E-Mail-Kontakte in Gruppen haben zeitweiligen Zugriff auf verschlüsselte Inhalte

  • Artikel
  • Gilt für::
    Microsoft 365 (Enterprise, Business, Government, Education)

Problembeschreibung

Stellen Sie sich folgendes Szenario vor:

  • Sie arbeiten mit inhalten, die vom Azure Information Protection-Dienst verschlüsselt werden.
  • Nutzungsrechte werden einer Gruppe zugewiesen, die E-Mail-Kontakte enthält.

In diesem Szenario verlieren die E-Mail-Kontakte den Zugriff auf den verschlüsselten Inhalt oder haben nur zeitweilig Zugriff auf den Inhalt.

Hinweis: Eine typische Möglichkeit zum Anwenden dieser Verschlüsselung ist die Verwendung von Vertraulichkeitsbezeichnungen, die aus dem Microsoft Purview-Complianceportal erstellt und veröffentlicht werden.

Ursache

Dieses Problem tritt aufgrund eines bekannten Problems auf, das E-Mail-Kontakte in Gruppen betrifft, denen Nutzungsrechte zugewiesen sind.

In diesem Fall handelt es sich bei den E-Mail-Kontakten um Benutzer außerhalb Ihres organization, die über einen Microsoft Entra Objekttyp Kontakt anstelle von Benutzer verfügen. Im Exchange Admin Center zeigen diese Kontakte den KontakttypMailContact an.

Führen Sie das folgende Cmdlet Get-AzureADGroupMember aus, um den Objekttyp für Gruppenmitglieder zu überprüfen:

Get-AzureADGroupMember -ObjectId <ObjectID>| fl

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

Hinweis: Ersetzen Sie < in diesem Cmdlet ObjectID> durch die betroffene Gruppen-ID. Um die Gruppen-ID abzurufen, öffnen Sie die Gruppe aus dem Azure-Portal. Überprüfen Sie in der Ausgabe, ob das ObjectType Attribut benutzer - oder kontakt für jedes Gruppenmitglied anzeigt.

Problemumgehung

Fügen Sie Benutzer außerhalb Ihrer organization als Gastbenutzer und nicht als E-Mail-Kontakte in der vorhandenen Gruppe hinzu, der Sie Nutzungsrechte und Zugriff gewährt haben. Alternativ können Sie die betroffenen E-Mail-Kontakte direkt angeben, anstatt die vorhandene Gruppe zu verwenden.