Konfigurieren der Azure Information Protection-Richtlinie für bestimmte Benutzer mithilfe bereichsbezogener RichtlinienHow to configure the Azure Information Protection policy for specific users by using scoped policies

Gilt für: Azure Information ProtectionApplies to: Azure Information Protection

Anweisungen für: Azure Information Protection-Client für WindowsInstructions for: Azure Information Protection client for Windows

Hinweis

Um eine einheitliche und optimierte Kundenumgebung zu gewährleisten, werden Azure Information Protection-Client (klassisch) und Bezeichnungsverwaltung im Azure-Portal zum 31. März 2021 eingestellt.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Dieser Zeitrahmen ermöglicht allen aktuellen Azure Information Protection-Kunden den Umstieg auf die Microsoft Information Protection-Plattform für einheitliche Bezeichnungen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Weitere Informationen erhalten Sie im offiziellen Hinweis zu veralteten Funktionen.Learn more in the official deprecation notice.

Beim Herunterladen der Azure Information Protection-Richtlinie auf Computer, auf denen der Azure Information Protection-Client installiert ist, erhalten alle Benutzer die Einstellungen und Bezeichnungen der Standardrichtlinie oder die Änderungen, die Sie für die globale Richtlinie konfiguriert haben.When the Azure Information Protection policy downloads to computers that have installed the Azure Information Protection client, all users get the settings and labels from the default policy or the changes that you configured for the global policy. Wenn Sie diese Konfiguration für bestimmte Benutzer ergänzen möchten, indem Sie verschiedene Einstellungen und Bezeichnungen haben, müssen Sie eine Bereichs bezogene Richtlinie erstellen, die für diese Benutzer konfiguriert ist.If you want to supplement this configuration for specific users, by having different settings and labels, you must create a scoped policy that's configured for those users.

Funktionsweise von Bereichs bezogenen RichtlinienHow scoped policies work

Für Anwendungen, die den Azure Information Protection-Client verwenden erhalten alle Benutzer die globale Richtlinie, die Titel und QuickInfo sowie globale Einstellungen und globale Bezeichnungen der Information Protection-Leiste enthält.For applications that support the Azure Information Protection client, all users receive the global policy, which contains the Information Protection bar title and tooltip, global settings, and global labels. Wenn Sie bereichsbezogene Richtlinien für bestimmte Benutzer konfiguriert haben, erhalten diese Benutzer diese zusätzlichen Einstellungen und Bezeichnungen.If you have configured scoped policies for specific users, those users then receive those additional settings and labels.

Beachten Sie, dass zusätzlich zu den Office-Desktopanwendungen, die dan Azure Information Protection-Client unterstützen, ebenfalls Bezeichnungen mit PowerShell sowie die Azure Information Protection-Überprüfung unterstützt werden.Note that in addition to the Office desktop applications that support the Azure Information Protection client, labels are also supported with PowerShell, and the Azure Information Protection scanner. Das bedeutet, dass Sie bereichsbezogene Richtlinien für Konten, die PowerShell-Befehle ausführen, oder für die Überprüfung konfigurieren können.This means that you can create and configure scoped policies for accounts that run PowerShell commands, or the scanner.

Bereichsbezogene Richtlinien sind wie Bezeichnungen im Azure-Portal angeordnet.Scoped policies, just like labels, are ordered in the Azure portal. Wenn ein Benutzer für mehrere Bereiche konfiguriert ist, wird eine effektive Richtlinie für den Benutzer berechnet, bevor sie heruntergeladen wird.If a user is configured for multiple scopes, an effective policy is computed for that user before it is downloaded. Gemäß der Reihenfolge der Richtlinien wird die letzte Richtlinien Einstellung angewendet.According to the order of the policies, the last policy setting is applied. Die Bezeichnungen, die dem Benutzer angezeigt werden, stammen aus der globalen Richtlinie und alle zusätzlichen Bezeichnungen aus bereichsbezogenen Richtlinien, denen der Benutzer angehört.The labels that the user sees are from the global policy and any additional labels from scoped policies that the user belongs to.

Die Ausnahme ist, wenn ein Dokument oder eine E-Mail mit einer Bezeichnung von einem Benutzer Ihres Mandanten geöffnet wird, der sich nicht im Bezeichnungsbereich befindet.The exception is when a user from your tenant opens a labeled document or email and that user is not in the label's scope. In diesem Fall sieht der Benutzer den Namen des Bezeichnungssets, doch die Bezeichnung selbst kann nicht ausgewählt werden.In this scenario, the user sees the name of the label set but the label isn't displayed as available to select.

Da eine bereichsbezogene Richtlinie immer die Bezeichnungen und Einstellungen der globalen Richtlinie erbt, werden die Bezeichnungen der globalen Richtlinie angezeigt, wenn Sie eine bereichsbezogene Richtlinie erstellen oder bearbeiten.Because a scoped policy always inherits the labels and settings and from the global policy, the labels from the global policy are displayed when you create or edit a scoped policy. Sie können jedoch nicht die Bezeichnungen der globalen Richtlinie bearbeiten, wenn Sie eine bereichsbezogene Richtlinie bearbeiten.However, you cannot edit the labels from the global policy when you edit a scoped policy. Sie können diesen geerbten Bezeichnungen jedoch untergeordnete Bezeichnungen hinzufügen.You can however, add sublabels to these inherited labels.

Wenn die globale Richtlinie beispielsweise eine Bezeichnung namens Vertraulich enthält, wird diese Bezeichnung allen Benutzern angezeigt.For example, if you have a label named Confidential in the global policy, all users see this label. Sie können sie nicht über eine bereichsbezogenen Richtlinie entfernen oder neu anordnen.You cannot remove or reorder it with a scoped policy. Unter Umständen möchten Sie jedoch eine bereichsbezogene Richtlinie für die Marketingabteilung erstellen, die eine neue untergeordnete Bezeichnung zu „Vertraulich“ hinzufügt, sodass diesen Benutzern Vertraulich\Werbeaktionen angezeigt wird.But you might want to create a scoped policy for the Marketing department that adds a new sublabel to Confidential, so that these users see Confidential \ Promotions. Sie erstellen zudem eine weitere bereichsbezogene Richtlinie für die Vertriebsabteilung, die eine neue untergeordnete Bezeichnung zu „Vertraulich“ hinzufügt, sodass diesen Benutzern Vertraulich\Partner angezeigt wird.You also create another scoped policy for the Sales department that adds a new sublabel to Confidential, so that these users see Confidential \ Partners. Jede untergeordnete Bezeichnung kann dann für unterschiedliche Einstellungen konfiguriert werden, und die untergeordnete Bezeichnung wird nur den Benutzern in der entsprechenden Abteilung angezeigt.Each sublabel can then be configured for different settings and the sublabel is visible only to the users in the respective departments.

Konfigurieren einer Bereichs bezogenen RichtlinieConfigure a scoped policy

  1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben.If you haven't already done so, open a new browser window and sign in to the Azure portal. Navigieren Sie anschließend zum Bereich Azure Information Protection.Then navigate to the Azure Information Protection pane.

    Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Über die Menüoption Klassifizierungen > Richtlinien : Wählen Sie im Bereich Azure Information Protection-Richtlinien die Option neue Richtlinie hinzufügenaus.From the Classifications > Policies menu option: On the Azure Information Protection - Policies pane, select Add a new policy. Daraufhin wird der Bereich Richtlinie angezeigt, in dem Ihre vorhandene globale Richtlinie angezeigt wird, in der Sie nun Ihre neue Bereichs bezogene Richtlinie konfigurieren können.You then see the Policy pane that displays your existing global policy, where you can now configure your new, scoped policy.

  3. Geben Sie einen Richtliniennamen und eine Beschreibung an, die nur für Administratoren im Azure-Portal angezeigt wird.Specify a policy name and description that only administrators see in the Azure portal. Der Name muss für Ihren Mandanten eindeutig sein.The name must be unique to your tenant. Wählen Sie dann angeben, welche Benutzer/Gruppen diese Richtlinie erhalten. in den nachfolgenden Bereichen können Sie die Benutzer und Gruppen für diese Richtlinie suchen und auswählen.Then select Specify which users/groups get this policy, and in the subsequent panes, you can search and select the users and groups for this policy. Die Bezeichnungen und Einstellungen, die Sie in dieser bereichsbezogenen Richtlinie konfigurieren, werden nur auf diese Benutzer angewendet.The labels and settings that you configure in this scoped policy will be applied to these users only.

    Aus Leistungsgründen wird die Gruppenmitgliedschaft für bereichsbezogene Richtlinien zwischengespeichert.For performance reasons, group membership for scoped policies is cached.

    Hinweis

    Wählen Sie bis zu 200 Benutzer oder Gruppen aus.Select up to 200 users or groups. Wenn mehr als 200 Benutzer erforderlich sind, um die Bereichs bezogene Richtlinie zu erhalten, erstellen Sie eine neue Gruppe, fügen Sie der Gruppe relevante Benutzer hinzu, und legen Sie dann den Richtlinien Bereich auf die neue Gruppe fest.If more than 200 users are needed to get the scoped policy, create a new group, add relevant users to the group, and then set the policy scope to the new group.

  4. Fügen Sie jetzt neue Bezeichnungen hinzu, oder konfigurieren Sie die bereichsbezogenen Richtlinieneinstellungen.Now add new labels or configure the scoped policy settings. Die globale Richtlinie wird immer zuerst angewendet. Dadurch können Sie die globale Richtlinie mit neuen Bezeichnungen ergänzen und die globalen Einstellungen überschreiben.The global policy is always applied first, so you can supplement the global policy with new labels and you can override the global settings. Beispielsweise verfügt die globale Richtlinie unter Umständen über keine Standardbezeichnung, und Sie konfigurieren eine andere Standardbezeichnung in verschiedenen bereichsbezogenen Richtlinien für bestimmte Abteilungen.For example, the global policy might have no default label specified and you configure a different default label in different scoped policies for specific departments.

    Wenn Sie Hilfe beim Konfigurieren der Bezeichnungen oder Einstellungen benötigen, verwenden Sie die Links im Abschnitt Konfigurieren der Richtlinie für Ihre Organisation .If you need help with configuring the labels or settings, use the links in the Configuring your organization's policy section.

  5. Wenn Sie in einem Azure Information Protection Bereich Änderungen vornehmen, klicken Sie auf Speichern , um die Änderungen zu speichern, oder auf verwerfen , um die zuletzt gespeicherten Einstellungen wiederherzustellen.Just as when you edit the global policy, when you make any changes on an Azure Information Protection pane, click Save to save the changes, or click Discard to revert to the last saved settings.

  6. Wenn Sie die gewünschten Änderungen für diese Bereichs bezogene Richtlinie abgeschlossen haben, stellen Sie im Bereich anfängliche Azure Information Protection-Richtlinien sicher, dass diese Bereichs bezogene Richtlinie in der gewünschten Reihenfolge angezeigt wird.When you have finished making the changes that you want for this scoped policy, on the initial Azure Information Protection - Policies pane, make sure that this scoped policy is in the order that you want it applied. Dies ist wichtig, wenn Sie denselben Benutzer für mehrere bereichsbezogene Richtlinien ausgewählt haben.This is important when you have selected the same user for multiple scoped policies. Klicken Sie zum Ändern der Reihenfolge auf das Kontextmenü (...) und dann auf Nach oben oder Nach unten.To change the order, select the context menu (...) and select Move up or Move down.

Beim Starten einer unterstützten Office-Anwendung oder beim Öffnen des Datei-Explorers prüft der Azure Information Protection-Client, ob Änderungen vorgenommen wurden.The Azure Information Protection client checks for any changes whenever a supported Office application starts or File Explorer is opened. Der Client lädt dann alle Änderungen an der globalen Richtlinie oder den bereichsbezogenen Richtlinien herunter, die für diesen Benutzer gelten.The client downloads any changes to the global policy or scoped policies that apply to that user.

Nächste SchritteNext steps

Ein Beispiel für die Anpassung der Standardrichtlinie sowie das resultierende Verhalten in einer Office-Anwendung finden Sie im Tutorial: Bearbeiten der Azure Information Protection-Richtlinie und Erstellen einer neuen Bezeichnung.For an example of how to customize the default policy, and see the resulting behavior in an Office application, try the Edit the policy and create a new label tutorial.