Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor Sie den Azure Rights Management-Dienst zum Verschlüsseln von Inhalten für Ihre organization verwenden, sollten Sie verstehen, wie der Dienst mit Konten für Benutzer und Gruppen in Microsoft Entra ID funktioniert.
Es gibt verschiedene Möglichkeiten, diese Konten für Benutzer und Gruppen zu erstellen, darunter:
Sie erstellen die Benutzer im Microsoft 365 Admin Center und die Gruppen im Exchange Online Admin Center.
Sie erstellen die Benutzer und Gruppen im Azure-Portal.
Sie erstellen die Benutzer und Die Gruppe mithilfe von PowerShell-Cmdlets.
Sie erstellen die Benutzer und Gruppen in Ihrem lokales Active Directory und synchronisieren sie mit Microsoft Entra ID.
Sie erstellen die Benutzer und Gruppen in einem anderen Verzeichnis und synchronisieren sie mit Microsoft Entra ID.
Wenn Sie Benutzer und Gruppen mit den ersten drei Methoden aus dieser Liste erstellen, werden sie mit einer Ausnahme automatisch in Microsoft Entra ID erstellt, und der Azure Rights Management-Dienst kann diese Konten direkt verwenden. Einige Unternehmensnetzwerke verwenden jedoch ein lokales Verzeichnis zum Erstellen und Verwalten von Benutzern und Gruppen. Der Azure Rights Management-Dienst kann diese Konten nicht direkt verwenden. sie müssen mit Microsoft Entra ID synchronisiert werden.
Die Ausnahme, auf die im vorherigen Absatz verwiesen wird, sind dynamische Verteilerlisten, die Sie für Exchange Online erstellen können. Im Gegensatz zu statischen Verteilerlisten werden diese Gruppen nicht in Microsoft Entra-ID repliziert und können daher nicht vom Azure Rights Management-Dienst verwendet werden.
Verwendung von Benutzern und Gruppen durch den Azure Rights Management-Dienst
Es gibt zwei Szenarien für die Verwendung von Benutzern und Gruppen mit dem Azure Rights Management-Dienst:
Für Verschlüsselungseinstellungen , wenn Sie den Azure Rights Management-Dienst zum Verschlüsseln von Dokumenten und E-Mails verwenden. Administratoren und Benutzer können Benutzer und Gruppen auswählen, die den verschlüsselten Inhalt öffnen können, und zusätzlich:
Nutzungsrechte, die bestimmen, wie sie den Inhalt verwenden können. Beispielsweise, ob sie es nur lesen, lesen und drucken oder lesen und bearbeiten können.
Zugriffssteuerungen umfassen ein Ablaufdatum und die Angabe, ob für den Zugriff eine Verbindung mit dem Internet erforderlich ist.
Zum Konfigurieren des Azure Rights Management-Diensts zur Unterstützung bestimmter Szenarien wählen nur Administratoren diese Gruppen aus. Beispiele hierfür sind die Konfiguration von:
Übergeordnete Benutzer, damit bestimmte Dienste oder Personen verschlüsselte Inhalte öffnen können, wenn dies für eDiscovery oder die Datenwiederherstellung erforderlich ist.
Delegierte Verwaltung des Azure Rights Management-Diensts.
Onboarding-Steuerelemente zur Unterstützung einer stufenweisen Bereitstellung.
Azure Rights Management-Dienstanforderungen für Benutzerkonten
Für Verschlüsselungseinstellungen und Konfigurieren des Azure Rights Management-Diensts:
Zum Autorisieren von Benutzern werden zwei Attribute in Microsoft Entra ID verwendet: proxyAddresses und userPrincipalName.
Das attribut Microsoft Entra proxyAddresses speichert alle E-Mail-Adressen für ein Konto und kann auf unterschiedliche Weise aufgefüllt werden. Beispielsweise verfügt ein Benutzer in Microsoft 365 mit einem Exchange Online Postfach automatisch über eine E-Mail-Adresse, die in diesem Attribut gespeichert ist. Wenn Sie einem Microsoft 365-Benutzer eine alternative E-Mail-Adresse zuweisen, wird diese ebenfalls in diesem Attribut gespeichert. Es kann auch durch die E-Mail-Adressen aufgefüllt werden, die von lokalen Konten synchronisiert werden.
Der Azure Rights Management-Dienst kann einen beliebigen Wert in diesem Microsoft Entra proxyAddresses-Attribut verwenden, vorausgesetzt, die Domäne wurde Ihrem Mandanten hinzugefügt (eine "verifizierte Domäne"). Weitere Informationen zum Überprüfen von Domänen:
Für Microsoft Entra-ID: Hinzufügen eines benutzerdefinierten Domänennamens zu Microsoft Entra ID
Für Microsoft 365: Hinzufügen einer Domäne zu Microsoft 365
Das Microsoft Entra userPrincipalName-Attribut wird nur verwendet, wenn ein Konto in Ihrem Mandanten keine Werte im Microsoft Entra proxyAddresses-Attribut aufweist. Beispielsweise erstellen Sie einen Benutzer im Azure-Portal oder einen Benutzer für Microsoft 365 ohne Postfach.
Verschlüsselungseinstellungen für externe Benutzer
Zusätzlich zur Verwendung der Microsoft Entra proxyAddresses und Microsoft Entra userPrincipalName für Benutzer in Ihrem Mandanten verwendet der Azure Rights Management-Dienst diese Attribute auch auf die gleiche Weise, um Benutzer von einem anderen Mandanten zu autorisieren.
Andere Autorisierungsmethoden:
Für E-Mail-Adressen, die nicht in Microsoft Entra ID enthalten sind, kann der Azure Rights Management-Dienst diese autorisieren, wenn sie mit einem Microsoft-Konto authentifiziert werden. Allerdings können nicht alle Anwendungen verschlüsselte Inhalte öffnen, wenn ein Microsoft-Konto für die Authentifizierung verwendet wird.
Wenn eine E-Mail mithilfe von Microsoft Purview-Nachrichtenverschlüsselung an einen Benutzer gesendet wird, der nicht über ein Konto in Microsoft Entra ID verfügt, wird der Benutzer zuerst mithilfe des Verbunds mit einem Identitätsanbieter für soziale Netzwerke oder mithilfe einer Einmalkennung authentifiziert. Anschließend wird die in der geschützten E-Mail angegebene E-Mail-Adresse verwendet, um den Benutzer zu autorisieren.
Azure Rights Management-Dienstanforderungen für Gruppenkonten
Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen:
- Sie können jede Art von Gruppe in Microsoft Entra-ID verwenden, die über eine E-Mail-Adresse verfügt, die eine überprüfte Domäne für den Mandanten des Benutzers enthält. Eine Gruppe mit einer E-Mail-Adresse wird häufig als E-Mail-aktivierte Gruppe bezeichnet.
Zum Konfigurieren des Azure Rights Management-Diensts:
Sie können jede Art von Gruppe in Microsoft Entra-ID verwenden, die eine E-Mail-Adresse aus einer überprüften Domäne in Ihrem Mandanten enthält, mit einer Ausnahme. Diese Ausnahme tritt auf, wenn Sie Onboarding-Steuerelemente für die Verwendung einer Gruppe konfigurieren, die eine Sicherheitsgruppe in Microsoft Entra ID für Ihren Mandanten sein muss.
Sie können eine beliebige Gruppe in Microsoft Entra ID (mit oder ohne E-Mail-Adresse) aus einer überprüften Domäne in Ihrem Mandanten für die delegierte Verwaltung des Azure Rights Management-Diensts verwenden.
Verschlüsselungseinstellungen für externe Gruppen
Zusätzlich zur Verwendung des Microsoft Entra proxyAddresses für Gruppen in Ihrem Mandanten verwendet der Azure Rights Management-Dienst dieses Attribut auf die gleiche Weise, um Gruppen von einem anderen Mandanten zu autorisieren.
Verwenden von Konten aus einer lokalen Active Directory-Instanz
Wenn Sie über lokal verwaltete Konten verfügen, die Sie mit dem Azure Rights Management-Dienst verwenden möchten, müssen Sie diese mit Microsoft Entra ID synchronisieren. Zur Vereinfachung der Bereitstellung wird empfohlen, Microsoft Entra Connect zu verwenden. Sie können jedoch eine beliebige Verzeichnissynchronisierungsmethode verwenden, die dasselbe Ergebnis erzielt.
Wenn Sie Ihre Konten synchronisieren, müssen Sie nicht alle Attribute synchronisieren. Eine Liste der Attribute, die synchronisiert werden müssen, finden Sie im Abschnitt Azure RMS der Microsoft Entra Dokumentation.
In der Attributliste für Azure Rights Management sehen Sie, dass für Benutzer die lokalen AD-Attribute mail, proxyAddresses und userPrincipalName für die Synchronisierung erforderlich sind. Werte für mail und proxyAddresses werden mit dem attribut Microsoft Entra proxyAddresses synchronisiert. Weitere Informationen finden Sie unter Auffüllen des attributs proxyAddresses in Microsoft Entra ID.
Überlegungen zur Änderung von E-Mail-Adressen
Wenn Sie die E-Mail-Adresse eines Benutzers oder einer Gruppe ändern, wird empfohlen, dem Benutzer oder der Gruppe die alte E-Mail-Adresse als zweite E-Mail-Adresse (auch als Proxyadresse, Alias oder alternative E-Mail-Adresse bezeichnet) hinzuzufügen. In diesem Fall wird die alte E-Mail-Adresse dem attribut Microsoft Entra proxyAddresses hinzugefügt. Diese Kontoverwaltung stellt die Geschäftskontinuität für alle Nutzungsrechte oder andere Konfigurationen sicher, die gespeichert wurden, als die alte E-Mail-Adresse verwendet wurde.
Wenn Dies nicht möglich ist, besteht für den Benutzer oder die Gruppe mit der neuen E-Mail-Adresse das Risiko, dass der Zugriff auf Dokumente und E-Mails verweigert wird, die zuvor mit der alten E-Mail-Adresse geschützt wurden. In diesem Fall müssen Sie die Schutzkonfiguration wiederholen, um die neue E-Mail-Adresse zu speichern. Wenn dem Benutzer oder der Gruppe beispielsweise Nutzungsrechte in Vorlagen oder Bezeichnungen gewährt wurden, bearbeiten Sie diese Vorlagen oder Bezeichnungen, und geben Sie die neue E-Mail-Adresse mit den gleichen Nutzungsrechten an, die Sie der alten E-Mail-Adresse gewährt haben.
Beachten Sie, dass es selten vorkommt, dass eine Gruppe ihre E-Mail-Adresse ändert. Wenn Sie einer Gruppe anstelle einzelner Benutzer Nutzungsrechte zuweisen, spielt es keine Rolle, ob sich die E-Mail-Adresse des Benutzers ändert. In diesem Szenario werden die Nutzungsrechte der Gruppen-E-Mail-Adresse und nicht den E-Mail-Adressen einzelner Benutzer zugewiesen. Dies ist die wahrscheinlichste (und empfohlene) Methode für einen Administrator, um Nutzungsrechte zu konfigurieren, die Dokumente und E-Mails schützen. Benutzer können jedoch in der Regel benutzerdefinierte Berechtigungen für einzelne Benutzer zuweisen. Da Sie nicht immer wissen können, ob ein Benutzerkonto oder eine Gruppe verwendet wurde, um Zugriff zu gewähren, ist es am sichersten, immer die alte E-Mail-Adresse als zweite E-Mail-Adresse hinzuzufügen.
Zwischenspeichern von Gruppenmitgliedschaften
Aus Leistungsgründen speichert der Azure Rights Management-Dienst die Gruppenmitgliedschaft zwischen. Dieses Zwischenspeichern bedeutet, dass änderungen an der Gruppenmitgliedschaft in Microsoft Entra ID bis zu drei Stunden dauern können, bis sie wirksam werden, wenn diese Gruppen vom Azure Rights Management-Dienst verwendet werden und dieser Zeitraum sich ändern kann.
Denken Sie daran, diese Verzögerung bei Änderungen oder Tests zu berücksichtigen, die Sie ausführen, wenn Sie Gruppen zum Erteilen von Nutzungsrechten oder zum Konfigurieren des Azure Rights Management-Diensts verwenden.
Nächste Schritte
Wenn Sie bestätigt haben, dass Ihre Benutzer und Gruppen mit dem Azure Rights Management-Dienst verwendet werden können, überprüfen Sie, ob Sie den Azure Rights Management-Dienst aktivieren müssen:
Ab Februar 2018: Wenn Ihr Abonnement, das Azure Rights Management oder Microsoft Purview Information Protection umfasst, während oder nach diesem Monat erworben wurde, wird der Dienst automatisch für Sie aktiviert.
Wenn Ihr Abonnement vor Februar 2018 erworben wurde: Sie müssen den Dienst selbst aktivieren.
Weitere Informationen, einschließlich der Überprüfung der Aktivierung status, finden Sie unter Aktivieren des Azure Rights Management-Diensts.