So konfigurieren Sie eine Bezeichnung für den Rights Management-Schutz

  • Artikel

Sie können Ihre hochsensiblen Dokumente und E-Mails schützen, indem Sie einen Rights Management-Dienst verwenden. Dieser Dienst verwendet Verschlüsselung, Identität und Autorisierungsrichtlinien, um Datenverluste zu verhindern. Der Schutz wird mit einer Bezeichnung angewendet, die für die Verwendung des Rights Management-Schutzes für Dokumente und E-Mails konfiguriert ist. Benutzer können auch die Schaltfläche Nicht weiterleiten in Outlook verwenden.

Wenn eine Bezeichnung mit der Schutzeinstellung Azure (Cloud-Schlüssel) konfiguriert wird, wird hierdurch im Hintergrund eine Schutzvorlage erstellt und eingerichtet. Auf diese kann dann über Dienste und Anwendungen zugegriffen werden, die in die Rights Management-Vorlagen integriert sind. Beispiele sind Exchange Online mit Regeln für den E-Mail-Fluss sowie Outlook on the Web.

So funktioniert der Schutz

Wenn Dokumente oder E-Mails durch einen Rights Management-Dienst geschützt sind, werden sie im Ruhezustand und während der Übertragung verschlüsselt. Sie können nur von autorisierten Benutzern entschlüsselt werden. Diese Verschlüsselung bleibt bei dem Dokument oder der E-Mail, auch wenn das Dokument oder die E-Mail umbenannt wird. Darüber hinaus können Sie Nutzungsrechte und -einschränkungen konfigurieren, wie z.B. die folgenden:

  • Nur Benutzer innerhalb Ihrer Organisation dürfen das vertrauliche Unternehmensdokument oder die vertrauliche Unternehmens-E-Mail öffnen.

  • Nur Benutzer in der Marketingabteilung dürfen ein Dokument oder eine E-Mail mit der Ankündigung einer Werbeaktion bearbeiten und drucken. Alle anderen Benutzer dürfen das Dokument bzw. die E-Mail nur lesen.

  • Benutzer dürfen eine E-Mail nicht weiterleiten oder Informationen daraus kopieren, die Informationen zu einer internen Neuorganisation enthält.

  • Eine aktuelle Preisliste, die an Geschäftspartner gesendet wird, kann nach einem bestimmten Datum nicht mehr geöffnet werden.

Weitere Informationen zum Azure Rights Management-Schutz und seiner Funktionsweise finden Sie unter Was ist Azure Rights Management?

Wichtig

Damit Sie eine Bezeichnung konfigurieren können, um diesen Schutz anzuwenden, muss der Azure Rights Management-Dienst für Ihre Organisation aktiviert sein. Weitere Informationen finden Sie unter Aktivieren des Schutzdiensts von Azure Information Protection.

Wenn durch eine Bezeichnung Schutz angewendet wird, ist das geschützte Dokument nicht zum Speichern auf SharePoint oder OneDrive geeignet. Diese Speicherorte unterstützen die folgenden Funktionen für geschützte Dateien nicht: gemeinsame Dokumenterstellung, Office für das Web, Suche, Dokumentvorschau, Miniaturansicht, eDiscovery und Verhinderung von Datenverlust (Data Loss Prevention, DLP).

Tipp

Wenn Sie Ihre Bezeichnungenauf einheitliche Vertraulichkeitsbezeichnungen migrieren und sie vom Microsoft 365 Compliance Center veröffentlichen, werden Bezeichnungen, die den Schutz anwenden, für diese Standorte unterstützt. Weitere Informationen finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive.

Exchange muss für Azure Information Protection nicht konfiguriert werden, damit Benutzer in Outlook Bezeichnungen zum Schutz ihrer E-Mails verwenden können. Sie können jedoch den vollen Funktionsumfang des Azure Rights Management-Schutzes mit Exchange erst nutzen, wenn für Azure Information Protection Exchange konfiguriert wird. Einige Beispiele: Benutzer können geschützte E-Mails nicht auf Mobiltelefonen oder in Outlook im Web anzeigen, geschützte E-Mails können nicht für die Suche indiziert werden, und Sie können Exchange Online DLP nicht für den Rights Management-Schutz konfigurieren. In den folgenden Artikeln erhalten Sie Informationen, mit denen Sie sicherstellen können, dass Exchange diese zusätzlichen Szenarios unterstützt:

So konfigurieren Sie eine Bezeichnung für Schutzeinstellungen

  1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben. Navigieren Sie anschließend zum Bereich Azure Information Protection.

    Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.

  2. In der Menüoption Klassifizierungen>Etiketten: Wählen Sie im Fenster Azure Information Protection - Etikett das Etikett, das Sie ändern möchten.

  3. Suchen Sie im Bereich Bezeichnung die Option Berechtigungen für Dokumente und E-Mails mit dieser Bezeichnung festlegen, und wählen Sie eine der folgenden Optionen aus:

    • Nicht konfiguriert: Wählen Sie diese Option aus, wenn die Bezeichnung derzeit so konfiguriert ist, dass der Schutz angewendet wird, und Sie den Schutz durch diese Bezeichnung nicht mehr wünschen. Fahren Sie dann mit Schritt 11 fort.

      Die bereits konfigurierten Schutzeinstellungen werden in Form einer archivierten Schutzvorlage beibehalten und werden angezeigt, wenn Sie die Option wieder in Protect (Schützen) ändern. Diese Vorlage sehen Sie nicht im Azure-Portal. Sie können die Vorlage aber über PowerShell verwalten. Das bedeutet, dass Inhalt weiterhin zugänglich ist, wenn er über diese Bezeichnung und die zuvor angewendeten Schutzeinstellungen verfügt.

      Wenn eine Bezeichnung mit dieser Nicht konfiguriert-Schutzeinstellung angewendet wird:

      • Wenn der Inhalt zuvor ohne diese Bezeichnung geschützt wurde, bleibt der Schutz erhalten.

      • Wenn der Inhalt zuvor mit einer Bezeichnung geschützt wurde, wird der Schutz entfernt, wenn der Benutzer, der die Bezeichnung anwendet, Berechtigungen hat, um den Rights Management-Schutz zu entfernen. Diese Anforderung bedeutet, dass Benutzer über das NutzungsrechtExportieren oder Vollzugriff verfügen müssen. Alternativ muss der Benutzer der Rights Management-Besitzer sein (wodurch er automatisch Vollzugriff erhält) oder als Administrator für Azure Rights Management fungieren.

        Wenn der Benutzer keine Berechtigung zum Entfernen des Schutzes hat, kann das Etikett nicht angebracht werden und es wird die folgende Meldung angezeigt: Azure Information Protection kann diese Bezeichnung nicht anwenden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an Ihren Administrator.

    • Schützen: Wählen Sie diese Option aus, um Schutz anzuwenden, und fahren Sie dann mit Schritt 4 fort.

    • Schutz entfernen: Wählen Sie diese Option aus, um den Schutz zu entfernen, wenn ein Dokument oder eine E-Mail geschützt ist. Fahren Sie dann mit Schritt 11 fort.

      Wenn der Schutz mit einer Bezeichnungs- oder Schutzvorlage angewendet wurde, werden die Schutzeinstellungen in Form einer archivierten Schutzvorlage beibehalten und werden angezeigt, wenn Sie die Option wieder in Schützen ändern. Diese Vorlage sehen Sie nicht im Azure-Portal. Sie können die Vorlage aber über PowerShell verwalten. Das bedeutet, dass Inhalt weiterhin zugänglich ist, wenn er über diese Bezeichnung und die zuvor angewendeten Schutzeinstellungen verfügt.

      Beachten Sie, dass Benutzer zum erfolgreichen Anwenden einer Bezeichnung mit dieser Option die Berechtigungen benötigen, um den Rights Management-Schutz zu entfernen. Diese Anforderung bedeutet, dass Benutzer über das NutzungsrechtExportieren oder Vollzugriff verfügen müssen. Alternativ muss der Benutzer der Rights Management-Besitzer sein (wodurch er automatisch Vollzugriff erhält) oder als Administrator für Azure Rights Management fungieren.

      Wenn der Benutzer, der das Etikett mit dieser Einstellung anlegt, nicht über die Berechtigung zum Entfernen des Rights Management-Schutzes verfügt, kann das Etikett nicht angelegt werden und die folgende Meldung wird angezeigt: Azure Information Protection kann diese Bezeichnung nicht anwenden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an Ihren Administrator.

  4. Wenn Sie Schützen ausgewählt haben, wird der Bereich Schutz automatisch geöffnet, wenn zuvor eine der anderen Optionen ausgewählt wurde. Klicken Sie auf Schutz, wenn dieser neue Bereich nicht automatisch geöffnet wird:

    Configure protection for an Azure Information Protection label

  5. Klicken Sie im Bereich Schutz auf die Option Azure (cloud key) (Azure (Cloudschlüssel)) oder HYOK (AD RMS).

    In den meisten Fällen werden Sie Azure (Cloudschlüssel) für Ihre Berechtigungseinstellungen auswählen. Wählen Sie HYOK (AD RMS) nur dann aus, wenn Sie die Voraussetzungen und Einschränkungen gelesen haben und genau kennen, die mit dieser Hold Your Own Key-Konfiguration (lokal gehosteter Schlüssel) einhergehen. Weitere Informationen finden Sie unter Anforderungen an Hold Your Own Key (HYOK) und Einschränkungen für AD RMS-Schutz. Um die Konfiguration für HYOK (AD RMS) fortzufahren, gehen Sie zu Schritt 9.

  6. Wählen Sie eine der folgenden Optionen aus:

    • Berechtigungen festlegen: Hiermit definieren Sie neue Schutzeinstellungen in diesem Portal.

    • Benutzerdefinierte Berechtigungen festlegen (Vorschau): Benutzer können angeben, wem welche Berechtigungen erteilt werden. Sie können diese Option genauer definieren und „Nur Outlook“, „Word“, „Excel“, „PowerPoint“ oder „Datei-Explorer“ auswählen. Diese Option wird nicht unterstützt und funktioniert nicht, wenn eine Bezeichnung für die automatische Klassifizierung konfiguriert ist.

      Bei Auswahl der Option für Outlook gilt Folgendes: Die Bezeichnung wird in Outlook angezeigt, und wenn Benutzer diese anwenden, ist das Verhalten das gleiche wie bei der Option Nicht weiterleiten.

      Bei Auswahl der Option für Word, Excel, PowerPoint und Datei-Explorer gilt Folgendes: Wenn diese Option festgelegt ist, wird die Bezeichnung in diesen Anwendungen angezeigt. Nachdem die Benutzer die Bezeichnung angewendet haben, wird ein Dialogfeld zur Auswahl von benutzerdefinierten Berechtigungen angezeigt. In diesem Dialogfeld wählen Benutzer eine der vordefinierten Berechtigungsstufen aus, navigieren dann zu dem Benutzer oder der Gruppe (bzw. geben diese an) und legen optional ein Ablaufdatum fest. Stellen Sie sicher, dass die Benutzer über die notwendigen Anweisungen und Anleitungen zum Bereitstellen dieser Werte verfügen.

      Hinweis

      Azure Information Protection Unterstützung für die Einstellung von benutzerdefinierten Berechtigungen befindet sich derzeit in PREVIEW. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

    • Vordefinierte Vorlage auswählen: Hiermit wird nur eine der Standardvorlagen oder eine von Ihnen konfigurierte benutzerdefinierte Vorlage verwendet. Beachten Sie, dass diese Option nicht zur Anzeige für neue Bezeichnungen verfügbar ist, oder wenn Sie eine Bezeichnung bearbeiten, die zuvor die Option Berechtigungen festlegen verwendet hat.

      Damit Sie eine vordefinierte Vorlage auswählen können, muss die Vorlage veröffentlicht (nicht archiviert) sein und darf nicht bereits mit einer anderen Bezeichnung verknüpft sein. Wenn Sie diese Option auswählen, können Sie die Schaltfläche Vorlage bearbeiten verwenden, um die Vorlage in eine Bezeichnung zu konvertieren.

      Wenn Sie es gewohnt sind, benutzerdefinierte Vorlagen zu erstellen und zu bearbeiten, sind die Aufgaben, die Sie bisher über das klassische Azure-Portal ausgeführt haben, möglicherweise nützlich für Sie.

  7. Wenn Sie Berechtigungen festlegen für Azure (Cloudschlüssel) ausgewählt haben, können Sie über diese Option Benutzer und Nutzungsrechte auswählen.

    Wenn Sie keine Benutzer auswählen und OK in diesem Bereich wählen, gefolgt von Speichern im Bereich Label: Das Etikett ist so konfiguriert, dass nur die Person, die das Etikett anbringt, das Dokument oder die E-Mail ohne Einschränkungen öffnen kann. Diese Konfiguration wird gelegentlich als „Nur für mich“ bezeichnet und ist möglicherweise erforderlich, um sicherzustellen, dass das Dokument an einem beliebigen Ort gespeichert, aber nur von dieser Person geöffnet werden kann. Wenn dies genau das gewünschte Ergebnis ist und keine anderen Personen Zugriff auf den geschützten Inhalt benötigen, wählen Sie nicht Berechtigungen hinzufügen aus. Nach dem Speichern der Bezeichnung wird Ihnen beim nächsten Öffnen des Bereichs Schutz für Benutzer die Option IPC_USER_ID_OWNER und für Berechtigungen die Option Mitbesitzer angezeigt, um diese Konfiguration widerzuspiegeln.

    Um die Benutzer anzugeben, die geschützte Dokumente und E-Mails öffnen können sollen, wählen Sie Berechtigungen hinzufügen. Wählen Sie dann im Bereich Berechtigungen hinzufügen die ersten Benutzer und Gruppen aus, die die Rechte besitzen sollen, den von der ausgewählten Bezeichnung geschützten Inhalt nutzen zu können:

    • Wählen Sie Aus der Liste wählen, wo Sie dann alle Benutzer aus Ihrer Organisation hinzufügen können, indem Sie Hinzufügen <Organisationsname> - Alle Mitglieder. Diese Einstellung schließt Gastkonten aus. Sie können auch Alle authentifizierten Benutzer hinzufügen auswählen oder das Verzeichnis durchsuchen.

      Wenn Sie alle Mitglieder auswählen oder das Verzeichnis durchsuchen, müssen die Benutzer oder Gruppen eine E-Mail-Adresse haben. In einer Produktionsumgebung besitzen Benutzer und Gruppen fast immer E-Mail-Adressen, aber in einer einfachen Testumgebung müssen Sie Benutzerkonten oder Gruppen möglicherweise erst E-Mail-Adressen hinzufügen.

      Weitere Informationen zu Keine authentifizierten Benutzer hinzufügen

      Diese Einstellung schränkt nicht ein, wer auf den von der Bezeichnung geschützten Inhalt zugreifen kann, während der Inhalt dennoch verschlüsselt wird und Ihnen Optionen zur Verfügung stehen, wie der Inhalt verwendet (Berechtigungen) und wie auf ihn zugegriffen werden kann (Ablauf und Offlinezugriff). Die Anwendung, die den geschützten Inhalt öffnet, muss jedoch die verwendete Authentifizierung unterstützen. Aus diesem Grund sollten Verbundanbieter sozialer Netzwerke wie Google und die Authentifizierung per Einmalkennung nur für E-Mails verwendet werden, und nur, wenn Sie Exchange Online und die neuen Funktionen der Office 365-Nachrichtenverschlüsselung verwenden. Microsoft-Konten können mit dem Azure Information Protection-Viewer und Klick-und-Los von Office 365-Apps verwendet werden.

      Einige typische Szenarios für die Einstellung „Keine authentifizierten Benutzer“:

      • Ihnen ist egal, wer den Inhalt sehen kann, Sie möchten jedoch einschränken, wie dieser verwendet wird. Beispielsweise soll der Inhalt nicht bearbeitet, kopiert oder gedruckt werden.
      • Sie müssen nicht einschränken, wer auf den Inhalt zugreift, aber Sie möchten nachvollziehen können, wer ihn öffnet, und ihn möglicherweise widerrufen.
      • Sie haben die Anforderung, dass der Inhalt im Ruhezustand und während der Übertragung verschlüsselt sein muss, aber es ist keine Zugriffssteuerung erforderlich.

    • Wählen Sie Details eingeben aus, um manuell E-Mail-Adressen für einzelne Benutzer oder Gruppen (intern oder extern) anzugeben. Sie können diese Option auch verwenden, um alternativ alle Benutzer in einer Organisation durch die Eingabe eines beliebigen Domänennamens aus dieser Organisation anzugeben. Außerdem können Sie diese Option für soziale Netzwerke verwenden, indem Sie den Domänennamen, z.B. gmail.com, hotmail.com oder outlook.com eingeben.

      Hinweis

      Wenn sich eine E-Mail-Adresse ändert, nachdem Sie den Benutzer oder die Gruppe ausgewählt haben, finden Sie im Abschnitt Überlegungen für Azure Information Protection bei E-Mail-Adressänderungen der Planungsdokumentation weitere Informationen.

      Verwenden Sie eher Gruppen als Benutzer. Mit dieser Strategie ist Ihre Konfiguration einfacher, und es ist weniger wahrscheinlich, dass Sie Ihre Bezeichnungskonfiguration später aktualisieren und den Inhaltsschutz erneut anwenden müssen. Wenn Sie jedoch die Gruppe ändern, denken Sie daran, dass Azure Rights Management aus Leistungsgründen die Gruppenmitgliedschaft zwischenspeichert.

    Wenn Sie die erste Gruppe mit Benutzern und Gruppen angegeben haben, wählen Sie die Berechtigungen aus, die diesen Benutzern und Gruppen gewährt werden sollen. Weitere Informationen zu den auswählbaren Berechtigungen finden Sie unter Konfigurieren von Nutzungsrechten für Azure Information Protection. Bei den Anwendungen, die diesen Schutz unterstützen, kann es jedoch Unterschiede hinsichtlich der Implementierung dieser Berechtigungen geben. Lesen Sie die jeweilige Dokumentation, und führen Sie eigene Tests mit den Anwendungen durch, die von den Benutzern verwendet werden, um das Verhalten zu prüfen, bevor Sie die Vorlage für Benutzer bereitstellen.

    Falls erforderlich, können Sie jetzt eine zweite Gruppe mit Benutzern und Gruppen mit Nutzungsrechten hinzufügen. Wiederholen Sie den Vorgang, bis Sie alle Benutzer und Gruppen mit den jeweiligen Berechtigungen angegeben haben.

    Tipp

    Fügen Sie ggf. die benutzerdefinierte Berechtigung Speichern unter, Exportieren hinzu, und gewähren Sie diese Administratoren für Datenwiederherstellung oder Mitarbeitern in anderen Rollen, die für die Informationswiederherstellung verantwortlich sind. Falls erforderlich, können diese Benutzer dann den Schutz von Dateien und E-Mails entfernen, die mit dieser Bezeichnung oder Vorlage geschützt werden. Diese Möglichkeit zum Entfernen des Schutzes für ein Dokument oder eine E-Mail auf Berechtigungsebene bietet eine genauere Steuerung als die Administratorfunktion.

    Überprüfen Sie nun im Bereich Schutz für alle Benutzer und Gruppen, die Sie angegeben haben, ob Sie Änderungen an den folgenden Einstellungen vornehmen möchten. Beachten Sie, dass diese Einstellungen – ebenso wie die Berechtigungen – weder für den Rights Management-Aussteller und Rights Management-Besitzer noch für einen von Ihnen zugewiesenen Administrator gelten.

    Informationen zu Schutzeinstellungen
    Einstellung Weitere Informationen Empfohlene Einstellung
    Ablauf des Dateiinhalts Definieren Sie ein Datum oder eine Anzahl von Tagen, nach deren Ablauf Dokumente, die durch diese Einstellungen geschützt sind, nicht mehr von ausgewählten Benutzern geöffnet werden sollen. Bei E-Mails wird dieses Ablaufdatum aufgrund von Cachemechanismen, die von manchen E-Mail-Clients verwendet werden, nicht immer erzwungen.

    Sie können ein Datum oder eine Anzahl von Tagen ab dem Zeitpunkt angeben, an dem der Schutz auf den Inhalt angewendet wird.

    Wenn Sie ein Datum angeben, beginnt die Gültigkeit um Mitternacht in Ihrer aktuellen Zeitzone.    		 Inhalt läuft nie ab, sofern für den Inhalt keine bestimmte zeitgebundene Begrenzung gilt.
    Offlinezugriff zulassen Mit dieser Einstellung können Sie mit der Möglichkeit für ausgewählte Benutzer, geschützte Inhalte zu öffnen, wenn keine Internetverbindung besteht, Ihre bestehenden Sicherheitsanforderungen abstimmen (einschließlich des Zugriffs nach einem Widerruf).

    Wenn Sie angeben, dass Inhalte ohne Internetverbindung nicht verfügbar oder nur für eine bestimmte Anzahl von Tagen verfügbar sind, müssen sich diese Benutzer bei Erreichen dieses Schwellenwerts erneut authentifizieren, und ihre Zugriffe werden protokolliert. Wenn in diesem Fall die Anmeldeinformationen nicht zwischengespeichert wurden, werden die Benutzer aufgefordert, sich anzumelden, bevor sie das Dokument oder die E-Mail öffnen können.

    Zusätzlich zur erneuten Authentifizierung werden Richtlinie und Mitgliedschaft in der Benutzergruppe erneut ausgewertet. Das bedeutet, dass Benutzer beim Zugriff auf das gleiche Dokument oder die gleiche E-Mail unterschiedliche Ergebnisse feststellen werden, wenn sich nach ihrem letzten Zugriff auf den Inhalt die Richtlinie oder Gruppenmitgliedschaft geändert hat. Dies könnte bedeuten, dass kein Zugriff möglich ist, wenn das Dokument widerrufen wurde.    		 Je nach Vertraulichkeit des Inhalts:

    - Anzahl der Tage, die der Inhalt ohne Internetverbindung verfügbar ist = 7 für vertrauliche Geschäftsdaten, die bei Freigabe an nicht autorisierte Personen dem Geschäft schaden könnten. Diese Empfehlung bietet einen ausgewogenen Kompromiss zwischen Flexibilität und Sicherheit. Beispiele hierfür sind Verträge, Sicherheitsberichte, Prognosen und Vertriebskontodaten.

    - Nie für sehr vertrauliche Geschäftsdaten, die bei Freigabe an nicht autorisierte Personen dem Geschäft schaden. Bei dieser Empfehlung wird der Sicherheit eine höhere Priorität eingeräumt als der Flexibilität. Diese Einstellung stellt sicher, dass bei Widerruf eines Dokuments der Zugriff auf das Dokument durch autorisierte Benutzer sofort gesperrt wird. Beispiele hierfür sind Mitarbeiter- und Kundendaten, Kennwörter, Quellcode und vorab angekündigte Finanzberichte.

    Wenn Sie das Konfigurieren der Berechtigungen und Einstellungen abgeschlossen haben, klicken Sie auf OK.

    Diese Gruppe von Einstellungen erstellt eine benutzerdefinierte Vorlage für den Azure Rights Management-Dienst. Diese Vorlagen können für Anwendungen und Dienste verwendet werden, die in Azure Rights Management integriert sind. Informationen zum Herunterladen und Aktualisieren dieser Vorlagen durch Computer und Dienste finden Sie unter Aktualisieren von Vorlagen für Benutzer und Dienste.

  8. Wenn Sie Vordefinierte Vorlage auswählen für Azure (Cloudschlüssel) ausgewählt haben, klicken Sie auf das Dropdownfeld und wählen die Vorlage aus, die Sie verwenden möchten, um Dokumente und E-Mails mit dieser Bezeichnung zu schützen. Es werden keine archivierten Vorlagen oder Vorlagen angezeigt, die bereits für eine andere Bezeichnung ausgewählt wurden.

    Wenn Sie eine Abteilungsvorlage ausgewählt oder Onboardingsteuerelemente konfiguriert haben, gilt Folgendes:

    • Benutzer außerhalb des konfigurierten Bereichs der Vorlage oder Benutzer, die von der Anwendung des Azure Rights Management-Schutzes ausgeschlossen wurden, sehen die Bezeichnung weiterhin, können sie aber nicht anwenden. Wenn sie das Etikett auswählen, wird die folgende Meldung angezeigt: Azure Information Protection kann diese Bezeichnung nicht anwenden. Wenn dieses Problem weiterhin besteht, wenden Sie sich an Ihren Administrator.

      Beachten Sie, dass alle veröffentlichten Vorlagen immer angezeigt werden, auch wenn Sie eine bereichsbezogene Richtlinie konfigurieren. Ein Beispiel: Sie konfigurieren eine bereichsbezogene Richtlinie für die Gruppe „Marketing“. Die zur Auswahl stehenden Vorlagen sind nicht auf diejenigen Vorlagen beschränkt, die nur für den Bereich der Gruppe „Marketing“ gelten, und es ist möglich, eine Abteilungsvorlage auszuwählen, die Ihre gewünschten Benutzer nicht verwenden können. Um die Konfiguration zu vereinfachen und potenzielle Probleme zu minimieren, sollten Sie erwägen, die Abteilungsvorlage entsprechend der Bezeichnung in Ihrer bereichsbezogenen Richtlinie zu benennen.

  9. Wenn Sie HYOK (AD RMS) ausgewählt haben, wählen Sie entweder AD RMS-Vorlagendetails festlegen oder Benutzerdefinierte Berechtigungen festlegen (Vorschau) aus. Geben Sie dann die Lizenzierungs-URL Ihres AD RMS-Clusters an.

    Anweisungen zum Angeben einer Vorlagen-GUID und Ihrer Lizenzierungs-URL finden Sie unter Suchen von Informationen zum Angeben des AD RMS-Schutzes mit einer Azure Information Protection-Bezeichnung.

    Mit der Option für benutzerdefinierte Berechtigungen können Benutzer angeben, wem welche Berechtigungen erteilt werden. Sie können diese Option genauer definieren und „Nur Outlook“ (Standardeinstellung), „Word“, „Excel“, „PowerPoint“ oder „Datei-Explorer“ auswählen. Diese Option wird nicht unterstützt und funktioniert nicht, wenn eine Bezeichnung für die automatische Klassifizierung konfiguriert ist.

    Bei Auswahl der Option für Outlook gilt Folgendes: Die Bezeichnung wird in Outlook angezeigt, und wenn Benutzer diese anwenden, ist das Verhalten das gleiche wie bei der Option Nicht weiterleiten.

    Bei Auswahl der Option für Word, Excel, PowerPoint und Datei-Explorer gilt Folgendes: Wenn diese Option festgelegt ist, wird die Bezeichnung in diesen Anwendungen angezeigt. Nachdem die Benutzer die Bezeichnung angewendet haben, wird ein Dialogfeld zur Auswahl von benutzerdefinierten Berechtigungen angezeigt. In diesem Dialogfeld wählen Benutzer eine der vordefinierten Berechtigungsstufen aus, navigieren dann zu dem Benutzer oder der Gruppe (bzw. geben diese an) und legen optional ein Ablaufdatum fest. Stellen Sie sicher, dass die Benutzer über die notwendigen Anweisungen und Anleitungen zum Bereitstellen dieser Werte verfügen.

  10. Klicken Sie auf OK, um den Bereich Schutz zu schließen und die Auswahl für Benutzerdefiniert bzw. die ausgewählte Vorlage für die Option Schutz im Bereich Bezeichnung anzuzeigen.

  11. Klicken Sie im Bereich Bezeichnung auf Speichern.

  12. Verwenden Sie im Bereich Azure Information Protection die Spalte PROTECTION (Schutz), um zu bestätigen, dass Ihre Bezeichnung nun die gewünschten Schutzeinstellungen darstellt:

    • Ein Häkchen, wenn Sie den Schutz konfiguriert haben

    • Ein X zum Kennzeichnen eines Abbruchs, wenn Sie eine Bezeichnung zum Entfernen des Schutzes konfiguriert haben

    • Ein leeres Feld, wenn der Schutz nicht eingerichtet ist

Sobald Sie auf Speichern klicken, werden Ihre vorgenommenen Änderungen automatisch Benutzern und Diensten zur Verfügung gestellt. Es gibt keine gesonderte Veröffentlichungsoption mehr.

Beispielkonfigurationen

Die untergeordneten Bezeichnungen Alle Mitarbeiter und Nur Empfänger der Bezeichnungen Vertraulich und Streng vertraulich aus der Standardrichtlinie bieten Beispiele dafür, wie Sie Bezeichnungen zum Anwenden des Schutzes konfigurieren können. Sie können auch die folgenden Beispiele verwenden, um den Schutz für verschiedene Szenarien zu konfigurieren.

Wählen Sie für jedes der folgenden Beispiele im Bereich <Etikettenname> die Option Schützen. Klicken Sie auf Schutz, um diesen Bereich zu öffnen, wenn der Bereich Schutz nicht automatisch geöffnet wird. Dort können Sie die Konfigurationsoptionen für den Schutz auswählen:

Configuing an Azure Information Protection label for protection

Beispiel 1: Bezeichnung, die „Nicht weiterleiten“ anwendet, um eine geschützte E-Mail an ein Gmail-Konto zu senden

Diese Bezeichnung ist nur in Outlook verfügbar und eignet sich in Fällen, in denen Exchange Online für die neuen Funktionen bei der Office 365-Nachrichtenverschlüsselung konfiguriert ist. Weisen Sie Ihre Benutzer an, diese Bezeichnung auszuwählen, wenn sie eine geschützte E-Mail an Personen senden müssen, die ein Gmail-Konto (oder ein anderes E-Mail-Konto außerhalb Ihrer Organisation) verwenden.

Die Benutzer geben die Gmail-Adresse in das Feld An ein. Danach wählen sie die Bezeichnung aus, und die Option „Nicht weiterleiten“ wird der E-Mail automatisch hinzugefügt. Dies hat zur Folge, dass die Empfänger die E-Mail nicht weiterleiten, ausdrucken, kopieren oder mit der Option Speichern unter außerhalb ihres Postfachs speichern können.

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Wählen Sie die Option Benutzerdefinierte Berechtigungen festlegen (Vorschau) aus.

  3. Stellen Sie sicher, dass die folgende Option ausgewählt ist: In Outlook apply Do Not Forward („Nicht weiterleiten“ in Outlook anwenden).

  4. Wenn die Option ausgewählt ist, deaktivieren Sie die folgende Option: In Word, Excel, PowerPoint and File Explorer prompt user for custom permissions (Vom Benutzer in Word, Excel, PowerPoint und dem Datei-Explorer benutzerdefinierte Berechtigungen verlangen).

  5. Klicken Sie im Bereich Schutz auf OK und im Bereich Bezeichnung auf Speichern.

Beispiel 2: Bezeichnung, die den Schreibschutz auf alle Benutzer in einer anderen Organisation anwendet und den sofortigen Widerruf unterstützt

Diese Bezeichnung eignet sich für die (schreibgeschützte) Freigabe von streng vertraulichen Dokumenten, für deren Ansicht stets eine Internetverbindung erforderlich ist. Wenn ein solches Dokument widerrufen wird, kann es von Benutzern nicht mehr angezeigt werden, wenn diese versuchen, es erneut zu öffnen.

Diese Bezeichnung eignet sich nicht für E-Mails.

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Stellen Sie sicher, dass die Option Berechtigungen festlegen ausgewählt ist, und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Klicken Sie im Bereich Berechtigungen hinzufügen auf Details eingeben.

  4. Geben Sie den Namen einer Domäne der anderen Organisation ein, z.B. fabrikam.com. Wählen Sie anschließend Hinzufügen.

  5. Wählen Sie unter Berechtigungen aus Voreinstellung auswählen die Option Viewer aus, und klicken Sie dann auf OK.

  6. Wählen Sie im Bereich Schutz für die Einstellung Offlinezugriff zulassen erneut Nie aus.

  7. Klicken Sie im Bereich Schutz auf OK und im Bereich Bezeichnung auf Speichern.

Beispiel 3: Hinzufügen von externen Benutzern zu einer bestehenden Bezeichnung, die Inhalte schützt

Die von Ihnen hinzugefügten neuen Benutzer können Dokumente und E-Mails öffnen, die bereits mit dieser Bezeichnung geschützt sind. Die Berechtigungen, die Sie diesen Benutzern zuweisen, können sich von den Berechtigungen unterscheiden, über die vorhandene Benutzer verfügen.

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Stellen Sie sicher, dass Berechtigungen festlegen ausgewählt ist, und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Klicken Sie im Bereich Berechtigungen hinzufügen auf Details eingeben.

  4. Geben Sie die E-Mail-Adresse des ersten Benutzers oder der ersten Gruppe ein, den bzw. die Sie hinzufügen möchten, und wählen Sie dann Hinzufügen aus.

  5. Wählen Sie die Berechtigungen für diesen Benutzer bzw. diese Gruppe aus.

  6. Wiederholen Sie die Schritte 4 und 5 für jeden Benutzer oder jede Gruppe, den bzw. die Sie dieser Bezeichnung hinzufügen möchten. Klicken Sie dann auf OK.

  7. Klicken Sie im Bereich Schutz auf OK und im Bereich Bezeichnung auf Speichern.

Beispiel 4: Bezeichnung für geschützte E-Mails, die weniger restriktive Berechtigungen als „Nicht weiterleiten“ unterstützt

Diese Bezeichnung kann nicht auf Outlook beschränkt werden, bietet jedoch eine weniger restriktive Steuerung als „Nicht weiterleiten“. Beispielsweise sollten Empfänger aus einer E-Mail oder einem Anhang kopieren oder einen Anhang speichern und bearbeiten können.

Wenn Sie externe Benutzer angeben, die kein Azure AD-Konto haben, gilt Folgendes:

  • Die Bezeichnung eignet sich für E-Mails, wenn Exchange Online die neuen Funktionen der Office 365-Nachrichtenverschlüsselung verwendet.

  • Für Office-Anlagen, die automatisch geschützt sind, stehen diese Dokumente für eine Browservorschau zur Verfügung. Um diese Dokumente zu bearbeiten, laden Sie sie herunter, und bearbeiten Sie sie mit Office 365-Apps (Klick-und-Los) und einem Microsoft-Konto, das dieselbe E-Mail-Adresse verwendet. Weitere Informationen

Hinweis

Exchange Online führt eine neue Option ein, nur verschlüsseln. Diese Option ist für das Konfigurieren von Bezeichnungen nicht verfügbar. Wenn Sie die Empfänger jedoch kennen, können Sie mit diesem Beispiel eine Bezeichnung mit denselben Nutzungsrechten konfigurieren.

Wenn Ihre Benutzer die E-Mail-Adressen im Feld An angeben, müssen die Adressen zu den Benutzern gehören, die Sie für diese Bezeichnungskonfiguration angegeben haben. Da Benutzer zu Gruppen gehören und über mehrere E-Mail-Adressen verfügen können, muss die E-Mail-Adresse, die sie verwenden, nicht mit der E-Mail-Adresse übereinstimmen, die Sie für die Berechtigungen angegeben haben. Die Angabe derselben E-Mail-Adresse ist jedoch die einfachste Möglichkeit, um sicherzustellen, dass der Empfänger erfolgreich autorisiert wird. Weitere Informationen dazu, wie Benutzer für Berechtigungen autorisiert werden, finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Stellen Sie sicher, dass Berechtigungen festlegen ausgewählt ist, und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Im Fenster Berechtigungen hinzufügen: Um Benutzern in Ihrer Organisation Berechtigungen zu erteilen, wählen Sie Hinzufügen <Organisationsname> - Alle Mitglieder, um alle Benutzer in Ihrem Mandanten auszuwählen. Diese Einstellung schließt Gastkonten aus. Alternativ dazu klicken Sie auf Verzeichnis durchsuchen, um eine bestimmte Gruppe auszuwählen. Klicken Sie auf Details eingeben, und geben Sie die E-Mail-Adresse des Benutzers oder die Azure AD-Gruppe oder einen Domänennamen ein, um externen Benutzern Berechtigungen zu erteilen oder wenn Sie die E-Mail-Adresse lieber manuell eingeben möchten.

    Wiederholen Sie diesen Schritt, um weitere Benutzer anzugeben, die über die gleichen Berechtigungen verfügen sollen.

  4. Klicken Sie unter Berechtigungen aus Voreinstellung auswählen auf Mitbesitzer, Mitautor, Prüfer oder Benutzerdefiniert, um die gewünschten Berechtigungen auszuwählen.

    Hinweis: Wählen Sie für E-Mails nicht Viewer aus, und wenn Sie Benutzerdefiniert auswählen, stellen Sie sicher, dass Sie die Berechtigung Bearbeiten und speichern einschließen.

    Um die gleichen Berechtigungen auszuwählen, die der Option Verschlüsseln von Exchange Online entsprechen, die eine Verschlüsselung ohne zusätzliche Einschränkungen anwendet, wählen Sie Benutzerdefiniert. Gewähren Sie dann alle Berechtigungen außer Speichern unter, Exportieren (EXPORT) und Vollzugriff (OWNER).

  5. Um weitere Benutzer anzugeben, die über unterschiedliche Berechtigungen verfügen sollen, wiederholen Sie die Schritte 3 und 4.

  6. Klicken Sie im Bereich Berechtigungen hinzufügen auf OK.

  7. Klicken Sie im Bereich Schutz auf OK und im Bereich Bezeichnung auf Speichern.

Beispiel 5: Bezeichnung, die Inhalt verschlüsselt, aber nicht einschränkt, wer darauf zugreifen kann

Diese Konfiguration hat den Vorteil, dass Sie keine Benutzer, Gruppen oder Domänen angeben müssen, um eine E-Mail oder ein Dokument zu schützen. Der Inhalt wird weiterhin verschlüsselt, und Sie können weiterhin Nutzungsrechte, ein Ablaufdatum und einen Offlinezugriff festlegen. Verwenden Sie diese Konfiguration nur, wenn Sie nicht einschränken müssen, wer das geschützte Dokument oder die E-Mail öffnen darf. Weitere Informationen zu dieser Einstellung

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Achten Sie darauf, dass Berechtigungen festlegen ausgewählt ist, und klicken Sie anschließend auf Berechtigungen hinzufügen.

  3. Klicken Sie im Bereich Berechtigungen hinzufügen auf der Registerkarte Aus Liste auswählen auf die Option Alle authentifizierten Benutzer hinzufügen.

  4. Wählen Sie die gewünschten Berechtigungen aus, und klicken Sie auf OK.

  5. Konfigurieren Sie im Bereich Schutz bei Bedarf die Einstellungen für Ablauf des Dateiinhalts und Offlinezugriff zulassen, und klicken Sie dann auf OK.

  6. Klicken Sie im Bereich Bezeichnung auf Speichern.

Beispiel 6: Etikett, das "Nur für mich" Schutz bietet

Diese Konfiguration bietet das Gegenteil von sicherer Zusammenarbeit für Dokumente: Mit Ausnahme eines Superusers kann nur die Person, die die Bezeichnung anbringt, den geschützten Inhalt ohne Einschränkungen öffnen. Diese Konfiguration wird oft als „Nur für mich“-Schutz bezeichnet und eignet sich, um sicherzustellen, dass das Dokument an einem beliebigen Ort gespeichert, aber nur von dieser Person geöffnet werden kann.

Die Bezeichnungskonfiguration wirkt zunächst einfach:

  1. Stellen Sie sicher, dass im Bereich Schutz die Option Azure (cloud key) (Azure (Cloudschlüssel)) ausgewählt ist.

  2. Klicken Sie auf OK, ohne dabei Benutzer auszuwählen oder Einstellungen in diesem Bereich zu konfigurieren.

    Sie können zwar Einstellungen für Ablauf des Dateiinhalts und Offlinezugriff zulassen konfigurieren, aber wenn Sie keine Benutzer und deren Berechtigungen angeben, sind diese Zugriffseinstellungen nicht anwendbar. Das liegt daran, dass die Person, die den Schutz anwendet, der Rights Management-Aussteller für den Inhalt ist. Diese Rolle bildet eine Ausnahme für diese Zugriffseinschränkungen.

  3. Klicken Sie im Bereich Bezeichnung auf Speichern.

Nächste Schritte

Um weitere Informationen zum Konfigurieren Ihrer Azure Information Protection-Richtlinie zu erhalten, klicken Sie auf die Links im Abschnitt Konfigurieren der Richtlinie für Ihre Organisation.

Mit den Nachrichtenflussregeln von Exchange können auch Schutzaktionen basierend auf Ihren Bezeichnungen angewendet werden. Weitere Informationen und Beispiele finden Sie unter Konfigurieren von Exchange Online-Regeln für den Nachrichtenfluss für Azure Information Protection-Bezeichnungen.