Azure Information Protection (AIP) – Bezeichnung, Klassifizierung und Schutz

Gilt für: Azure Information Protection

Relevant für:Vereinheitlichter Azure Information Protection-Client und klassischer Client für Windows

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Azure Information Protection (AIP) ist eine cloudbasierte Lösung, mit der Organisationen Dokumente und E-Mails durch Anwenden von Bezeichnungen klassifizieren und schützen können.

Ihr Administrator kann z. B. eine Bezeichnung mit Regeln konfigurieren, mit der vertrauliche Daten wie Kreditkarteninformationen erkannt werden. In diesem Fall wird einem Benutzer, der Kreditkarteninformationen in einer Word-Datei speichert, möglicherweise oben im Dokument eine QuickInfo mit der Empfehlung angezeigt, die entsprechende Bezeichnung für dieses Szenario anzuwenden.

Bezeichnungen können IhreDokumente klassifizieren und optional schützen, sodass Sie:

  • Nachverfolgen und Steuern der Verwendung von Inhalten
  • Analysieren von Datenflüssen, um Einblicke in Ihr Unternehmen zu erhalten – Erkennen von riskantem Verhalten und Ergreifen von Behebungsmaßnahmen
  • Nachverfolgen des Dokumentzugriffs und Verhindern von Datenverlust oder Missbrauch
  • Und mehr...

Anwenden einer Klassifizierung mit AIP auf Bezeichnungen

Das Beschriften Ihrer Inhalte mit AIP umfasst:

  • Klassifizierung, die unabhängig davon erkannt werden kann, wo die Daten gespeichert sind oder für wen sie freigegeben sind.
  • Visuelle Markierungen,z. B. Kopfzeilen, Fußzeilen oder Wasserzeichen.
  • Metadaten, die Dateien und E-Mail-Kopfzeilen im Klartext hinzugefügt werden. Die Klartextmetadaten stellen sicher, dass andere Dienste die Klassifizierung identifizieren und entsprechende Maßnahmen ergreifen können.

In der folgenden Abbildung wurde eine E-Mail-Nachricht beispielsweise mit der Bezeichnung Allgemein klassifiziert:

Beispiel für eine E-Mail-Fußzeile und Kopfzeilen zur Klassifizierung von Azure Information Protection

In diesem Beispiel enthält die Bezeichnung auch:

  • Der E-Mail-Nachricht wurde die Fußzeile Vertraulichkeit: Allgemein hinzugefügt. Diese Fußzeile ist ein visueller Indikator für alle Empfänger, dass sie für allgemeine Geschäftsdaten vorgesehen ist, die nicht außerhalb der Organisation gesendet werden sollen.
  • Eingebettete Metadaten in den E-Mail-Kopfzeilen. Mit Kopfzeilendaten können E-Mail-Dienste die Bezeichnung prüfen und theoretisch einen Überwachungseintrag erstellen oder verhindern, dass er außerhalb der Organisation gesendet wird.

Bezeichnungen können von Administratoren automatisch mithilfe von Regeln und Bedingungen, manuell von Benutzern oder mithilfe einer Kombination angewendet werden, bei der Administratoren die Empfehlungen definieren, die den Benutzern angezeigt werden.

Wie AIP Ihre Daten schützt

Azure Information Protection verwendet den Azure Rights Management-Dienst (Azure RMS) zum Schutz Ihrer Daten.

Azure RMS ist in andere Microsoft-Clouddienste und -Anwendungen wie Office 365 und Azure Active Directory integriert und kann auch mit Ihren eigenen Anwendungen oder Drittanbieteranwendungen und Informationsschutzlösungen verwendet werden. Azure RMS funktioniert sowohl mit lokalen als auch mit Cloudlösungen.

Azure RMS verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Ähnlich wie bei AIP-Bezeichnungen bleibt der mithilfe von Azure RMS angewendete Schutz bei den Dokumenten und E-Mails erhalten, unabhängig vom Speicherort des Dokuments oder der E-Mail und stellt sicher, dass Sie die Kontrolle über Ihre Inhalte selbst dann haben, wenn sie für andere Personen freigegeben werden.

Die Schutzeinstellungen können wie hier sein:

  • Ein Teil Der Etikettenkonfiguration,sodass Benutzer Dokumente und E-Mails klassifizieren und schützen, indem sie einfach eine Bezeichnung anwenden.

  • Wird von Anwendungen und Diensten,die Schutz, aber keine Bezeichnung unterstützen, verwendet.

    Für Anwendungen und Dienste, die nur den Schutz unterstützen, werden Schutzeinstellungen als Vorlagen für die Rechteverwaltung verwendet.

So können Sie beispielsweise eine Berichts- oder Umsatzprognose-Kalkulationstabelle so konfigurieren, dass nur Personen in Ihrer Organisation darauf zugreifen können. In diesem Fall würden Sie Schutzeinstellungen anwenden, um zu steuern, ob das Dokument bearbeitet, auf schreibgeschützt beschränkt oder das Drucken verhindert werden kann.

E-Mails können ähnliche Schutzeinstellungen haben, um zu verhindern, dass sie weitergeleitet werden oder die Option Allen antworten verwenden.

Vorlagen für die Rechteverwaltung

Sobald der Azure Rights Management-Dienst aktiviert ist, stehen Ihnen zwei Standardvorlagen für die Rechteverwaltung zur Verfügung, mit deren Rahmen Sie den Datenzugriff auf Benutzer in Ihrer Organisation einschränken können. Verwenden Sie diese Vorlagen sofort, oder konfigurieren Sie Ihre eigenen Schutzeinstellungen, um restriktivere Steuerelemente in neuen Vorlagen anzuwenden.

Vorlagen für die Rechteverwaltung können mit allen Anwendungen oder Diensten verwendet werden, die Azure Rights Management unterstützen.

Die folgende Abbildung zeigt ein Beispiel aus dem Exchange Admin Center, in dem Sie Exchange Online-Flussregeln für die Verwendung von RMS-Vorlagen konfigurieren können:

Beispiel für das Auswählen von Vorlagen Exchange Online

Hinweis

Durch das Erstellen einer AIP-Bezeichnung, die Schutzeinstellungen enthält, wird auch eine entsprechende Rechteverwaltungsvorlage erstellt, die unabhängig von der Bezeichnung verwendet werden kann.

Weitere Informationen finden Sie unter Was ist Azure Rights Management?

AIP- und Endbenutzerintegration für Dokumente und E-Mails

Der AIP-Client installiert die Informationsschutzleiste Office Anwendungen und ermöglicht es Endbenutzern, AIP in ihre Dokumente und E-Mails zu integrieren.

Beispiel: Excel:

Beispiel für die Azure Information Protection-Leiste in Excel

Während Bezeichnungen automatisch auf Dokumente und E-Mails angewendet werden können, ohne Benutzer raten zu müssen oder die Richtlinien einer Organisation zu erfüllen, können Endbenutzer auf der Informationsschutzleiste Bezeichnungen auswählen und klassifizierungen automatisch anwenden.

Darüber hinaus ermöglicht der AIP-Client Benutzern das Klassifizieren und Schützen zusätzlicher Dateitypen oder mehrerer Dateien auf einmal mithilfe des Kontextmenüs im Windows Datei-Explorer. Zum Beispiel:

Klicken Sie im Datei-Explorer mit der rechten Maustaste auf

Die Menüoption Klassifizieren und schützen funktioniert ähnlich wie die Informationsschutzleiste in Office-Anwendungen, sodass Benutzer eine Bezeichnung auswählen oder benutzerdefinierte Berechtigungen festlegen können.

Tipp

Power-Benutzer oder Administratoren finden möglicherweise, dass PowerShell-Befehle effizienter zum Verwalten und Festlegen der Klassifizierung und zum Schutz für mehrere Dateien sind. Relevante PowerShell-Befehle sind im Client enthalten und können auch separat installiert werden.

Benutzer und Administratoren können mithilfe von Dokumentenverfolgungswebsites geschützte Dokumente überwachen, überwachen, wer darauf zutritt und wann. Wenn sie den Missbrauch vermuten, können sie auch den Zugriff auf diese Dokumente widerrufen. Zum Beispiel:

Symbol

Zusätzliche Integration für E-Mail

Die Verwendung von AIP Exchange Online bietet den zusätzlichen Vorteil, dass geschützte E-Mails an jeden Benutzer gesendet werden, und er kann sicher sein, dass er die E-Mails auf jedem Gerät lesen kann.

Beispielsweise müssen Sie vertrauliche Informationen möglicherweise an persönliche E-Mail-Adressen senden, die ein Gmail-,Hotmail-oder Microsoft-Konto verwenden, oder an Benutzer, die nicht über ein Konto in Office 365 oder Azure AD. Diese E-Mails sollten im Ruhezustand und während der Übertragung verschlüsselt und nur von den ursprünglichen Empfängern gelesen werden.

Dieses Szenario erfordert Office 365-Nachrichtenverschlüsselung -Funktionen. Wenn die Empfänger die geschützte E-Mail nicht in ihrem integrierten E-Mail-Client öffnen können, können sie eine Einmalkennung verwenden, um die vertraulichen Informationen in einem Browser zu lesen.

So kann beispielsweise einem Gmail-Benutzer in einer empfangenen E-Mail-Nachricht die folgende Eingabeaufforderung angezeigt werden:

Gmail-Empfängererfahrung für OME und AIP

Für den Benutzer, der die E-Mail sendet, sind die erforderlichen Aktionen dieselben wie beim Senden einer geschützten E-Mail an einen Benutzer in der eigenen Organisation. Wählen Sie beispielsweise die Schaltfläche Nicht weiterleiten aus, die der AIP-Client dem Menüband Outlook kann.

Alternativ kann die Funktion "Nicht weiterleiten" in eine Bezeichnung integriert werden, die Benutzer auswählen können, um auf diese E-Mails sowohl Klassifizierung als auch Schutz anzuwenden. Zum Beispiel:

Auswählen einer für

Administratoren können Benutzern auch automatisch Schutz bieten, indem sie Nachrichtenflussregeln konfigurieren, die Rechteschutz anwenden.

Alle Office, die an diese E-Mails angefügt sind, werden ebenfalls automatisch geschützt.

Scannen nach vorhandenen Inhalten, die klassifiziert und geschützt werden sollen

Im Idealfall versehen Sie Dokumente und E-Mails beim Erstellen. Wahrscheinlich verfügen Sie aber über viele vorhandene Dokumente, die entweder lokal oder in der Cloud gespeichert sind und diese Dokumente auch klassifizieren und schützen möchten.

Verwenden Sie eine der folgenden Methoden zum Klassifizieren und Schützen vorhandener Inhalte:

  • Lokale Speicherung:Verwenden Sie den Azure Information Protection-Scanner zum Ermitteln, Klassifizieren und Schützen von Dokumenten auf Netzwerkfreigaben und Microsoft SharePoint Server und Bibliotheken.

    Der Scanner wird als Dienst auf Windows Server ausgeführt und verwendet dieselben Richtlinienregeln, um vertrauliche Informationen zu erkennen und bestimmte Bezeichnungen auf Dokumente anzuwenden.

    Verwenden Sie alternativ den Scanner, um eine Standardbezeichnung auf alle Dokumente in einem Datenrepository anzuwenden, ohne den Dateiinhalt zu prüfen. Verwenden Sie den Scanner nur im Berichtsmodus, um vertrauliche Informationen zu ermitteln, die Sie möglicherweise nicht kennen.

  • Cloud-Datenspeicherung:Verwenden Sie Microsoft Defender für Cloud-Apps, um Ihre Bezeichnungen auf Dokumente in box, SharePoint und OneDrive. Ein Lernprogramm finden Sie unter Automatisches Anwenden von Azure Information Protection-Klassifizierungsbezeichnungen

Nächste Schritte

Konfigurieren Sie Azure Information Protection mit unseren Schnellstart- und Lernprogrammen, und lesen Sie sie selbst:

Wenn Sie bereit sind, diesen Dienst für Ihre Organisation zu implementieren, sehen Sie sich die Anleitungen zu den Anleitungen an.