angeben, anstatt die vorhandene Gruppe zu verwenden.