Häufig gestellte Fragen zu Azure Information Protection (AIP)

Hinweis

Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?

Das Azure Information Protection-Add-In für Office befindet sich jetzt im Wartungsmodus und wird im April 2024 eingestellt. Es wird empfohlen, Bezeichnungen zu verwenden, die in Ihre Office 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.

Haben Sie eine Frage zu Azure Information Protection (AIP) oder zum Azure Rights Management Service (Azure RMS)?

Sehen Sie nach, ob die Frage unten oder auf den untergeordneten, spezifischeren FAQ-Seiten beantwortet wird.

Was ist Microsoft Information Protection und Azure Information Protection?

Im Gegensatz zu Azure Information Protection ist Microsoft Purview Information Protection kein Abonnement oder Produkt, das Sie kaufen können. Stattdessen ist es ein Framework für Produkte und integrierte Funktionen, die Ihnen dabei helfen, die vertraulichen Informationen Ihrer Organisation zu schützen.

Zu den Produkten von Microsoft Purview Information Protection gehören:

  • Azure Information Protection
  • Microsoft 365 Information Protection, z. B. Microsoft 365 DLP
  • Windows Information Protection
  • Microsoft Defender für Cloud-Apps

Microsoft Purview Information Protection schließen folgende Funktionalitäten ein:

  • Einheitliche Bezeichnungsverwaltung
  • Beschriftungsoberflächen für Endbenutzer, die in Office Apps integriert sind
  • Die Möglichkeit für Windows, einheitliche Bezeichnungen zu verstehen und den Schutz auf Daten anzuwenden
  • Microsoft Information Protection SDK
  • Funktionalität in Adobe Acrobat Reader zum Anzeigen von gekennzeichneten und geschützten PDFs

Weitere Informationen finden Sie unter Informationsschutzfunktionen zum Schutz Ihrer vertraulichen Daten.

Wie kann ich bestimmen, ob sich mein Mandant auf der einheitlichen Bezeichnungsplattform befindet?

Wenn Ihr Mandant auf der Unified-Labeling-Plattform ist, unterstützt er Vertraulichkeitsbezeichnungen, die von Clients und Diensten verwendet werden können, die Unified-Labeling unterstützen. Wenn Sie Ihr Abonnement für Azure Information Protection im Juni 2019 oder höher erhalten haben, befindet sich Ihr Mandant automatisch auf der einheitlichen Bezeichnungsplattform, und es ist keine weitere Aktion erforderlich. Ihr Tenant könnte auch auf dieser Plattform sein, weil jemand Ihre Azure Information Protection-Bezeichnungen migriert hat.

Wenn Ihr Mandant nicht auf der Unified-Labeling-Plattform ist, sehen Sie das folgende Informationsbanner im Azure-Portal in den Bereichen Azure Information Protection:

Migration information banner

Sie können dies auch überprüfen, indem Sie zu Azure Information Protection>Verwalten>Einheitliche Bezeichnung gehen und den Status der Einheitliche Bezeichnung anzeigen:

Status Beschreibung
Aktiviert Ihr Mandant befindet sich auf der Plattform für einheitliche Bezeichnungen.
Sie können Bezeichnungen aus dem Microsoft Purview-Complianceportal erstellen, konfigurieren und veröffentlichen.
Nicht aktiviert Ihr Mandant befindet sich nicht auf der Plattform für einheitliche Bezeichnungen.
Anleitungen und Hinweise zur Migration finden Sie unter Migration von Azure Information Protection-Etiketten zu einheitlichen Vertraulichkeitsbezeichnungen.

Was ist der Unterschied zwischen Azure Information Protection und Azure Rights Management?

Azure Information Protection (AIP) bietet Klassifizierung, Bezeichnung und Schutz für die Dokumente und E-Mails eines Unternehmens.

Inhalte werden mithilfe des Azure Rights Management-Diensts geschützt, der jetzt eine Komponente von AIP ist.

Weitere Informationen finden Sie unter Wie AIP Ihre Daten schützt und Was ist Azure Rights Management?.

Welche Rolle spielt das Identitätsmanagement für Azure Information Protection?

Die Identitätsverwaltung ist eine wichtige Komponente von AIP, da Benutzer über einen gültigen Benutzernamen und ein Kennwort für den Zugriff auf geschützte Inhalte verfügen müssen.

Weitere Informationen dazu, wie Azure Information Protection zur Sicherung Ihrer Daten beiträgt, finden Sie unter "Rolle von Azure Information Protection beim Sichern von Daten".

Welches Abonnement benötige ich für Azure Information Protection und welche Features sind enthalten?

Weitere Informationen zu AIP-Abonnements finden Sie unter:

Benötigt man globale Administratorrechte, um Azure Information Protection zu konfigurieren, oder kann ich das an andere Administratoren delegieren?

Globale Administratoren für einen Microsoft 365-Mandanten oder Microsoft Entra-Mandanten können offensichtlich alle administrativen Aufgaben für Azure Information Protection ausführen.

Wenn Sie jedoch anderen Benutzern administrative Berechtigungen zuweisen möchten, verwenden Sie dazu die folgenden Rollen:

Beachten Sie außerdem Folgendes beim Verwalten von Administrativen Aufgaben und Rollen:

Problem Details
Unterstützte Kontotypen Microsoft-Konten werden für die delegierte Verwaltung von Azure Information Protection nicht unterstützt, auch wenn diese Konten einer der aufgelisteten Administrativen Rollen zugewiesen sind.
Einstiegskontrollen Wenn Sie Onboarding-Steuerelemente konfiguriert haben, wirkt sich diese Konfiguration nicht auf die Verwaltung von Azure Information Protection aus, mit Ausnahme des RMS-Connectors.

Wenn Sie beispielsweise Onboarding-Steuerelemente so konfiguriert haben, dass die Fähigkeit zum Schutz von Inhalten auf die Gruppe IT-Abteilung beschränkt ist, muss das Konto, mit dem Sie den RMS-Connector installieren und konfigurieren, Mitglied dieser Gruppe sein.
Entfernen des Schutzes Administratoren können den Schutz von Dokumenten oder E-Mails, die durch Azure Information Protection geschützt wurden, nicht automatisch aufheben.

Nur Benutzer, die als Superbenutzer zugewiesen sind, können den Schutz entfernen und nur, wenn das Superbenutzerfeature aktiviert ist.

Jeder Benutzer mit administrativen Berechtigungen für Azure Information Protection kann das Superbenutzerfeature aktivieren und Benutzern als Superbenutzer zuweisen, einschließlich ihres eigenen Kontos.

Diese Aktionen werden in einem Administratorprotokoll aufgezeichnet.

Weitere Informationen finden Sie im Abschnitt zu den bewährte Sicherheitsmethoden unter Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder Datenwiederherstellung.

Tipp: Wenn Ihre Inhalte in SharePoint oder OneDrive gespeichert sind, können Administratoren das Cmdlet Unlock-SensitivityLabelEncryptedFile ausführen, um sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung zu entfernen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft 365.
Umstellung auf den einheitlichen Bezeichnungsspeicher Wenn Sie Ihre Azure Information Protection-Bezeichnungen in den einheitlichen Bezeichnungsspeicher migrieren, lesen Sie unbedingt den folgenden Abschnitt aus der Dokumentation zur Bezeichnungsmigration:
Administrative Rollen, die die einheitliche Bezeichnungsplattform unterstützen.

Azure Information Protection-Administrator

Mit dieser Microsoft Entra-Administratorrolle kann ein Administrator Azure Information Protection konfigurieren, aber nicht mit anderen Diensten.

Administratoren mit dieser Rolle können:

  • Aktivieren und Deaktivieren des Schutzdienstes Azure Rights Management
  • Konfigurieren von Schutzeinstellungen und Bezeichnungen
  • Konfigurieren der Azure Information Protection-Richtlinie
  • Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und vom AIPService-Modul

Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.

Hinweis

Diese Rolle wird im Azure-Portal nicht unterstützt, wenn Ihr Mandant auf der unified labeling platform ist.

Compliance-Administrator oder Compliance-Daten-Administrator

Diese Microsoft Entra-Administratorrollen ermöglichen Administratoren Folgendes:

  • Konfigurieren von Azure Information Protection, einschließlich Aktivieren und Deaktivieren des Azure Rights Management-Schutzdiensts
  • Konfigurieren von Schutzeinstellungen und Bezeichnungen
  • Konfigurieren der Azure Information Protection-Richtlinie
  • Führen Sie alle PowerShell-Cmdlets für den Azure Information Protection-Client und das AIPService-Modul aus.

Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.

Informationen zu anderen Berechtigungen, die ein Benutzer mit diesen Rollen besitzt, finden Sie im Abschnitt "Verfügbare Rollen " in der Microsoft Entra-Dokumentation.

Hinweis

Diese Rollen unterstützen nicht die Verfolgung und den Widerruf von Dokumenten für Benutzer.

Sicherheitsadministrator

Mit dieser Microsoft Entra-Administratorrolle können Administratoren Azure Information Protection im Azure-Portal und einige Aspekte anderer Azure-Dienste konfigurieren.

Administratoren mit dieser Rolle können keine PowerShell-Cmdlets aus dem AIPService-Modul ausführen oder Dokumente für Benutzer verfolgen und widerrufen.

Informationen zum Zuweisen eines Benutzers zu dieser administrativen Rolle finden Sie unter Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID.

Informationen zu anderen Berechtigungen, die ein Benutzer mit dieser Rolle besitzt, finden Sie im Abschnitt "Verfügbare Rollen " in der Microsoft Entra-Dokumentation.

Azure Rights Management Global Administrator und Connector Administrator

Mit der Rolle "Globaler Administrator" können Benutzer alle PowerShell-Cmdlets aus dem AIPService-Modul ausführen, ohne dass sie zu einem globalen Administrator für andere Cloud-Dienste werden.

Mit der Connectoradministratorrolle können Benutzer nur den RMS-Connector (Rights Management) ausführen.

Diese administrativen Rollen gewähren keine Berechtigungen für Verwaltungskonsolen. Die Rolle des Connector-Administrators unterstützt auch nicht die Nachverfolgung und den Widerruf von Dokumenten für Benutzer (1).

Um eine dieser administrativen Rollen zuzuweisen, verwenden Sie das AIPService PowerShell-Cmdlet Add-AipServiceRoleBasedAdministrator.

Unterstützt Azure Information Protection lokale und Hybridszenarien?

Ja. Obwohl Azure Information Protection eine cloudbasierte Lösung ist, kann sie Dokumente und E-Mails klassifizieren, bezeichnen und schützen, die lokal sowie in der Cloud gespeichert sind.

Wenn Sie über Exchange Server, SharePoint Server und Windows Dateiserver verfügen, verwenden Sie eine oder beide der folgenden Methoden:

  • Stellen Sie den Connector Rights Management bereit, damit diese lokalen Server den Azure Rights Management Service zum Schutz Ihrer E-Mails und Dokumente nutzen können
  • Synchronisieren und verbinden Sie Ihre Active Directory-Aufgaben Standard-Controller mit Microsoft Entra-ID, um eine nahtlose Authentifizierung für Benutzer zu ermöglichen. Verwenden Sie beispielsweise Microsoft Entra Verbinden.

Der Azure Rights Management-Dienst generiert und verwaltet XrML-Zertifikate automatisch nach Bedarf, sodass keine lokale PKI erforderlich ist.

Weitere Informationen darüber, wie Azure Rights Management Zertifikate verwendet, finden Sie in der Durchführung zur Funktionsweise von Azure RMS: Erstnutzung, Schutz von Inhalten, Konsum von Inhalten.

Welche Arten von Daten können Azure Information Protection klassifizieren und schützen?

Azure Information Protection kann E-Mail-Nachrichten und Dokumente klassifizieren und schützen, unabhängig davon, ob sie lokal oder in der Cloud gespeichert sind. Zu diesen Dokumenten gehören Word-Dokumente, Excel-Tabellen, PowerPoint-Präsentationen, PDF-Dokumente, textbasierte Dateien und Bilddateien.

Weitere Informationen finden Sie in der vollständigen Liste der unterstützten Dateitypen.

Hinweis

Azure Information Protection kann strukturierte Daten wie Datenbankdateien, Kalendereinträge, Yammer-Posts, Sway-Inhalte und OneNote-Notizbücher nicht klassifizieren und schützen.

Tipp

Power BI unterstützt die Klassifizierung mithilfe von Vertraulichkeitsbezeichnungen und kann schutz vor diesen Bezeichnungen auf Daten anwenden, die in die folgenden Dateiformate exportiert werden: .pdf, .xls und .ppt. Weitere Informationen finden Sie unter Datenschutz in Power BI (Vorschauversion).

Azure Information Protection wird als verfügbare Cloud App für den bedingten Zugriff genannt. Wie funktioniert das?

Ja, als Vorschauangebot können Sie den bedingten Zugriff von Microsoft Entra für Azure Information Protection konfigurieren.

Wenn ein Benutzer ein Dokument öffnet, das durch Azure Information Protection geschützt ist, können Administratoren jetzt den Zugriff auf Benutzer in ihrem Mandanten basierend auf den standardmäßigen Steuerelementen für bedingten Zugriff blockieren oder gewähren. Die Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist eine der am häufigsten angeforderten Bedingungen. Ein weiterer Punkt ist, dass die Geräte mit Ihren Intune-Richtlinien übereinstimmen müssen, so dass beispielsweise mobile Geräte Ihre Kennwortanforderungen und eine Mindestversion des Betriebssystems erfüllen und Computer mit der Domäne verbunden sein müssen.

Weitere Informationen und einige exemplarische Beispiele finden Sie im folgenden Blogbeitrag: Richtlinien für bedingten Zugriff und verschlüsselte Dokumente.

Weitere Informationen:

Thema Details
Auswertungshäufigkeit Für Windows-Computer und die aktuelle Vorschauversion werden die Richtlinien für den bedingten Zugriff auf Azure Information Protection bei der Initialisierung der Benutzerumgebung (dieser Vorgang wird auch als Bootstrapping bezeichnet) und anschließend alle 30 Tage ausgewertet.

Um genau festzulegen, wie oft Ihre Richtlinien für bedingten Zugriff ausgewertet werden, konfigurieren Sie die Token-Lebensdauer.
Administratorkonten Wir empfehlen, keine Administratorkonten zu Ihren Richtlinien für bedingten Zugriff hinzuzufügen, da diese Konten nicht auf den Bereich Azure Information Protection im Azure-Portal zugreifen können.
MFA und B2B-Zusammenarbeit Wenn Sie MFA in Ihren Richtlinien für bedingten Zugriff für die Zusammenarbeit mit anderen Organisationen (B2B) verwenden, müssen Sie die Zusammenarbeit mit Microsoft Entra B2B verwenden und Gastkonten für die Benutzer erstellen, für die Sie in der anderen Organisation freigeben möchten.
Nutzungsbedingungen Mit der Microsoft Entra Dezember 2018-Vorschauversion können Sie jetzt Benutzer auffordern, eine Nutzungsbedingungen zu akzeptieren, bevor sie ein geschütztes Dokument zum ersten Mal öffnen.
Cloud-Apps Wenn Sie viele Cloud-Apps für bedingten Zugriff verwenden, wird möglicherweise microsoft Information Protection-Synchronisierungsdienst und Microsoft Rights Management Service in der Liste nicht angezeigt, um sie auszuwählen.

Verwenden Sie in diesem Fall das Suchfeld oben in der Liste. Beginnen Sie mit der Eingabe von "Microsoft Information Protection Sync Service" und "Microsoft Rights Management Service", um die verfügbaren Apps zu filtern. Bereitstellung eines unterstützten Abonnements; Diese Option wird dann angezeigt und kann ausgewählt werden.

Hinweis

Die Azure Information Protection-Unterstützung für bedingten Zugriff befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Ist Azure Information Protection für mein Land geeignet?

Unterschiedliche Länder haben unterschiedliche Anforderungen und Vorschriften. Informationen zur Beantwortung dieser Frage für Ihre Organisation finden Sie unter "Eignung für unterschiedliche Länder".

Wie kann Azure Information Protection bei der DSGVO helfen?

Hinweis

Wenn Sie daran interessiert sind, personenbezogene Daten anzuzeigen oder zu löschen, lesen Sie die Anleitungen von Microsoft im Microsoft Purview Compliance Manager und im DSGVO-Abschnitt der Microsoft 365 Enterprise Compliance-Website. Allgemeine Informationen über die DSGVO finden Sie im Abschnitt zur DSGVO im Service Trust-Portal.

Siehe Compliance und unterstützende Informationen für Azure Information Protection.

Wie kann ich ein Problem melden oder Feedback zu Azure Information Protection senden?

Verwenden Sie für technischen Support Ihre Standardsupportkanäle, oder wenden Sie sich an Microsoft-Support.

Wir laden Sie auch ein, sich mit unserem Entwicklungsteam auf ihrer Azure Information Protection-Yammer-Website zu engagieren.

Was tue ich, wenn meine Frage nicht dabei ist?

Gehen Sie zunächst die unten aufgeführten häufig gestellten Fragen durch, die sich speziell auf die Einstufung und Kennzeichnung oder den Datenschutz beziehen. Der Azure Rights Management Service (Azure RMS) bietet die Datenschutztechnologie für Azure Information Protection. Azure RMS kann mit Klassifizierung und Bezeichnung oder allein verwendet werden.

Wenn Ihre Frage nicht beantwortet wird, sehen Sie sich die unter Informationen und Support für Azure Information Protection aufgeführten Links und Ressourcen an.