Häufig gestellte Fragen für den Azure Information Protection classic Client

Wann ist der richtige Zeitpunkt für die Umstellung meiner Etiketten auf Unified Labeling?

Wir empfehlen Ihnen, Ihre Azure Information Protection-Labels auf die Unified Labeling-Plattform zu migrieren, damit Sie sie als Vertraulichkeitsbezeichnungen mit anderen Clients und Diensten verwenden können, die Unified Labeling unterstützen.

Weitere Informationen und Anleitungen finden Sie unter Migration von Azure Information Protection-Labels zu einheitlichen Vertraulichkeitsbezeichnungen.

Muss ich meine Dateien nach dem Wechsel zu Vertraulichkeitsbezeichnungen und der einheitlichen Bezeichnungsplattform erneut verschlüsseln?

Nein, Sie müssen Ihre Dateien nicht erneut verschlüsseln, nachdem Sie vom klassischen AIP-Client und den im Azure-Portal verwalteten Etiketten auf Vertraulichkeitsbezeichnungen und die einheitliche Bezeichnungsplattform migriert haben.

Verwalten Sie nach der Migration Ihre Bezeichnungen und Bezeichnungsrichtlinien aus dem Microsoft 365 Compliance Center.

Weitere Informationen finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen in der Microsoft 365-Dokumentation und im Blog Verstehen der Migration zu einheitlicher Bezeichnung.

Was ist der Unterschied zwischen Bezeichnungen in Microsoft 365 und Bezeichnungen in Azure Information Protection?

Ursprünglich hatten Microsoft 365 nur Aufbewahrungsbezeichnungen, mit denen Sie Dokumente und E-Mails für die Überwachung und Aufbewahrung klassifizieren konnten, wenn diese Inhalte in Microsoft 365 Diensten gespeichert wurden.

Im Gegensatz dazu können Sie in Azure Information Protection Bezeichnungen, die zum Zeitpunkt der Verwendung des klassischen AIP-Clients im Azure-Portal konfiguriert wurden, eine konsistente Klassifizierungs- und Schutzrichtlinie für Dokumente und E-Mails anwenden, ob sie lokal oder in der Cloud gespeichert wurden.

Microsoft 365 unterstützt Vertraulichkeitsbezeichnungen zusätzlich zu Aufbewahrungsbezeichnungen. Vertraulichkeitsbezeichnungen können im Microsoft 365 Compliance Center erstellt und konfiguriert werden.

Wenn Sie ältere AIP-Bezeichnungen im Azure-Portal konfiguriert haben, empfehlen wir, sie zu Vertraulichkeitsbezeichnungen und einheitlichem Bezeichnungsclient zu migrieren. Weitere Informationen finden Sie unter Tutorial: Migrieren vom klassischen Azure Information Protection-Client (AIP) zum Client für einheitliche Bezeichnungen.

Weitere Informationen finden Sie unter Bekanntgabe der Verfügbarkeit von Information Protection-Funktionen zum Schutz von vertraulichen Daten.

Ist der Azure Information Protection-Client nur für Abonnements geeignet, die Funktionen für Klassifizierung und Bezeichnung umfassen?

Nein. Der klassische AIP-Client kann auch mit Abonnements verwendet werden, die nur den Azure Rights Management-Dienst für den Datenschutz enthalten.

Wenn der klassische Client ohne eine Azure Information Protection-Richtlinie installiert wird, arbeitet der Client automatisch im Nur-Schutz-Modus, der es Benutzern ermöglicht, Rights Management-Vorlagen und benutzerdefinierte Berechtigungen anzuwenden.

Wenn Sie zu einem späteren Zeitpunkt ein Abonnement erwerben, das Klassifizierungen und Bezeichnungen umfasst, wechselt der Client beim Herunterladen der Azure Informationen Protection-Richtlinie automatisch in den Standardmodus.

Festlegen von Rechteverwaltungsbesitzern

Standardmäßig ist sowohl für Windows Server FCI als auch für den Azure Information Protection Scanner der Rechteverwaltungseigentümer auf das Konto gesetzt, das die Datei schützt.

Überschreiben Sie die Standardeinstellungen wie folgt:

• Windows Server FCI: Legen Sie als Besitzer für die Rechteverwaltung ein einziges Konto für alle Dateien fest, oder legen Sie den Besitzer für die Rechteverwaltung dynamisch für jede Datei fest.

  Um den Rights Management-Besitzer dynamisch festzulegen, verwenden Sie den Parameter -OwnerMail [Source File Owner Email] und seinen Wert. Durch diese Konfiguration wird die E-Mail-Adresse des Benutzers von Active Directory mithilfe des Benutzerkontonamens in der Owner-Eigenschaft der Datei abgerufen.

• Azure Information Protection Scanner: Legen Sie für neu geschützte Dateien den Besitzer der Rechteverwaltung auf ein einziges Konto für alle Dateien auf einem bestimmten Datenspeicher fest, indem Sie die Einstellung -Standard-Besitzer im Scannerprofil angeben.

  Das Dynamische Festlegen des Rechteverwaltungsbesitzers für jede Datei wird nicht unterstützt, und der Rechteverwaltungsbesitzer wird für zuvor geschützte Dateien nicht geändert.

  Hinweis

  Wenn der Scanner Dateien auf Websites und in Bibliotheken von SharePoint schützt, wird der Rights Management-Besitzer dynamisch für jede Datei mithilfe des SharePoint-Editorwerts festgelegt.

Kann eine Datei über mehr als eine Klassifizierung verfügen?

Benutzer können für jedes Dokument und jede E-Mail immer nur eine Bezeichnung gleichzeitig auswählen, was oft zu nur einer Klassifizierung führt. Wenn Benutzer jedoch eine untergeordnete Bezeichnung auswählen, werden zwei Bezeichnungen zur gleichen Zeit angewendet: eine primäre Bezeichnung und eine sekundäre Bezeichnung. Durch die Verwendung von untergeordneten Bezeichnungen kann eine Datei über zwei Klassifizierungen verfügen, die eine Über-/Untergeordnet-Beziehung für eine zusätzliche Kontrollebene markieren.

Beispielsweise könnte die Bezeichnung Vertraulich Unterbezeichnungen wie z.B. Legal (Recht) und Finance (Finanzen) enthalten. Sie können unterschiedliche visuelle Klassifizierungskennzeichnungen und unterschiedliche Rights Management-Vorlagen auf diese Unterbezeichnungen anwenden. Ein Benutzer kann die Bezeichnung Vertraulich nicht selbst auswählen, sondern nur eine der untergeordneten Bezeichnungen, z.B. Legal (Recht). Daher wird als festgelegte Bezeichnung Confidential \ Legal (Vertraulich\Recht) angezeigt. Die Metadaten für diese Datei enthalten eine benutzerdefinierte Texteigenschaft für Confidential (Vertraulich), eine benutzerdefinierte Texteigenschaft für Legal (Recht) und eine weitere mit beiden Werten (Confidential Legal (Vertraulich Recht)).

Bei der Verwendung von untergeordneten Bezeichnungen konfigurieren Sie optische Kennzeichnungen, Schutz und Bedingungen für die primäre Bezeichnung. Bei der Verwendung von Unterebenen konfigurieren Sie diese Einstellungen nur für die untergeordnete Bezeichnung. Wenn Sie diese Einstellungen für die übergeordnete und deren untergeordnete Bezeichnung konfigurieren, haben die Einstellungen der untergeordneten Bezeichnung Vorrang.

Wie hindere ich jemanden daran, eine Bezeichnung zu entfernen oder zu ändern?

Obwohl es eine Richtlinieneinstellung gibt, die von Benutzern verlangt, dass sie angeben, warum sie eine Klassifizierung herabsetzen, eine Kennzeichnung entfernen oder den Schutz aufheben, verhindert diese Einstellung diese Aktionen nicht. Um zu verhindern, dass Benutzer eine Beschriftung entfernen oder ändern können, muss der Inhalt bereits geschützt sein und die Schutzberechtigung darf dem Benutzer nicht das Export- oder Vollkontrollrecht gewähren

Wie können DLP-Lösungen und andere Anwendungen in Azure Information Protection integriert werden?

Da Azure Information Protection persistente Metadaten für die Klassifizierung verwendet, die eine Klartextbezeichnung enthalten, können diese Informationen von DLP-Lösungen und anderen Anwendungen gelesen werden.

Weitere Informationen zu diesen Metadaten finden Sie unter In E-Mails und Dokumenten gespeicherte Bezeichnungsinformationen.

Beispiele für die Verwendung dieser Metadaten mit Exchange Online-Nachrichtenflussregeln finden Sie unter Konfigurieren von Exchange Online-Nachrichtenflussregeln für Azure Information Protection-Bezeichnungen.

Kann ich eine Dokumentvorlage erstellen, die automatisch die Klassifizierung umfasst?

Ja. Sie können eine Bezeichnung konfigurieren, um eine Kopf- oder Fußzeile anzuwenden, die den Namen der Bezeichnung enthält. Wenn dies jedoch nicht Ihren Anforderungen entspricht, können Sie nur für den klassischen Client von Azure Information Protection eine Dokumentvorlage mit der gewünschten Formatierung erstellen und die Klassifizierung als Feldcode hinzufügen.

Beispielsweise könnten Sie eine Tabelle in der Kopfzeile des Dokuments einrichten, die die Klassifizierung angezeigt. Verwenden Sie alternativ eine bestimmte Formulierung für eine Einführung, die auf die Klassifizierung des Dokuments verweist.

So fügen Sie diesen Feldcode Ihrem Dokument hinzu:

1. Geben Sie dem Dokument eine Bezeichnung, und speichern Sie es. So werden neue Metadatenfelder erstellt, die Sie jetzt für Ihren Feldcode verwenden können.

2. Positionieren Sie den Cursor im Dokument dort, wo Sie die Bezeichnung der Klassifizierung hinzufügen möchten, und wählen Sie anschließend auf der Registerkarte EinfügenText>Schnellbausteine>Feld aus.

3. Wählen Sie im Dialogfeld Feld in der Dropdownliste KategorienDokumentinformationen aus. Wählen Sie dann in der Dropdownliste FeldernamenDocProperty aus.

4. Wählen Sie in der Dropdownliste EigenschaftVertraulichkeit und dann OK.

Die aktuelle Klassifizierung der Bezeichnung wird im Dokument angezeigt, und dieser Wert wird automatisch aktualisiert, wenn Sie das Dokument öffnen oder die Vorlage verwenden. Wenn sich also die Bezeichnung ändert, wird die Klassifizierung, die für diesen Feldcode angezeigt wird, automatisch im Dokument aktualisiert.

Wie unterscheidet sich die Klassifizierung von E-Mails mit Azure Information Protection von der Klassifizierung von Exchange-Nachrichten?

Die Exchange-Nachrichtenklassifizierung ist eine ältere Funktion, mit der E-Mails klassifiziert werden können, und sie wird unabhängig von Azure Information Protection-Etiketten oder Sensitivitätslabels implementiert, die die Klassifizierung anwenden.

Sie können diese ältere Funktion jedoch in Etiketten integrieren, so dass bei der Klassifizierung einer E-Mail durch Outlook im Web und durch einige mobile E-Mail-Anwendungen die Etikettenklassifizierung und die entsprechenden Etikettenmarkierungen automatisch hinzugefügt werden.

Auf dieselbe Weise können Sie Ihre Bezeichnungen mit Outlook im Web und diesen mobilen E-Mail-Anwendungen verwenden.

Beachten Sie, dass dies nicht erforderlich ist, wenn Sie Outlook im Web mit Exchange Online verwenden, da diese Kombination integrierte Bezeichnungen unterstützt, wenn Sie Vertraulichkeitsbezeichnungen aus dem Microsoft 365 Compliance Center veröffentlichen.

Wenn Sie die integrierte Beschriftung mit Outlook im Web nicht verwenden können, lesen Sie die Konfigurationsschritte für diese Problemlösung: Integration mit der alten Exchange-Nachrichtenklassifizierung

Wie konfiguriere ich einen Mac-Computer zum Schützen und Nachverfolgen von Dokumenten?

Stellen Sie zuerst anhand des Softwareinstallationslinks unter https://admin.microsoft.com sicher, dass Office für Mac installiert ist. Vollständige Anweisungen finden Sie unter Herunterladen und Installieren oder erneutes Installieren von Microsoft 365 oder Office 2019 auf einem PC oder Mac.

Öffnen Sie Outlook, und erstellen Sie ein Profil, indem Sie Ihr Microsoft 365-Geschäfts-, Schul- oder Unikonto verwenden. Erstellen Sie anschließend eine neue Nachricht, und führen Sie die folgenden Schritte aus, um Office so zu konfigurieren, dass Dokumente und E-Mails mithilfe von Azure Rights Management-Service geschützt werden können:

1. Klicken Sie in der neuen Nachricht auf der Registerkarte Optionen auf Berechtigungen, und klicken Sie dann auf Anmeldeinformationen überprüfen.

2. Wenn Sie dazu aufgefordert werden, geben Sie die Details Ihres Microsoft 365-Geschäfts-, Schul- oder Unikontos erneut an, und wählen Sie dann Anmelden aus.

   Die Azure Rights Management-Vorlagen werden nun heruntergeladen, und Anmeldeinformationen überprüfen wird durch Optionen wie Keine Einschränkungen, Nicht weiterleiten und alle Azure Rights Management-Vorlagen ersetzt, die für Ihren Mandanten veröffentlicht werden. Sie können diese neue Nachricht jetzt abbrechen.

So schützen Sie eine E-Mail-Nachricht oder ein Dokument: Klicken Sie auf der Registerkarte Optionen auf Berechtigungen, und wählen Sie eine Option oder eine Vorlage aus, die Ihre E-Mail oder Ihr Dokument schützt.

So verfolgen Sie ein Dokument nach, nachdem Sie es geschützt haben: Auf einem Windows-Computer, auf dem der klassische Azure Information Protection-Client installiert ist, registrieren Sie das Dokument mithilfe einer Office-Anwendung oder des Datei-Explorers bei der Dokumentnachverfolgungs-Website. Anweisungen hierzu finden Sie unter Nachverfolgen und Widerrufen Ihrer Dokumente. Von Ihrem Mac-Computer aus können Sie nun mit Ihrem Webbrowser die Website zur Dokumentenverfolgung (https://track.azurerms.com) aufrufen, um dieses Dokument zu verfolgen und zu widerrufen.

Wenn ich den Widerruf auf der Dokumentnachverfolgungsseite teste, sehe ich eine Meldung, die besagt, dass Personen bis zu 30 Tage lang auf das Dokument zugreifen können. Ist dieser Zeitraum konfigurierbar?

Ja. Diese Meldung gibt die Nutzungslizenz für diese bestimmte Datei an.

Wenn Sie eine Datei widerrufen, kann diese Aktion nur erzwungen werden, wenn sich der Benutzer bei Azure Rights Management Service authentifiziert. Wenn eine Datei also eine Gültigkeitsdauer der Nutzungslizenz von 30 Tagen aufweist und der Benutzer das Dokument bereits geöffnet hat, hat dieser Benutzer für die Dauer der Nutzungslizenz weiterhin Zugriff auf das Dokument. Wenn die Nutzungslizenz abläuft, muss sich der Benutzer erneut authentifizieren. Daraufhin wird dem Benutzer der Zugriff verweigert, da das Dokument nun widerrufen ist.

Der Benutzer, der das Dokument geschützt hat (der Rights Management-Herausgeber), ist von diesem Widerruf ausgenommen und kann jederzeit auf seine Dokumente zugreifen.

Der Standardwert für den Gültigkeitszeitraum der Nutzungslizenz für einen Mandanten beträgt 30 Tage. Diese Einstellung kann durch eine restriktivere Einstellung in einer Bezeichnung oder einer Vorlage überschrieben werden. Weitere Informationen zur Nutzungslizenz und deren Konfiguration finden Sie in der Dokumentation zur Rights Management-Nutzungslizenz.

Was ist der Unterschied zwischen BYOK und HYOK, und wann sollte ich welche Option verwenden?

Bring Your Own Key (BYOK) im Kontext von Azure Information Protection bedeutet, dass Sie Ihren eigenen Schlüssel für den Schutz von Azure Rights Management lokal erstellen. Anschließend übertragen Sie diesen Schlüssel an ein Hardwaresicherheitsmodul (HSM) in Azure Key Vault, wo Sie weiterhin Besitzer des Schlüssels sind und diesen verwalten. Wenn Sie nicht so vorgegangen wären, würde der Schutz von Azure Rights Management einen Schlüssel verwenden, der automatisch für Sie in Azure erstellt und verwaltet wird. Diese Standardkonfiguration wird als „von Microsoft verwaltet“ und nicht als „vom Kunden verwaltet“ (Option BYOK) bezeichnet.

Weitere Informationen zu BYOK und dazu, ob Sie diese Schlüsseltopologie für Ihre Organisation auswählen sollten, finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Hold Your Own Key (HYOK) im Kontext von Azure Information Protection eignet sich für einige wenige Organisationen, die über eine Teilmenge von Dokumenten oder E-Mails verfügen, die nicht durch einen Schlüssel geschützt werden können, der in der Cloud gespeichert ist. Für diese Organisationen gilt diese Einschränkung selbst dann, wenn sie den Schlüssel erstellt haben und mit BYOK verwalten. Die Einschränkung kann oft aus rechtlichen oder Konformitätsgründen erfolgen, und die HYOK-Konfiguration sollte nur auf Informationen des Typs „Top Secret“ angewendet werden, die niemals außerhalb der Organisation freigegeben werden, nur im internen Netzwerk genutzt werden und nicht von mobilen Geräten aus zugänglich sein müssen.

Für diese Ausnahmen (in der Regel weniger als 10 % des gesamten zu schützenden Inhalts) können Unternehmen eine lokale Lösung (Active Directory Rights Management Services) verwenden, um den Schlüssel zu erstellen, der lokal gespeichert bleibt. Mit dieser Lösung erhalten Computer ihre Azure Information Protection-Richtlinie aus der Cloud, aber diese identifizierten Inhalte können durch Verwendung des lokalen Schlüssels geschützt werden.

Weitere Informationen zu HYOK und zu den Grenzen und Einschränkungen von HYOK sowie Hinweise zur Verwendung finden Sie unter HYOK-Anforderungen (Hold Your Own Key) und -Einschränkungen für den AD RMS-Schutz.

Was tue ich, wenn meine Frage nicht dabei ist?

Gehen Sie zunächst die unten aufgeführten häufig gestellten Fragen durch, die sich speziell auf die Einstufung und Bezeichnung oder den Datenschutz beziehen. Der Azure Rights Management-Dienst (Azure RMS) bietet die Datenschutztechnologie für Azure Information Protection. Azure RMS kann zusammen mit einer Klassifizierung oder Bezeichnung verwendet werden. Es kann aber auch eigenständig genutzt werden.

• Häufig gestellte Fragen zu Azure Information Protection

• Häufig gestellte Fragen zur Klassifizierung und Kennzeichnung

• Häufig gestellte Fragen zum Datenschutz

Wenn Ihre Frage nicht beantwortet wird, sehen Sie sich die unter Informationen und Support für Azure Information Protection aufgeführten Links und Ressourcen an.

Darüber hinaus gibt es häufig gestellte Fragen (FAQs) für Benutzer:

• Häufig gestellte Fragen zur Azure Information Protection-App für iOS und Android

• Häufig gestellte Fragen (FAQ) zur RMS-Freigabeanwendung für Mac-Computer