Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Wenn Sie Vertraulichkeitsbezeichnungen über das Microsoft Purview Compliance Portal veröffentlicht haben, werden sie in Office-Apps angezeigt, damit die Benutzer Daten bei der Erstellung oder Bearbeitung klassifizieren und schützen können.

Verwenden Sie die Informationen in diesem Artikel, um Vertraulichkeitsbezeichnungen in Office-Apps erfolgreich zu verwalten. Ermitteln Sie beispielsweise die Mindestversionen von Apps, die Sie für Features benötigen, die spezifisch für integrierte Bezeichnungen sind, sowie alle zusätzlichen Konfigurationsinformationen für diese Features, und verstehen Sie die Interaktionen mit dem Azure Information Protection Unified Labeling Client und anderen Apps und Diensten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Bezeichnungs-Assistent für Desktop-Anwendungen

Um die in den Office-Desktop-Apps für Windows und Mac integrierten Vertraulichkeitsbezeichnungen zu verwenden, müssen Sie eine Abonnement-Edition von Office verwenden. Dieser Bezeichnungsclient unterstützt keine eigenständigen Editionen von Office, manchmal auch als „Office Perpetual“ bezeichnet.

Die AIP-Add-In-Komponente (Azure Information Protection) aus dem Azure Information Protection-Client für einheitliche Bezeichnungen befindet sich jetzt im Wartungsmodus und wird im April 2024 eingestellt. Wenn Sie dieses Add-In derzeit für die Bezeichnung in Office-Apps verwenden, empfehlen wir Ihnen, zur integrierten Bezeichnung zu wechseln. Weitere Informationen finden Sie unter Migrieren des Azure Information Protection-Add-Ins (AIP) zur integrierten Bezeichnung für Office-Apps.

Unterstützung für Vertraulichkeitsbezeichnungen in Apps

Verwenden Sie die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um die Office-Mindestversion zu identifizieren, die bestimmte Funktionen für in Office-Apps integrierte Vertraulichkeitsbezeichnungen eingeführt hat. Oder, wenn die Bezeichnungsfunktion in der öffentlichen Vorschau ist oder für eine zukünftige Version geprüft wird.

Zusätzlich zur Auflistung der Mindestversionen für Windows, macOS, iOS und Android enthalten die Tabellen auch, ob die Funktion für Office im Web unterstützt wird:

Office für iOS und Office für Android: Vertraulichkeitsbezeichnungen sind in die Office-App integriert.

Office integrierter Bezeichnungs-Assistent und der Azure Information Protection-Client

Wenn Benutzer den AIP-Client (Azure Information Protection) auf ihren Windows-Computern installiert haben, sind integrierte Bezeichnungen die neue Standardeinstellung für die neuesten Windows Office-Apps, die Bezeichnungen unterstützen. Da integrierte Bezeichnungen kein Office-Add-In verwenden, wie es vom AIP-Client verwendet wird, haben diese den Vorteil von höherer Stabilität und besserer Leistung. Sie unterstützen auch die neuesten Features, z. B. erweiterte Klassifizierer.

Hinweis

Wenn die erwarteten Bezeichnungsfeatures auf Windows-Computern nicht angezeigt werden, obwohl Sie die unterstützten Mindestversionen für Ihren Office-Updatekanal bestätigt haben, liegt dies möglicherweise daran, dass Sie das AIP-Add-In für ältere Versionen von Office deaktivieren müssen.

Weitere Informationen zur Unterstützung von Bezeichnungen mit dem AIP-Client und zum Deaktivieren dieses Clients nur in Office-Apps finden Sie unter Migrieren des Azure Information Protection-Add-Ins (AIP) zur integrierten Bezeichnung für Office-Apps.

Wenn Sie die integrierte Bezeichnung in Office Apps auf Windows ausschalten müssen

Der in Office integrierte Bezeichnungsclient lädt Vertraulichkeitsbezeichnungen und Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen aus dem Microsoft Purview-Complianceportal herunter.

Um den integrierten Office-Bezeichnungsclient verwenden zu können, benötigen Sie die Verfügung über eine oder mehrere Bezeichnungsrichtlinien, die veröffentlicht werden für Benutzer über das Microsoft Purview-Complianceportal, sowie eine unterstützte Version von Office.

Wenn beide Bedingungen erfüllt sind, Sie aber die integrierten Bezeichnungen in Windows Office-Apps deaktivieren müssen, verwenden Sie die Office-Richtlinieneinstellung Vertraulichkeitsfeature in Office verwenden, um Vertraulichkeitsbezeichnungen anzuwenden und anzuzeigen. Legen Sie den Wert auf 0 fest, indem Sie Deaktiviert auswählen.

Navigieren Sie für Gruppenrichtlinie und Microsoft 365 Apps for Enterprise administrativen Vorlagen unter Benutzerkonfiguration/Administrative Vorlagen/Microsoft Office 2016/Sicherheitseinstellungen zu dieser Einstellung. Wenn Sie den Cloudrichtliniendienst für Microsoft 365 verwenden, suchen Sie nach dieser Einstellung anhand des Namens. Die Einstellung wird beim Neustart dieser Office-Apps wirksam.

Wenn Sie diese Konfiguration später rückgängig machen müssen, ändern Sie den Wert in 1, indem Sie Aktiviert auswählen. Möglicherweise müssen Sie diese Einstellung auch aktivieren, wenn die Schaltfläche Vertraulichkeit nicht wie erwartet auf dem Menüband angezeigt wird. Beispielsweise hat ein vorheriger Administrator diese Bezeichnungseinstellung deaktiviert.

Da diese Einstellung für Windows Office-Apps spezifisch ist, hat sie keine Auswirkungen auf andere Apps unter Windows, die Vertraulichkeitsbezeichnungen unterstützen (z. B. Power BI) oder andere Plattformen (z. B. macOS, mobile Geräte und Office für das Web). Wenn Sie nicht möchten, dass bestimmte oder alle Benutzer Vertraulichkeitsbezeichnungen für alle Apps und Plattformen ansehen und verwenden können, weisen Sie diesen Benutzern keine Vertraulichkeitsbezeichnungsrichtlinie zu.

Tipp

Wenn Sie die Anzeige integrierter Bezeichnungen für Word, Excel und PowerPoint beenden und nur für Outlook oder umgekehrt anzeigen möchten, können Sie dieses Ergebnis mit einer Bezeichnungseinstellung erzielen. Weitere Informationen finden Sie unter Bereichsbezeichnungen nur für Dateien oder E-Mails.

Unterstützte Office-Dateitypen

Im Allgemeinen unterstützen Office-Apps, die über integrierte Bezeichnungen für Word-, Excel- und PowerPoint-Dateien verfügen, das Open XML-Format (z. B. .docx und .xlsx), aber nicht das Microsoft Office 97-2003-Format (z. B. .doc und .xls), Open Document Format (z. B. .odt und .ods) oder andere Formate. Wenn ein Dateityp für die integrierte Bezeichnung nicht unterstützt wird, ist die Schaltfläche Vertraulichkeit in der Office-App nicht verfügbar.

Hinweis

Sie können verhindern, dass Benutzer die älteren Dateitypen für Word, Excel und PowerPoint in Windows öffnen oder speichern. Anweisungen finden Sie unter Blockieren bestimmter Dateiformattypen in Office 2016.

Informationen zu bestimmten Dateitypen, die für SharePoint und OneDrive unterstützt werden, wenn diese Dienste für Vertraulichkeitsbezeichnungen aktiviert sind, finden Sie unter Aktivieren von Vertraulichkeitsbezeichnungen für Dateien in SharePoint und OneDrive.

Der Bezeichnungs-Assistent von Azure Information Protection unterstützt sowohl das Open XML-Format als auch das Microsoft Office 97-2003-Format. Weitere Informationen finden Sie unter Dateitypen, die vom Bezeichnungs-Assistent von Azure Information Protection unterstützt werden, im Administrationshandbuch des Clients.

Bei anderen Bezeichnungslösungen prüfen Sie deren Dokumentation auf unterstützte Dateitypen.

Schutzvorlagen und Vertraulichkeitsbezeichnungen

Vom Administrator definierte Schutzvorlagen, z. B. diejenigen, die Sie für Microsoft Purview-Nachrichtenverschlüsselung definieren, sind in Office-Apps nicht sichtbar, wenn Sie integrierte Bezeichnungen verwenden. Diese Vereinfachung spiegelt wider, dass es nicht notwendig ist, eine Schutzvorlage auszuwählen, da die gleichen Einstellungen bei Vertraulichkeitsbezeichnungen mit aktivierter Verschlüsselung enthalten sind.

Sie können eine vorhandene Vorlage in eine Vertraulichkeitsbezeichnung konvertieren, wenn Sie den „cmdlet“-Befehl New-Label mit dem Parameter EncryptionTemplateId verwenden.

Information Rights Management (IRM)-Optionen und Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen, die Sie für die Anwendung der Verschlüsselung konfigurieren, nehmen dem Benutzer die Komplexität, seine eigenen Verschlüsselungseinstellungen festzulegen. In Office-Apps werden diese einzelnen Verschlüsselungseinstellungen möglicherweise weiterhin manuell von Benutzern mithilfe von IRM-Optionen (Information Rights Management, Verwaltung von Informationsrechten) konfiguriert. Zum Beispiel für Windows-Apps:

  • Für ein Dokument: Dateiinformationen>>Dokument schützen>Zugriff einschränken
  • für eine E-Mail: Auf der Registerkarte "Optionen">verschlüsseln

In den neuesten Word-, Excel- und PowerPoint-Apps für Windows und Mac können Benutzer nicht mehr irm-Optionen (Information Rights Management, Verwaltung von Informationsrechten) auswählen, wenn sie über Vertraulichkeitsbezeichnungen verfügen. Stattdessen wird benutzern ein Dialogfeld angezeigt, in dem sie aufgefordert werden, eine Vertraulichkeitsbezeichnung zum Anwenden des Informationsschutzes zu verwenden. In der Meldung wird auch erläutert, wie Sie später auf die Vertraulichkeitsleiste zugreifen, um Bezeichnungen auszuwählen und zu ändern:

In den neuesten Office-Apps sind IRM-Optionen nicht mehr verfügbar, und Benutzer müssen stattdessen eine Vertraulichkeitsbezeichnung auswählen.

Bei Outlook- und älteren Office-Apps, mit denen Benutzer Optionen für die Verwaltung von Informationsrechten auswählen können, können Benutzer Einstellungen aus einer angewendeten Vertraulichkeitsbezeichnung mit ihren eigenen Verschlüsselungseinstellungen überschreiben. Zum Beispiel:

  • Ein Benutzer wendet die Bezeichnung Vertraulich \ Alle Mitarbeiter auf ein Dokument an und diese Bezeichnung ist so konfiguriert, dass die Verschlüsselungseinstellungen für alle Benutzer in der Organisation gelten. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf einen Benutzer außerhalb Ihrer Organisation zu beschränken. Das Endergebnis ist ein Dokument, das als Vertraulich \ für alle Mitarbeiter gekennzeichnet und verschlüsselt ist, aber die Benutzer in Ihrer Organisation können es nicht wie erwartet öffnen.

  • Ein Benutzer versieht eine E-Mail mit der Bezeichnung Vertraulich\ Nur Empfänger und diese E-Mail ist so konfiguriert, dass die Verschlüsselungseinstellung Nicht weiterleiten gilt. In der Outlook-App wählt dieser Benutzer dann manuell die IRM-Einstellung für "Nur Verschlüsseln". Das Endergebnis ist, dass die E-Mail zwar verschlüsselt bleibt, aber von den Empfängern weitergeleitet werden kann, obwohl sie die Bezeichnung Vertraulich \ Nur Empfänger trägt.

    Ausnahmsweise stehen Benutzern bei Outlook im Web die Optionen aus dem Menü Verschlüsseln nicht zur Auswahl, wenn die aktuell ausgewählte Bezeichnung Verschlüsselung anwendet.

  • Ein Benutzer wendet das Etikett Allgemein auf ein Dokument an, und diese Bezeichnung ist nicht für die Anwendung von Verschlüsselung konfiguriert. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf das Dokument zu beschränken. Das Endergebnis ist ein Dokument, das als Allgemein bezeichnet ist, aber auch verschlüsselt wird, so dass einige Benutzer es nicht wie erwartet öffnen können.

Wenn das Dokument oder die E-Mail bereits bezeichnet ist, kann ein Benutzer jede dieser Aktionen durchführen, wenn der Inhalt nicht bereits verschlüsselt ist oder er das Nutzungsrecht Export oder Vollzugriff hat.

Stellen Sie für eine konsistentere Benutzeroberfläche mit aussagekräftigen Berichten geeignete Bezeichnungen und Anleitungen für Benutzer bereit, nur Bezeichnungen zum Schutz von Dokumenten und E-Mails anzuwenden. Zum Beispiel:

  • Für Ausnahmefälle, in denen Benutzer ihre eigenen Berechtigungen zuweisen müssen, stellen Sie Bezeichnungen bereit, mit denen Benutzer ihre eigenen Berechtigungen zuweisen können.

  • Anstatt dass Benutzer die Verschlüsselung manuell entfernen, nachdem sie eine Bezeichnung ausgewählt haben, das die Verschlüsselung anwendet, bieten Sie eine Alternative für untergeordnete Bezeichnungen an, wenn Benutzer eine Bezeichnung mit der gleichen Klassifizierung, aber ohne Verschlüsselung benötigen. Wie zum Beispiel:

    • Vertraulich \ Alle Mitarbeiter
    • Vertraulich \ Jeder (keine Verschlüsselung)
  • Führen Sie ein Upgrade auf die neuesten Versionen durch, bei denen Benutzer die IRM-Einstellungen für Word, Excel und PowerPoint nicht auswählen können. Für Outlook sollten Sie die IRM-Einstellungen deaktivieren, um zu verhindern, dass Benutzer sie auswählen:

    • Outlook für Windows:
      • Registrierungsschlüssel DWORD:00000001DisableDNF und DisableEO aus HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Stellen Sie sicher, dass die Gruppenrichtlinieneinstellung Standardverschlüsselungsoption für die Schaltfläche Verschlüsseln konfigurieren nicht konfiguriert ist
    • Outlook für Mac:
    • Outlook im Web:
      • Parameter SimplifiedClientAccessDoNotForwardDisabled und SimplifiedClientAccessEncryptOnlyDisabled für Set-IRMConfiguration dokumentiert
    • Outlook für iOS und Android: Diese Apps unterstützen nicht die Verwendung von Verschlüsselung ohne Bezeichnungen, also nichts zum Deaktivieren.

Hinweis

Wenn Benutzer die Verschlüsselung eines mit einer Bezeichnung versehenen Dokuments, das in SharePoint oder OneDrive gespeichert ist, manuell entfernen und Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, wird die Bezeichnungsverschlüsselung automatisch wiederhergestellt, wenn das Dokument das nächste Mal aufgerufen oder heruntergeladen wird.

Verschlüsselungsbasierter Bezeichnungsabgleich für Dokumente

Wenn ein Dokument mit vom Administrator definierten Berechtigungen verschlüsselt wurde, wird die Verschlüsselungsrichtlinie in das Dokument eingebettet. Dies geschieht unabhängig von der Bezeichnung. Beispielsweise, wenn eine Office-Anlage die Verschlüsselung von einer E-Mail-Nachricht erbt oder ein Benutzer eine Rights Management-Vorlage mithilfe von IrM (Information Rights Management) in seiner Office-App angewendet hat. Wenn eine Vertraulichkeitsbezeichnung im Mandanten mit derselben Verschlüsselungsrichtlinie übereinstimmt, weisen Office-Apps dem Dokument diese entsprechende Bezeichnung automatisch zu.

In diesem Szenario kann die übereinstimmende Vertraulichkeitsbezeichnung ein dokument ohne Bezeichnung bezeichnen und eine vorhandene Bezeichnung ersetzen, die keine Verschlüsselung anwendet. Beispielsweise wird die Bezeichnung Allgemein durch Vertraulich/Alle Mitarbeiter ersetzt. Inhaltsmarkierungen aus der übereinstimmenden Bezeichnung werden nicht automatisch angewendet, es sei denn, das Dokument wurde zuvor nicht gekennzeichnet und Sie verwenden das AIP-Add-In.

Dieses Szenario hilft dabei, ältere Verschlüsselungslösungen von Rights Management-Vorlagen auf Vertraulichkeitsbezeichnungen zu verschieben, die Verschlüsselung mit Rights Management anwenden.

Dieses Verhalten wird jedoch auch bei einem Bezeichnungsszenario für E-Mail- und Besprechungsanlagen angezeigt, wenn diese vom Empfänger geöffnet werden. Zum Beispiel:

  1. Ein Benutzer erstellt eine E-Mail und fügt ein unverschlüsseltes Office-Dokument an und wendet dann eine Bezeichnung auf die E-Mail an.

    Die Bezeichnung wendet die Verschlüsselung mit Berechtigungen an, die vom Administrator festgelegt wurden, anstatt die Optionen Nicht weiterleiten oder Encrypt-Only. Für die Bezeichnungskonfiguration wählt der Administrator beispielsweise Berechtigungen jetzt zuweisen aus und gibt an, dass alle Mitarbeiter Über Lesezugriff verfügen.

  2. Wenn die E-Mail gesendet wird, erbt die Anlage automatisch die Verschlüsselung mit Rights Management, aber nicht die Bezeichnung.

  3. Wenn ein Empfänger im selben Mandanten das verschlüsselte Dokument öffnet, wird automatisch eine übereinstimmende Bezeichnung für die vom Administrator definierten Berechtigungen für das Dokument angezeigt und beim Speichern des Dokuments beibehalten.

    Als Überwachungsereignis, das in Activity Explorer angezeigt wird, hat dieser Benutzer die Bezeichnung und nicht den E-Mail-Absender angewendet.

Der verschlüsselungsbasierte Bezeichnungsabgleich funktioniert nur innerhalb des Mandanten, und es gelten alle folgenden Bedingungen:

  • Das Dokument ist nicht gekennzeichnet, oder die vorhandene Bezeichnung wendet keine Verschlüsselung an.
  • Das Dokument wird mit vom Administrator definierten Berechtigungen verschlüsselt.
  • Die übereinstimmende Vertraulichkeitsbezeichnung wird für den Benutzer veröffentlicht, der das Dokument öffnet.
  • Der Bezeichnungsbereich der übereinstimmenden Vertraulichkeitsbezeichnung umfasst Dateien.

Die übereinstimmende Bezeichnung bleibt erhalten, wenn das Dokument gespeichert wird.

Kompatibilität des Vertraulichkeitsbezeichnungen

Mit RMS-erweiterten Anwendungen: Wenn Sie ein bezeichnetes und verschlüsseltes Dokument oder eine E-Mail in einer RMS-erweiterten Anwendung öffnen, die keine Vertraulichkeitsbezeichnungen unterstützt, erzwingt die Anwendung dennoch die Verschlüsselung und Rechteverwaltung.

Mit dem Azure Information Protection-Client: Können Sie Vertraulichkeitsbezeichnungen, die Sie mit dem in Office integrierten Bezeichnungs-Assistent auf Dokumente und E-Mails anwenden, mit dem Azure Information Protection-Client anzeigen und ändern und umgekehrt.

Mit anderen Versionen von Office: Jeder berechtigte Benutzer kann bezeichnete Dokumente und E-Mails in anderen Versionen von Office öffnen. Sie können die Bezeichnung jedoch nur in unterstützten Office-Versionen oder mit dem Azure Information Protection-Client anzeigen oder ändern. Die unterstützten Office-App-Versionen sind im vorherigen Abschnitt aufgeführt.

Unterstützung für SharePoint- und OneDrive-Dateien, die durch Vertraulichkeitsbezeichnungen geschützt sind

Um den in Office integrierten Bezeichnungs-Assistent mit Office im Web für Dokumente in SharePoint oder OneDrive zu verwenden, stellen Sie sicher, dass Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben.

Unterstützung für externe Benutzer und bezeichnete Inhalte

Wenn Sie ein Dokument oder eine E-Mail bezeichnen, wird die Bezeichnung als Metadaten gespeichert, die Ihren Mandanten und eine Bezeichnungs-GUID enthalten. Wenn ein bezeichnetes Dokument oder eine E-Mail von einer Office-App geöffnet wird, die Vertraulichkeitsbezeichnungen unterstützt, werden diese Metadaten ausgelesen, und nur wenn der Benutzer demselben Mandanten angehört, wird die Bezeichnung in dessen App angezeigt. Bei den integrierten Bezeichnungen für Word, PowerPoint und Excel wird der Bezeichnungsname beispielsweise in der Statusleiste angezeigt. Benutzer schließen Gastkonten aus.

Diese Implementierung bedeutet, dass jeder organization seine eigene Bezeichnung anwenden und sehen kann, wenn Sie Dokumente für eine andere organization freigeben, die unterschiedliche Bezeichnungsnamen verwendet. Gastbenutzer sehen Ihre Bezeichnungen nicht in ihren Apps.

Hinweis

Zwei Ausnahmen, bei denen ein anderer organization keine eigenen Vertraulichkeitsbezeichnungen anwenden kann:

Das gleiche gilt für E-Mails (und kalenderrelevante Ereignisse), die von Outlook gesendet werden. Andere E-Mail-Clients als Outlook behalten jedoch möglicherweise nicht die Bezeichnungsmetadaten in den E-Mail-Headern bei. Wenn Benutzer beispielsweise von einem anderen organization antworten oder weiterleiten, der Outlook nicht verwendet, führt dies wahrscheinlich dazu, dass die ursprüngliche E-Mail-Bezeichnung für den ursprünglichen organization nicht mehr sichtbar ist, da die Bezeichnungsmetadaten nicht beibehalten wurden. Wenn diese Bezeichnung Verschlüsselung angewendet hat, wird die Verschlüsselung beibehalten, um den Inhalt zu schützen.

Die folgenden Elemente aus einer angewendeten Bezeichnung sind für Benutzer außerhalb Ihrer organization sichtbar:

  • Inhaltliche Markierungen. Wenn eine Bezeichnung eine Kopf- oder Fußzeile oder ein Wasserzeichen anlegt, werden diese direkt zum Inhalt hinzugefügt und bleiben sichtbar, bis jemand sie ändert oder löscht.

  • Der Name und die Beschreibung der zugrundeliegenden Schutzvorlage aus einer Bezeichnung, das die Verschlüsselung angewendet hat. Diese Informationen werden in einer Meldungsleiste am oberen Rand des Inhalts angezeigt, um Informationen darüber bereitzustellen, wer berechtigt ist, den Inhalt anzuzeigen, und seine Nutzungsrechte für diese Inhalte.

Teilen verschlüsselter Dokumente mit externen Benutzern

Obwohl Sie den Zugriff auf Benutzer in Ihrer eigenen organization einschränken können, können Sie den Zugriff auch auf jeden anderen Benutzer erweitern, der über ein Konto in Microsoft Entra ID verfügt. Standardmäßig werden diese externen Benutzer ohne zusätzliche Konfiguration authentifiziert. Möglicherweise sind jedoch zusätzliche Konfigurationen für Microsoft Entra einstellungen für den mandantenübergreifenden Zugriff für externe Identitäten und den bedingten Zugriff erforderlich.

Wenn externe Benutzer kein Konto in Microsoft Entra ID haben, können sie sich mithilfe von Gastkonten in Ihrem Mandanten authentifizieren. Diese Gastkonten können auch für den Zugriff auf freigegebene Dokumente in SharePoint oder OneDrive verwendet werden, wenn Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben.

Weitere Informationen zu den optionalen Microsoft Entra Features und zur Verwendung von Gastkonten für Authentifizierungsanforderungen finden Sie unter Microsoft Entra Konfiguration für Verschlüsselungsinhalte.

Alle Office-Apps und andere RMS-erweiterte Anwendungen können verschlüsselte Dokumente öffnen, nachdem sich der Benutzer erfolgreich authentifiziert hat.

Wenn Office-Apps Markierungen und Verschlüsselungen auf Inhalte anwenden.

Office-Apps wenden die Inhaltsmarkierung und die Verschlüsselung mit einem Vertraulichkeitsbezeichnungen je nach App unterschiedlich an.

App Inhaltskennzeichnung Verschlüsselung
Word, Excel, PowerPoint auf allen Plattformen Sofort Sofort
Outlook für PC und Mac Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet Sofort
Outlook im Web, für iOS und Android Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet Nachdem Exchange Online die E-Mail oder Besprechungseinladung sendet

Lösungen, die Vertraulichkeitsbezeichnungen auf Dateien außerhalb von Office-Anwendungen anwenden, tun dies, indem sie Bezeichnungsmetadaten auf die Datei anwenden. In diesem Szenario wird die Inhaltsmarkierung aus der Konfiguration der Bezeichnung nicht in die Datei eingefügt, sondern die Verschlüsselung wird angewendet.

Werden diese Dateien in einer Office-Desktop-App geöffnet, werden die Inhaltsmarkierungen automatisch durch den Azure Information Protection-Client für einheitliche Bezeichnungen angewendet, wenn die Datei zum ersten Mal gespeichert wird. Die Inhaltsmarkierungen werden nicht automatisch angewendet, wenn Sie die integrierte Bezeichnung für Desktop-, Mobil- oder Web-Apps verwenden.

Zu den Szenarien, die das Anwenden einer Vertraulichkeitsbezeichnungen außerhalb von Office-Apps beinhalten, gehören:

  • Der Scanner, Datei-Explorer und PowerShell vom einheitlichen Bezeichnungs-Assistent von Azure Information Protection

  • Auto-Bezeichnungsrichtlinien für SharePoint und OneDrive

  • Exportierte bezeichnete und verschlüsselte Daten aus Power BI

  • Microsoft Defender for Cloud Apps

Für diese Szenarien kann ein Benutzer mit seinen Office-Apps die Inhaltsmarkierungen der Bezeichnung anwenden, indem er die aktuelle Bezeichnung vorübergehend entfernt oder ersetzt und dann die ursprüngliche Bezeichnung wieder anbringt.

Weitere Informationen finden Sie unter Dynamische Markierungen mit Variablen.

Wichtig

Wenn Ihre Office-Apps diese Funktionalität nicht unterstützen, wenden sie die Markierungen als den in der Bezeichnungskonfiguration angegebenen Originaltext an, anstatt die Variablen aufzulösen.

Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt dynamische Markierungen. Informationen zur in Office integrierten Bezeichnung finden Sie in den Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps.

Wenn Sie eine Vertraulichkeitsbezeichnungen für Inhaltsmarkierungen konfigurieren, können Sie die folgenden Variablen in der Textzeichenfolge für Ihre Kopf- und Fußzeile oder Ihr Wasserzeichen verwenden:

Variable Beschreibung Beispiel beim Aufbringen der Bezeichnung
${Item.Label} Bezeichnungs-Anzeigename der angewendeten Bezeichnung Allgemein
${Item.Name} Dateiname oder E-Mail-Betreff des zu bezeichnenden Inhalts Sales.docx
${Item.Location} Pfad und Dateiname des zu bezeichnenden Dokuments bzw. der E-Mail-Betreff für eine zu bezeichnenden E-Mail \\Sales\2020\Q3\Report.docx
${User.Name} Anzeigename des Benutzers, der die Bezeichnung anbringt Richard Simone
${User.PrincipalName} Microsoft Entra Benutzerprinzipalname (UPN) des Benutzers, der die Bezeichnung anwendet rsimone@contoso.com
${Event.DateTime} Datum und Uhrzeit der Bezeichnung des Inhalts in der lokalen Zeitzone des Benutzers, der die Bezeichnung in Microsoft 365-Apps anwendet, oder UTC (koordinierte Weltzeit) für Office-Onlinerichtlinien und Richtlinien für automatische Bezeichnungen 10.08.2020 13:30 UHR

Hinweis

Bei der Syntax für diese Variablen wird zwischen Groß- und Kleinschreibung unterschieden.

Setzen unterschiedlicher visueller Markierungen für Word, Excel, PowerPoint und Outlook

Als zusätzliche Variable können Sie visuelle Markierungen pro Office-Anwendungstyp konfigurieren, indem Sie eine "If.App"-Variablenanweisung in der Textzeichenfolge verwenden und den Anwendungstyp durch die Werte Word, Excel, PowerPoint oder Outlook identifizieren. Sie können diese Werte auch abkürzen, was notwendig ist, wenn Sie mehrere Werte in derselben If.App-Anweisung angeben möchten.

Verwenden Sie die folgende Syntax:

${If.App.<application type>}<your visual markings text> ${If.End}

Wie bei den anderen dynamischen visuellen Markierungen wird bei der Syntax die Groß-/Kleinschreibung beachtet, wobei die Abkürzungen für jeden Anwendungstyp (WXPO) enthalten sind.

Beispiele:

  • Kopfzeilentext nur für Word-Dokumente einstellen:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Nur in Word-Dokumentenkopfzeilen übernimmt die Bezeichnung den Kopfzeilentext "Dieses Word-Dokument ist vertraulich". Für andere Office-Anwendungen wird kein Kopfzeilentext übernommen.

  • Legen Sie Fußzeilentext für Word, Excel und Outlook und einen anderen Fußzeilentext für PowerPoint fest:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    In Word, Excel und Outlook wendet die Bezeichnung den Fußzeilentext "Dieser Inhalt ist vertraulich" an. In PowerPoint wendet die Bezeichnung den Fußzeilentext "Diese Präsentation ist vertraulich" an.

  • Legen Sie einen bestimmten Wasserzeichentext für Word und PowerPoint fest, und dann einen Wasserzeichentext für Word, Excel und PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    In Word und PowerPoint wird die Bezeichnung mit dem Wasserzeichentext "Dieser Inhalt ist vertraulich" versehen. In Excel wird die Bezeichnung mit dem Wasserzeichentext "Vertraulich" versehen. In Outlook trägt die Bezeichnung keinen Wasserzeichentext auf, da Wasserzeichen als visuelle Markierungen für Outlook nicht unterstützt werden.

Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden

Wichtig

Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt diese Konfiguration, die auch obligatorisches Bezeichnen genannt wird. Informationen zum In Office-Apps integrierten Bezeichnungen finden Sie in den Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps.

Wenn Sie obligatorische Bezeichnungen für Dokumente, aber nicht für E-Mails verwenden möchten, lesen Sie die Anweisungen im nächsten Abschnitt, in dem erklärt wird, wie Sie Outlook-spezifische Optionen konfigurieren.

Um die obligatorische Bezeichnung für Power BI zu verwenden, lesen Sie Obligatorische Bezeichnungsrichtlinie für Power BI.

Wenn die Richtlinieneinstellung Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden ausgewählt ist, müssen Benutzer, denen die Richtlinie zugewiesen ist, in den folgenden Szenarien eine Vertraulichkeitsbezeichnungen auswählen und anwenden:

  • Für den einheitlichen Bezeichnungs-Assistent von Azure Information Protection:

    • Für Dokumente (Word, Excel, PowerPoint): Wenn ein nicht bezeichnetes Dokument gespeichert wird oder Benutzer das Dokument schließen.
    • Für Emails (Outlook): Zu dem Zeitpunkt, an dem Benutzer eine nicht bezeichnete Nachricht senden.
  • Für die in Office-Apps integrierte Bezeichnung:

    • Für Dokumente (Word, Excel, PowerPoint): Wenn ein nicht bezeichnetes Dokument geöffnet oder gespeichert wird.
    • Für E-Mails (Outlook): Zu dem Zeitpunkt, an dem Benutzer eine nicht bezeichnete E-Mail-Nachricht senden. Für Outlook Mobile kann dies beim ersten Verfassen der E-Mail-Nachricht in geändert werden.

Zusätzliche Informationen für die integrierte Bezeichnung:

  • Wenn Benutzer aufgefordert werden, eine Vertraulichkeitsbezeichnungen hinzuzufügen, weil sie ein nicht bezeichnetes Dokument öffnen, können sie eine Bezeichnung hinzufügen oder wählen, dass das Dokument im schreibgeschützten Modus geöffnet wird.

  • Wenn die Bezeichnungspflicht in Kraft ist, können Benutzer keine Vertraulichkeitsbezeichnungen von Dokumenten entfernen, aber eine vorhandene Bezeichnung ändern.

  • Wenn die obligatorische Bezeichnung aktiviert ist, ist die Option „Als PDF drucken“ nicht verfügbar, wenn ein Dokument mit einer Bezeichnung versehen oder verschlüsselt ist. Weitere Informationen finden Sie auf dieser Seite im Abschnitt PDF-Unterstützung.

Eine Anleitung, wann diese Einstellung verwendet werden sollte, finden Sie in den Informationen zu Richtlinieneinstellungen.

Hinweis

Wenn Sie die standardmäßige Richtlinieneinstellung für Bezeichnungen für Dokumente und E-Mails zusätzlich zur obligatorischen Bezeichnung verwenden:

Die Standardbezeichnung hat immer Vorrang vor der obligatorischen Bezeichnung. Wenn Sie jedoch eine Version der integrierten Bezeichnung verwenden, die noch keine Standardbezeichnung für vorhandene Dokumente unterstützt, werden Benutzer aufgefordert, für jedes neue Dokument eine Vertraulichkeitsbezeichnung anzuwenden.

Identifizieren Sie die Mindestversionen von Word, Excel und PowerPoint, die eine Standardbezeichnung für vorhandene Dokumente unterstützen, indem Sie die Funktionstabelle und die Zeile Apply a default label to existing documents (Standardbezeichnung auf vorhandene Dokumente anwenden) verwenden.

Ändern Sie für Outlook Mobile, wenn Benutzer zur Eingabe einer Bezeichnung aufgefordert werden.

Diese Einstellung erfordert eine Mindestversion von 4.2316.0 für Outlook für Android und Outlook für iOS.

Sie können eine Microsoft Intune App-Konfigurationsrichtlinie für verwaltete Apps verwenden, um eine Einstellung aus dem Intune App Software Development Kit (SDK) zu konfigurieren, die sich ändert, wenn Benutzer aufgefordert werden, eine Vertraulichkeitsbezeichnung für Outlook Mobile auszuwählen.

Anstatt beim Senden zur Eingabe einer Bezeichnung aufzufordern, wenn die obligatorische Bezeichnung für E-Mails konfiguriert wird, führt diese Konfiguration dazu, dass beim ersten Verfassen einer Nachricht ein Benutzer zur Eingabe einer Bezeichnung aufgefordert wird.

Für diese Konfiguration müssen Sie das folgende Schlüssel-Wert-Paar als allgemeine Konfigurationseinstellung in der Richtlinie angeben:

Schlüssel Wert
com.microsoft.outlook.Mail.LouderMandatoryLabelEnabled true

Outlook-spezifische Optionen für Standardbezeichnungen und obligatorische Bezeichnungen

Identifizieren Sie für integrierte Bezeichnungen die Mindestversionen von Outlook, die diese Features unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile Verschiedene Einstellungen für Standardbezeichnungen und obligatorische Bezeichnungen verwenden. Alle Versionen des Bezeichnungs-Assistenten von Azure Information Protection unterstützen diese für Outlook spezifischen Optionen.

Wenn die Outlook-App eine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet:

  • In der Bezeichnungsrichtlinienkonfiguration aus dem Microsoft Purview Complianceportal auf der Seite Standardbezeichnung auf E-Mails anwenden: Sie können Ihre gewünschte Vertraulichkeitsbezeichnung angeben, die auf alle nicht bezeichneten E-Mails oder keine Standardbezeichnung angewendet wird. Diese Einstellung ist unabhängig von der Bezeichnung standardmäßig auf Dokumente anwenden -Einstellung auf der vorherigen Richtlinieneinstellungen für Dokumente -Seite der Konfiguration.

Wenn die Outlook App keine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet: Outlook verwendet immer den Wert, den Sie für Diese Bezeichnung standardmäßig auf Dokumente anwenden auf der Richtlinieneinstellungen für Dokumente -Seite der Bezeichnungsrichtlinienkonfiguration angeben.

Wenn die Outlook-App das Deaktivieren von obligatorischen Bezeichnungen unterstützt:

  • Wählen Sie in der Bezeichnungsrichtlinienkonfiguration im Microsoft Purview-Complianceportal auf der Seite Richtlinieneinstellungen aus: Wählen Sie Benutzer müssen eine Bezeichnung auf ihre E-Mails oder Dokumente anwenden. Wählen Sie dann Weiter>Weiter aus und deaktivieren Sie das Kontrollkästchen Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden. Lassen Sie das Kontrollkästchen aktiviert, wenn die obligatorische Bezeichnung für E-Mails und Dokumente gelten soll.

Wenn die Outlook-App das Deaktivieren der obligatorischen Bezeichnung nicht unterstützt: Wenn Sie Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden als Richtlinieneinstellung anwenden müssen, fordert Outlook Benutzer immer auf, eine Bezeichnung für nicht gekennzeichnete E-Mails auszuwählen.

Bereichsbezeichnungen auf Dateien oder E-Mails

Hinweis

Identifizieren Sie die Mindestversionen, die dieses Feature unterstützen, indem Sie die Funktionstabellen und die Zeilenbereichsbezeichnungen für Dateien oder E-Mails verwenden.

Wenn diese Funktion nicht auf allen Plattformen unterstützt wird, die von Ihren Benutzern verwendet werden, verfügen sie über eine inkonsistente Bezeichnung. Beispielsweise zeigt Word auf einer Plattform keine Bezeichnung an, die auf einer anderen Plattform angezeigt wird.

Diese Konfiguration ist eine Erweiterung des Bereichs Elemente, wenn Sie eine Vertraulichkeitsbezeichnung im Microsoft Purview-Complianceportal erstellen oder bearbeiten. Wenn Sie den Bereich für die Bezeichnung für Elemente definieren, können Sie den Bereich weiter auf Dateien oder E-Mails und auf Besprechungen verfeinern:

  • So können Sie Bezeichnungen auf Word, Excel und PowerPoint festlegen: Stellen Sie sicher, dass die Option Dateien und nicht die Option für E-Mails ausgewählt ist.
  • Wenn Sie Bezeichnungen nur auf Outlook festlegen möchten, stellen Sie sicher, dass die Option für E-Mails und nicht die Option für Dateien ausgewählt ist.

Warnung

Obwohl Sie eine vorhandene Bezeichnung bearbeiten und den Bereich Dateien entfernen können, wird davon abgeraten, da vorhandene Konfigurationen möglicherweise nicht mehr wie erwartet funktionieren. Beispielsweise würde ein SharePoint-Websiteadministrator nicht verstehen, warum eine Vertraulichkeitsbezeichnung, die er als Standardbezeichnung für eine Dokumentbibliothek ausgewählt hat, die Bezeichnung nicht mehr anwendet.

Wenn Sie eine Vertraulichkeitsbezeichnung nur für E-Mails benötigen, erstellen Sie eine neue Bezeichnung nur mit dem Bereich E-Mails , anstatt eine vorhandene Bezeichnung zu bearbeiten.

Stellen Sie sicher, dass beide Optionen ausgewählt sind, wenn Sie die Bezeichnungen nicht nur auf Word, Excel und PowerPoint oder nur auf Outlook festlegen müssen.

Denken Sie daran, dass andere Bezeichnungskonfigurationen auch beeinflussen können, ob Vertraulichkeitsbezeichnungen in Apps sichtbar sind. Die verwendeten Bezeichnungskonfigurationen finden Sie in der Dokumentation.

Hinweis

Die Option Dateien kann weitere Elemente enthalten, die diese Bereichsoption unterstützen, z. B. Power BI-Dateien. Überprüfen Sie die Dokumentation der Anwendung, und denken Sie daran, alle Bezeichnungs-Apps und Dienste zu testen, die von Ihrem organization verwendet werden.

Beachten Sie, dass sich diese Konfiguration sowohl auf Client-Apps als auch auf Dienste, manuelle Bezeichnungen und automatische Bezeichnungen auswirkt. Zum Beispiel:

  • Standardbezeichnungen:

    • Wenn der Bereich keine E-Mail-Adresse enthält, wird keine konfigurierte Standardbezeichnung für E-Mail angewendet.
    • Wenn der Bereich keine Dateien enthält, wird keine konfigurierte Standardbezeichnung für Dateien angewendet und kann nicht als Standardempfindlichkeitsbezeichnung für eine SharePoint-Dokumentbibliothek ausgewählt werden.
  • Richtlinien für automatische Bezeichnungen:

    • Wenn der Bereich keine E-Mail-Adresse enthält, können Sie die Bezeichnung für eine Richtlinie zur automatischen Bezeichnung, die den Exchange-Speicherort enthält, nicht auswählen.
    • Wenn der Bereich keine Dateien enthält, können Sie die Bezeichnung für eine Richtlinie zur automatischen Bezeichnung nicht auswählen, die die SharePoint- und OneDrive-Speicherorte enthält.
  • Verschlüsselung, mit der Benutzer Berechtigungen zuweisen können:

    • Wenn der Bereich keine E-Mails enthält, können Sie die Verschlüsselungsoptionen von Nicht weiterleiten oder Nur verschlüsseln nicht auswählen.
    • Wenn der Bereich keine Dateien enthält, können Sie die Verschlüsselungsoption in Word, PowerPoint und Excel nicht auswählen und Benutzer auffordern, Berechtigungen anzugeben.
  • Bezeichnungsvererbung aus E-Mail-Anlagen:

    • Für diese Konfiguration muss die Bezeichnung sowohl auf Dateien als auch auf E-Mails festgelegt sein.

Wenn eine Bezeichnung zuvor angewendet, aber dann aus einem der Bereiche entfernt wurde, sehen Benutzer diese Bezeichnung nicht mehr für den Bereich in den Apps, die dieses Feature unterstützen.

Aufgrund der Auswirkungen von Bereichsbezeichnungen auf Dateien oder E-Mails werden einige vorhandene Bezeichnungskonfigurationen verhindern, dass Sie die Bereichsoptionen für Dateien und E-Mails entfernen:

  • Standardbezeichnung in Bezeichnungsrichtlinien
  • Standardbezeichnung, die in Kanalbesprechungen angewendet werden soll
  • Für Richtlinien für die automatische Bezeichnung ausgewählte Bezeichnung

Bevor Sie eine Bezeichnung nur auf Dateien oder E-Mails festlegen können, müssen Sie sie zuerst entfernen, wenn sie als eine dieser Standardbezeichnungen konfiguriert ist, und sie aus allen Richtlinien für automatische Bezeichnungen entfernen.

Einschränkungen:

  • Wenn Sie derzeit Bezeichnungsrichtlinieneinstellungen mit einer Vertraulichkeitsbezeichnung verwenden, die nur auf Dateien oder nur auf E-Mails festgelegt ist, muss dieselbe Richtlinie auch mindestens eine Bezeichnung mit beiden Bereichsoptionen enthalten.

  • Wenn die Bezeichnung in einer oder mehreren Bezeichnungsrichtlinien als Standardbezeichnung konfiguriert ist und Outlook nicht mit einer eigenen Standardbezeichnung in derselben Richtlinie konfiguriert ist, können Sie den Bereich für Email nicht entfernen. Entfernen Sie als Problemumgehung zuerst diese Bezeichnung als Standardbezeichnung. Anschließend können Sie den E-Mail-Bereich entfernen. Wählen Sie schließlich die jetzt geänderte Bezeichnung als Standardbezeichnung für Dokumente erneut aus.

Konfigurieren einer Bezeichnung zum Anwenden des S/MIME-Schutzes in Outlook

Hinweis

Ermitteln Sie die Mindestversionen von Outlook, die dieses Feature unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile S/MIME-Schutz anwenden verwenden.

Wenn Sie eine Bezeichnung so konfigurieren, dass S/MIME-Schutz angewendet wird, ihre Version von Outlook für Windows sie jedoch noch nicht unterstützt, wird die Bezeichnung weiterhin angezeigt und kann angewendet werden, aber die S/MIME-Einstellungen werden ignoriert. Sie können diese Bezeichnung nicht für Exchange-Richtlinien für die automatische Bezeichnung auswählen oder zum Schutz von Kalenderelementen, Teams-Besprechungen und Chats konfigurieren.

Diese Konfiguration ist im Microsoft Purview-Complianceportal nicht verfügbar. Sie müssen erweiterte PowerShell-Einstellungen mit dem Cmd Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Security & Compliance PowerShell hergestellt haben.

Verwenden Sie diese Einstellungen nur, wenn Sie über eine funktionierende S/MIME-Bereitstellung verfügen und möchten, dass eine Bezeichnung diese Schutzmethode automatisch für E-Mails anwendet, anstatt den Standardschutz, der die Rights Management-Verschlüsselung von Azure Information Protection verwendet. Der resultierende Schutz entspricht dem, der ausgeführt wird, wenn ein Benutzer manuell S/MIME-Optionen aus Outlook auswählt.

Konfiguration Schlüssel/Wert der erweiterten Einstellung
Digitale S/MIME-Signatur SMimeSign="True"
S/MIME-Verschlüsselung SMimeEncrypt="True"

Die Bezeichnung, die Sie für diese Einstellungen konfigurieren, muss nicht für die Verschlüsselung im Complianceportal konfiguriert werden. Wenn dem jedoch so ist, ersetzt der S/MIME-Schutz die Rights Management-Verschlüsselung nur in Outlook. Bei anderen Apps wendet die Bezeichnung die im Microsoft Purview-Complianceportal angegebenen Verschlüsselungseinstellungen an.

PowerShell-Beispielbefehle, bei denen die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e ist:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Konfigurieren der Bezeichnungsvererbung aus E-Mail-Anlagen

Hinweis

Ermitteln Sie die Mindestversionen von Outlook, die dieses Feature unterstützen, indem Sie die Funktionstabelle für Outlook und die Zeile Bezeichnungsvererbung aus E-Mail-Anlagen verwenden.

Aktivieren Sie die E-Mail-Vererbung für, wenn Benutzer beschriftete Dokumente an eine E-Mail-Nachricht anfügen, die nicht manuell bezeichnet wird. Bei dieser Konfiguration wird dynamisch eine Vertraulichkeitsbezeichnung für die E-Mail-Nachricht ausgewählt, basierend auf den Vertraulichkeitsbezeichnungen, die auf die Anlagen angewendet und für den Benutzer veröffentlicht werden. Die Bezeichnung mit der höchsten Priorität wird dynamisch ausgewählt, wenn sie von Outlook unterstützt wird.

Gibt an, ob diese Bezeichnungsvererbung eine vorhandene Bezeichnung in der E-Mail-Nachricht überschreibt:

  • Wenn eine E-Mail-Nachricht manuell bezeichnet wurde, wird diese Bezeichnung nicht durch die Vererbung von Bezeichnungen aus E-Mail-Anlagen ersetzt.

  • Die Vererbung von Bezeichnungen aus E-Mail-Anlagen ersetzt eine Vertraulichkeitsbezeichnung mit niedrigerer Priorität, die automatisch oder als Standardbezeichnung angewendet wird, aber keine Bezeichnung mit höherer Priorität überschreibt.

Sie konfigurieren diese Einstellung in der Richtlinie für Vertraulichkeitsbezeichnungen auf der Seite Standardeinstellungen für E-Mails . Aktivieren Sie für den Abschnitt Bezeichnung von Anlagen erben das Kontrollkästchen Email die Bezeichnung mit der höchsten Priorität von Anlagen erbt. Die Anlage muss eine physische Datei sein und darf kein Link zu einer Datei sein (z. B. ein Link zu einer Datei in Microsoft SharePoint oder OneDrive).

Wenn Sie dieses Kontrollkästchen aktivieren, können Sie die folgende Option weiter aktivieren: Benutzern empfehlen, die Bezeichnung "Anlagen" anzuwenden, anstatt sie automatisch anzuwenden. Ohne diese Auswahl wird die Bezeichnung automatisch angewendet, aber Benutzer können die Bezeichnung weiterhin entfernen oder eine andere Bezeichnung auswählen, bevor sie die E-Mail senden.

Hinweis

Wenn Sie die erweiterte PowerShell-Einstellung AttachmentAction für den Azure Information Protection -Client für einheitliche Bezeichnungen (AIP) auf Automatisch oder Empfohlen konfiguriert haben, werden diese Optionen automatisch im Complianceportal widergespiegelt. Die erweiterte Einstellung AttachmentActionTip für eine benutzerdefinierte Empfehlungsnachricht enthält jedoch keinen entsprechenden Eintrag im Complianceportal und wird von der integrierten Bezeichnung nicht unterstützt.

Wenn die automatisch ausgewählte Bezeichnung Verschlüsselung anwendet, wird standardmäßig die gleiche Verschlüsselung auf die E-Mail angewendet. Wenn beispielsweise die Bezeichnung mit der höchsten Priorität die Verschlüsselung mit Vollzugriff auf die Gruppe Marketing anwendet, wird die E-Mail mit Vollzugriff auf die Gruppe "Marketing" geschützt. Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungsoption Do Not Forward (Nicht weiterleiten) anwendet, wird die E-Mail-Nachricht ebenfalls mit Do Not Forward (Nicht weiterleiten) bezeichnet und verschlüsselt.

Berücksichtigen Sie jedoch das Ergebnis, wenn ein E-Mail-Client keine bestimmte Schutzaktion unterstützt, die auf eine Anlage angewendet wurde:

  • Für integrierte Bezeichnungen:

    • Verschlüsselung mit doppeltem Schlüssel: Das Verhalten hängt davon ab, ob Outlook diese Verschlüsselungsmethode unterstützt. Verwenden Sie die Funktionstabellen und die Zeile Double Key Encryption (DKE), um die Unterstützung für Ihre Version zu bestätigen.

      • Wenn Outlook DKE unterstützt: Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungseinstellung für die Doppelschlüsselverschlüsselung und jetzt berechtigungen zuweisen anwendet, wendet Outlook für Windows diese Bezeichnung und den Schutz auf die E-Mail-Nachricht an. Die Bezeichnung und der Schutz werden nicht angewendet, wenn die Bezeichnung für Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen konfiguriert ist.

      • Wenn Outlook DKE nicht unterstützt: Wenn die Bezeichnung mit der höchsten Priorität die Doppelschlüsselverschlüsselung anwendet, wird für die E-Mail-Nachricht in Outlook für Windows keine Bezeichnung oder Verschlüsselung ausgewählt.

    • Benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel: Wenn die Bezeichnung mit der höchsten Priorität nur benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel anwendet (die Option Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen lassen und In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben), ist keine Bezeichnung oder kein Schutz für die E-Mail-Nachricht ausgewählt, da Outlook diese Bezeichnungskonfiguration nicht unterstützt.

  • Für den Azure Information Protection(AIP)-Client für einheitliche Bezeichnungen:

    • S/MIME: Wenn die Bezeichnung mit der höchsten Priorität S/MIME-Signatur und -Verschlüsselung anwendet und die Bezeichnung auch für die Verschlüsselung aus dem Azure Rights Management-Dienst konfiguriert ist, wird diese Bezeichnung auf die E-Mail-Nachricht mit der gleichen S/MIME-Signatur und -Verschlüsselung, aber auch den für den Azure Rights Management-Dienst konfigurierten Verschlüsselungseinstellungen der Bezeichnung angewendet.

    • Verschlüsselung mit doppelten Schlüsseln: Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungseinstellung für die Doppelschlüsselverschlüsselung anwendet, wird keine Bezeichnung oder Verschlüsselung für die E-Mail-Nachricht ausgewählt, wenn die Bezeichnung für Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen konfiguriert ist. Die Bezeichnung und der Schutz werden angewendet, wenn die Bezeichnung für Berechtigungen jetzt zuweisen konfiguriert ist.

    • Benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel: Wenn die Bezeichnung mit der höchsten Priorität nur benutzerdefinierte Berechtigungen für Word, PowerPoint und Excel anwendet (die Option Benutzer beim Anwenden der Bezeichnung Berechtigungen zuweisen lassen und In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben), ist keine Bezeichnung oder kein Schutz für die E-Mail-Nachricht ausgewählt, da Outlook diese Bezeichnungskonfiguration nicht unterstützt.

    • Nur verschlüsseln: Wenn die Bezeichnung mit der höchsten Priorität die Verschlüsselungseinstellung für Nur verschlüsseln anwendet, wird keine Bezeichnung oder kein Schutz für die E-Mail-Nachricht ausgewählt, da der AIP-Client für einheitliche Bezeichnungen diese Einstellung nicht unterstützt.

PDF-Unterstützung

Verwenden Sie für integrierte Bezeichnungen die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um unterstützte Versionen zu identifizieren. Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt PDF in Office Apps nicht.

Office für Windows: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • Datei > als > PDF speichern
  • Datei > exportieren > PDF
  • Teilen > Pdf-Datei kopieren >

Diese Aktion wird mit dem Audit-Ereignis Umbenannte Datei der Audit-Gruppe Datei- und Seitenaktivitäten protokolliert. In den Ergebnissen der Überwachungssuchergebnisse im Complianceportal werden die Details dieses Überwachungsereignisses angezeigt, die SensitivityLabeledFileLabelmed für das Feld Aktivität anzeigen.

Office für iOS: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • PDF exportieren >
  • Senden einer Kopie > Als PDF senden

Office für Android: Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • Teilen > Kopie senden –> PDF

Office für das Web: Sie müssen die Datei aus dem Browser herunterladen. Die folgenden Methoden werden unterstützt, um ein Office-Onlinedokument in ein PDF-Dokument zu konvertieren:

  • Word und PowerPoint im Web:
    • Speichern als > Download als PDF-Download >
  • Excel im Web:
    • Exportieren > Als PDF-Download >
    • Print > Print > Download als PDF Download >

Wenn die PDF-Datei erstellt wird, erbt sie die Bezeichnung mit allen Inhaltsmarkierungen. Wenn die Bezeichnung unter Windows Verschlüsselung angewendet hat, wird diese Verschlüsselung ebenfalls geerbt. Verschlüsselte PDFs können mit Microsoft Edge unter Windows oder Mac geöffnet werden. Weitere Informationen und alternative Reader finden Sie unter Welche PDF-Reader werden bei geschützten PDFs unterstützt?

SharePoint und OneDrive unterstützen die folgenden PDF-Szenarien:

Outlook unterstützt derzeit keine PDF-Anlagen, welche die Verschlüsselung von einer bezeichneten Nachricht erben. Allerdings unterstützt Outlook jetzt die Warnung oder Sperrung von Benutzern beim Drucken nach PDF, wie im Folgenden beschrieben.

PDF-Szenarien, die nicht unterstützt werden:

  • Als PDF drucken

    Wenn Benutzer diese Option auswählen, werden sie gewarnt, dass das Dokument oder die E-Mail den Schutz der Bezeichnung und die Verschlüsselung (falls angewendet) verliert, und sie müssen bestätigen, um den Vorgang fortzusetzen. Wenn Ihre Richtlinie für Vertraulichkeitsbezeichnungen eine Begründung erfordert, um eine Bezeichnung zu entfernen oder ihre Klassifizierung zu verringern, wird diese Aufforderung angezeigt.

    Da diese Option die Vertraulichkeitsbezeichnung entfernt, ist diese Option für Benutzer nicht verfügbar, wenn Sie obligatorische Bezeichnungen verwenden. Diese Konfiguration bezieht sich auf die Richtlinieneinstellung für Vertraulichkeitsbezeichnungen, die erfordert, dass Benutzer eine Bezeichnung auf ihre E-Mails und Dokumente anwenden.

  • PDF/A-Format und Verschlüsselung

    Dieses PDF-Format, das für die langfristige Archivierung entwickelt wurde, wird nicht unterstützt, wenn die Bezeichnung eine Verschlüsselung anwendet, und verhindert, dass Benutzer Office-Dokumente in PDF konvertieren. Konfigurationsinformationen finden Sie in der Gruppenrichtliniendokumentation zum Erzwingen der PDF-Compliance mit ISO 19005-1 (PDF/A).

  • Kennwortschutz und Verschlüsselung

    Die Option Datei>Informationen>Dokument schützen>Mit Kennwort verschlüsseln wird nicht unterstützt, wenn die Bezeichnung des Dokuments Verschlüsselung anwendet. In diesem Szenario ist die Option „Mit Kennwort verschlüsseln“ für Benutzer nicht mehr verfügbar.

Weitere Informationen zum Exportieren in eine PDF-Datei finden Sie in der Ankündigung Anwenden von Vertraulichkeitsbezeichnungen auf mit Office-Apps erstellte PDF-Dateien.

Eine Endbenutzerdokumentation finden Sie unter Erstellen geschützter PDF-Dateien aus Office-Dateien und Welche PDF-Reader werden für geschützte PDF-Dateien unterstützt?.

Deaktivieren der PDF-Unterstützung

Wenn Sie die PDF-Unterstützung in Office-Apps für Word, Excel und PowerPoint deaktivieren müssen, können Sie dazu eine Gruppenrichtlinie Office-Einstellung unter Benutzerkonfiguration/Administrative Vorlagen/Microsoft Office 2016/Microsoft Save As PDF und Save As XPS add-ins verwenden:

  • Verwenden des Vertraulichkeitsfeatures in Office zum Anwenden von Vertraulichkeitsbezeichnungen auf PDF-Dateien

Konfigurieren Sie diese Einstellung auf Deaktiviert.

Stellen Sie diese Einstellung mithilfe von Gruppenrichtlinie oder mithilfe des Cloudrichtliniendiensts für Microsoft 365 bereit.

Vertraulichkeitsleiste

Verwenden Sie die Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps , um zu ermitteln, welche Office-Versionen die Vertraulichkeitsleiste unterstützen.

Wenn Word, Excel und PowerPoint dieses Feature unterstützen, werden Vertraulichkeitsbezeichnungen in einer Vertraulichkeitsleiste neben dem Dateinamen auf der oberen Fensterleiste angezeigt. Zum Beispiel:

Vertraulichkeitsbezeichnungen auf der Fenstertitelleiste.

Wenn Outlook dieses Feature unterstützt, wird die Vertraulichkeitsleiste in der Betreffzeile der E-Mail angezeigt. Zum Beispiel:

Vertraulichkeitsbezeichnungen in der Betreffzeile von Outlook.

Informationen zu den Etiketten und die Möglichkeit, ein Etikett auszuwählen oder zu ändern, sind auch in Benutzerworkflows integriert, die das Speichern und Umbenennen, Exportieren, Freigeben, Drucken und Konvertieren in PDF umfassen. Weitere Informationen und Beispielscreenshots finden Sie in der Ankündigung des Blogbeitrags Neue Vertraulichkeitsleiste in Office für Windows.

Im Rahmen dieser hohen Sichtbarkeit unterstützen diese Bezeichnungen auch Farben. Weitere Informationen finden Sie im nächsten Abschnitt.

Bezeichnungsfarben

Wichtig

Wenn Ihre Bezeichnungs-Apps diese Funktion nicht unterstützen, zeigen sie nicht die konfigurierten Bezeichnungsfarben an.

Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt Bezeichnungsfarben. Informationen zum In Office-Apps integrierten Bezeichnungen finden Sie in den Tabellen unter Mindestversionen für Vertraulichkeitsbezeichnungen in Office-Apps.

Neu erstellte Bezeichnungen haben standardmäßig keine Farbe. Wenn Ihre Bezeichnungen von Azure Information Protection migriert wurden oder Sie Bezeichnungsfarben für den Azure Information Protection-Client für einheitliche Bezeichnungen konfiguriert haben, werden diese Bezeichnungsfarben jetzt in Apps angezeigt, die sie unterstützen.

Verwenden Sie die Microsoft Purview-Complianceportal, um eine von 10 Standardfarben für Vertraulichkeitsbezeichnungen auszuwählen. Die Farbkonfiguration für Bezeichnungen befindet sich auf der ersten Seite der Bezeichnungskonfiguration nach dem Bezeichnungsnamen und der Beschreibung.

Sie können keine Farben für Untergeordnete Bezeichnungen auswählen, da diese automatisch die Bezeichnungsfarbe von ihrer übergeordneten Bezeichnung erben.

Wenn eine Bezeichnung für eine andere Farbe als eine der 10 Standardfarben konfiguriert ist, wird das Kontrollkästchen Zuvor zugewiesene benutzerdefinierte Farbe verwenden aktiviert, und die Standardfarboptionen sind nicht verfügbar. Sie können die benutzerdefinierte Farbe in eine der Standardfarben ändern, indem Sie zuerst das Kontrollkästchen deaktivieren und dann eine der Standardfarben auswählen.

Sie können das Complianceportal nicht verwenden, um eine andere benutzerdefinierte Farbe zu konfigurieren. Verwenden Sie stattdessen PowerShell, wie im nächsten Abschnitt beschrieben.

Konfigurieren von benutzerdefinierten Farben mithilfe von PowerShell

Sie können die erweiterteEinstellungsfarbe security & Compliance powerShell verwenden, um eine Farbe für eine Vertraulichkeitsbezeichnung festzulegen. Diese Konfiguration unterstützt Farben, die Sie im Microsoft Purview-Complianceportal nicht konfigurieren können.

Um die gewünschte Farbe anzugeben, verwenden Sie einen hexadezimalen Tripletcode für die Rot-, Grün- und Blaukomponenten (RGB) der Farbe. "#40e0d0" ist zum Beispiel der hexadezimale RGB-Wert für Türkis.

Weitere Informationen zu diesen Codes finden Sie auf der <Farbseite> in der MSDN-Webdokumentation. RapidTables sind möglicherweise auch hilfreich. Sie können diese Codes in vielen Anwendungen identifizieren, mit denen Sie Bilder bearbeiten können. Mit Microsoft Paint können Sie beispielsweise eine benutzerdefinierte Farbe aus einer Palette auswählen, und die RGB-Werte werden automatisch angezeigt, die Sie dann kopieren können.

PowerShell-Beispielbefehl, bei dem die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e lautet

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{color="#40e0d0"}

Weitere Informationen zum Angeben erweiterter PowerShell-Einstellungen für Vertraulichkeitsbezeichnungen finden Sie unter PowerShell-Tipps zum Angeben der erweiterten Einstellungen.

Angeben einer Standardunterbezeichnung für eine übergeordnete Bezeichnung

Hinweis

Identifizieren Sie für die integrierte Bezeichnung die Mindestversionen, die diese Einstellung unterstützen, indem Sie die Funktionstabellen und die Zeile Standardunterbezeichnung für die übergeordnete Bezeichnung verwenden. Alle Versionen des Azure Information Protection-Clients für einheitliche Bezeichnungen unterstützen diese Einstellung.

Diese Konfiguration ist im Microsoft Purview-Complianceportal nicht verfügbar. Sie müssen die erweiterte PowerShell-Einstellung DefaultSubLabelId mit dem Befehl Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Security & Compliance PowerShell hergestellt haben.

Wenn Sie einer Bezeichnung eine Untergeordnete Bezeichnung hinzufügen, können Benutzer die übergeordnete Bezeichnung nicht mehr auf ein Element anwenden. Standardmäßig wählen Benutzer die übergeordnete Bezeichnung aus, um die untergeordneten Bezeichnungen anzuzeigen, die sie anwenden können, und wählen dann eine dieser Unterbezeichnungen aus. Wenn Sie eine Standardunterbezeichnung für eine übergeordnete Bezeichnung angeben und Benutzer die übergeordnete Bezeichnung auswählen, wird automatisch eine Unterbezeichnung ausgewählt und auf sie angewendet.

Beispielsweise wird die übergeordnete Bezeichnung Vertraulich mit der Standardunterbezeichnung Alle Mitarbeiter konfiguriert. Für die nächste übergeordnete Bezeichnung , Streng vertraulich, ist keine Standardunterbezeichnung konfiguriert. Sie können den Unterschied am Ende der Bezeichnungsleiste für Vertraulich erkennen, die für Streng vertraulich nicht sichtbar ist:

Beispiel, das zeigt, dass die übergeordnete Bezeichnung Vertraulich für eine Standardunterbezeichnung konfiguriert ist.

Wenn Benutzer links von dieser vertikalen Leiste auswählen, wählen sie automatisch Vertraulich\Alle Mitarbeiter mit einer einzigen Auswahl aus. Wenn sie eine andere Unterbezeichnung benötigen, müssen sie rechts neben dem vertikalen Balken auswählen, um die Bezeichnungserweiterung auszuwählen, die dann alle Untergeordneten Bezeichnungen zur Auswahl anzeigt. Wenn sie hingegen Streng vertraulich auswählen, werden die Untergeordneten Bezeichnungen für diese Bezeichnung immer zur Auswahl angezeigt.

Nachdem Sie diese Bezeichnungseinstellung konfiguriert haben, denken Sie daran, Ihre Endbenutzerdokumentation entsprechend zu aktualisieren.

PowerShell-Beispielbefehl, bei dem die GUID für die übergeordnete Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e lautet und die untere Bezeichnung, die Sie als Standard angeben möchten, 1ace2cc3-14bc-4142-9125-bf946a70542c ist:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{DefaultSubLabelId="1ace2cc3-14bc-4142-9125-bf946a70542c"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

Überwachen von Bezeichnungsaktivitäten

Informationen zu den Überwachungsereignissen, die von Vertraulichkeitsbezeichnungsaktivitäten generiert werden, finden Sie im Abschnitt Vertraulichkeitsbezeichnungsaktivitäten unter Durchsuchen des Überwachungsprotokolls im Microsoft Purview-Complianceportal.

Diese Überwachungsinformationen werden im Inhalts-Explorer und imAktivitäten-Explorer visuell dargestellt, damit Sie besser verstehen können, wie Ihre Vertraulichkeitsbezeichnungen verwendet werden und wo sich diese gekennzeichneten Inhalte befinden.

Sie können auch benutzerdefinierte Berichte mit einer SIEM-Software (Security Information and Event Management) Ihrer Wahl erstellen, wenn Sie die Audit-Protokollsätze exportieren und konfigurieren. Umfangreichere Berichterstellungslösungen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

Dokumentation für Endbenutzer