Freigeben über


Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Wenn Sie Vertraulichkeitsbezeichnungen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal veröffentlicht haben, werden sie in Office-Apps angezeigt, damit Benutzer Daten beim Erstellen oder Bearbeiten klassifizieren und schützen können.

Verwenden Sie die Informationen in diesem Artikel, um Vertraulichkeitsbezeichnungen in Office-Apps erfolgreich zu verwalten. Beispielsweise zusätzliche Konfigurationsinformationen für bestimmte Bezeichnungsfeatures.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Unterstützung von Vertraulichkeitsbezeichnungen in Apps

Um Vertraulichkeitsbezeichnungen in Office-Apps verwenden zu können, müssen Sie eine Abonnementedition von Office verwenden. Verwenden Sie den Lizenzierungslink oben auf dieser Seite, um berechtigte Pläne zu identifizieren. Vertraulichkeitsbezeichnungen werden für eigenständige Editionen von Office, manchmal auch als "Office Unbefristet" bezeichnet, nicht unterstützt.

Für Outlook (Windows, macOS, iOS, Android und im Web) muss das Postfach in Exchange Online gehostet werden. Vertraulichkeitsbezeichnungen werden für lokal gehostete Postfächer nicht unterstützt. Dies gilt auch für freigegebene Postfächer, auch wenn die Benutzer, die darauf zugreifen, über Postfächer in Exchange Online verfügen.

Unterstützung für Vertraulichkeitsbezeichnungen in Apps

Verwenden Sie die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um die Office-Mindestversion zu identifizieren, die bestimmte Funktionen für Vertraulichkeitsbezeichnungen in Office-Apps eingeführt hat. Oder, wenn sich die Bezeichnungsfunktion in der öffentlichen Vorschau befindet.

Zusätzlich zur Auflistung der Mindestversionen für Windows, macOS, iOS und Android enthalten die Tabellen auch, ob die Funktion für Office für das Web unterstützt wird:

Office für iOS und Office für Android: Vertraulichkeitsbezeichnungen sind in die Office-App integriert.

Informationen Loop finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen mit Microsoft Loop

Tipp

Bezeichnungs- und Richtlinieneinstellungen, die auf Office-Dokumente verweisen, gelten auch für Loop Komponenten und Seiten.

Integrierte Office-Bezeichnungen und der Azure Information Protection-Client

Das Windows Office-Add-In aus dem Azure Information Protection-Client für einheitliche Bezeichnungen wird jetzt eingestellt und nicht mehr unterstützt. Sie wird durch Vertraulichkeitsbezeichnungen ersetzt, die in Office-Apps integriert sind und Bezeichnungen unterstützen.

Da das Add-In nicht mehr unterstützt wird, muss die Office-Richtlinieneinstellung Azure Information Protection-Add-In für Vertraulichkeitsbezeichnungen verwenden auf Nicht konfiguriert (Standard) oder Deaktiviert festgelegt werden. Wenn diese Einstellung für Aktiviert konfiguriert ist, können Sie die Vertraulichkeitsbezeichnung in Office-Apps nicht verwenden.

So überprüfen Sie diese Einstellung:

Die anderen Bezeichnungsfunktionen dieses älteren Bezeichnungsclients werden mit dem Microsoft Purview Information Protection Client unterstützt. Weitere Informationen finden Sie unter Erweitern der Vertraulichkeitsbezeichnung unter Windows.

Wenn Sie die integrierte Bezeichnung in Office Apps auf Windows ausschalten müssen

Um Vertraulichkeitsbezeichnungen in Office-Apps verwenden zu können, müssen Sie mindestens eine Bezeichnungsrichtlinie für Benutzer aus dem Microsoft Purview-Complianceportal und eine unterstützte Version von Office veröffentlicht haben.

Wenn beide Bedingungen erfüllt sind, Sie aber Vertraulichkeitsbezeichnungen in Windows Office-Apps deaktivieren müssen, verwenden Sie die Office-Richtlinieneinstellung Verwenden Sie das Vertraulichkeitsfeature in Office, um Vertraulichkeitsbezeichnungen anzuwenden und anzuzeigen. Legen Sie den Wert auf 0 fest, indem Sie Deaktiviert auswählen.

Navigieren Sie für Gruppenrichtlinie und Microsoft 365 Apps for Enterprise administrativen Vorlagen unter Benutzerkonfiguration/Administrative Vorlagen/Microsoft Office 2016/Sicherheitseinstellungen zu dieser Einstellung. Wenn Sie den Cloudrichtliniendienst für Microsoft 365 verwenden, suchen Sie nach dieser Einstellung anhand des Namens. Die Einstellung wird beim Neustart dieser Office-Apps wirksam.

Wenn Sie diese Konfiguration später rückgängig machen müssen, ändern Sie den Wert in 1, indem Sie Aktiviert auswählen. Möglicherweise müssen Sie diese Einstellung auch aktivieren, wenn die Schaltfläche Vertraulichkeit nicht wie erwartet auf dem Menüband angezeigt wird. Beispielsweise hat ein vorheriger Administrator diese Bezeichnungseinstellung deaktiviert.

Da diese Einstellung für Windows Office-Apps spezifisch ist, hat sie keine Auswirkungen auf andere Apps unter Windows, die Vertraulichkeitsbezeichnungen unterstützen (z. B. Power BI) oder andere Plattformen (z. B. macOS, mobile Geräte und Office für das Web). Wenn Sie nicht möchten, dass bestimmte oder alle Benutzer Vertraulichkeitsbezeichnungen für alle Apps und Plattformen ansehen und verwenden können, weisen Sie diesen Benutzern keine Vertraulichkeitsbezeichnungsrichtlinie zu.

Tipp

Wenn Sie die Anzeige integrierter Bezeichnungen für Word, Excel und PowerPoint beenden und nur für Outlook oder umgekehrt anzeigen möchten, können Sie dieses Ergebnis mit einer Bezeichnungseinstellung erzielen. Weitere Informationen finden Sie unter Bereichsbezeichnungen nur für Dateien oder E-Mails.

Unterstützte Office-Dateitypen

Im Allgemeinen unterstützen Office-Apps, die über integrierte Bezeichnungen für Word-, Excel- und PowerPoint-Dateien verfügen, das Open XML-Format (z. B. .docx und .xlsx), aber nicht das Microsoft Office 97-2003-Format (z. B. .doc und .xls), Open Document Format (z. B. .odt und .ods) oder andere Formate.

Hinweis

Sie können verhindern, dass Benutzer die älteren Dateitypen für Word, Excel und PowerPoint in Windows öffnen oder speichern. Anweisungen finden Sie unter Blockieren bestimmter Dateiformattypen in Office 2016.

Wenn ein Dateityp für Vertraulichkeitsbezeichnungen nicht unterstützt wird, ist die Schaltfläche Vertraulichkeit in der Office-App nicht verfügbar.

Unterstützte Dateitypen für Office-Apps unter Windows, macOS, iOS und Android:

  • Word: .docx, .docm, .dotx, .dotm
  • Excel: .xlsx, .xlsb; .xlsm, .xltx
  • PowerPoint: .pptx, .pptm, .potx, .potm, .ppsx, .ppsm

Informationen zu Dateitypen, die für SharePoint und OneDrive unterstützt werden, wenn diese Dienste für Vertraulichkeitsbezeichnungen aktiviert sind, finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive.

Die Bezeichnung für eingebettete Dateien wird nicht unterstützt, auch nicht mit den aufgeführten Dateitypen.

Informationen zu Bezeichnungsszenarien außerhalb von Office-Apps finden Sie in der Dokumentation zu unterstützten Dateitypen. Beispielsweise die zusätzlichen Dateitypen , die vom Microsoft Purview Information Protection-Client und -Scanner unterstützt werden.

Schutzvorlagen und Vertraulichkeitsbezeichnungen

Vom Administrator definierte Schutzvorlagen, z. B. diejenigen, die Sie für Microsoft Purview-Nachrichtenverschlüsselung definieren, sind in Office-Apps nicht sichtbar, wenn Sie integrierte Bezeichnungen verwenden. Diese Vereinfachung spiegelt wider, dass es nicht notwendig ist, eine Schutzvorlage auszuwählen, da die gleichen Einstellungen bei Vertraulichkeitsbezeichnungen mit aktivierter Verschlüsselung enthalten sind.

Sie können eine vorhandene Vorlage in eine Vertraulichkeitsbezeichnung konvertieren, wenn Sie den „cmdlet“-Befehl New-Label mit dem Parameter EncryptionTemplateId verwenden.

Information Rights Management (IRM)-Optionen und Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen, die Sie für die Anwendung der Verschlüsselung konfigurieren, nehmen dem Benutzer die Komplexität, seine eigenen Verschlüsselungseinstellungen festzulegen. In Office-Apps werden diese einzelnen Verschlüsselungseinstellungen möglicherweise weiterhin manuell von Benutzern mithilfe von IRM-Optionen (Information Rights Management, Verwaltung von Informationsrechten) konfiguriert. Zum Beispiel für Windows-Apps:

  • Für ein Dokument: Dateiinformationen>>Dokument schützen>Zugriff einschränken
  • für eine E-Mail: Auf der Registerkarte "Optionen">verschlüsseln

In den neuesten Word-, Excel- und PowerPoint-Apps für Windows und Mac können Benutzer nicht mehr irm-Optionen (Information Rights Management, Verwaltung von Informationsrechten) auswählen, wenn sie über Vertraulichkeitsbezeichnungen verfügen. Stattdessen wird benutzern ein Dialogfeld angezeigt, in dem sie aufgefordert werden, eine Vertraulichkeitsbezeichnung zum Anwenden des Informationsschutzes zu verwenden. In der Meldung wird auch erläutert, wie Sie später auf die Vertraulichkeitsleiste zugreifen, um Bezeichnungen auszuwählen und zu ändern:

In den neuesten Office-Apps sind IRM-Optionen nicht mehr verfügbar, und Benutzer müssen stattdessen eine Vertraulichkeitsbezeichnung auswählen.

Bei Outlook- und älteren Office-Apps, mit denen Benutzer Optionen für die Verwaltung von Informationsrechten auswählen können, können Benutzer Einstellungen aus einer angewendeten Vertraulichkeitsbezeichnung mit ihren eigenen Verschlüsselungseinstellungen überschreiben. Zum Beispiel:

  • Ein Benutzer wendet die Bezeichnung Vertraulich \ Alle Mitarbeiter auf ein Dokument an und diese Bezeichnung ist so konfiguriert, dass die Verschlüsselungseinstellungen für alle Benutzer in der Organisation gelten. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf einen Benutzer außerhalb Ihrer Organisation zu beschränken. Das Endergebnis ist ein Dokument, das als Vertraulich \ für alle Mitarbeiter gekennzeichnet und verschlüsselt ist, aber die Benutzer in Ihrer Organisation können es nicht wie erwartet öffnen.

  • Ein Benutzer versieht eine E-Mail mit der Bezeichnung Vertraulich\ Nur Empfänger und diese E-Mail ist so konfiguriert, dass die Verschlüsselungseinstellung Nicht weiterleiten gilt. In der Outlook-App wählt dieser Benutzer dann manuell die IRM-Einstellung für "Nur Verschlüsseln". Das Endergebnis ist, dass die E-Mail zwar verschlüsselt bleibt, aber von den Empfängern weitergeleitet werden kann, obwohl sie die Bezeichnung Vertraulich \ Nur Empfänger trägt.

    Ausnahmsweise stehen Benutzern bei Outlook im Web die Optionen aus dem Menü Verschlüsseln nicht zur Auswahl, wenn die aktuell ausgewählte Bezeichnung Verschlüsselung anwendet.

  • Ein Benutzer wendet das Etikett Allgemein auf ein Dokument an, und diese Bezeichnung ist nicht für die Anwendung von Verschlüsselung konfiguriert. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf das Dokument zu beschränken. Das Endergebnis ist ein Dokument, das als Allgemein bezeichnet ist, aber auch verschlüsselt wird, so dass einige Benutzer es nicht wie erwartet öffnen können.

Wenn das Dokument oder die E-Mail bereits bezeichnet ist, kann ein Benutzer jede dieser Aktionen durchführen, wenn der Inhalt nicht bereits verschlüsselt ist oder er das Nutzungsrecht Export oder Vollzugriff hat.

Stellen Sie für eine konsistentere Benutzeroberfläche mit aussagekräftigen Berichten geeignete Bezeichnungen und Anleitungen für Benutzer bereit, nur Bezeichnungen zum Schutz von Dokumenten und E-Mails anzuwenden. Zum Beispiel:

  • Für Ausnahmefälle, in denen Benutzer ihre eigenen Berechtigungen zuweisen müssen, stellen Sie Bezeichnungen bereit, mit denen Benutzer ihre eigenen Berechtigungen zuweisen können.

  • Anstatt dass Benutzer die Verschlüsselung manuell entfernen, nachdem sie eine Bezeichnung ausgewählt haben, das die Verschlüsselung anwendet, bieten Sie eine Alternative für untergeordnete Bezeichnungen an, wenn Benutzer eine Bezeichnung mit der gleichen Klassifizierung, aber ohne Verschlüsselung benötigen. Wie zum Beispiel:

    • Vertraulich \ Alle Mitarbeiter
    • Vertraulich \ Jeder (keine Verschlüsselung)
  • Führen Sie ein Upgrade auf die neuesten Versionen durch, bei denen Benutzer die IRM-Einstellungen für Word, Excel und PowerPoint nicht auswählen können. Für Outlook sollten Sie die IRM-Einstellungen deaktivieren, um zu verhindern, dass Benutzer sie auswählen:

    • Outlook für Windows:
      • Registrierungsschlüssel DWORD:00000001DisableDNF und DisableEO aus HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Stellen Sie sicher, dass die Gruppenrichtlinieneinstellung Standardverschlüsselungsoption für die Schaltfläche Verschlüsseln konfigurieren nicht konfiguriert ist
    • Outlook für Mac:
    • Outlook im Web:
      • Parameter SimplifiedClientAccessDoNotForwardDisabled und SimplifiedClientAccessEncryptOnlyDisabled für Set-IRMConfiguration dokumentiert
    • Outlook für iOS und Android: Diese Apps unterstützen nicht die Verwendung von Verschlüsselung ohne Bezeichnungen, also nichts zum Deaktivieren.

Hinweis

Wenn Benutzer die Verschlüsselung eines mit einer Bezeichnung versehenen Dokuments, das in SharePoint oder OneDrive gespeichert ist, manuell entfernen und Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, wird die Bezeichnungsverschlüsselung automatisch wiederhergestellt, wenn das Dokument das nächste Mal aufgerufen oder heruntergeladen wird.

Verschlüsselungsbasierter Bezeichnungsabgleich für Dokumente

Wenn ein Dokument mit vom Administrator definierten Berechtigungen verschlüsselt wurde, wird die Verschlüsselungsrichtlinie in das Dokument eingebettet. Dies geschieht unabhängig von der Bezeichnung. Beispielsweise, wenn eine Office-Anlage die Verschlüsselung von einer E-Mail-Nachricht erbt oder ein Benutzer eine Rights Management-Vorlage mithilfe von IrM (Information Rights Management) in seiner Office-App angewendet hat. Wenn eine Vertraulichkeitsbezeichnung im Mandanten mit derselben Verschlüsselungsrichtlinie übereinstimmt, weisen Office-Apps dem Dokument diese entsprechende Bezeichnung automatisch zu.

In diesem Szenario kann die übereinstimmende Vertraulichkeitsbezeichnung ein dokument ohne Bezeichnung bezeichnen und eine vorhandene Bezeichnung ersetzen, die keine Verschlüsselung anwendet. Beispielsweise wird die Bezeichnung Allgemein durch Vertraulich/Alle Mitarbeiter ersetzt. Inhaltsmarkierungen aus der übereinstimmenden Bezeichnung werden nicht automatisch angewendet.

Dieses Szenario hilft dabei, ältere Verschlüsselungslösungen von Rights Management-Vorlagen auf Vertraulichkeitsbezeichnungen zu verschieben, die Verschlüsselung mit Rights Management anwenden.

Dieses Verhalten wird jedoch auch bei einem Bezeichnungsszenario für E-Mail- und Besprechungsanlagen angezeigt, wenn diese vom Empfänger geöffnet werden. Zum Beispiel:

  1. Ein Benutzer erstellt eine E-Mail und fügt ein unverschlüsseltes Office-Dokument an und wendet dann eine Bezeichnung auf die E-Mail an.

    Die Bezeichnung wendet die Verschlüsselung mit Berechtigungen an, die vom Administrator festgelegt wurden, anstatt die Optionen Nicht weiterleiten oder Encrypt-Only. Für die Bezeichnungskonfiguration wählt der Administrator beispielsweise Berechtigungen jetzt zuweisen aus und gibt an, dass alle Mitarbeiter Über Lesezugriff verfügen.

  2. Wenn die E-Mail gesendet wird, erbt die Anlage automatisch die Verschlüsselung mit Rights Management, aber nicht die Bezeichnung.

  3. Wenn ein Empfänger im selben Mandanten das verschlüsselte Dokument öffnet, wird automatisch eine übereinstimmende Bezeichnung für die vom Administrator definierten Berechtigungen für das Dokument angezeigt und beim Speichern des Dokuments beibehalten.

    Als Überwachungsereignis, das im Aktivitäts-Explorer angezeigt wird, hat dieser Benutzer die Bezeichnung angewendet, nicht den E-Mail-Absender.

Der verschlüsselungsbasierte Bezeichnungsabgleich funktioniert nur innerhalb des Mandanten, und es gelten alle folgenden Bedingungen:

  • Das Dokument ist nicht gekennzeichnet, oder die vorhandene Bezeichnung wendet keine Verschlüsselung an.
  • Das Dokument wird mit vom Administrator definierten Berechtigungen verschlüsselt.
  • Die übereinstimmende Vertraulichkeitsbezeichnung wird für den Benutzer veröffentlicht, der das Dokument öffnet.
  • Der Bezeichnungsbereich der übereinstimmenden Vertraulichkeitsbezeichnung umfasst Dateien & andere Datenressourcen.

Die übereinstimmende Bezeichnung bleibt erhalten, wenn das Dokument gespeichert wird.

Kompatibilität des Vertraulichkeitsbezeichnungen

Mit RMS-gestützten Apps: Wenn Sie ein beschriftetes und verschlüsseltes Dokument oder eine verschlüsselte E-Mail in einer Anwendung öffnen, die die Microsoft Rights Management(RMS)-Technologie unterstützt, aber keine Vertraulichkeitsbezeichnungen unterstützt, erzwingt die App weiterhin Verschlüsselung und Rechteverwaltung.

Mit dem Microsoft Purview Information Protection-Client: Sie können Vertraulichkeitsbezeichnungen anzeigen und ändern, die Sie mit Office-Apps auf Dokumente anwenden, indem Sie den Microsoft Purview Information Protection Client verwenden und umgekehrt.

Mit anderen Versionen von Office: Jeder berechtigte Benutzer kann bezeichnete Dokumente und E-Mails in anderen Versionen von Office öffnen. Sie können die Bezeichnung jedoch nur in unterstützten Office-Versionen oder mithilfe des Microsoft Purview Information Protection-Clients anzeigen oder ändern. Die unterstützten Office-App-Versionen sind im vorherigen Abschnitt aufgeführt.

Unterstützung für SharePoint- und OneDrive-Dateien, die durch Vertraulichkeitsbezeichnungen geschützt sind

Um den integrierten Office-Bezeichnungsclient mit Office für das Web für Dokumente in SharePoint oder OneDrive zu verwenden, stellen Sie sicher, dass Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben.

Unterstützung für externe Benutzer und bezeichnete Inhalte

Wenn Sie ein Dokument oder eine E-Mail bezeichnen, wird die Bezeichnung als Metadaten gespeichert, die Ihren Mandanten und eine Bezeichnungs-GUID enthalten. Wenn ein bezeichnetes Dokument oder eine E-Mail von einer Office-App geöffnet wird, die Vertraulichkeitsbezeichnungen unterstützt, werden diese Metadaten ausgelesen, und nur wenn der Benutzer demselben Mandanten angehört, wird die Bezeichnung in dessen App angezeigt. Bei den integrierten Bezeichnungen für Word, PowerPoint und Excel wird der Bezeichnungsname beispielsweise in der Statusleiste angezeigt. Benutzer schließen Gastkonten aus.

Diese Implementierung bedeutet, dass jeder organization seine eigene Bezeichnung anwenden und sehen kann, wenn Sie Dokumente für eine andere organization freigeben, die unterschiedliche Bezeichnungsnamen verwendet. Gastbenutzer sehen Ihre Bezeichnungen nicht in ihren Apps.

Hinweis

Zwei Ausnahmen, bei denen ein anderer organization keine eigenen Vertraulichkeitsbezeichnungen anwenden kann:

Das gleiche gilt für E-Mails (und kalenderrelevante Ereignisse), die von Outlook gesendet werden. Andere E-Mail-Clients als Outlook behalten jedoch möglicherweise nicht die Bezeichnungsmetadaten in den E-Mail-Headern bei. Wenn Benutzer beispielsweise von einem anderen organization antworten oder weiterleiten, der Outlook nicht verwendet, führt dies wahrscheinlich dazu, dass die ursprüngliche E-Mail-Bezeichnung für den ursprünglichen organization nicht mehr sichtbar ist, da die Bezeichnungsmetadaten nicht beibehalten wurden. Wenn diese Bezeichnung Verschlüsselung angewendet hat, wird die Verschlüsselung beibehalten, um den Inhalt zu schützen.

Die folgenden Elemente aus einer angewendeten Bezeichnung sind für Benutzer außerhalb Ihrer organization sichtbar:

  • Inhaltliche Markierungen. Wenn eine Bezeichnung eine Kopf- oder Fußzeile oder ein Wasserzeichen anlegt, werden diese direkt zum Inhalt hinzugefügt und bleiben sichtbar, bis jemand sie ändert oder löscht.

  • Der Name und die Beschreibung der zugrundeliegenden Schutzvorlage aus einer Bezeichnung, das die Verschlüsselung angewendet hat. Diese Informationen werden in einer Meldungsleiste am oberen Rand des Inhalts angezeigt, um Informationen darüber bereitzustellen, wer berechtigt ist, den Inhalt anzuzeigen, und seine Nutzungsrechte für diese Inhalte.

Teilen verschlüsselter Dokumente mit externen Benutzern

Obwohl Sie den Zugriff auf Benutzer in Ihrer eigenen organization einschränken können, können Sie den Zugriff auch auf jeden anderen Benutzer erweitern, der über ein Konto in Microsoft Entra ID verfügt. Standardmäßig werden diese externen Benutzer ohne zusätzliche Konfiguration authentifiziert. Möglicherweise sind jedoch zusätzliche Konfigurationen für Microsoft Entra einstellungen für den mandantenübergreifenden Zugriff für externe Identitäten und den bedingten Zugriff erforderlich.

Wenn externe Benutzer kein Konto in Microsoft Entra ID haben, können sie sich mithilfe von Gastkonten in Ihrem Mandanten authentifizieren. Diese Gastkonten können auch für den Zugriff auf freigegebene Dokumente in SharePoint oder OneDrive verwendet werden, wenn Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben.

Weitere Informationen zu den optionalen Microsoft Entra Features und zur Verwendung von Gastkonten für Authentifizierungsanforderungen finden Sie unter Microsoft Entra Konfiguration für Verschlüsselungsinhalte.

Alle Office-Apps und andere Anwendungen, die die Rights Management-Technologie von Microsoft verstehen, können verschlüsselte Dokumente öffnen, nachdem sich der Benutzer erfolgreich authentifiziert hat.

Wenn Office-Apps Markierungen und Verschlüsselungen auf Inhalte anwenden.

Office-Apps wenden die Inhaltsmarkierung und die Verschlüsselung mit einem Vertraulichkeitsbezeichnungen je nach App unterschiedlich an.

App Inhaltskennzeichnung Verschlüsselung
Word, Excel, PowerPoint auf allen Plattformen Sofort Sofort
Outlook für PC Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet Sofort
*Outlook für Mac , Outlook im Web, iOS und Android Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet

*Version 16.79 und höher mit dem neuen Outlook für Mac. Frühere Versionen werden sofort verschlüsselt.


Lösungen, die Vertraulichkeitsbezeichnungen auf Dateien außerhalb von Office-Anwendungen anwenden, tun dies, indem sie Bezeichnungsmetadaten auf die Datei anwenden. In diesem Szenario wird die Inhaltsmarkierung aus der Konfiguration der Bezeichnung nicht in die Datei eingefügt, sondern die Verschlüsselung wird angewendet. Die Inhaltsmarkierungen werden nicht automatisch angewendet, wenn Sie diese Dokumente in Office-Apps öffnen. Ebenso werden die Inhaltsmarkierungen nicht entfernt, wenn eine Bezeichnung außerhalb von Office-Apps entfernt wird, auch wenn diese Dokumente später in einer Office-App geöffnet werden.

Zu den Szenarien, die das Anwenden einer Vertraulichkeitsbezeichnungen außerhalb von Office-Apps beinhalten, gehören:

  • Scanner, Explorer und PowerShell vom Microsoft Purview Information Protection-Client

  • Auto-Bezeichnungsrichtlinien für SharePoint und OneDrive

  • Exportierte bezeichnete und verschlüsselte Daten aus Power BI

  • Automatisch angewendete Bezeichnungen aus Microsoft Defender for Cloud Apps

In diesen Szenarien kann ein Benutzer mit seinen Office-Apps die Inhaltsmarkierungen der Bezeichnung anwenden, indem er die aktuelle Bezeichnung vorübergehend entfernt oder ersetzt und dann die ursprüngliche Bezeichnung erneut anwendet.

Inhaltsmarkierungen mit Variablen

Wichtig

Wenn Ihre Office-Apps diese Funktionalität nicht unterstützen, wenden sie die Markierungen als den in der Bezeichnungskonfiguration angegebenen Originaltext an, anstatt die Variablen aufzulösen. Informationen zu Vertraulichkeitsbezeichnungen in Office-Apps finden Sie in den Tabellen unter Mindestversionen.

Wenn Sie eine Vertraulichkeitsbezeichnungen für Inhaltsmarkierungen konfigurieren, können Sie die folgenden Variablen in der Textzeichenfolge für Ihre Kopf- und Fußzeile oder Ihr Wasserzeichen verwenden:

Variable Beschreibung Beispiel beim Aufbringen der Bezeichnung
${Item.Label} Bezeichnungs-Anzeigename der angewendeten Bezeichnung Allgemein
${Item.Name} Dateiname oder E-Mail-Betreff des zu bezeichnenden Inhalts Sales.docx
${Item.Location} Pfad und Dateiname des zu bezeichnenden Dokuments bzw. der E-Mail-Betreff für eine zu bezeichnenden E-Mail \\Sales\2020\Q3\Report.docx
${User.Name} Anzeigename des Benutzers, der die Bezeichnung anbringt Richard Simone
${User.PrincipalName} Microsoft Entra Benutzerprinzipalname (UPN) des Benutzers, der die Bezeichnung anwendet rsimone@contoso.com
${Event.DateTime} Datum und Uhrzeit der Bezeichnung des Inhalts in der lokalen Zeitzone des Benutzers, der die Bezeichnung in Microsoft 365-Apps anwendet, oder UTC (koordinierte Weltzeit) für Office-Onlinerichtlinien und Richtlinien für automatische Bezeichnungen 10.08.2020 13:30 UHR

Hinweis

Bei der Syntax für diese Variablen wird zwischen Groß- und Kleinschreibung unterschieden.

Dynamische Wasserzeichen unterstützen auch das Einfügen der E-Mail-Adresse eines Benutzers. Die Inhaltsmarkierung mit einer Variablen verwendet jedoch die E-Mail-Adresse des Benutzers, der die Bezeichnung anwendet, die für die Verantwortlichkeit geeignet ist. Dynamische Wasserzeichen zeigen die E-Mail-Adresse des Benutzers an, der das Dokument gerade öffnet, was als visuelle Abschreckung vor Datenlecks dient.

Zusätzliche Überlegungen:

  • Alle Inhaltsmarkierungen mit oder ohne Variablen können mit Bezeichnungen angewendet werden, die keine Verschlüsselung anwenden. Dynamische Wasserzeichen können nur mit Bezeichnungen angewendet werden, die von Administratoren definierte Verschlüsselung anwenden.

  • Alle Inhaltsmarkierungen mit oder ohne dynamische Variablen können vom Benutzer geändert oder entfernt werden, nachdem sie auf den bezeichneten Inhalt angewendet wurden. Dynamische Wasserzeichen können nach der Anwendung nicht mehr geändert oder entfernt werden, ohne die Bezeichnung zu entfernen oder den Inhalt (sofern zulässig) zu exportieren.

  • Alle Inhaltsmarkierungen mit oder ohne dynamische Variablen können mit unterschiedlichen Schriftarten, Farben und Ausrichtungen angepasst werden. Dynamische Wasserzeichen unterstützen diese Anpassung nicht.

Die Einschränkungen, die mit dynamischen Wasserzeichen verbunden sind, bieten mehr Sicherheit, könnten aber auch verhindern, dass das Dokument in einer Desktopversion von Office geöffnet wird, die diese Funktion nicht unterstützt. Verwenden Sie dynamische Wasserzeichen nur, wenn Sie diese Schutzebene benötigen, und die Standardmäßige Inhaltsmarkierung, wenn dies nicht der Fall ist. Ausführliche Informationen finden Sie in der Dokumentation zu dynamischen Wasserzeichen .

Festlegen verschiedener Inhaltsmarkierungen für Word, Excel, PowerPoint und Outlook

Als zusätzliche Variable können Sie Inhaltsmarkierungen pro Office-Anwendungstyp konfigurieren, indem Sie eine "If.App"-Variablen-Anweisung in der Textzeichenfolge verwenden und den Anwendungstyp anhand der Werte Word, Excel, PowerPoint oder Outlook identifizieren. Sie können diese Werte auch abkürzen, was notwendig ist, wenn Sie mehrere Werte in derselben If.App-Anweisung angeben möchten.

Verwenden Sie die folgende Syntax:

${If.App.<application type>}<your visual markings text> ${If.End}

Wie bei den anderen Inhaltsmarkierungen wird bei der Syntax die Groß-/Kleinschreibung beachtet, die die Abkürzungen für jeden Anwendungstyp (WXPO) enthält.

Beispiele:

  • Kopfzeilentext nur für Word-Dokumente einstellen:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Nur in Word-Dokumentenkopfzeilen übernimmt die Bezeichnung den Kopfzeilentext "Dieses Word-Dokument ist vertraulich". Für andere Office-Anwendungen wird kein Kopfzeilentext übernommen.

  • Legen Sie Fußzeilentext für Word, Excel und Outlook und einen anderen Fußzeilentext für PowerPoint fest:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    In Word, Excel und Outlook wendet die Bezeichnung den Fußzeilentext "Dieser Inhalt ist vertraulich" an. In PowerPoint wendet die Bezeichnung den Fußzeilentext "Diese Präsentation ist vertraulich" an.

  • Legen Sie einen bestimmten Wasserzeichentext für Word und PowerPoint fest, und dann einen Wasserzeichentext für Word, Excel und PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    In Word und PowerPoint wird die Bezeichnung mit dem Wasserzeichentext "Dieser Inhalt ist vertraulich" versehen. In Excel wird die Bezeichnung mit dem Wasserzeichentext "Vertraulich" versehen. In Outlook wendet die Bezeichnung keinen Wasserzeichentext an, da Wasserzeichen als Inhaltsmarkierungen für Outlook nicht unterstützt werden.

Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden

Wichtig

Diese Konfiguration wird manchmal als obligatorische Bezeichnung bezeichnet. Informationen zum Suchen nach unterstützten Office-Versionen finden Sie in den Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps.

Wenn Sie obligatorische Bezeichnungen für Dokumente, aber nicht für E-Mails verwenden möchten, lesen Sie die Anweisungen im nächsten Abschnitt, in dem erklärt wird, wie Sie Outlook-spezifische Optionen konfigurieren.

Um die obligatorische Bezeichnung für Power BI zu verwenden, lesen Sie Obligatorische Bezeichnungsrichtlinie für Power BI.

Wenn die Richtlinieneinstellung Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden ausgewählt ist, müssen Benutzer, denen die Richtlinie zugewiesen ist, eine Vertraulichkeitsbezeichnung in ihren Office-Apps auswählen und anwenden:

  • Für Dokumente (Word, Excel, PowerPoint): Wenn ein nicht bezeichnetes Dokument geöffnet oder gespeichert wird.

  • Für E-Mails (Outlook): Zu dem Zeitpunkt, an dem Benutzer eine nicht bezeichnete E-Mail-Nachricht senden. Für Outlook Mobile kann dies beim ersten Verfassen der E-Mail-Nachricht in geändert werden.

Zusätzliche Informationen:

  • Ohne Bezeichnung bedeutet, dass eine vertraulichkeitsbezeichnung, die vom Mandanten des Benutzers veröffentlicht wurde, nicht auf den Inhalt angewendet wird. Vertraulichkeitsbezeichnungen, die von anderen Mandanten angewendet werden, werden von dieser Richtlinieneinstellung ignoriert.

  • Wenn Benutzer aufgefordert werden, eine Vertraulichkeitsbezeichnungen hinzuzufügen, weil sie ein nicht bezeichnetes Dokument öffnen, können sie eine Bezeichnung hinzufügen oder wählen, dass das Dokument im schreibgeschützten Modus geöffnet wird.

  • Wenn die Bezeichnungspflicht in Kraft ist, können Benutzer keine Vertraulichkeitsbezeichnungen von Dokumenten entfernen, aber eine vorhandene Bezeichnung ändern.

  • Wenn die obligatorische Bezeichnung aktiviert ist, ist die Option „Als PDF drucken“ nicht verfügbar, wenn ein Dokument mit einer Bezeichnung versehen oder verschlüsselt ist. Weitere Informationen finden Sie auf dieser Seite im Abschnitt PDF-Unterstützung.

Eine Anleitung, wann diese Einstellung verwendet werden sollte, finden Sie in den Informationen zu Richtlinieneinstellungen.

Hinweis

Wenn Sie die standardmäßige Richtlinieneinstellung für Bezeichnungen für Dokumente und E-Mails zusätzlich zur obligatorischen Bezeichnung verwenden:

Die Standardbezeichnung hat immer Vorrang vor der obligatorischen Bezeichnung. Wenn Sie jedoch eine Version von Office verwenden, die noch keine Standardbezeichnung für vorhandene Dokumente unterstützt, werden Benutzer aufgefordert, für jedes neue Dokument eine Vertraulichkeitsbezeichnung anzuwenden.

Identifizieren Sie die Mindestversionen von Word, Excel und PowerPoint, die eine Standardbezeichnung für vorhandene Dokumente unterstützen, indem Sie die Funktionstabelle und die Zeile Apply a default label to existing documents (Standardbezeichnung auf vorhandene Dokumente anwenden) verwenden.

Ändern Sie für Outlook Mobile, wenn Benutzer zur Eingabe einer Bezeichnung aufgefordert werden.

Diese Einstellung erfordert eine Mindestversion von 4.2316.0 für Outlook für Android und Outlook für iOS.

Sie können eine Microsoft Intune App-Konfigurationsrichtlinie für verwaltete Apps verwenden, um eine Einstellung aus dem Intune App Software Development Kit (SDK) zu konfigurieren, die sich ändert, wenn Benutzer aufgefordert werden, eine Vertraulichkeitsbezeichnung für Outlook Mobile auszuwählen.

Anstatt beim Senden zur Eingabe einer Bezeichnung aufzufordern, wenn die obligatorische Bezeichnung für E-Mails konfiguriert wird, führt diese Konfiguration dazu, dass beim ersten Verfassen einer Nachricht ein Benutzer zur Eingabe einer Bezeichnung aufgefordert wird.

Für diese Konfiguration müssen Sie das folgende Schlüssel-Wert-Paar als allgemeine Konfigurationseinstellung in der Richtlinie angeben:

Schlüssel Wert
com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled true

Outlook-spezifische Optionen für Standardbezeichnungen und obligatorische Bezeichnungen

Ermitteln Sie die Mindestversionen von Outlook, die diese Features unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile Verschiedene Einstellungen für Standardbezeichnungen und obligatorische Bezeichnungen verwenden.

Wenn die Outlook-App eine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet:

  • In der Bezeichnungsrichtlinienkonfiguration im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal auf der Seite Standardbezeichnung auf E-Mails anwenden: Sie können ihre Auswahl der Vertraulichkeitsbezeichnung angeben, die auf alle nicht bezeichneten E-Mails oder keine Standardbezeichnung angewendet wird. Diese Einstellung ist unabhängig von der Bezeichnung standardmäßig auf Dokumente anwenden -Einstellung auf der vorherigen Richtlinieneinstellungen für Dokumente -Seite der Konfiguration.

Wenn die Outlook App keine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet: Outlook verwendet immer den Wert, den Sie für Diese Bezeichnung standardmäßig auf Dokumente anwenden auf der Richtlinieneinstellungen für Dokumente -Seite der Bezeichnungsrichtlinienkonfiguration angeben.

Wenn die Outlook-App das Deaktivieren von obligatorischen Bezeichnungen unterstützt:

  • Wählen Sie in der Bezeichnungsrichtlinienkonfiguration im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal auf der Seite Richtlinieneinstellungen die Option Benutzer müssen eine Bezeichnung auf ihre E-Mails oder Dokumente anwenden aus. Wählen Sie dann Weiter>Weiter aus und deaktivieren Sie das Kontrollkästchen Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden. Lassen Sie das Kontrollkästchen aktiviert, wenn die obligatorische Bezeichnung für E-Mails und Dokumente gelten soll.

Wenn die Outlook-App das Deaktivieren der obligatorischen Bezeichnung nicht unterstützt: Wenn Sie Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden als Richtlinieneinstellung anwenden müssen, fordert Outlook Benutzer immer auf, eine Bezeichnung für nicht gekennzeichnete E-Mails auszuwählen.

Bereichsbezeichnungen auf Dateien oder E-Mails

Hinweis

Identifizieren Sie die Mindestversionen, die dieses Feature unterstützen, indem Sie die Funktionstabellen und die Zeilenbereichsbezeichnungen für Dateien oder E-Mails verwenden.

Wenn diese Funktion nicht auf allen Plattformen unterstützt wird, die von Ihren Benutzern verwendet werden, verfügen sie über eine inkonsistente Bezeichnung. Beispielsweise zeigt Word auf einer Plattform keine Bezeichnung an, die auf einer anderen Plattform angezeigt wird.

Diese Konfiguration ist verfügbar, wenn Sie eine Vertraulichkeitsbezeichnung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal erstellen oder bearbeiten:

  • Um Bezeichnungen nur auf Word, Excel und PowerPoint zu festlegen: Stellen Sie sicher, dass die Option Dateien & anderen Datenressourcen ausgewählt ist und nicht die Option für E-Mails.
  • Wenn Sie Bezeichnungen nur auf Outlook festlegen möchten, stellen Sie sicher, dass die Option für E-Mails und nicht für Dateien & anderen Datenressourcen ausgewählt ist.

Warnung

Obwohl Sie eine vorhandene Bezeichnung bearbeiten und den Bereich Dateien & anderen Datenassets entfernen können, wird davon abgeraten, da vorhandene Konfigurationen möglicherweise nicht mehr wie erwartet funktionieren. Beispielsweise würde ein SharePoint-Websiteadministrator nicht verstehen, warum eine Vertraulichkeitsbezeichnung, die er als Standardbezeichnung für eine Dokumentbibliothek ausgewählt hat, die Bezeichnung nicht mehr anwendet.

Wenn Sie eine Vertraulichkeitsbezeichnung nur für E-Mails benötigen, erstellen Sie eine neue Bezeichnung nur mit dem Bereich E-Mails , anstatt eine vorhandene Bezeichnung zu bearbeiten.

Stellen Sie sicher, dass beide Optionen ausgewählt sind, wenn Sie die Bezeichnungen nicht nur auf Word, Excel und PowerPoint oder nur auf Outlook festlegen müssen.

Denken Sie daran, dass andere Bezeichnungskonfigurationen auch beeinflussen können, ob Vertraulichkeitsbezeichnungen in Apps sichtbar sind. Die verwendeten Bezeichnungskonfigurationen finden Sie in der Dokumentation.

Hinweis

Die Option Dateien & andere Datenassets können andere Elemente als Office-Dateien enthalten, z. B. Power BI-Dateien. Überprüfen Sie die Dokumentation der Anwendung, und denken Sie daran, alle Bezeichnungs-Apps und Dienste zu testen, die von Ihrem organization verwendet werden.

Beachten Sie, dass sich diese Konfiguration sowohl auf Client-Apps als auch auf Dienste, manuelle Bezeichnungen und automatische Bezeichnungen auswirkt. Zum Beispiel:

  • Standardbezeichnungen:

    • Wenn der Bereich keine E-Mail-Adresse enthält, wird keine konfigurierte Standardbezeichnung für E-Mail angewendet.
    • Wenn der Bereich keine Dateien enthält, wird keine konfigurierte Standardbezeichnung für Dateien angewendet und kann nicht als Standardempfindlichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek ausgewählt werden.
  • Richtlinien für automatische Bezeichnungen:

    • Wenn der Bereich keine E-Mail-Adresse enthält, können Sie die Bezeichnung für eine Richtlinie zur automatischen Bezeichnung, die den Exchange-Speicherort enthält, nicht auswählen.
    • Wenn der Bereich keine Dateien enthält, können Sie die Bezeichnung für eine Richtlinie zur automatischen Bezeichnung nicht auswählen, die die SharePoint- und OneDrive-Speicherorte enthält.
  • Verschlüsselung, mit der Benutzer Berechtigungen zuweisen können:

    • Wenn der Bereich keine E-Mails enthält, können Sie die Verschlüsselungsoptionen von Nicht weiterleiten oder Nur verschlüsseln nicht auswählen.
    • Wenn der Bereich keine Dateien enthält, können Sie die Verschlüsselungsoption in Word, PowerPoint und Excel nicht auswählen und Benutzer auffordern, Berechtigungen anzugeben.
  • Bezeichnungsvererbung aus E-Mail-Anlagen:

    • Für diese Konfiguration muss die Bezeichnung sowohl auf Dateien als auch auf E-Mails festgelegt sein.

Wenn eine Bezeichnung zuvor angewendet, aber dann aus einem der Bereiche entfernt wurde, sehen Benutzer diese Bezeichnung nicht mehr für den Bereich in den Apps, die dieses Feature unterstützen.

Aufgrund der Auswirkungen von Bereichsbezeichnungen auf Dateien oder E-Mails verhindern einige vorhandene Bezeichnungskonfigurationen, dass Sie die Bereichsoptionen für Dateien & andere Datenressourcen und E-Mails entfernen können:

  • Standardbezeichnung in Bezeichnungsrichtlinien
  • Standardbezeichnung, die in Kanalbesprechungen angewendet werden soll
  • Für Richtlinien für die automatische Bezeichnung ausgewählte Bezeichnung

Bevor Sie eine Bezeichnung nur auf Dateien oder E-Mails festlegen können, müssen Sie sie zuerst entfernen, wenn sie als eine dieser Standardbezeichnungen konfiguriert ist, und sie aus allen Richtlinien für automatische Bezeichnungen entfernen.

Begrenzungen:

  • Wenn Sie Bezeichnungsrichtlinieneinstellungen mit einer Vertraulichkeitsbezeichnung verwenden, die nur auf Dateien & andere Datenressourcen oder nur auf E-Mails festgelegt ist, muss dieselbe Richtlinie auch mindestens eine Bezeichnung mit beiden Bereichsoptionen enthalten.

  • Wenn die Bezeichnung in einer oder mehreren Bezeichnungsrichtlinien als Standardbezeichnung konfiguriert ist und Outlook nicht mit einer eigenen Standardbezeichnung in derselben Richtlinie konfiguriert ist, können Sie den Bereich für Email nicht entfernen. Entfernen Sie als Problemumgehung zuerst diese Bezeichnung als Standardbezeichnung. Anschließend können Sie den E-Mail-Bereich entfernen. Wählen Sie schließlich die jetzt geänderte Bezeichnung als Standardbezeichnung für Dokumente erneut aus.

Konfigurieren einer Bezeichnung zum Anwenden des S/MIME-Schutzes in Outlook

Hinweis

Ermitteln Sie die Mindestversionen von Outlook, die dieses Feature unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile S/MIME-Schutz anwenden verwenden.

Wenn Sie eine Bezeichnung so konfigurieren, dass S/MIME-Schutz angewendet wird, ihre Version von Outlook für Windows sie jedoch noch nicht unterstützt, wird die Bezeichnung weiterhin angezeigt und kann angewendet werden, aber die S/MIME-Einstellungen werden ignoriert. Sie können diese Bezeichnung nicht für Exchange-Richtlinien für die automatische Bezeichnung auswählen oder zum Schutz von Kalenderelementen, Teams-Besprechungen und Chats konfigurieren.

Diese Konfiguration ist im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal nicht verfügbar. Sie müssen erweiterte PowerShell-Einstellungen mit dem Cmdlet Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Security & Compliance PowerShell hergestellt haben.

Verwenden Sie diese Einstellungen nur, wenn Sie über eine funktionierende S/MIME-Bereitstellung verfügen und möchten, dass eine Bezeichnung diese Schutzmethode automatisch für E-Mails anwendet, anstatt den Standardschutz, der die Rights Management-Verschlüsselung von Azure Information Protection verwendet. Der resultierende Schutz entspricht dem, der ausgeführt wird, wenn ein Benutzer manuell S/MIME-Optionen aus Outlook auswählt.

Konfiguration Schlüssel/Wert der erweiterten Einstellung
Digitale S/MIME-Signatur SMimeSign="True"
S/MIME-Verschlüsselung SMimeEncrypt="True"

Die Bezeichnung, die Sie für diese Einstellungen konfigurieren, muss nicht für die Verschlüsselung im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal konfiguriert werden. Wenn dem jedoch so ist, ersetzt der S/MIME-Schutz die Rights Management-Verschlüsselung nur in Outlook. Für andere Apps wendet die Bezeichnung die verschlüsselungseinstellungen an, die im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal angegeben sind.

PowerShell-Beispielbefehle, bei denen die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e ist:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Konfigurieren der Bezeichnungsvererbung aus E-Mail-Anlagen

Hinweis

Ermitteln Sie die Mindestversionen von Outlook, die dieses Feature unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile Bezeichnungsvererbung aus E-Mail-Anlagen verwenden.

Aktivieren Sie die E-Mail-Vererbung für, wenn Benutzer beschriftete Dokumente an eine E-Mail-Nachricht anfügen, die nicht manuell bezeichnet wird. Bei dieser Konfiguration wird dynamisch eine Vertraulichkeitsbezeichnung für die E-Mail-Nachricht ausgewählt, basierend auf den Vertraulichkeitsbezeichnungen, die auf die Anlagen angewendet und für den Benutzer veröffentlicht werden. Die Bezeichnung mit der höchsten Priorität wird dynamisch ausgewählt, wenn sie von Outlook unterstützt wird.

Gibt an, ob diese Bezeichnungsvererbung eine vorhandene Bezeichnung in der E-Mail-Nachricht überschreibt:

  • Wenn eine E-Mail-Nachricht manuell bezeichnet wurde, wird diese Bezeichnung nicht durch die Vererbung von Bezeichnungen aus E-Mail-Anlagen ersetzt.

  • Die Vererbung von Bezeichnungen aus E-Mail-Anlagen ersetzt eine Vertraulichkeitsbezeichnung mit niedrigerer Priorität, die automatisch oder als Standardbezeichnung angewendet wird, aber keine Bezeichnung mit höherer Priorität überschreibt.

Sie konfigurieren diese Einstellung in der Richtlinie für Vertraulichkeitsbezeichnungen auf der Seite Standardeinstellungen für E-Mails . Aktivieren Sie für den Abschnitt Bezeichnung von Anlagen erben das Kontrollkästchen Email die Bezeichnung mit der höchsten Priorität von Anlagen erbt. Die Anlage muss eine physische Datei sein und darf kein Link zu einer Datei sein (z. B. ein Link zu einer Datei in Microsoft SharePoint oder OneDrive).

Wenn Sie dieses Kontrollkästchen aktivieren, können Sie die folgende Option weiter aktivieren: Benutzern empfehlen, die Bezeichnung "Anlagen" anzuwenden, anstatt sie automatisch anzuwenden. Ohne diese Auswahl wird die Bezeichnung automatisch angewendet, aber Benutzer können die Bezeichnung weiterhin entfernen oder eine andere Bezeichnung auswählen, bevor sie die E-Mail senden.

Wenn die automatisch ausgewählte Bezeichnung Verschlüsselung anwendet, wird standardmäßig die gleiche Verschlüsselung auf die E-Mail angewendet. Wenn beispielsweise die Bezeichnung mit der höchsten Priorität die Verschlüsselung mit Vollzugriff auf die Gruppe Marketing anwendet, wird die E-Mail mit Vollzugriff auf die Gruppe "Marketing" geschützt. Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungsoption Do Not Forward (Nicht weiterleiten) anwendet, wird die E-Mail-Nachricht ebenfalls mit Do Not Forward (Nicht weiterleiten) bezeichnet und verschlüsselt.

Berücksichtigen Sie jedoch das Ergebnis, wenn ein E-Mail-Client keine bestimmte Schutzaktion unterstützt, die auf eine Anlage angewendet wurde:

  • Verschlüsselung mit doppeltem Schlüssel: Das Verhalten hängt davon ab, ob Outlook diese Verschlüsselungsmethode unterstützt. Verwenden Sie die Funktionstabellen und die Zeile Double Key Encryption (DKE), um die Unterstützung für Ihre Version zu bestätigen.

    • Wenn Outlook DKE unterstützt: Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungseinstellung für die Doppelschlüsselverschlüsselung und jetzt berechtigungen zuweisen anwendet, wendet Outlook für Windows diese Bezeichnung und den Schutz auf die E-Mail-Nachricht an. Die Bezeichnung und der Schutz werden nicht angewendet, wenn die Bezeichnung für Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen konfiguriert ist.

    • Wenn Outlook DKE nicht unterstützt: Wenn die Bezeichnung mit der höchsten Priorität die Doppelschlüsselverschlüsselung anwendet, wird für die E-Mail-Nachricht in Outlook für Windows keine Bezeichnung oder Verschlüsselung ausgewählt.

  • Benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel: Wenn die Bezeichnung mit der höchsten Priorität nur benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel anwendet (die Option Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen lassen und In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben), ist keine Bezeichnung oder kein Schutz für die E-Mail-Nachricht ausgewählt, da Outlook diese Bezeichnungskonfiguration nicht unterstützt.

PDF-Unterstützung

Verwenden Sie die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um unterstützte Versionen zu identifizieren.

Office für Windows: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • Datei > als > PDF speichern
  • Datei > exportieren > PDF
  • Teilen > Pdf-Datei kopieren >

Diese Aktion wird mit dem Audit-Ereignis Umbenannte Datei der Audit-Gruppe Datei- und Seitenaktivitäten protokolliert. In den Überwachungssuchergebnissen im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal werden die Details dieses Überwachungsereignisses als SensitivityLabeledFileRenamed für das Feld Aktivität angezeigt.

Office für iOS: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • PDF exportieren >
  • Senden einer Kopie > Als PDF senden

Office für Android: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • Teilen > Kopie senden –> PDF

Office für das Web: Sie müssen die Datei aus dem Browser herunterladen. Die folgenden Methoden werden unterstützt, um ein Office-Onlinedokument in ein PDF-Dokument zu konvertieren:

  • Word und PowerPoint im Web:
    • Speichern als > Download als PDF-Download >
  • Excel im Web:
    • Exportieren > Als PDF-Download >
    • Print > Print > Download als PDF Download >

Wenn die PDF-Datei erstellt wird, erbt sie die Bezeichnung mit allen Inhaltsmarkierungen. Wenn die Bezeichnung unter Windows Verschlüsselung angewendet hat, wird diese Verschlüsselung ebenfalls geerbt. Verschlüsselte PDFs können mit Microsoft Edge unter Windows oder Mac geöffnet werden. Weitere Informationen finden Sie unter Anzeigen geschützter PDF-Dateien mit Microsoft Edge unter Windows oder Mac.

SharePoint und OneDrive unterstützen die folgenden PDF-Szenarien:

Outlook unterstützt derzeit keine PDF-Anlagen, welche die Verschlüsselung von einer bezeichneten Nachricht erben. Allerdings unterstützt Outlook jetzt die Warnung oder Sperrung von Benutzern beim Drucken nach PDF, wie im Folgenden beschrieben.

PDF-Szenarien, die nicht unterstützt werden:

  • Als PDF drucken

    Wenn Benutzer diese Option auswählen, werden sie gewarnt, dass das Dokument oder die E-Mail den Schutz der Bezeichnung und die Verschlüsselung (falls angewendet) verliert, und sie müssen bestätigen, um den Vorgang fortzusetzen. Wenn Ihre Richtlinie für Vertraulichkeitsbezeichnungen eine Begründung erfordert, um eine Bezeichnung zu entfernen oder ihre Klassifizierung zu verringern, wird diese Aufforderung angezeigt.

    Da diese Option die Vertraulichkeitsbezeichnung entfernt, ist diese Option für Benutzer nicht verfügbar, wenn Sie obligatorische Bezeichnungen verwenden. Diese Konfiguration bezieht sich auf die Richtlinieneinstellung für Vertraulichkeitsbezeichnungen, die erfordert, dass Benutzer eine Bezeichnung auf ihre E-Mails und Dokumente anwenden.

  • PDF/A-Format und Verschlüsselung

    Dieses PDF-Format, das für die langfristige Archivierung entwickelt wurde, wird nicht unterstützt, wenn die Bezeichnung eine Verschlüsselung anwendet, und verhindert, dass Benutzer Office-Dokumente in PDF konvertieren. Konfigurationsinformationen finden Sie in der Gruppenrichtliniendokumentation zum Erzwingen der PDF-Compliance mit ISO 19005-1 (PDF/A).

  • Kennwortschutz und Verschlüsselung

    Die Option Datei>Informationen>Dokument schützen>Mit Kennwort verschlüsseln wird nicht unterstützt, wenn die Bezeichnung des Dokuments Verschlüsselung anwendet. In diesem Szenario ist die Option „Mit Kennwort verschlüsseln“ für Benutzer nicht mehr verfügbar.

Weitere Informationen zum Exportieren in eine PDF-Datei finden Sie in der Ankündigung Anwenden von Vertraulichkeitsbezeichnungen auf mit Office-Apps erstellte PDF-Dateien.

Eine Dokumentation für Endbenutzer finden Sie unter Erstellen geschützter PDF-Dateien aus Office-Dateien und Anzeigen geschützter PDF-Dateien mit Microsoft Edge unter Windows oder Mac.

Deaktivieren der PDF-Unterstützung

Wenn Sie die PDF-Unterstützung in Office-Apps für Word, Excel und PowerPoint deaktivieren müssen, können Sie dazu eine Gruppenrichtlinie Office-Einstellung unter Benutzerkonfiguration/Administrative Vorlagen/Microsoft Office 2016/Microsoft Save As PDF und Save As XPS add-ins verwenden:

  • Verwenden des Vertraulichkeitsfeatures in Office zum Anwenden von Vertraulichkeitsbezeichnungen auf PDF-Dateien

Konfigurieren Sie diese Einstellung auf Deaktiviert.

Stellen Sie diese Einstellung mithilfe von Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 bereit.

Vertraulichkeitsleiste

Verwenden Sie die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um zu ermitteln, welche Office-Versionen die Vertraulichkeitsleiste unterstützen.

Wenn Word, Excel und PowerPoint dieses Feature unterstützen, werden Vertraulichkeitsbezeichnungen in einer Vertraulichkeitsleiste neben dem Dateinamen auf der oberen Fensterleiste angezeigt. Zum Beispiel:

Vertraulichkeitsbezeichnungen auf der Fenstertitelleiste.

Wenn Outlook dieses Feature unterstützt, wird die Vertraulichkeitsleiste in der Betreffzeile der E-Mail angezeigt. Zum Beispiel:

Vertraulichkeitsbezeichnungen in der Betreffzeile von Outlook.

Informationen zu den Etiketten und die Möglichkeit, ein Etikett auszuwählen oder zu ändern, sind auch in Benutzerworkflows integriert, die das Speichern und Umbenennen, Exportieren, Freigeben, Drucken und Konvertieren in PDF umfassen. Weitere Informationen und Beispielscreenshots finden Sie in der Ankündigung des Blogbeitrags Neue Vertraulichkeitsleiste in Office für Windows.

Im Rahmen dieser hohen Sichtbarkeit unterstützen diese Bezeichnungen auch Farben. Weitere Informationen finden Sie im nächsten Abschnitt.

Bezeichnungsfarben

Wenn Ihre Bezeichnungs-Apps diese Funktion nicht unterstützen, zeigen sie nicht die konfigurierten Bezeichnungsfarben an. Informationen zum Identifizieren unterstützter Versionen für Office-Apps finden Sie in den Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps.

Neu erstellte Bezeichnungen haben standardmäßig keine Farbe. Verwenden Sie das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal, um eine von 10 Standardfarben für Vertraulichkeitsbezeichnungen auszuwählen. Die Farbkonfiguration für Bezeichnungen befindet sich auf der ersten Seite der Bezeichnungskonfiguration nach dem Bezeichnungsnamen und der Beschreibung.

Sie können keine Farben für Untergeordnete Bezeichnungen auswählen, da diese automatisch die Bezeichnungsfarbe von ihrer übergeordneten Bezeichnung erben.

Wenn eine Bezeichnung für eine andere Farbe als eine der 10 Standardfarben konfiguriert ist, wird das Kontrollkästchen Zuvor zugewiesene benutzerdefinierte Farbe verwenden aktiviert, und die Standardfarboptionen sind nicht verfügbar. Sie können die benutzerdefinierte Farbe in eine der Standardfarben ändern, indem Sie zuerst das Kontrollkästchen deaktivieren und dann eine der Standardfarben auswählen.

Sie können das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal nicht verwenden, um eine andere benutzerdefinierte Farbe zu konfigurieren. Verwenden Sie stattdessen PowerShell, wie im nächsten Abschnitt beschrieben.

Konfigurieren von benutzerdefinierten Farben mithilfe von PowerShell

Sie können die erweiterteEinstellungsfarbe security & Compliance powerShell verwenden, um eine Farbe für eine Vertraulichkeitsbezeichnung festzulegen. Diese Konfiguration unterstützt Farben, die Sie nicht im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal konfigurieren können.

Um die gewünschte Farbe anzugeben, verwenden Sie einen hexadezimalen Tripletcode für die Rot-, Grün- und Blaukomponenten (RGB) der Farbe. "#40e0d0" ist zum Beispiel der hexadezimale RGB-Wert für Türkis.

Weitere Informationen zu diesen Codes finden Sie auf der <Farbseite> in der MSDN-Webdokumentation. RapidTables sind möglicherweise auch hilfreich. Sie können diese Codes in vielen Anwendungen identifizieren, mit denen Sie Bilder bearbeiten können. Mit Microsoft Paint können Sie beispielsweise eine benutzerdefinierte Farbe aus einer Palette auswählen, und die RGB-Werte werden automatisch angezeigt, die Sie dann kopieren können.

PowerShell-Beispielbefehl, bei dem die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e lautet

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

Weitere Informationen zum Angeben erweiterter PowerShell-Einstellungen für Vertraulichkeitsbezeichnungen finden Sie unter PowerShell-Tipps zum Angeben der erweiterten Einstellungen.

Angeben einer Standardunterbezeichnung für eine übergeordnete Bezeichnung

Hinweis

Ermitteln Sie die Mindestversionen von Office, die diese Einstellung unterstützen, indem Sie die Funktionstabellen und die Zeile Standardunterbezeichnung für die übergeordnete Bezeichnung verwenden.

Diese Konfiguration ist im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal nicht verfügbar. Sie müssen die erweiterte PowerShell-Einstellung DefaultSubLabelId mit dem Cmdlet Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Security & Compliance PowerShell hergestellt haben.

Wenn Sie einer Bezeichnung eine Untergeordnete Bezeichnung hinzufügen, können Benutzer die übergeordnete Bezeichnung nicht mehr auf ein Element anwenden. Standardmäßig wählen Benutzer die übergeordnete Bezeichnung aus, um die untergeordneten Bezeichnungen anzuzeigen, die sie anwenden können, und wählen dann eine dieser Unterbezeichnungen aus. Wenn Sie eine Standardunterbezeichnung für eine übergeordnete Bezeichnung angeben und Benutzer die übergeordnete Bezeichnung auswählen, wird automatisch eine Unterbezeichnung ausgewählt und auf sie angewendet.

Beispielsweise wird die übergeordnete Bezeichnung Vertraulich mit der Standardunterbezeichnung Alle Mitarbeiter konfiguriert. Für die nächste übergeordnete Bezeichnung , Streng vertraulich, ist keine Standardunterbezeichnung konfiguriert. Sie können den Unterschied am Ende der Bezeichnungsleiste für Vertraulich erkennen, die für Streng vertraulich nicht sichtbar ist:

Beispiel, das zeigt, dass die übergeordnete Bezeichnung Vertraulich für eine Standardunterbezeichnung konfiguriert ist.

Wenn Benutzer links von dieser vertikalen Leiste auswählen, wählen sie automatisch Vertraulich\Alle Mitarbeiter mit einer einzigen Auswahl aus. Wenn sie eine andere Unterbezeichnung benötigen, müssen sie rechts neben dem vertikalen Balken auswählen, um die Bezeichnungserweiterung auszuwählen, die dann alle Untergeordneten Bezeichnungen zur Auswahl anzeigt. Wenn sie hingegen Streng vertraulich auswählen, werden die Untergeordneten Bezeichnungen für diese Bezeichnung immer zur Auswahl angezeigt.

Nachdem Sie diese Bezeichnungseinstellung konfiguriert haben, denken Sie daran, Ihre Endbenutzerdokumentation entsprechend zu aktualisieren.

PowerShell-Beispielbefehl, bei dem die GUID für die übergeordnete Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e lautet und die untere Bezeichnung, die Sie als Standard angeben möchten, 1ace2cc3-14bc-4142-9125-bf946a70542c ist:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Verhindern einiger verbundener Erfahrungen, die Inhalte analysieren

Hinweis

Diese Einstellung ist noch nicht auf allen Clientplattformen verfügbar. Identifizieren Sie die Mindestversionen von Office, die diese Einstellung unterstützen, indem Sie die Funktionstabellen und die Zeile Verbundene Erfahrungen verhindern, die Inhalte analysieren.

Diese Konfiguration ist im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal nicht verfügbar. Sie müssen die erweiterte PowerShell-Einstellung BlockContentAnalysisServices mit dem Cmdlet Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Security & Compliance PowerShell hergestellt haben.

Mit dieser Einstellung können Sie verhindern, dass Inhalte in Word, Excel, PowerPoint und Outlook zur Inhaltsanalyse als Datenschutzsteuerelement an Microsoft gesendet werden. Wenn sie jedoch festgelegt ist, bedeutet dies, dass einige Dienste nicht wie vorgesehen funktionieren, z. B. Tipps zur Verhinderung von Datenverlust für Outlook, automatische und empfohlene Bezeichnungen und Microsoft 365 Copilot.

Wichtig

Obwohl Inhalte mit der konfigurierten Vertraulichkeitsbezeichnung von Microsoft 365 Copilot in den benannten Office-Apps ausgeschlossen werden, bleibt der Inhalt für Microsoft 365 Copilot für andere Szenarien verfügbar. Beispielsweise in Teams und im Graph-geerdeten Chat in einem Browser.

PowerShell-Beispielbefehl, bei dem die Vertraulichkeitsbezeichnung Confidential\Project Onyx die GUID 8faca7b8-8d20-48a3-8ea2-0f96310a848e aufweist und Sie verhindern möchten, dass alle Dokumente und E-Mails mit dieser Bezeichnung in Office-Apps zur Analyse an verbundene Microsoft-Erfahrungen gesendet werden:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{BlockContentAnalysisServices="True"}

Um die Einstellung auf den Standardwert zurückzustellen, dass der bezeichnete Inhalt zur Analyse an verbundene Microsoft-Erfahrungen gesendet wird, entfernen Sie die Einstellung, oder legen Sie den Wert auf False fest.

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Liste der verbundenen Erfahrungen , die von dieser Einstellung betroffen sind:

Verbundene Erfahrung Apps
Akronyme Word
Automatische Alt-Texte Word, PowerPoint, Excel, Outlook
Automatisches Anwenden oder Empfehlen von Vertraulichkeitsbezeichnungen Word, PowerPoint, Excel, Outlook
Microsoft 365 Copilot Word, PowerPoint, Excel, Outlook
Richtlinientipps zur Verhinderung von Datenverlust in Microsoft Purview Outlook
PowerPoint-Designer PowerPoint
Ähnlichkeitsprüfung Word
Übersetzer Word, PowerPoint, Excel, Outlook

Überwachen von Bezeichnungsaktivitäten

Informationen zu den Überwachungsereignissen, die von Vertraulichkeitsbezeichnungsaktivitäten generiert werden, finden Sie im Abschnitt Vertraulichkeitsbezeichnungsaktivitäten in der Dokumentation zu Überwachungsprotokollaktivitäten.

Diese Überwachungsinformationen werden im Inhalts-Explorer und imAktivitäten-Explorer visuell dargestellt, damit Sie besser verstehen können, wie Ihre Vertraulichkeitsbezeichnungen verwendet werden und wo sich diese gekennzeichneten Inhalte befinden.

Sie können auch benutzerdefinierte Berichte mit einer SIEM-Software (Security Information and Event Management) Ihrer Wahl erstellen, wenn Sie die Audit-Protokollsätze exportieren und konfigurieren. Umfangreichere Berichterstellungslösungen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

Dokumentation für Endbenutzer