Administratorhandbuch: Benutzerdefinierte Konfigurationen für den klassischen Azure Information Protection-Client
Verwenden Sie die folgenden Informationen für erweiterte Konfigurationen, die Sie bei der Verwaltung des Azure Information Protection-Clients möglicherweise für spezifische Szenarien oder eine Teilmenge der Benutzer benötigen.
Einige dieser Einstellungen erfordern die Bearbeitung der Registrierung. Andere sind erweiterte Einstellungen, die Sie im Azure-Portal konfigurieren und anschließend für das Herunterladen durch Clients veröffentlichen müssen.
So konfigurieren Sie erweiterte Einstellungen für die Classic-Client-Konfiguration im Portal
Falls Sie dies noch nicht getan haben, melden Sie sich in einem neuen Browserfenster beim Azure-Portal an und navigieren Sie dann zum Bereich Azure Information Protection.
In der Menüoption Klassifizierungen>Etiketten: Wählen Sie Richtlinien.
Wählen Sie in der Fensterfläche Azure Information Protection - Richtlinien das Kontextmenü (...) neben der Richtlinie, die die erweiterten Einstellungen enthalten soll. Wählen Sie dann Erweiterte Einstellungen aus.
Sie können erweiterte Einstellungen für die globale Richtlinie sowie für bereichsbezogene Richtlinien konfigurieren.
Geben Sie im Fenster Erweiterte Einstellungen den Namen und den Wert der erweiterten Einstellung ein, und wählen Sie dann Speichern und schließen.
Stellen Sie sicher, dass Benutzer, für die diese Richtlinie gilt, alle Office-Anwendungen neu starten, die geöffnet waren.
Wenn Sie die Einstellung nicht mehr benötigen und zum Standardverhalten zurückkehren möchten: Wählen Sie im Fenster Erweiterte Einstellungen das Kontextmenü (...) neben der Einstellung, die Sie nicht mehr benötigen, und wählen Sie dann Löschen. Klicken Sie anschließend auf Speichern und Schließen.
Verfügbare erweiterte Classic-Client-Einstellungen
Verhindern von Anmeldeaufforderungen für Computer, die nur AD RMS verwenden
Der Azure Information Protection-Client versucht standardmäßig, eine Verbindung mit dem Azure Information Protection-Dienst herzustellen. Diese Konfiguration kann bei Computern, die nur mit AD RMS kommunizieren, zu einer unnötigen Anmeldeaufforderung für Benutzer führen. Sie können diese Anmeldeaufforderung verhindern, indem Sie die Registrierung bearbeiten:
Suchen Sie nach dem folgenden Wertnamen, und legen Sie anschließend die Wertdaten auf 0 fest:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Unabhängig von dieser Einstellung folgt der Azure Information Protection-Client dem Prozess zur RMS-Diensterkennung, um sein AD RMS-Cluster zu finden.
Anmelden als ein anderer Benutzer
In einer Produktionsumgebung müssen sich Benutzer in der Regel nicht als ein anderer Benutzer anmelden, wenn sie den Azure Information Protection-Client verwenden. Allerdings müssen Sie sich als Administrator während einer Testphase möglicherweise als anderer Benutzer anmelden.
Sie können mithilfe des Dialogfelds Microsoft Azure Information Protection überprüfen, mit welchem Konto Sie gerade angemeldet sind: Öffnen Sie dazu eine Office-Anwendung, und klicken Sie auf der Registerkarte Start in der Gruppe Schutz auf Schützen, und klicken Sie dann auf Hilfe und Feedback. Ihr Kontoname wird im Abschnitt Clientstatus angezeigt.
Überprüfen Sie auf jeden Fall auch den Domänennamen des angezeigten angemeldeten Kontos. Es lässt sich leicht übersehen, dass Sie mit dem richtigen Kontonamen, aber bei der falschen Domäne angemeldet sind. Ein Hinweis auf das Verwenden des falschen Kontos können Fehler beim Herunterladen der Azure Information Protection-Richtlinie, die fehlende Anzeige der Bezeichnungen oder unerwartete Verhaltensweisen sein.
So melden Sie sich als ein anderer Benutzer an:
Navigieren Sie zu %localappdata%\Microsoft\MSIP, und löschen Sie die Datei TokenCache.
Starten Sie alle offenen Office-Anwendungen neu, und melden Sie sich mit einem anderen Benutzerkonto an. Wenn in Ihrer Office-Anwendung keine Eingabeaufforderung für die Anmeldung beim Azure Information Protection-Dienst angezeigt wird, kehren Sie zum Dialogfeld Microsoft Azure Information Protection zurück, und klicken Sie im aktualisierten Abschnitt Clientstatus auf Anmelden.
Außerdem zu beachten:
Wenn der Azure Information Protection-Client nach Abschluss dieser Schritte noch mit dem alten Konto angemeldet ist, löschen Sie im Internet Explorer alle Cookies, und wiederholen Sie dann die Schritte 1 und 2.
Wenn Sie einmaliges Anmelden nutzen, müssen Sie sich bei Windows abmelden und mit einem anderen Benutzerkonto erneut anmelden, nachdem Sie die Tokendatei gelöscht haben. Der Azure Information Protection-Client wird automatisch mit Ihrem aktuell angemeldeten Benutzerkonto authentifiziert.
Diese Lösung wird unterstützt, wenn Sie sich als anderer Benutzer des gleichen Mandanten anmelden möchten. Diese Lösung wird nicht unterstützt, wenn Sie sich als anderer Benutzer eines anderen Mandanten anmelden möchten. Um Azure Information Protection mit mehreren Mandanten zu testen, verwenden Sie verschiedene Computer.
Sie können die Option Einstellungen zurücksetzen unter Hilfe und Feedback verwenden, um sich abzumelden und die aktuell heruntergeladene Azure Information Protection-Richtlinie zu löschen.
Erzwingen des reinen Schutzmodus, wenn die Organisation über eine Kombination verschiedener Lizenzen verfügt
Wenn Ihr Unternehmen keine Lizenzen für Azure Information Protection, aber Lizenzen für Microsoft 365 besitzt, die den Azure Rights Management-Dienst zum Schutz von Daten enthalten, läuft der AIP-Klassik-Client automatisch im Nur-Schutz-Modus.
Wenn Ihre Organisation jedoch über ein Abonnement für Azure Information Protection verfügt, können standardmäßig alle Windows-Computer die Azure Information Protection-Richtlinie herunterladen. Der Azure Information Protection-Client ist nicht für die Überprüfung und Erzwingung von Lizenzen zuständig.
Wenn Sie einige Benutzer haben, die keine Lizenz für Azure Information Protection haben, aber eine Lizenz für Microsoft 365 haben, die den Azure Rights Management-Dienst enthält, bearbeiten Sie die Registrierung auf den Computern dieser Benutzer, um zu verhindern, dass die Benutzer die nicht lizenzierten Klassifizierungs- und Bezeichnungsfunktionen von Azure Information Protection ausführen.
Suchen Sie den folgenden Wertnamen und setzen Sie die Wertdaten auf 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Überprüfen Sie außerdem, ob auf diesen Computern eine Datei namens Policy.msip im Ordner %LocalAppData%\Microsoft\MSIP vorhanden ist. Wenn diese Datei vorhanden ist, löschen Sie sie. Diese Datei enthält die Azure Information Protection-Richtlinie und wurde möglicherweise heruntergeladen, bevor Sie die Registrierung bearbeitet haben. Die Datei kann auch vorhanden sein, wenn der Azure Information Protection-Client mit der Demooption installiert wurde.
Add "Report an Issue" for users ("Problem melden" für Benutzer hinzufügen)
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie die folgende erweiterte Clienteinstellung angeben, wird Benutzern die Option Problem melden angezeigt, die sie aus dem Clientdialogfeld Hilfe und Feedback auswählen können. Geben Sie eine HTTP-Zeichenfolge für den Link an. Beispiele dafür sind eine benutzerdefinierte Webseite, über die Benutzer Probleme melden, oder eine E-Mail-Adresse, die E-Mails an Ihren Helpdesk weiterleitet.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Key: ReportAnIssueLink
Wert: <HTTP-String>
Beispielwert für eine Website: https://support.contoso.com
Beispielwert für eine E-Mail-Adresse: mailto:helpdesk@contoso.com
Ausblenden der Menüoption „Klassifizieren und schützen“ im Windows-Dateiexplorer
Erstellen Sie den folgenden DWORD-Wert (mit beliebigen Wertdaten):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Unterstützung für getrennte Computer
Der Azure Information Protection-Client versucht standardmäßig, eine Verbindung mit dem Azure Information Protection-Dienst herzustellen, um die neueste Azure Information Protection-Richtlinie herunterzuladen. Wenn Sie Computer haben, von denen Sie wissen, dass sie für eine gewisse Zeit keine Verbindung zum Internet herstellen können, können Sie verhindern, dass der Client versucht, eine Verbindung zum Dienst herzustellen, indem Sie die Registrierung bearbeiten.
Beachten Sie, dass der Client ohne Internetverbindung keinen Schutz anwenden (oder entfernen) kann, indem er den Cloud-basierten Schlüssel Ihres Unternehmens verwendet. Stattdessen ist der Client auf die Verwendung von Bezeichnungen beschränkt, für die ausschließlich die Klassifizierung verwendet wird, oder auf den Schutz mit HYOK.
Sie können eine Anmeldeaufforderung für den Azure Information Protection-Dienst verhindern, indem Sie eine erweiterte Clienteinstellung verwenden. Diese müssen Sie im Azure-Portal konfigurieren und die Richtlinie dann für Computer herunterladen. Darüber hinaus können Sie dies diese Anmeldeaufforderung verhindern, indem Sie die Registrierung bearbeiten:
So konfigurieren Sie die erweiterte Clienteinstellung:
Geben Sie die folgende Zeichenfolge ein:
Schlüssel: PullPolicy
Wert: FALSE
Laden Sie die Richtlinie mit dieser Einstellung herunter und installieren Sie sie auf Computern, indem Sie die folgenden Anweisungen befolgen.
Alternativ können Sie auch die Registrierung bearbeiten:
Suchen Sie nach dem folgenden Wertnamen, und legen Sie anschließend die Wertdaten auf 0 fest:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Der Client benötigt eine gültige Richtliniendatei Policy.msip im Ordner %LocalAppData%\Microsoft\MSIP.
Sie können die globale oder eine bereichsbezogene Richtlinie aus dem Azure-Portal exportieren und die exportierte Datei auf den Clientcomputer kopieren. Sie können mithilfe dieser Methode auch eine veraltete Richtliniendatei durch die neueste Richtlinie ersetzen. Der Export der Richtlinie unterstützt jedoch nicht das Szenario, in dem ein Benutzer zu mehr als einer bereichsbezogenen Richtlinie gehört. Beachten Sie auch Folgendes: Wenn Benutzer die Option Einstellungen zurücksetzen aus Hilfe und Feedback auswählen, löscht diese Aktion die Richtliniendatei und macht den Client funktionsunfähig, bis Sie die Richtliniendatei manuell ersetzen, oder der Client eine Verbindung mit dem Dienst zum Herunterladen der Richtlinie herstellt.
Wenn Sie die Richtlinie aus dem Azure-Portal exportieren, wird eine ZIP-Datei heruntergeladen, die mehrere Versionen der Richtlinie enthält. Diese Richtlinienversionen entsprechen verschiedenen Versionen des Azure Information Protection-Clients:
Entzippen Sie die Datei, und verwenden Sie die folgende Tabelle, um zu identifizieren, welche Richtliniendatei Sie benötigen.
Dateiname Entsprechende Clientversion Policy1.1.msip Version 1.2 Policy1.2.msip Version 1.3 – 1.7 Policy1.3.msip Version 1.8 – 1.29 Policy1.4.msip Version 1.32 und höher Benennen Sie die identifizierte Datei in Policy.msip um und kopieren Sie sie dann in den Ordner %LocalAppData%\Microsoft\MSIP auf Computern, auf denen der Azure Information Protection-Client installiert ist.
Wenn auf Ihrem getrennten Computer der aktuellen GA-Version von Azure Information Protection-Scanner ausgeführt wird, müssen Sie zusätzliche Konfigurationsschritte durchführen. Für weitere Informationen siehe Einschränkung: Der Scannerserver kann nicht über eine Internetverbindung verfügen, wie in den Voraussetzungen zur Scannerinstallation angegeben.
Ausblenden oder Anzeigen der Schaltfläche „Nicht weiterleiten“ in Outlook
Das empfohlene Vorgehen zum Konfigurieren dieser Option ist die Verwendung der RichtlinieneinstellungAdd the Do Not Forward button to the Outlook ribbon (Die Schaltfläche „Nicht weiterleiten“ dem Outlook-Menüband hinzufügen). Allerdings können Sie diese Option auch mithilfe einer erweiterten Clienteinstellung konfigurieren. Dies können Sie über das Azure-Portal durchführen.
Wenn Sie diese Einstellung konfigurieren, wird die Schaltfläche Nicht weiterleiten auf dem Menüband in Outlook ausgeblendet oder angezeigt. Diese Einstellung hat keine Auswirkung auf die Option „Nicht weiterleiten“ der Office-Menüs.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: DisableDNF
Wert: TRUE zum Ausblenden der Schaltfläche, FALSE zum Anzeigen der Schaltfläche
Verfügbar- oder Nicht-Verfügbarmachen der Optionen für benutzerdefinierte Berechtigungen für Benutzer
Das empfohlene Vorgehen zum Konfigurieren dieser Option ist die Verwendung der RichtlinieneinstellungMake the custom permissions option available for users (Die benutzerdefinierte Berechtigungsoption für Benutzer verfügbar machen). Allerdings können Sie diese Option auch mithilfe einer erweiterten Clienteinstellung konfigurieren. Dies können Sie über das Azure-Portal durchführen.
Wenn Sie diese Einstellung konfigurieren und die Richtlinie für Benutzer veröffentlichen, werden die benutzerdefinierten Berechtigungsoptionen für Benutzer sichtbar, woraufhin diese ihre eigenen Schutzeinstellungen auswählen können. Alternativ werden die Optionen ausgeblendet, damit Benutzer ihre Schutzeinstellungen nicht auswählen können, es sei denn, sie werden dazu aufgefordert.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: EnableCustomPermissions
Wert: TRUE, um die Option für benutzerdefinierte Berechtigungen anzuzeigen. FALSE, um diese Option auszublenden.
Ständiges Anzeigen von benutzerdefinierten Berechtigungen für Benutzer im Dateiexplorer für mit benutzerdefinierten Berechtigungen geschützte Dateien
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie die RichtlinieneinstellungOption für benutzerdefinierte Berechtigungen für Benutzer verfügbar machen oder die entsprechende Clienteinstellung im vorherigen Abschnitt konfigurieren, können Benutzer benutzerdefinierte Berechtigungen nicht sehen oder ändern, die für ein geschütztes Dokument bereits festgelegt wurden.
Wenn Sie diese erweiterte Clienteinstellung erstellen und konfigurieren, können Benutzer Berechtigungen für ein geschütztes Dokument sehen und ändern, wenn sie den Dateiexplorer verwenden, und mit der rechten Maustaste auf die Datei klicken. Die Option Benutzerdefinierte Berechtigungen über die Schaltfläche Schützen auf dem Office-Menüband bleibt ausgeblendet.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: EnableCustomPermissionsForCustomProtectedFiles
Wert: True
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Azure Information Protection-Leiste dauerhaft ausblenden
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen. Verwenden Sie diese nur, wenn die RichtlinieneinstellungDisplay the Information Protection bar in Office apps (Die Information Protection-Leiste in Office-Apps anzeigen) auf Ein festgelegt ist.
Wenn ein Benutzer standardmäßig die Option Leiste anzeigen von der Registerkarte Start entfernt, werden die Schutzgruppe, die Schaltfläche Schützen und die Leiste „Information Protection“ nicht länger in der Office-App angezeigt. Die Leiste wird jedoch automatisch wieder beim nächsten Öffnen der Office-App angezeigt.
Verwenden Sie diese Clienteinstellung, um zu verhindern, dass die Leiste automatisch wieder angezeigt wird, nachdem der Benutzer diese ausgeblendet hat. Diese Einstellung hat keine Auswirkung, wenn der Benutzer die Leiste mithilfe des Symbols Diese Leiste schließen schließt.
Obwohl die Azure Information Protection-Leiste ausgeblendet bleibt, können Benutzer weiterhin eine Bezeichnung auf einer vorübergehend angezeigten Leiste auswählen, wenn Sie die empfohlene Klassifizierung konfiguriert haben oder ein Dokument oder eine E-Mail eine Bezeichnung aufweisen muss.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: EnableBarHiding
Wert: True
Aktivieren der Unterstützung der Reihenfolge für untergeordnete Bezeichnungen bei Anlagen
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Verwenden Sie diese Einstellung, wenn Sie über untergeordnete Bezeichnungen verfügen und die folgende Richtlinieneinstellung konfiguriert haben:
- Für E-Mail-Nachrichten mit Anlagen eine Bezeichnung anwenden, die der höchsten Einstufung dieser Anlagen entspricht
Konfigurieren Sie die folgenden Zeichenfolgen:
Schlüssel: CompareSubLabelsInAttachmentAction
Wert: True
Ohne diese Einstellung wird die erste Bezeichnung, die unter der übergeordneten Bezeichnung mit der höchsten Klassifizierung gefunden wird, auf die E-Mail angewendet.
Mit dieser Einstellung wird die untergeordnete Bezeichnung, die sich am nächsten zur übergeordneten Bezeichnung mit der höchsten Klassifizierung befindet, auf die E-Mail angewendet. Wenn Sie Bezeichnungen neu anordnen müssen, um die gewünschte Bezeichnung auf dieses Szenario anzuwenden, informieren Sie sich unter Löschen oder Ändern der Position einer Bezeichnung für Azure Information Protection.
Ausgenommen Outlook Nachrichten von obligatorischer Bezeichnung
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie die Richtlinieneinstellung Alle Dokumente und E-Mails müssen eine Bezeichnung haben aktivieren, müssen alle gespeicherten Dokumente und gesendeten E-Mails mit einer Bezeichnung versehen werden. Wenn Sie die folgende erweiterte Einstellung konfigurieren, gilt die Richtlinieneinstellung nur für Office Dokumente und nicht für Outlook Nachrichten.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: DisableMandatoryInOutlook
Wert: True
Aktivieren der empfohlenen Klassifizierung in Outlook
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie eine Bezeichnung für die empfohlene Klassifizierung konfigurieren, werden Benutzer dazu aufgefordert, die empfohlene Bezeichnung in Word, Excel und PowerPoint anzunehmen oder abzulehnen. Diese Einstellung erweitert diese Bezeichnungsempfehlung, sodass sie auch in Outlook angezeigt wird.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: OutlookRecommendationEnabled
Wert: True
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgeben
Diese Konfiguration verwendet mehrere erweiterte Clienteinstellungen, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie die folgenden erweiterten Clienteinstellungen erstellen und konfigurieren, werden Benutzern Popupmeldungen in Outlook angezeigt, die sie vor dem Senden einer E-Mail warnen können, oder sie nach einer Legitimierung fragen, warum sie eine E-Mail versenden, oder sie aus folgenden Gründen davon abhalten, eine E-Mail zu senden:
Die E-Mail oder der E-Mail-Anhang hat eine bestimmte Bezeichnung:
- Der Anhang kann einen beliebigen Dateityp haben
Die E-Mail oder der E-Mail-Anhang hat keine bestimmte Bezeichnung:
- Der Anhang kann ein Office-Dokument oder ein PDF-Dokument sein
Wenn diese Bedingungen erfüllt sind, wird dem Benutzer eine Popupnachricht mit einer der folgenden Aktionen angezeigt:
Warnung: Der Benutzer kann bestätigen und senden, oder abbrechen.
Im Blocksatz ausrichten: Der Benutzer wird aufgefordert, sich zu rechtfertigen (vordefinierte Optionen oder Freitext). Der Benutzer kann dann die E-Mail senden oder abbrechen. Der Legitimationstext wird in den X-Header der E-Mail geschrieben, sodass dieser von anderen Systemen gelesen werden kann. Zum Beispiel von Diensten, die der Verhinderung von Datenverlust dienen.
Block: Der Benutzer wird daran gehindert, die E-Mail zu senden, solange die Bedingung besteht. Die Nachricht beinhaltet den Grund dafür, warum die E-Mail blockiert wird, sodass der Benutzer das Problem aufheben kann. So kann er z.B. bestimmte Empfänger entfernen, oder der E-Mail eine Bezeichnung hinzufügen.
Wenn sich die Popupnachrichten für eine bestimmte Bezeichnung befinden, können Sie Ausnahmen für Empfänger nach Domänennamen konfigurieren.
Die aus den Popup-Meldungen resultierenden Aktionen werden im lokalen Windows-Ereignisprotokoll Anwendungs- und Dienstprotokolle>Azure Information Protection protokolliert:
Warnmeldungen: Informations-ID 301
Legitimationsmeldungen: Informations-ID 302
Blockiermeldungen: Informations-ID 303
Beispielereigniseintrag aus einer Legitimationsmeldung:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
Die folgenden Abschnitte enthalten Konfigurationsanweisungen für jede erweiterte Client-Einstellung, und Sie können sie mit Tutorial: Konfigurieren von Azure Information Protection, um die Weitergabe von Informationen mit Outlook zu kontrollieren, selbst in Aktion sehen.
So werden die Popupmeldungen zum Warnen, zur Legitimation oder zum Blockieren für bestimme Bezeichnungen implementiert:
Um die Popupmeldungen für bestimmte Bezeichnungen implementieren zu können, benötigen Sie die Bezeichnungs-ID der entsprechenden Bezeichnungen. Der Wert der Bezeichnungs-ID wird im Bereich Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren. Bei Dateien, auf die Bezeichnungen angewendet wurden, können Sie auch das PowerShell-Cmdlet Get-AIPFileStatus ausführen, um die Bezeichnungs-ID (MainLabelId oder SubLabelId) zu identifizieren. Wenn eine Bezeichnung über untergeordnete Bezeichnungen verfügt, geben Sie immer die ID einer untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.
Erstellen Sie mit den folgenden Schlüsseln eine oder mehr der folgenden erweiterten Clienteinstellungen. Geben Sie als Werte ein oder mehrere Bezeichnungen mit deren IDs an, und trennen Sie die einzelnen Werte mit Kommas.
Beispielwert für mehrere Bezeichnungs-IDs als kommagetrennte Zeichenfolge: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Warnmeldungen:
Schlüssel: OutlookWarnUntrustedCollaborationLabel
Wert: <Label-IDs, kommagetrennt>
Legitimationsmeldungen:
Schlüssel: OutlookJustifyUntrustedCollaborationLabel
Wert: <Label-IDs, kommagetrennt>
Blockiermeldungen:
Schlüssel: OutlookBlockUntrustedCollaborationLabel
Wert: <Label-IDs, kommagetrennt>
So löschen Sie Domänennamen für Popupnachrichten, die für bestimmte Bezeichnungen konfiguriert sind
Für die Bezeichnungen, die Sie mit diesen Popupnachrichten angegeben haben, können Sie bestimmte Domänennamen ausnehmen, damit Benutzer die Nachrichten für Empfänger, die diesen Domänennamen in ihrer E-Mail-Adresse enthalten haben, nicht sehen. In diesem Fall werden die E-Mails problemlos gesendet. Wenn Sie mehrere Domänen angeben möchten, fügen Sie sie kommagetrennt als einzelne Zeichenfolge hinzu.
Eine übliche Konfiguration ist es, die Popupmeldungen nur für die Empfänger anzuzeigen, die nicht zu Ihrer Organisation gehören, oder die keine für Ihre Organisation autorisierte Partner sind. In diesem Fall geben Sie alle E-Mail-Domänen an, die von Ihrer Organisation und von Ihren Partnern verwendet werden.
Erstellen Sie die folgenden erweiterten Clienteinstellungen und geben Sie für den Wert eine oder mehrere Domänen an, die jeweils durch ein Komma getrennt sind.
Beispielwert für mehrere Domänen als kommagetrennte Zeichenfolge: contoso.com,fabrikam.com,litware.com
Warnmeldungen:
Schlüssel: OutlookWarnTrustedDomains
Wert: <Domänennamen, durch Komma getrennt>
Legitimationsmeldungen:
Schlüssel: OutlookJustifyTrustedDomains
Wert: <Domänennamen, durch Komma getrennt>
Blockiermeldungen:
Schlüssel: OutlookBlockTrustedDomains
Wert: <Domänennamen, durch Komma getrennt>
Sie haben beispielsweise die erweiterte Client-Einstellung OutlookBlockUntrustedCollaborationLabel für die Bezeichnung Vertraulich/Alle Mitarbeiter festgelegt. Sie geben nun die zusätzliche erweiterte Client-Einstellung von OutlookBlockTrustedDomains und contoso.com an. Infolgedessen kann ein Benutzer eine E-Mail an john@sales.contoso.com senden, wenn sie mit Vertraulich/Alle Mitarbeiter bezeichnet ist, wird aber daran gehindert, eine E-Mail mit der gleichen Bezeichnung an ein Google Mail-Konto zu senden.
So werden die Popupmeldungen zum Warnen, zur Legitimation oder zum Blockieren von E-Mails oder Anhängen implementiert, die keine Bezeichnung haben:
Erstellen Sie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:
Warnmeldungen:
Schlüssel: OutlookUnlabeledCollaborationAction
Wert: Warnen
Legitimationsmeldungen:
Schlüssel: OutlookUnlabeledCollaborationAction
Wert: Begründen
Blockiermeldungen:
Schlüssel: OutlookUnlabeledCollaborationAction
Wert: Block
Diese Meldungen deaktivieren:
Schlüssel: OutlookUnlabeledCollaborationAction
Wert: Aus
So definieren Sie bestimmte Dateinamenerweiterungen für die Warn-, Justify- (im Blocksatz ausrichten)- oder Block-Popupnachrichten für E-Mail-Anlagen, die keine Bezeichnung haben
Standardmäßig gelten die Warn-, Justify- (im Blocksatz ausrichten)- oder Block-Popupnachrichten für alle Office Dokumente und PDF-Dokumente. Sie können diese Liste verfeinern, indem Sie angeben, welche Dateinamenerweiterungen Warn-, Justify- (im Blocksatz ausrichten)- oder Block-Nachrichten mit einer zusätzlichen erweiterten Clienteigenschaft und einer durch Trennzeichen getrennten Liste von Dateinamenerweiterungen angezeigt werden sollen.
Beispielwert für mehrere Dateinamenerweiterungen, die als kommagetrennte Zeichenfolge zu definieren sind: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
In diesem Beispiel führt ein unbeschriftetes PDF-Dokument nicht zu Warnungen, Rechtfertigungen oder Blockieren von Popupnachrichten.
Key: OutlookOverrideUnlabeledCollaborationExtensions
Wert: <Dateinamenerweiterungen zur Anzeige von Meldungen, kommagetrennt>
So geben Sie eine andere Aktion für E-Mail-Nachrichten ohne Anlagen an
Standardmäßig gilt der Wert, den Sie für OutlookUnlabeledCollaborationAction angeben, um Popup-Nachrichten zu warnen, zu rechtfertigen oder zu blockieren, für E-Mails oder Anhänge, die keine Bezeichnung haben. Sie können diese Konfiguration verfeinern, indem Sie eine weitere erweiterte Clienteinstellung für E-Mail-Nachrichten angeben, die keine Anlagen besitzen.
Erstellen Sie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:
Warnmeldungen:
Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wert: Warnen
Legitimationsmeldungen:
Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wert: Begründen
Blockiermeldungen:
Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wert: Block
Diese Meldungen deaktivieren:
Schlüssel: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Wert: Aus
Wenn Sie diese Client-Einstellung nicht angeben, wird der Wert, den Sie für OutlookUnlabeledCollaborationAction angeben, sowohl für unbeschriftete E-Mail-Nachrichten ohne Anhänge als auch für unbeschriftete E-Mail-Nachrichten mit Anhängen verwendet.
Festlegen anderer Standardbezeichnung für Outlook
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, wendet Outlook für die Einstellung Standardbezeichnung auswählen nicht die in der Azure Information Protection-Richtlinie konfigurierte Standardbezeichnung an. Stattdessen kann Outlook eine andere Standardbezeichnung oder gar keine Bezeichnung anwenden.
Um eine andere Bezeichnung anzuwenden, müssen Sie die Bezeichnungs-ID angeben. Der Wert der Bezeichnungs-ID wird im Bereich Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren. Bei Dateien, auf die Bezeichnungen angewendet wurden, können Sie auch das PowerShell-Cmdlet Get-AIPFileStatus ausführen, um die Bezeichnungs-ID (MainLabelId oder SubLabelId) zu identifizieren. Wenn eine Bezeichnung über untergeordnete Bezeichnungen verfügt, geben Sie immer die ID einer untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.
Damit Outlook nicht die Standardbezeichnung anwendet, geben Sie None (Keine) an.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: OutlookDefaultLabel
Wert: <Bezeichnungs-ID> oder Keine
Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwenden
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Verwenden Sie diese Einstellung nur, wenn Sie eine funktionierende S/MIME-Bereitstellung haben und eine Bezeichnung diese Schutzmethode automatisch auf E-Mails anwenden soll und nicht den Rights Management-Schutz vor Azure Information Protection. Der resultierende Schutz ist derselbe wie bei der manuellen Auswahl von S/MIME-Optionen in Outlook.
In dieser Konfiguration müssen Sie eine erweiterte Clienteinstellung namens LabelToSMIME für jede Azure Information Protection-Bezeichnung angeben, die S/MIME-Schutz anwenden soll. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:
[Azure Information Protection label ID];[S/MIME action]
Der Wert der Bezeichnungs-ID wird im Bereich Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren. Um S/MIME mit einer untergeordneten Bezeichnung zu verwenden, geben Sie immer die ID der untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung. Wenn Sie eine untergeordnete Bezeichnung angegeben, muss sich die übergeordnete Bezeichnung im gleichen Bereich oder in der globalen Richtlinie befinden.
Folgende S/MIME-Aktionen sind möglich:
Sign;Encrypt: Zum Anwenden einer digitalen Signatur und der S/MIME-VerschlüsselungEncrypt: Nur zum Anwenden der S/MIME-VerschlüsselungSign: Nur zum Anwenden einer digitalen Signatur
Beispielwerte für eine Bezeichnungs-ID von dcf781ba-727f-4860-b3c1-73479e31912b:
Zum Anwenden einer digitalen Signatur und der S/MIME-Verschlüsselung:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt
Nur zum Anwenden der S/MIME-Verschlüsselung:
dcf781ba-727f-4860-b3c1-73479e31912b;Encrypt
Nur zum Anwenden einer digitalen Signatur:
dcf781ba-727f-4860-b3c1-73479e31912b;Sign
Aufgrund dieser Konfiguration wird bei der Anwendung der Bezeichnung für eine E-Mail-Nachricht zusätzlich zur Klassifizierung der Bezeichnung auch der S/MIME-Schutz für die E-Mail angewendet.
Wenn die von Ihnen angegebene Bezeichnung für den Rights Management-Schutz im Azure-Portal konfiguriert ist, ersetzt der S/MIME-Schutz den Rights Management-Schutz nur in Outlook. Für alle anderen Szenarien, die eine Bezeichnung unterstützen, wird der Rights Management-Schutz angewendet.
Wenn die Bezeichnung nur in Outlook sichtbar sein soll, konfigurieren Sie die Bezeichnung so, dass sie die einzelne benutzerdefinierte Aktion von Nicht weiterleiten anwendet, wie im Abschnitt Schnellstart: Konfigurieren einer Bezeichnung für Benutzer zum einfachen Schützen von E-Mails, die vertraulichen Informationen enthalten beschrieben.
„Not now“ („Nicht jetzt“) für Dokumente bei Verwendung der obligatorischen Bezeichnung entfernen
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie die RichtlinieneinstellungAll documents and emails must have a label (Alle Dokumente und E-Mails müssen eine Bezeichnung haben) verwenden, werden die Benutzer beim ersten Speichern eines Offices-Dokuments und beim Senden einer E-Mail dazu aufgefordert, eine Bezeichnung zu wählen. Bei Office-Dokumenten können Benutzer Not now (nicht jetzt) wählen, um die Aufforderung zum Auswählen einer Bezeichnung vorübergehend zu schließen und zum Dokument zurückzukehren. Sie können das gespeicherte Dokument jedoch nicht schließen, ohne es zu bezeichnen.
Wenn Sie diese Einstellung konfigurieren, wird die Option Not now (nicht jetzt) entfernt, sodass die Benutzer eine Bezeichnung wählen müssen, wenn das Dokument zum ersten Mal gespeichert wird.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: PostponeMandatoryBeforeSave
Wert: FALSE
Aktivieren der dauerhaft im Hintergrund ausgeführten Klassifizierung
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, ändert sich das Standardverhalten, wie der Azure Information Protection-Client automatische und empfohlene Bezeichnungen auf Dokumente anwendet, wie folgt:
Für Word, Excel und PowerPoint wird die automatische Klassifizierung für Dokumente ständig im Hintergrund ausgeführt.
Das Verhalten für Outlook ändert sich nicht.
Wenn der Azure Information Protection-Client Dokumente regelmäßig auf die von Ihnen festgelegten Bedingungsregeln überprüft, ermöglicht dieses Verhalten eine automatische und empfohlene Klassifizierung und einen Schutz für Dokumente, die in Microsoft SharePoint gespeichert sind. Große Dateien werden schneller gespeichert, da die Bedingungsregeln bereits ausgeführt wurden.
Diese Bedingungsregeln werden nicht in Echtzeit, während der Benutzer tippt, ausgeführt. Stattdessen werden sie regelmäßig als Hintergrundaufgabe ausgeführt, wenn das Dokument geändert wird.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: RunPolicyInBackground
Wert: True
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Schützen Sie keine PDF-Dateien mithilfe des ISO-Standards für die PDF-Verschlüsselung
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn die aktuelle Version des Azure Information Protection-Clients eine PDF-Datei schützt, verbleibt die daraus resultierende Erweiterung bei PDF und entspricht somit dem ISO-Standard für die Verschlüsselung von PDF-Dateien. Weitere Informationen zu diesem Standard finden Sie im Abschnitt 7.6 Encryption (7.6 Verschlüsselung) aus dem Dokument, das von ISO 32000-1 abgeleitet und von Adobe Systems Incorporated veröffentlicht wird.
Wenn Sie möchten, dass der Client zu dem Verhalten in älteren Versionen des Clients zurückkehrt, bei dem PDF-Dateien mit der .ppdf-Dateinamenerweiterung geschützt werden, verwenden Sie die folgende erweiterte Einstellung, indem Sie diese Zeichenfolge eingeben:
Key: EnablePDFv2Protection
Wert: FALSE
Sie könnten diese Einstellung zum Beispiel für alle Benutzer benötigen, wenn Sie einen PDF-Reader verwenden, der den ISO-Standard für die PDF-Verschlüsselung nicht unterstützt. Oder Sie müssen sie möglicherweise für einige Benutzer konfigurieren, wenn Sie nach und nach zu einem PDF-Reader wechseln, der das neue Format unterstützt. Ein weiterer möglicher Grund für die Verwendung dieser Einstellung besteht, wenn Sie signierten PDF-Dokumenten Schutz hinzufügen müssen. Signierte PDF-Dokumente können zusätzlich mit dem PPDF-Format geschützt werden, da dieser Schutz als Wrapper für die Datei implementiert wird.
Damit die Azure Information Protection-Überprüfung die neue Einstellung verwenden, muss der Überprüfungsdienst neu gestartet werden. Darüber hinaus schützt die Überprüfung nicht mehr standardmäßig PDF-Dokumente. Wenn Sie möchten, dass PDF-Dokumente vom Scanner geschützt werden, wenn EnablePDFv2Protection auf False gesetzt ist, müssen Sie die Registrierung bearbeiten.
Weitere Informationen zu dieser neuen PDF-Verschlüsselung finden Sie im Blogbeitrag Neue Unterstützung für die PDF-Verschlüsselung mit Microsoft Information Protection.
Eine Liste von PDF-Readern, die den ISO-Standard für PDF-Verschlüsselung unterstützen, und Reader, die ältere Formate unterstützen, finden Sie unter Unterstützte Reader für PDF-Dokumente für Microsoft Azure Information Protection.
Konvertieren vorhandener PPDF-Dateien in geschützte PDF-Dateien
Wenn der Azure Information Protection-Client die Clientrichtlinie mit der neuen Einstellung heruntergeladen hat, können Sie mit PowerShell-Befehlen vorhandene PPDF-Dateien in geschützte PDF-Dateien konvertieren, die den ISO-Standard für die PDF-Verschlüsselung verwenden.
Wenn Sie die folgenden Anweisungen für Dateien verwenden möchten, die Sie nicht selbst geschützt haben, benötigen Sie Rights Management-Nutzungsrechte zum Entfernen des Schutzes aus Dateien oder Administratorrechte. Informationen zum Aktivieren der Administratorfunktion und zum Konfigurieren Ihres Kontos als Administrator finden Sie unter Konfigurieren von Administratoren für Azure Rights Management und Ermittlungsdienste oder die Datenwiederherstellung.
Außerdem werden Sie zum RMS-Aussteller, wenn Sie diese Anweisungen für Dateien verwenden, die Sie nicht selbst geschützt haben. In diesem Szenario kann der Benutzer, der das Dokument ursprünglich geschützt hat, es nicht mehr nachverfolgen und den Zugriff darauf nicht mehr widerrufen. Wenn Benutzer ihre geschützten PDF-Dokumente nachverfolgen und den Zugriff darauf widerrufen möchten, müssen sie die Bezeichnung manuell entfernen und mit dem Datei-Explorer per Rechtsklick erneut anwenden.
So verwenden Sie PowerShell-Befehle zum Konvertieren vorhandener PPDF-Dateien in geschützte PDF-Dateien, die den ISO-Standard für die PDF-Verschlüsselung verwenden:
Verwenden Sie den Befehl Get-AIPFileStatus für die PPDF-Datei. Beispiel:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfBeachten Sie bei der Ausgabe die folgenden Parameterwerte:
Den Wert (GUID) für SubLabelId (falls vorhanden). Wenn dieser Wert leer ist, wurde keine untergeordnete Bezeichnung verwendet. Verwenden Sie in diesem Fall stattdessen den Wert für MainLabelId.
Hinweis: Wenn es auch keinen Wert für MainLabelId gibt, erhält die Datei keine Bezeichnung. In diesem Fall können Sie die Befehle Unprotect-RMSFile und Protect-RMSFile anstelle der Befehle in Schritt 3 und 4 verwenden.
Den Wert für RMSTemplateId. Wenn dieser Wert Eingeschränkter Zugriff lautet, hat ein Benutzer die Datei mit benutzerdefinierten Berechtigungen und nicht mit Schutzeinstellungen, die für die Bezeichnung konfiguriert wurden, geschützt. Wenn Sie fortfahren, werden diese benutzerdefinierten Berechtigungen durch die Schutzeinstellungen der Bezeichnung überschrieben. Entscheiden Sie, ob Sie fortfahren oder den Benutzer (angezeigter Wert für den RMSIssuer) bitten möchten, das Etikett zu entfernen und es zusammen mit seinen ursprünglichen benutzerdefinierten Berechtigungen erneut anzuwenden.
Entfernen Sie die Bezeichnung mithilfe von Set-AIPFileLabel mit dem Parameter RemoveLabel. Wenn Sie die Richtlinieneinstellung für Benutzer müssen eine Begründung angeben, wenn sie eine niedrigere Klassifizierungsbezeichnung festlegen, eine Bezeichnung oder den Schutz entfernen möchten verwenden, müssen Sie für den Parameter Begründung den Grund angeben. Beispiel:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Übernehmen Sie erneut die ursprüngliche Bezeichnung, indem Sie den Wert für die Bezeichnung angeben, den Sie in Schritt 1 identifiziert haben. Beispiel:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
Die Datei behält die PDF-Erweiterung, wird jedoch wie zuvor klassifiziert und mit dem ISO-Standard für die PDF-Verschlüsselung geschützt.
Unterstützung von durch Secure Islands geschützten Dateien
Wenn Sie Secure Islands zum Schützen von Dokumenten verwendet haben, verfügen Sie aufgrund dieses Schutzes möglicherweise über geschützte Text- und Bilddateien sowie generisch geschützte Dateien. Zum Beispiel Dateien mit den Erweiterungen PTXT, PJPEG oder PFILE. Wenn Sie die Registrierung wie folgt bearbeiten, können diese Dateien von Azure Information Protection entschlüsselt werden:
Fügen Sie den DWORD-Wert EnableIQPFormats in den folgenden Registrierungspfad ein, und legen Sie den Wert „data“ (Daten) auf 1 fest:
Für eine 64-Bit-Version von Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Für eine 32-Bit-Version von Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Aufgrund dieser Änderung in der Registrierung werden die folgenden Szenarios unterstützt:
Der Azure Information Protection-Viewer kann diese geschützten Dateien öffnen.
Die Azure Information Protection-Überprüfung kann diese Dateien auf vertrauliche Informationen prüfen.
Datei-Explorer, PowerShell und die Azure Information Protection-Überprüfung können diese Dateien bezeichnen. Dementsprechend können Sie eine Azure Information Protection-Bezeichnung anwenden, die neuen Schutz von Azure Information Protection anwendet oder vorhandenen Schutz von Secure Islands entfernt.
Mit der Clientanpassung für die Bezeichnungsmigration können Sie die Secure Islands-Bezeichnung dieser geschützten Dateien automatisch in eine Azure Information Protection-Bezeichnung konvertieren.
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen migrieren
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Diese Konfiguration ist derzeit nicht mit dem neuen Standardverhalten kompatibel, das PDF-Dateien mithilfe des ISO-Standards für die PDF-Verschlüsselung schützt. In diesem Szenario können PPDF-Dateien nicht mit Datei-Explorer, PowerShell oder der Überprüfung geöffnet werden. Um dieses Problem zu beheben, verwenden Sie die erweiterte Clienteinstellung, mit der der ISO-Standard nicht für die PDF-Verschlüsselung verwendet wird.
Sie können Office- und PDF-Dokumente, die eine Bezeichnung von Secure Islands erhalten haben, mit einer neuen Azure Information Protection-Bezeichnung versehen, indem Sie eine von Ihnen definierte Zuordnung verwenden. Mit dieser Methode können Sie auch Bezeichnungen aus anderen Lösungen wiederverwenden, wenn diese Bezeichnungen sich in Office-Dokumenten befinden.
Hinweis
Wenn Sie über andere von Secure Islands geschützte Dateien verfügen, die keine PDF- und Office-Dokumente sind, können Sie diesen eine neue Bezeichnung geben, nachdem Sie die Registrierung wie im vorherigen Abschnitt beschrieben bearbeitet haben.
Diese Konfigurationsoption führt dazu, dass die neue Azure Information Protection-Bezeichnung folgendermaßen vom Azure Information Protection-Client angewendet wird:
Bei Office-Dokumenten: Wenn das Dokument in der Desktop-App geöffnet wird, wird die neue Azure Information Protection-Bezeichnung als festgelegt angezeigt und beim Speichern des Dokuments angewendet.
Im Datei-Explorer: Die neue Azure Information Protection-Bezeichnung wird im Azure Information Protection-Dialogfeld als festgelegt angezeigt und dann angewendet, wenn der Benutzer Anwenden auswählt. Wenn der Benutzer Abbrechen auswählt, wird die neue Bezeichnung nicht angewendet.
In PowerShell: Set-AIPFileLabel wendet die neue Azure Information Protection-Bezeichnung an. Get-AIPFileStatus zeigt die neue Azure Information Protection-Bezeichnung erst dann an, wenn sie von einer anderen Methode festgelegt wird.
Beim Azure Information Protection-Scanner: Die Ermittlung meldet das Festlegen der neuen Azure Information Protection-Bezeichnung, und diese Bezeichnung kann mit dem Erzwingungsmodus angewendet werden.
In dieser Konfiguration müssen Sie eine erweiterte Clienteinstellung namens LabelbyCustomProperty für jede Azure Information Protection-Bezeichnung angeben, die Sie der alten Bezeichnung zuordnen möchten. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
Der Wert der Bezeichnungs-ID wird im Bereich Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren. Damit eine untergeordnete Bezeichnung angegeben werden kann, muss sich die übergeordnete Bezeichnung im gleichen Bereich oder in der globalen Richtlinie befinden.
Geben Sie einen Namen für die Migrationsregel an. Verwenden Sie einen aussagekräftigen Namen, der angibt, wie Bezeichnungen aus Ihrer vorherigen Bezeichnungslösung zu einer Azure Information Protection-Bezeichnung zugeordnet werden sollen. Der Name wird in den Scannerberichten und in der Ereignisanzeige angezeigt. Beachten Sie, dass durch diese Einstellung keine ursprüngliche Bezeichnung aus dem Dokument bzw. keine optische Kennzeichnung im Dokument entfernt wird, die von der ursprünglichen Bezeichnung möglicherweise angewendet wurde. Weitere Informationen zum Entfernen von Kopf- und Fußzeilen finden Sie im nächsten Abschnitt unter Remove headers and footers from other labeling solutions (Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen).
Beispiel 1: Eine 1:1-Zuordnung des gleichen Bezeichnungsnamens
Erfordernis: Dokumente, die auf Secure Islands als "vertraulich" gekennzeichnet sind, sollten von Azure Information Protection in "vertraulich" umbenannt werden.
In diesem Beispiel:
Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Vertraulich. Sie hat die Bezeichnungs-ID 1ace2cc3-14bc-4142-9125-bf946a70542c.
Die Secure Islands-Bezeichnung lautet Vertraulich und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.
Erweiterte Clienteinstellung:
| Name | Wert |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential |
Beispiel 2: Eine 1:1-Zuordnung für einen anderen Bezeichnungsnamen
Erfordernis: Dokumente, die von Secure Islands als "sensibel" eingestuft wurden, sollten von Azure Information Protection in "streng vertraulich" umbenannt werden.
In diesem Beispiel:
Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Streng vertraulich und hat die Bezeichnungs-ID 3e9df74d-3168-48af-8b11-037e3021813f.
Die Secure Islands-Bezeichnung lautet Sensitive (Sensibel) und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.
Erweiterte Clienteinstellung:
| Name | Wert |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive |
Beispiel 3: n:1-Zuordnung von Bezeichnungsnamen
Erfordernis: Sie haben zwei Secure Islands-Etiketten, die das Wort „Internal“ enthalten, und Sie möchten, dass Dokumente, die eine dieser Secure Islands-Bezeichnungen tragen, von Azure Information Protection in „Allgemein“ umbenannt werden.
In diesem Beispiel:
Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Allgemein und hat die Bezeichnungs-ID 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Die Bezeichnungen der Secure Islands enthalten das Wort Internal und werden in der benutzerdefinierten Eigenschaft Klassifizierung gespeichert.
Erweiterte Clienteinstellung:
| Name | Wert |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d, „Bezeichnung für Secure Islands enthält Internal“, Klassifizierung,.*Internal.* |
Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen
Diese Konfiguration verwendet mehrere erweiterte Clienteinstellungen, die Sie im Azure-Portal konfigurieren müssen.
Mit diesen Einstellungen können Sie textbasierte Kopf- und Fußzeilen in Dokumenten entfernen oder ersetzen, wenn diese optischen Kennzeichnungen von einer anderen Bezeichnungslösung angewendet wurden. Die ältere Fußzeile enthält beispielsweise den Namen einer alten Bezeichnung, die Sie nun mit einem neuen Bezeichnungsnamen und einer eigenen Fußzeile zu Azure Information Protection migriert haben.
Wenn der Client diese Konfiguration in seiner Richtlinie abruft, werden die alten Kopf- oder Fußzeilen entfernt oder ersetzt, wenn das Dokument in der Office-App geöffnet wird und Azure Information Protection-Bezeichnungen auf das Dokument angewendet wurden.
Diese Konfiguration wird für Outlook nicht unterstützt. Beachten Sie außerdem, dass die Verwendung mit Word, Excel und PowerPoint sich negativ auf die Leistung dieser Apps für Benutzer auswirken kann. Mithilfe der Konfiguration können Sie Einstellungen für jede einzelne Anwendung definieren, z.B. die Suche nach Text in Kopf- oder Fußzeilen von Word-Dokumenten, jedoch nicht von Excel-Tabellen oder PowerPoint-Präsentationen.
Da der Musterabgleich die Leistung für die Benutzer beeinträchtigt, empfehlen wir, die Office-Anwendungstypen (Word, EXcel, PowerPoint) auf diejenigen zu beschränken, die durchsucht werden müssen.
Key: RemoveExternalContentMarkingInApp
Wert: <Büroanwendungstypen WXP>
Beispiele:
Geben Sie W an, um nur Word-Dokumente zu durchsuchen.
Geben Sie WP an, um Word-Dokumente und PowerPoint-Präsentationen zu durchsuchen.
Sie benötigen dann mindestens eine weitere erweiterte Clienteinstellung, ExternalContentMarkingToRemove, um die Inhalte der Kopf- oder Fußzeile anzugeben und diese zu entfernen oder zu ersetzen.
Hinweis
Dieses Feature befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Konfigurieren von ExternalContentMarkingToRemove
Wenn Sie den Zeichenfolgenwert für den Schlüssel ExternalContentMarkingToRemove angeben, stehen drei Optionen zur Verfügung, die reguläre Ausdrücke verwenden:
Partielle Übereinstimmung, um alles aus der Kopf- oder Fußzeile zu entfernen.
Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE. Sie möchten diese Kopf- oder Fußzeilen vollständig entfernen. Geben Sie den Wert
*TEXT*an.Vollständige Übereinstimmung, um nur bestimmte Wörter aus der Kopf- oder Fußzeile zu entfernen.
Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE. Sie möchten nur das Wort TEXT entfernen, wodurch die Zeichenfolge der Kopf- oder Fußzeile TO REMOVE entspricht. Geben Sie den Wert
TEXTan.Vollständige Übereinstimmung, um alles aus der Kopf- oder Fußzeile zu entfernen.
Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE. Sie möchten die Kopf- oder Fußzeilen entfernen, die genau diese Zeichenfolge enthalten. Geben Sie den Wert
^TEXT TO REMOVE$an.
Der Musterabgleich für die angegebene Zeichenfolge berücksichtigt keine Groß- und Kleinschreibung. Die maximale Zeichenfolgenlänge beträgt 255 Zeichen.
Da einige Dokumente unsichtbare Zeichen oder andere Arten von Leerzeichen oder Tabstopps enthalten können, wird die Zeichenfolge, die Sie für einen Begriff oder einen Satz angeben, möglicherweise nicht erkannt. Geben Sie nach Möglichkeit immer ein einzelnes unterscheidendes Wort für den Wert an, und testen Sie die Ergebnisse, bevor Sie diese für die Produktion bereitstellen.
Key: ExternalContentMarkingToRemove
Wert: <zu übereinstimmende Zeichenfolge, definiert als regulärer Ausdruck>
Mehrzeilige Kopf- oder Fußzeilen
Wenn der Text in einer Kopf- oder Fußzeile mehr als eine Zeile umfasst, erstellen Sie einen Schlüssel und einen Wert für jede Zeile. Angenommen, folgende Fußzeile mit zwei Zeilen ist vorhanden:
The file is classified as Confidential
Label applied manually
Erstellen Sie folgende Einträge, um diese mehrzeilige Fußzeile zu entfernen:
Key 1: ExternalContentMarkingToRemove
Schlüsselwert 1: *Vertraulich*
Key 2: ExternalContentMarkingToRemove
Schlüsselwert 2: *Bezeichnung angebracht*
Optimierung für PowerPoint
In PowerPoint werden Fußzeilen als Formen implementiert. Wenn Sie vermeiden möchten, dass Formen entfernt werden, die den angegeben Text enthalten, jedoch keine Kopf- oder Fußzeilen sind, verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens PowerPointShapeNameToRemove. Es wird empfohlen, diese Einstellung ebenfalls zu verwenden, um zu verhindern, dass der Text in allen Formen überprüft wird, denn dieser Prozess ist sehr ressourcenintensiv.
Wenn Sie diese zusätzliche erweiterte Clienteinstellung nicht angeben und PowerPoint im Schlüsselwert RemoveExternalContentMarkingInApp eingeschlossen ist, werden alle Formen auf den Text überprüft, den Sie im Wert ExternalContentMarkingToRemove angeben.
So finden Sie den Namen der Form, die Sie als Kopf- oder Fußzeile verwenden:
Zeigen Sie in PowerPoint das Fenster Auswahl an: Registerkarte Format>Bereich Gruppe >Auswahlfenster.
Wählen Sie die Form auf der Folie aus, die die Kopf- oder Fußzeile enthält. Der Name der ausgewählten Form wird nun im Bereich Auswahl hervorgehoben.
Verwenden Sie den Namen der Form, um einen Zeichenfolgenwert für den Schlüssel PowerPointShapeNameToRemove anzugeben.
Beispiel: Der Name der Form ist fc. Geben Sie den Wert fc an, um die Form mit diesem Namen zu entfernen.
Key: PowerPointShapeNameToRemove
Wert: <PowerPoint-Formname>
Wenn mehr als eine PowerPoint-Form entfernt werden soll, erstellen Sie so viele PowerPointShapeNameToRemove-Schlüssel wie Sie Formen entfernen möchten. Geben Sie für jeden Eintrag den Namen der zu entfernenden Form an.
Standardmäßig werden nur die Masterfolien auf Kopf- oder Fußzeilen überprüft. Wenn Sie diese Suche auf alle Folien ausweiten möchten (dieser Prozess ist jedoch wesentlich ressourcenintensiver), verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens RemoveExternalContentMarkingInAllSlides:
Key: RemoveExternalContentMarkingInAllSlides
Wert: True
Hinzufügen einer Bezeichnung zu einem Office-Dokument über eine bereits bestehende benutzerdefinierte Eigenschaft
Hinweis
Wenn Sie diese Konfiguration und die Konfiguration zum Migrieren von Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen verwenden, erhält die Einstellung für die Bezeichnungsmigration Vorrang.
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie diese Einstellung konfigurieren, können Sie ein Office-Dokument klassifizieren (und unter Umständen schützen), wenn es über eine benutzerdefinierte Eigenschaft mit einem Wert verfügt, der einem Ihrer Bezeichnungsnamen entspricht. Diese benutzerdefinierte Eigenschaft kann aus einer Klassifizierungslösung stammen oder von SharePoint als eine Eigenschaft festgelegt worden sein.
Diese Konfiguration hat zur Folge, dass einem Dokument, das ohne eine Azure Information Protection-Bezeichnung von einem Benutzer in einer Office-App geöffnet oder gespeichert wird, eine Bezeichnung zugeordnet wird, die mit dem entsprechenden Eigenschaftswert übereinstimmt.
Bevor Sie diese Konfiguration verwenden können, müssen Sie zunächst zwei erweiterte Einstellungen angeben, die miteinander interagieren. Die erste Einstellung wird SyncPropertyName genannt. Es handelt sich dabei um den benutzerdefinierten Eigenschaftsnamen, der von der anderen Klassifizierungslösung festgelegt worden ist, oder um eine Eigenschaft, die von SharePoint festgelegt wurde. Bei der zweiten Einstellung handelt es sich um SyncPropertyState. Diese muss auf „OneWay“ festgelegt sein.
Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel 1: SyncPropertyName
Schlüssel 1 Wert: <Eigenschaftsname>
Schlüssel 2: SyncPropertyState
Wert von Schlüssel 2: OneWay
Verwenden Sie diesen Schlüssel und die entsprechenden Werte für lediglich eine benutzerdefinierte Eigenschaft.
Es gibt zum Beispiel eine SharePoint-Spalte mit dem Namen Klassifizierung und den möglichen Werten Öffentlich, Allgemein und Streng vertraulich\Alle Mitarbeiter. Dokumente werden in SharePoint gespeichert, wobei deren Werte für die Klassifizierungseigenschaft auf Öffentlich, Allgemein oder Streng vertraulich\Alle Mitarbeiter festgelegt sind.
Um einem Office-Dokument eine Bezeichnung dieser Klassifizierungswerte zuzuweisen, legen Sie SyncPropertyName auf Classification und SyncPropertyState auf OneWay fest.
Wenn nun ein Benutzer eines dieser Office-Dokumente öffnet und speichert, wird es mit Öffentlich, Allgemein oder Streng vertraulich bezeichnet, wenn Sie in Ihrer Azure-Informationsschutzrichtlinie Etiketten mit diesen Namen haben. Wenn es keine Bezeichnungen mit diesen Namen gibt, erhält das Dokument keine Bezeichnung.
Deaktivieren Sie das Senden von entdeckten vertraulichen Informationen in Dokumenten an Azure Information Protection Analytics
Hinweis
Der AIP-Überwachungsprotokoll und der Analyse-Sonnenuntergang wird ab dem 18. März 2022 mit einem vollständigen Ruhestandsdatum vom 31. September 2022 angekündigt.
Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn der Azure Information Protection-Client in Office-Anwendungen verwendet wird, sucht er beim ersten Speichern nach vertraulichen Informationen in Dokumenten. Sofern der Client nicht so konfiguriert ist, dass keine Audit-Informationen gesendet werden, werden alle gefundenen vertraulichen Informationstypen (vordefiniert oder benutzerdefiniert) an Azure Information Protection analytics gesendet.
Die Konfiguration, die steuert, ob der Client Audit-Informationen sendet, ist die Richtlinieneinstellung von Send audit data to Azure Information Protection log analytics. Wenn diese Richtlinieneinstellung Ein ist, weil Sie Audit-Informationen senden möchten, die Bezeichnungaktionen enthalten, aber keine vom Client gefundenen vertraulichen Informationstypen senden möchten, geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: RunAuditInformationTypesDiscovery
Wert: FALSE
Wenn Sie diese erweiterte Client-Einstellung vornehmen, können vom Client aus zwar immer noch Überwachungsinformationen gesendet werden, diese beschränken sich jedoch auf die Bezeichnungsaktivitäten.
Beispiel:
Mit dieser Einstellung können Sie sehen, dass ein Benutzer auf die Datei Financial.docx mit der Bezeichnung Vertraulich/Vertrieb zugegriffen hat.
Ohne diese Einstellung können Sie sehen, dass Financial.docx 6 Kreditkartennummern enthält.
- Wenn Sie außerdem eine tiefere Analyse Ihrer vertraulichen Daten aktivieren, können Sie zusätzlich sehen, wie die Kreditkartennummern lauten.
Deaktivieren der Übereinstimmungen des Sendeinformationstyps für eine Teilmenge von Benutzern
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Wenn Sie das Kontrollkästchen für Azure Information Protection Analytics aktivieren, das eine tiefere Analyse Ihrer vertraulichen Daten ermöglicht, werden die Inhaltsübereinstimmungen für Ihre vertraulichen Informationstypen oder Ihre benutzerdefinierten Bedingungen gesammelt, und diese Informationen werden standardmäßig von allen Benutzern gesendet, einschließlich der Dienstkonten, die den Azure Information Protection Scanner ausführen. Wenn Sie einige Benutzer haben, die diese Daten nicht senden sollten, erstellen Sie die folgende erweiterte Clienteinstellung in einer bereichsbezogenen Richtlinie für diese Benutzer:
Schlüssel: LogMatchedContent
Wert: Deaktivieren
Begrenzen der Anzahl der von der Überprüfung verwendeten Threads
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Standardmäßig verwendet die Überprüfung alle verfügbaren Prozessorressourcen des Computers, auf dem der Überprüfungsdienst ausgeführt wird. Wenn Sie die CPU-Nutzung während der Überprüfungsvorgänge des Diensts begrenzen müssen, erstellen Sie die folgende erweiterte Einstellung.
Geben Sie als Wert die Anzahl von gleichzeitigen Threads an, die von der Überprüfung parallel ausgeführt werden dürfen. Die Überprüfung verwendet für jede Datei, die überprüft wird, einen separaten Thread, daher definiert diese Drosselungskonfiguration auch die Anzahl von Dateien, die parallel überprüft werden können.
Wenn Sie den Wert zu Testzwecken zum ersten Mal konfigurieren, empfehlen wir Ihnen, „2 pro Kern“ anzugeben und die Ergebnisse zu überwachen. Wenn Sie die Überprüfung z.B. auf einem Computer mit vier Kernen ausführen, legen Sie den Wert auf „8“ fest. Erhöhen oder verringern Sie den Wert nach Bedarf – je nachdem, welche Leistung Sie für den Überprüfungscomputer und die Überprüfungshäufigkeit benötigen.
Key: ScannerConcurrencyLevel
Wert: <Anzahl der gleichzeitigen Threads>
Deaktivieren der niedrigen Integritätsebene für den Scanner
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Die Vorschauversion der Azure Information Protection-Überprüfung wird standardmäßig mit einer niedrigen Integritätsebene ausgeführt. Diese Einstellung bietet eine höhere Sicherheitsisolationsstufe, beeinträchtigt jedoch die Leistung. Eine niedrige Integritätsebene eignet sich, wenn Sie den Scanner mit einem Konto ausführen, das privilegierte Zugriffsrechte hat (z.B. ein lokales Administratorkonto), da diese Einstellung den Computer schützt, der den Scanner ausführt.
Wenn das Dienstkonto, das den Scanner ausführt, jedoch nur über die in den Scannerbereitstellungsvoraussetzungen dokumentierten Rechte verfügt, ist die niedrige Integritätsstufe nicht erforderlich und wird nicht empfohlen, da sie die Leistung beeinträchtigt.
Weitere Informationen zu den Windows-Integritätsebenen finden Sie unter What is the Windows Integrity Mechanism? (Was ist der Windows-Integritätsmechanismus?).
Wenn Sie diese erweiterte Einstellung so konfigurieren möchten, dass der Scanner mit einer automatisch von Windows zugewiesenen Integritätsebene ausgeführt wird (ein Standardbenutzerkonto wird mit einer mittleren Integritätsebene ausgeführt), geben Sie die folgenden Zeichenfolgen ein:
Schlüssel: ProcessUsingLowIntegrity
Wert: FALSE
Ändern Sie die Timeout-Einstellungen für den Scanner
Diese Konfiguration verwendet erweiterte Client-Einstellungen, die Sie im Azure-Portal konfigurieren müssen.
Standardmäßig hat der Azure Information Protection-Scanner eine Zeitspanne von 00:15:00 (15 Minuten), um jede Datei auf vertrauliche Informationstypen oder die Regex-Ausdrücke zu prüfen, die Sie für benutzerdefinierte Bedingungen konfiguriert haben. Wenn die Zeitüberschreitung für diesen Vorgang der Inhaltsextraktion erreicht ist, werden alle Ergebnisse vor der Zeitüberschreitung zurückgegeben und die weitere Prüfung der Datei wird beendet. In diesem Szenario wird die folgende Fehlermeldung in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog protokolliert (gezippt, wenn es mehrere Protokolle gibt): GetContentParts ist fehlgeschlagen mit Der Vorgang wurde abgebrochen in den Details.
Wenn das Problem der Zeitüberschreitung bei großen Dateien auftritt, können Sie diese Zeitspanne für die vollständige Extraktion des Inhalts erhöhen:
Schlüssel: ContentExtractionTimeout
Wert: <hh:min:sec>
Der Dateityp kann Einfluss darauf haben, wie lange es dauert, eine Datei zu scannen. Beispielhafte Scanzeiten:
Eine typische 100 MB große Word-Datei: 0.5-5 Minuten
Eine typische 100 MB große PDF-Datei: 5-20 Minuten
Eine typische 100 MB große Excel-Datei: 12-30 Minuten
Bei einigen Dateitypen, die sehr groß sind, wie z. B. Videodateien, sollten Sie diese vom Scan ausschließen, indem Sie die Dateinamenerweiterung zu der Option zu scannende Dateitypen im Scannerprofil hinzufügen.
Darüber hinaus hat der Azure Information Protection-Scanner eine Timeout-Zeit von 00:30:00 (30 Minuten) für jede Datei, die er verarbeitet. Dieser Wert berücksichtigt die Zeit, die es dauern kann, eine Datei aus einem Repository abzurufen und vorübergehend lokal zu speichern, um Aktionen wie Entschlüsselung, Extraktion von Inhalten zur Überprüfung, Bezeichnungund Verschlüsselung durchzuführen.
Obwohl der Azure Information Protection-Scanner Dutzende bis Hunderte von Dateien pro Minute scannen kann, kann der Scanner bei einem Daten-Repository mit einer großen Anzahl sehr großer Dateien diese Standard-Timeout-Periode überschreiten und im Azure-Portal nach 30 Minuten scheinbar anhalten. In diesem Szenario wird die folgende Fehlermeldung in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (gezippt, wenn es mehrere Protokolle gibt) und in der .csv-Protokolldatei des Scanners aufgezeichnet: Der Vorgang wurde abgebrochen.
Ein Scanner mit 4 Kernprozessoren hat standardmäßig 16 Threads zum Scannen, und die Wahrscheinlichkeit, in einem Zeitraum von 30 Minuten auf 16 große Dateien zu stoßen, hängt vom Verhältnis der großen Dateien ab. Wenn die Scanrate beispielsweise 200 Dateien pro Minute beträgt und 1 % der Dateien die 30-Minuten-Zeitüberschreitung überschreiten, besteht eine Wahrscheinlichkeit von mehr als 85 %, dass der Scanner die 30-Minuten-Zeitüberschreitung erreicht. Diese Zeitüberschreitungen können zu längeren Scanzeiten und höherem Speicherverbrauch führen.
Wenn Sie den Scanner-Computer nicht mit weiteren Prozessorkernen ausstatten können, sollten Sie in dieser Situation erwägen, die Timeout-Periode zu verkürzen, um die Scan-Rate zu erhöhen und den Speicherverbrauch zu senken, allerdings mit dem Hinweis, dass einige Dateien ausgeschlossen werden. Alternativ können Sie die Timeout-Periode erhöhen, um genauere Scan-Ergebnisse zu erzielen, wobei Sie sich bewusst sind, dass diese Konfiguration wahrscheinlich zu niedrigeren Scan-Raten und höherem Speicherverbrauch führt.
Um die Timeout-Zeit für die Dateiverarbeitung zu ändern, konfigurieren Sie die folgende erweiterte Client-Einstellung:
Schlüssel: FileProcessingTimeout
Wert: <hh:min:sec>
Ändern des lokalen Protokolliergrads
Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.
Der Azure Information Protection-Client schreibt Clientprotokolldateien standardmäßig in den Ordner %localappdata%\Microsoft\MSIP. Diese Dateien dienen zur Problembehandlung durch den Microsoft-Support.
Zum Ändern des Protokolliergrads für diese Dateien konfigurieren Sie die folgende erweiterte Clienteinstellung:
Schlüssel: LogLevel
Wert: <Protokollierungsebene>
Legen Sie den Protokolliergrad auf einen der folgenden Werte fest:
Aus: Keine lokale Protokollierung.
Fehler: Nur Fehler.
Info: Minimale Protokollierung, die keine Ereignis-IDs enthält (die Standardeinstellung für den Scanner).
Debug: Vollständige Informationen.
Trace: Detaillierte Protokollierung (die Standardeinstellung für Clients). Für den Scanner bringt diese Einstellung eine erhebliche Beeinträchtigung der Leistung mit sich und sollte für den Scanner nur aktiviert werden, wenn der Microsoft Support dazu auffordert. Wenn Sie angewiesen werden, diesen Protokolliergrad für den Scanner festzulegen, denken Sie nach dem Sammeln der relevanten Protokolle daran, einen anderen Wert festzulegen.
Durch diese erweiterte Clienteinstellung ändern sich weder die Informationen, die für die zentrale Berichterstellung an Azure Information Protection gesendet werden, noch die Informationen, die in das lokale Ereignisprotokoll geschrieben werden.
Integration mit der alten Exchange-Nachrichtenklassifizierung
Outlook im Web unterstützt jetzt die integrierte Bezeichnung für Exchange Online, die die empfohlene Methode zur Bezeichnung von E-Mails in Outlook im Web ist. Wenn Sie jedoch E-Mails in OWA bezeichnen müssen und Exchange Server verwenden, der noch keine Vertraulichkeitsbezeichnungen unterstützt, können Sie die Exchange-Nachrichtenklassifizierung verwenden, um Azure Information Protection-Etiketten auf Outlook im Web auszuweiten.
Outlook Mobile unterstützt keine Exchange-Nachrichtenklassifizierung.
So erreichen Sie diese Lösung
Verwenden Sie das Exchange PowerShell-Cmdlet New-MessageClassification, um Nachrichtenklassifizierungen mit der Name-Eigenschaft zu erstellen, die Ihren Bezeichnungsnamen in der Azure Information Protection-Richtlinie zugeordnet wird.
Erstellen Sie für jede Bezeichnung eine Regel für den Exchange-E-Mail-Verkehr. Wenden Sie die Regel an, wenn Nachrichteneigenschaften die von Ihnen konfigurierte Klassifizierung enthalten, und ändern Sie dann die Nachrichteneigenschaften, um einen Nachrichtenheader festzulegen.
Für den Nachrichtenkopf finden Sie die Informationen, die Sie angeben müssen, indem Sie die Internet-Header einer von Ihnen gesendeten und mit Ihrem Azure Information Protection-Etikett klassifizierten E-Mail untersuchen. Suchen Sie nach der Kopfzeile msip_labels und der unmittelbar darauf folgenden Zeichenkette, bis zum Semikolon und ohne dieses. Beispiel:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Geben Sie dann für den Nachrichtenheader in der Regel msip_labels für den Header und den Rest der Zeichenfolge für den Headerwert an. Beispiel:
Hinweis: Wenn die Bezeichnung eine untergeordnete Bezeichnung ist, müssen Sie im Headerwert vor der untergeordneten Bezeichnung auch die übergeordnete Bezeichnung im gleichen Format angeben. Wenn Ihre untergeordnete Bezeichnung z. B. die GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9 aufweist, kann Ihr Wert wie folgt aussehen:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Bevor Sie diese Konfiguration testen, beachten Sie, dass es häufig zu einer Verzögerung beim Erstellen oder Bearbeiten von Regeln für den E-Mail-Verkehr kommt (warten Sie eine Stunde). Bei aktivierter Regel treten nun die folgenden Ereignisse ein, wenn Benutzer Outlook im Web verwenden:
Benutzer wählen die Exchange-Nachrichtenklassifizierung aus, und senden die E-Mail.
Die Exchange-Regel erkennt die Exchange-Klassifizierung und ändert entsprechend den Nachrichtenheader, um die Azure Information Protection-Klassifizierung hinzuzufügen.
Wenn interne Empfänger die E-Mail in Outlook anzeigen und der Azure Information Protection-Client installiert ist, sehen sie, dass die Azure Information Protection-Bezeichnung zugewiesen ist.
Wenn Ihre Azure Information Protection-Etiketten einen Schutz anwenden, fügen Sie diesen Schutz zur Regelkonfiguration hinzu: Auswählen der Option zum Ändern der Nachrichtensicherheit, Anwenden des Rechteschutzes und anschließendes Auswählen der Schutzvorlage oder der Option "Nicht weiterleiten".
Sie können Regeln für den E-Mail-Verkehr auch so konfigurieren, dass sie die umgekehrte Zuordnung vornehmen. Wenn eine Azure Information Protection-Bezeichnung erkannt wird, legen Sie eine entsprechende Exchange-Nachrichtenklassifizierung fest:
- Erstellen Sie für jede Azure Information Protection-Bezeichnung eine Regel für den E-Mail-Verkehr. Diese wird angewendet, wenn der Header msip_labels den Namen Ihrer Bezeichnung enthält (z.B. Allgemein). Wenden Sie zudem eine Nachrichtenklassifizierung an, die dieser Bezeichnung zugeordnet wird.
Nächste Schritte
Nachdem Sie den Azure Information Protection-Client angepasst haben, lesen Sie die folgenden Artikel, die Sie eventuell zur Unterstützung dieses Clients benötigen: