Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Einstellung erhöht die Produktivität für Benutzer, die andere Dateitypen als die für Office und PDF mithilfe des Microsoft Purview Information Protection-Clients bezeichnen und verschlüsseln. Typische Beispiele für andere Dateitypen als Office und PDF sind .txt, .jpg, .csv und Dateien aus Anwendungen von Drittanbietern.
Wenn Benutzer diese Dateien mit dem Information Protection-Client und ohne diese Einstellung für erweiterten bezeichnungsbasierten Schutz bezeichnen und verschlüsseln:
Die verschlüsselte Datei ändert ihre Dateinamenerweiterung und wird schreibgeschützt und kann nicht mehr von Apps geöffnet werden, die die ursprüngliche Dateinamenerweiterung unterstützen. Stattdessen wird die Datei im Microsoft Purview Information Protection Viewer geöffnet. Um Änderungen an der Datei vorzunehmen, müssen Benutzer die Bezeichnung mit Verschlüsselung manuell entfernen.
Obwohl die Verschlüsselung restriktive Berechtigungen enthalten kann, z. B. das Kopieren und Speichern für bestimmte Benutzer nicht zuzulassen, können nicht alle Dateien diese Einschränkungen unterstützen. Wenn diese Dateien im Information Protection-Viewer geöffnet werden, werden die Benutzer daher über die konfigurierten Berechtigungen informiert, aber die Berechtigungen können nicht erzwungen werden. Diese Art der Verschlüsselung wird als generisch und nicht als nativ bezeichnet.
Ein besseres Verständnis der Änderungen der Dateinamenerweiterung für verschlüsselte Dateien finden Sie unter Unterstützte Dateitypen in der Dokumentation zum Information Protection-Client. Beachten Sie auch die Standardmäßigen Clientausnahmen für Dateien, die für Computervorgänge wichtig sind.
Wenn Sie Benutzer für die Einstellung Advanced label-based protection for all files on devices (Erweiterter bezeichnungsbasierter Schutz für alle Dateien auf Geräten ) konfigurieren und den Information Protection-Client verwenden, treten die folgenden Änderungen für Dateitypen auf, die von Office nicht unterstützt werden oder PDF-Dateien sind:
- Wenn ein Benutzer eine Vertraulichkeitsbezeichnung auswählt, die die Verschlüsselung anwendet, ändert sich die Dateinamenerweiterung jetzt nicht. Daher gibt es keine Änderung am Benutzerworkflow, da sie die Datei weiterhin in ihrer Standardanwendung anzeigen und bearbeiten können. Endpunkt-DLP verfolgt und überwacht die Datei und erzwingt konfigurierte Berechtigungen, ohne dass der Information Protection-Viewer erforderlich ist.
Hinweis
Da sich die Dateinamenerweiterung nicht geändert hat, können Benutzer mithilfe des Microsoft Purview Information Protection File Labeler bestätigen, dass die Bezeichnung angewendet wird.
- Nur wenn der Benutzer die Datei vom Computer kopiert oder verschiebt, ändert sich der Dateiname:
- Wenn die Datei kopiert oder auf ein Netzwerklaufwerk oder USB-Gerät verschoben wird, verfügt die Datei dort über die geänderte Dateinamenerweiterung, die den Information Protection Viewer zum Öffnen erfordert.
- Wenn die Datei an einen anderen Speicherort (Bluetooth-Gerät, remotedesktop oder in die Cloud hochgeladen) kopiert oder verschoben wird, wird eine lokale Kopie der Datei mit der geänderten Dateinamenerweiterung erstellt, die den Information Protection Viewer zum Öffnen benötigt. Endpunkt-DLP informiert den Benutzer darüber, dass er diese Version der Datei verwenden muss, um sie manuell zu kopieren oder an den neuen Speicherort zu verschieben.
- Wenn der Vorgang zum Verschlüsseln der Datei fehlschlägt, wird die Kopier- oder Verschiebungsaktivität blockiert, um sicherzustellen, dass die unverschlüsselte Datei auf dem Gerät verbleibt und nicht exfiltriert wird.
Im Folgenden finden Sie eine Zusammenfassung der Unterschiede bei der Bezeichnung anderer Dateien als Office und PDF, und Sie verwenden nur den Information Protection-Client anstelle des Clients mit dem erweiterten bezeichnungsbasierten Schutz für Endpunkt-DLP:
Bezeichnungsverhalten | Nur der Client | Der Client mit aktivierter Endpunkt-DLP-Einstellung |
---|---|---|
Dateien mit verschlüsselungsbeschrifteten Dateien behalten ihre ursprüngliche Dateinamenerweiterung bei. | Nein Die Dateinamenerweiterung ändert sich immer. |
Ja Bis zum ausgehenden Datenverkehr |
Mit Verschlüsselung bezeichnete Dateien können mit der ursprünglichen Anwendung oder anderen, die den ursprünglichen Dateityp unterstützen, geöffnet und bearbeitet werden. | Nein Erfordert immer den Information Protection-Viewer. |
Ja Bis zum ausgehenden Datenverkehr |
Konfigurierte Berechtigungen für bezeichnete und verschlüsselte Dateien werden erzwungen. | Native Verschlüsselung: Ja Generische Verschlüsselung: Nein |
Ja Die folgenden Berechtigungen werden bis zum Ausgang erzwungen: Anzeigen, Extrahieren, Drucken |
Beispiele für ausgehendes Verhalten
Ein Benutzer verschiebt eine Textdatei auf ein Netzlaufwerk, und die Datei wurde mit Verschlüsselung bezeichnet:
- Die Datei auf dem Netzlaufwerk hat die Dateierweiterung .ptxt, muss mit dem Information Protection-Viewer geöffnet werden und kann nicht durch DLP überwacht werden.
Ein Benutzer lädt eine Bilddatei mit einer .jpg Dateinamenerweiterung in die Cloud hoch, und die Datei wurde mit Verschlüsselung bezeichnet:
- Endpunkt-DLP erstellt eine lokale Kopie der Datei mit der Dateinamenerweiterung .pjpg und informiert den Benutzer, dass er diese Version der Datei zum Kopieren in das neue Ziel verwenden muss. Diese Version der Datei muss mit dem Information Protection-Viewer geöffnet werden und kann nicht durch DLP überwacht werden.
- Die originale Datei auf dem Computer behält die .txt Dateierweiterung bei und kann weiterhin mit jedem Text-Editor geöffnet und bearbeitet werden. DLP überwacht diese Datei weiterhin.
Einschränkungen:
- Wird nur für Vertraulichkeitsbezeichnungen unterstützt, die Verschlüsselung anwenden. Bei Vertraulichkeitsbezeichnungen ohne Verschlüsselung sind das Verhalten und die unterstützten Dateitypen identisch mit dem des Information Protection-Clients.
- Wird für die Bezeichnung von Dateien an Netzwerkspeicherorten oder USB-Laufwerken nicht unterstützt.
- Die angewendeten Vertraulichkeitsbezeichnungen werden in DLP-Richtlinien vor ausgehendem Datenverkehr nicht als Bedingungen erkannt.
- Wenn mehrere Dateien für die Bezeichnung ausgewählt werden und Office- oder PDF-Dateien enthalten, werden die Office- und PDF-Dateien nicht bezeichnet oder verschlüsselt.
- Endpunkt-DLP erzwingt nicht alle Rights Management-Nutzungsrechte vor dem ausgehenden Datenverkehr: VIEW, EXTRACT und PRINT werden unterstützt.
- Die Option Speichern unter erbt nicht automatisch die aktuellen Bezeichnungs- und Verschlüsselungseinstellungen. Der Benutzer muss die neue Datei bezeichnen.
- Das Microsoft Purview Information Protection PowerShell-Modul erkennt die DLP-Einstellung nicht. Durch das Bezeichnen von Dateien mit PowerShell wird die Dateierweiterung verschlüsselt und geändert. Verwenden Sie die Microsoft Purview Information Protection Dateibeschriftung nur, wenn Sie die DLP-Einstellung aktivieren.