Nachrichtenverschlüsselung einrichten

Microsoft Purview Message Encryption ermöglicht es Organisationen, geschützte E-Mails mit jedem Benutzer und jedem Gerät zu teilen. Benutzer können geschützte Nachrichten mit anderen Microsoft 365-Organisationen sowie mit Dritten austauschen, die Outlook.com, Google Mail und andere E-Mail-Dienste nutzen.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Microsoft Purview Message Encryption in Ihrer Organisation verfügbar ist.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Überprüfen Sie, dass Azure Rights Management aktiv ist.

Microsoft Purview-Nachrichtenverschlüsselung nutzt die Schutzfeatures in Azure Rights Management Services (Azure RMS), die von Azure Information Protection zum Schutz von E-Mails und Dokumenten durch Verschlüsselung und Zugriffssteuerung verwendet wird.

Die einzige Voraussetzung für die Verwendung von Microsoft Purview Message Encryption ist, dass Azure Rights Management im Tenant Ihrer Organisation aktiviert sein muss. Wenn dies der Fall ist, aktiviert Microsoft 365 die Nachrichtenverschlüsselung automatisch und Sie müssen nichts unternehmen.

Azure RMS wird auch bei den meisten berechtigenden Plänen automatisch aktiviert, daher müssen Sie in dieser Hinsicht wahrscheinlich auch keine Maßnahmen ergreifen. Weitere Informationen hierzu finden Sie unter Aktivieren von Azure Rights Management.

Wichtig

Wenn Sie Active Directory Rights Management Service (AD RMS) mit Exchange Online verwenden, müssen Sie zu Azure Information Protection migrieren, bevor Sie die Nachrichtenverschlüsselung verwenden können. Microsoft Purview Message Encryption ist nicht mit AD RMS kompatibel.

Weitere Informationen finden Sie unter:

• Message Encryption FAQ, um zu prüfen, ob Ihr Abonnementplan Azure Information Protection (mit Azure RMS-Funktionalität) umfasst.
• Informationen zum Kauf eines berechtigenden Abonnements finden Sie unter Azure Information Protection.

Manuelles Aktivieren von Azure Rights Management

Wenn Sie Azure RMS deaktiviert haben oder es aus irgendeinem Grund nicht automatisch aktiviert wurde, können Sie es manuell aktivieren.

Anweisungen finden Sie unter So aktivieren oder bestätigen Sie den Status des Schutzdienstes.

Konfigurieren der Verwaltung Ihres Azure Information Protection-Mandantenschlüssels

Dies ist ein optionaler Schritt. Microsoft das Verwalten des Hauptschlüssels für Azure Information Protection zu gestatten, ist die Standardeinstellung und wird als bewährte Methode für die meisten Organisationen empfohlen. In diesem Fall brauchen Sie nichts zu unternehmen.

Es gibt viele Gründe, beispielsweise Complianceanforderungen, aus denen Sie Ihren eigenen Hauptschlüssel generieren und verwalten müssen – auch als "Bring Your Own Key" (BYOK) bezeichnet. Wenn dies der Fall ist, empfehlen wir Ihnen, die erforderlichen Schritte vor der Einrichtung von Microsoft Purview Message Encryption durchzuführen. Weitere Informationen finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Überprüfen der Microsoft Purview Message Encryption-Konfiguration in Exchange Online PowerShell

Sie können überprüfen, ob Ihr Microsoft 365-Tenant ordnungsgemäß für die Verwendung von Microsoft Purview Message Encryption in Exchange Online PowerShell konfiguriert ist.

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her, und verwenden Sie dafür ein Konto mit globalen Administratorberechtigungen in Ihrem Microsoft 365-Mandanten.

2. Führen Sie das Cmdlet "Get-IRMConfiguration" aus.

   Sie sollten einen Wert von $True für den Parameter AzureRMSLicensingEnabled sehen, was bedeutet, dass Microsoft Purview Message Encryption in Ihrem Tenant konfiguriert ist. Wenn dies nicht der Fall ist, setzen Sie den Wert von AzureRMSLicensingEnabled mit Set-IRMConfiguration auf $True, um die Microsoft Purview Message Encryption zu aktivieren.

3. Führen Sie das Cmdlet "Test-IRMConfiguration" unter Verwendung der folgenden Syntax aus:

   Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
   

   Beispiel:

   Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
   

   • Verwenden Sie für den Absender und den Empfänger die E-Mail-Adresse eines beliebigen Benutzers in Ihrem Microsoft 365-Mandanten.

     Die Ergebnisse sollten in etwa folgendermaßen aussehen:

     Results : Acquiring RMS Templates ...
                - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
            Forward.
            Verifying encryption ...
                - PASS: Encryption verified successfully.
            Verifying decryption ...
                - PASS: Decryption verified successfully.
            Verifying IRM is enabled ...
                - PASS: IRM verified successfully.
     
            OVERALL RESULT: PASS
     

   • Der Name Ihrer Organisation ersetzt Contoso.

   • Die Standardvorlagennamen unterscheiden sich möglicherweise von den vorstehenden. Weitere Informationen finden Sie unter Konfigurieren und Verwalten von Vorlagen für Azure Information Protection.

4. Wenn der Test mit der Fehlermeldung Failed to acquire RMS templates (RMS-Vorlagen konnten nicht erfasst werden) fehlschlägt, führen Sie die folgenden Befehle aus und führen Sie das Cmdlet Test-IRMConfiguration aus, um zu überprüfen, ob der Test erfolgreich war. Stellen Sie eine Verbindung mit dem AIPService-Modul her, um das Cmdlet auszuführen.

   $RMSConfig = Get-AipServiceConfiguration
   $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl
   Set-IRMConfiguration -LicensingLocation $LicenseUri
   Set-IRMConfiguration -InternalLicensingEnabled $true
   

5. Führen Sie das Cmdlet "Remove-PSSession" aus, um die Verbindung mit dem Rights Management-Dienst zu trennen.

   Remove-PSSession $session
   

Nächste Schritte: Definieren Sie Regeln für den Mail Flow, um Microsoft Purview Message Encryption zu verwenden

Wenn in Ihrer Organisation bereits Regeln für den Mail Flow zur Verschlüsselung von E-Mails konfiguriert sind, müssen Sie die vorhandenen Regeln aktualisieren, um Microsoft Purview Message Encryption zu verwenden. Für neue Bereitstellungen müssen Sie neue Nachrichtenflussregeln erstellen.

Wichtig

Wenn Sie die bestehenden Mail Flow-Regeln nicht aktualisieren, werden Ihre Benutzer weiterhin verschlüsselte E-Mails erhalten, die das bisherige HTML-Anhangsformat verwenden, anstatt das neue nahtlose Erlebnis.

Nachrichtenflussregeln bestimmen, unter welchen Bedingungen E-Mail-Nachrichten verschlüsselt werden sollten, sowie Bedingungen zum Entfernen dieser Verschlüsselung. Wenn Sie eine Aktion für eine Regel festlegen, werden alle Nachrichten, die den Regelbedingungen entsprechen, beim Senden verschlüsselt.

Schritte zum Erstellen von Mail Flow-Regeln zur Nachrichtenverschlüsselung finden Sie unter Definieren von Mail Flow-Regeln zur Verschlüsselung von E-Mail-Nachrichten in Office 365.

So aktualisieren Sie vorhandene Regeln für die Verwendung von Microsoft Purview Message Encryption:

1. Gehen Sie im Microsoft 365 Admin Center zu Admin Centers>Exchange.
2. Wechseln Sie im Exchange Admin Center zu Nachrichtenflussregeln>.
3. Gehen Sie für jede Regel wie folgt vor:
   • Wählen Sie Nachrichtensicherheit ändern aus.
   • Wählen Sie Office 365-Nachrichtenverschlüsselung und Rechteschutz anwenden aus.
   • Wählen Sie in der Liste der RMS-Vorlagen die Option Verschlüsseln aus.
   • Klicken Sie auf Speichern.
   • Wählen Sie OK aus.