Konfigurieren der Richtlinieneinstellungen für Azure Information Protection

Gilt für: Azure Information Protection

Relevant für: Azure Information Protection klassischer Client für Windows. Informationen zum Client für einheitliche Bezeichnungen finden Sie unter Informationen zu Vertraulichkeitsbezeichnungen in der Microsoft 365-Dokumentation.

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 eingestellt, um eine vereinheitlichte und optimierte Kundenumgebung zu gewährleisten. Für den klassischen Client wird keine weitere Unterstützung bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der Inhalt dieses Artikels wird nur zur Unterstützung von Kunden mit erweitertem Support bereitgestellt. Es wird empfohlen, dass Sie zur einheitlichen Bezeichnung migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Zusätzlich zum Titel und der QuickInfo für die Information Protection-Leiste gibt es einige Einstellungen in der Azure Information Protection-Richtlinie, die Sie unabhängig von den Bezeichnungen konfigurieren können:

Globale Richtlinieneinstellungen für Azure Information Protection

Beachten Sie, dass Ihre Richtlinieneinstellungen möglicherweise unterschiedliche Standardwerte aufweisen, je nachdem, wann Sie Ihr Azure Information Protection-Abonnement erworben haben. Einige Einstellungen können auch durch eine benutzerdefinierte Clienteinstellung festgelegt werden.

So konfigurieren Sie die Richtlinieneinstellungen

  1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben. Navigieren Sie anschließend zum Bereich Azure Information Protection.

    Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.

  2. Über die Menüoption Klassifizierungsrichtlinien: Wählen Sie im Bereich Azure Information Protection – > Richtlinien die Option Global aus, wenn die einstellungen, die Sie konfigurieren möchten, für alle Benutzer gelten.

    Wenn sich die zu konfigurierenden Einstellungen in einer bereichsbezogenen Richtlinie befinden, sodass sie nur für ausgewählte Benutzer verfügbar sind, wählen Sie stattdessen Ihre bereichsbezogene Richtlinie aus.

  3. Konfigurieren Sie im Bereich Richtlinie die Einstellungen:

    • Select the default label (Standardbezeichnung auswählen): Wählen Sie bei Festlegung dieser Option die Bezeichnung aus, die Dokumenten und E-Mails zugewiesen werden sollen, die nicht über eine Bezeichnung verfügen. Bezeichnungen mit untergeordneten Bezeichnungen können nicht als Standardbezeichnungen festgelegt werden.

      Diese Einstellung gilt für Office-Apps und den Scanner. Sie gilt nicht für Datei-Explorer oder PowerShell.

    • Überwachungsdaten an Azure Information Protection Analytics senden: Bevor Sie einen Azure Log Analytics-Arbeitsbereich für Azure Information Analyticserstellen, werden in den Werten für diese Einstellung Aus und Nicht konfiguriert angezeigt. Wenn Sie den Arbeitsbereich erstellen, ändern sich die Werte auf Aus und Ein.

      Wenn die Einstellung auf Ein festgelegt ist, senden Clients, die die zentrale Berichterstellung unterstützen, Daten an den Azure Information Protection-Dienst. Diese Informationen umfassen, welche Bezeichnungen angewendet werden und wenn ein Benutzer eine Bezeichnung mit einer niedrigeren Klassifizierung auswählt oder eine Bezeichnung entfernt. Weitere Informationen dazu, welche Informationen gesendet und gespeichert werden, finden Sie im Abschnitt Gesammelte und an Log Analytics gesendete Informationen in der zentralen Dokumentation zur Berichterstellung. Legen Sie diese Richtlinieneinstellung auf Aus fest, um zu verhindern, dass diese Daten gesendet werden.

    • All documents and emails must have a label (Alle Dokumente und E-Mails müssen eine Bezeichnung aufweisen): Bei Festlegung dieser Option auf On (Ein) muss auf alle gespeicherten Dokumente und gesendeten E-Mails eine Bezeichnung angewendet werden. Die Bezeichnung kann manuell von einem Benutzer, automatisch als Ergebnis einer erfüllten Bedingung oder standardmäßig (durch Festlegung der Option Select the default label [Standardbezeichnung auswählen]) zugewiesen werden.

      Wenn beim Speichern eines Dokuments oder beim Senden einer E-Mail keine Bezeichnung zugewiesen ist, wird der Benutzer zur Auswahl einer Bezeichnung aufgefordert. Beispiel:

      Azure Information Protection-Aufforderung, wenn Beschriftung erzwungen wird

      Diese Option gilt nicht, wenn Sie eine Bezeichnung mit dem PowerShell-Cmdlet Set-AIPFileLabel mit dem Parameter RemoveLabel entfernen.

    • Benutzer müssen eine Begründung angeben, wenn sie eine niedrigere Klassifizierungsbezeichnung verwenden, eine Bezeichnung entfernen oder den Schutz entfernen möchten: Ist diese Option auf On (Ein) festgelegt und der Benutzer führt eine dieser Aktionen aus (z.B. Ändern der Bezeichnung von Public (Öffentlich) auf Personal (Persönlich)), so wird er aufgefordert, eine Begründung für diese Aktion anzugeben. Der Benutzer kann z. B. angeben, dass das Dokument keine sensiblen Informationen mehr enthält. Die Aktion und ihre Begründung werden im lokalen Windows Ereignisprotokoll protokolliert: Anwendungs- und Dienstprotokolle > Azure Information Protection.

      Azure Information Protection-Aufforderung, wenn die neue Klassifizierung eine niedrigere Vertraulichkeitsstufe aufweist

      Diese Option gilt nicht für die Senkung der Klassifizierung untergeordneter Bezeichnungen unter der gleichen übergeordneten Bezeichnung.

    • Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Einstufung dieser Anlagen entspricht: Wenn Sie diese Option auf Recommended (Empfohlen) festlegen, werden Benutzer aufgefordert, ihrer E-Mail-Nachricht eine Bezeichnung zuzuweisen. Die Bezeichnung wird dynamisch ausgewählt, basierend auf den Klassifizierungsbezeichnungen, die auf die Anlagen angewendet werden, und es wird die höchste Klassifizierungsbezeichnung ausgewählt. Die Anlage muss eine physische Datei sein und darf kein Link zu einer Datei sein (z. B. ein Link zu einer Datei auf Microsoft SharePoint oder OneDrive). Benutzer können die Empfehlung akzeptieren oder ablehnen. Wenn Sie diese Option auf Automatisch festlegen, wird die Bezeichnung automatisch angewendet, aber Benutzer können die Bezeichnung entfernen oder vor dem Senden der E-Mail eine andere Bezeichnung auswählen.

      Um die Reihenfolge der untergeordneten Bezeichnungen bei der Verwendung dieser Richtlinieneinstellung zu berücksichtigen, müssen Sie eine erweiterte Clienteinstellung konfigurieren.

      Wenn die Anlage mit der höchsten Klassifizierungsbezeichnung für den Schutz mit der Vorschaueinstellung benutzerdefinierter Berechtigungen konfiguriert ist: – Wenn die benutzerdefinierten Berechtigungen der Bezeichnung Outlook (Nicht weiterleiten) enthalten, wird diese Bezeichnung angewendet, und der Schutz nicht weiterleiten wird auf die E-Mail angewendet. Wenn die benutzerdefinierten Berechtigungen der Bezeichnung nur für Word, Excel, PowerPoint und den Dateiexplorer gelten, wird diese Bezeichnung nicht auf die E-Mail angewendet, der Schutz ebenfalls nicht.

    • Display the Information Protection bar in Office apps (Information Protection-Leiste in Office-Apps anzeigen): Wenn diese Einstellung deaktiviert ist, können Benutzer keine Bezeichnungen aus einer Leiste in Word, Excel, PowerPoint und Outlook auswählen. Stattdessen müssen sie Bezeichnungen über die Schaltfläche Schützen auf dem Menüband auswählen. Wenn diese Einstellung aktiviert ist, können Benutzer Bezeichnungen entweder über die Leiste oder die Schaltfläche auswählen.

      Wenn diese Einstellung aktiviert ist, kann Sie in Verbindung mit einer erweiterten Clienteinstellung verwendet werden, sodass Benutzer die Azure Information Protection-Leiste dauerhaft ausblenden können, wenn Sie diese nicht anzeigen möchten. Sie können dies erreichen, indem sie die Option Balken anzeigen über die Schaltfläche Schützen deaktivieren.

    • Add the Do Not Forward button to the Outlook ribbon (Die Schaltfläche „Nicht weiterleiten“ dem Outlook-Menüband hinzufügen): Wenn diese Einstellung aktiviert ist, können Benutzer diese Schaltfläche aus der Schutzgruppe auf dem Outlook-Menüband zusätzlich zur Auswahl der Option Nicht weiterleiten im Outlook-Menü auswählen. Um sicherzustellen, dass Benutzer ihre E-Mails klassifizieren und schützen, sollten Sie diese Schaltfläche nicht hinzufügen, sondern stattdessen eine Bezeichnung für den Schutz und eine benutzerdefinierte Berechtigung für Outlook konfigurieren. Wenn Sie diese Schutzeinstellung verwenden, geschieht das gleiche wie beim Klick auf Nicht weiterleiten. Wenn jedoch die Funktion in einer Bezeichnung enthalten ist, werden E-Mails ebenso als geschützt klassifiziert.

      Diese Schutzeinstellung kann auch mit einer erweiterten Clienteinstellung als Clientanpassung konfiguriert werden.

    • Make the custom permissions option available to users (Die Option der benutzerdefinierten Berechtigungen Benutzern zur Verfügung stellen): Wenn diese Einstellung aktiviert ist, können Benutzer ihre eigenen Schutzeinstellungen festlegen und jene außer Kraft setzen, die Sie möglicherweise in einer Bezeichnungskonfiguration eingeschlossen haben. Benutzer können außerdem eine Option zum Entfernen des Schutzes sehen. Wenn diese Einstellung deaktiviert ist, sehen Benutzer keine dieser Optionen.

      Beachten Sie, dass diese Richtlinieneinstellung keine Auswirkungen auf benutzerdefinierte Berechtigungen hat, die Benutzer über Office-Menüoptionen konfigurieren können. Sie kann jedoch auch mit einer erweiterten Clienteinstellung als Clientanpassung konfiguriert werden.

      Die benutzerdefinierten Berechtigungsoptionen befinden sich hier:

      • In Office-Anwendungen: Auf dem Menüband, Registerkarte Start > Gruppe Schutz > Schützen > Benutzerdefinierte Berechtigungen

      • Im Datei-Explorer: Klicken Sie mit der rechten Maustaste auf > Klassifizieren und Schützen > von benutzerdefinierten Berechtigungen.

    • Geben Sie eine benutzerdefinierte URL für die „Weitere Infos“-Webseite des Azure Information Protection-Clients an: Benutzer sehen diesen Link im Dialogfeld Microsoft Azure Information Protection im Abschnitt Hilfe und Feedback, wenn sie in ihren Office-Clientanwendungen auf der Registerkarte Startseite die Option Schützen > Hilfe und Feedback auswählen. Standardmäßig gelangen Sie über diesen Link zur Azure Information Protection-Website. Sie können eine HTTP- oder HTTPS-URL (empfohlen) eingeben, wenn dieser Link auf eine andere Webseite verweisen soll. Es wird nicht überprüft, ob die eingegebene benutzerdefinierte URL erreichbar ist oder auf allen Geräten ordnungsgemäß angezeigt wird.

      Beispielsweise können Sie für Ihren Helpdesk die Microsoft-Dokumentationsseite eingeben, die Informationen zur Installation und Verwendung des Clients enthält: https://docs.microsoft.com/information-protection/rms-client/info-protect-client . Oder Versionsinformationen: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history . Alternativ können Sie eine eigene Webseite veröffentlichen, die Benutzern Informationen zur Kontaktaufnahme mit Ihrem Helpdesk bereitstellt oder ein Video enthält, das Benutzern zeigt, wie die konfigurierten Bezeichnungen verwendet werden.

  4. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern und diese für Benutzer verfügbar zu machen.

Nachdem Sie auf Speichern geklickt haben, sind Ihre vorgenommenen Änderungen automatisch für Benutzer und Dienste verfügbar. Es gibt keine gesonderte Veröffentlichungsoption mehr.

Nächste Schritte

Um anzuzeigen, wie einige dieser Richtlinieneinstellungen zusammen funktionieren, absolvieren Sie das Tutorial: Konfigurieren von Azure Information Protection-Richtlinieneinstellungen, die nahtlos funktionieren.

Um weitere Informationen zum Konfigurieren Ihrer Azure Information Protection-Richtlinie zu erhalten, klicken Sie auf die Links im Abschnitt Konfigurieren der Richtlinie für Ihre Organisation.