Konfigurieren von Nutzungsrechten für Azure Information Protection

Gilt für: Azure Information Protection, Office 365

Relevant für:AIP Unified Labeling Client and Classic Client

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Der Vollständigkeit halber enthält dieser Artikel Werte aus dem klassischen Azure-Portal, das am 8. Januar 2018 eingestellt wurde.

In diesem Artikel werden Die Verwendungsrechte beschrieben, die Sie so konfigurieren können, dass sie automatisch angewendet werden, wenn eine Bezeichnung oder Vorlage von Benutzern, Administratoren oder konfigurierten Diensten ausgewählt wird.

Verwendungsrechte werden ausgewählt, wenn Sie Vertraulichkeitsbezeichnungen oder Schutzvorlagen für die Verschlüsselung konfigurieren. So können Sie beispielsweise Rollen auswählen, die eine logische Gruppierung von Nutzungsrechten konfigurieren, oder die individuellen Rechte separat konfigurieren. Alternativ können Benutzer die Nutzungsrechte selbst auswählen und anwenden.

Wichtig

In diesem Artikel erfahren Sie, wie Nutzungsrechte für die Interpretation durch Anwendungen ausgelegt werden.

Anwendungen können sich in der Art und Weise unterscheiden, in der sie Nutzungsrechte implementieren, und wir empfehlen, sich in der Dokumentation Ihrer Anwendung zu informieren und eigene Tests durchführen, um das Anwendungsverhalten vor der Bereitstellung in der Produktion zu überprüfen.

Nutzungsrechte und Beschreibungen

In der folgenden Tabelle sind die Von Rights Management unterstützten Nutzungsrechte sowie deren Verwendung und Interpretation aufgeführt und beschrieben. Sie werden nach ihrem allgemeinen Namen aufgelistet.Dies ist in der Regel die Anzeige des Verwendungs rechts, oder es wird darauf verwiesen. Dies ist eine benutzerfreundlichere Version des Im Code verwendeten Single-Word-Werts (der Wert für Codierung in der Richtlinie).

In dieser Tabelle:

  • Die API-Konstante oder der API-Wert ist der SDK-Name für einen MSIPC-API-Aufruf, der verwendet wird, wenn Sie eine Anwendung schreiben, die auf ein Nutzungsrecht überprüft oder einer Richtlinie ein Nutzungsrecht hinzufügt.

  • Die Bezeichnung Admin Center ist die Microsoft 365 Compliance Center, in der Sie Vertraulichkeitsbezeichnungen konfigurieren.

    Wenn Sie über den klassischen Client verfügen, konfigurieren Sie Ihre Bezeichnungen und Bezeichnungsrichtlinien im Azure-Portal.

Nutzungsrecht Beschreibung Implementierung
Häufig verwendeter Name: Inhalt bearbeiten, Bearbeiten

Codierung in der Richtlinie: DOCEDIT
Ermöglicht dem Benutzer, den Inhalt in der Anwendung zu ändern, neu anordnen, zu formatieren oder zu sortieren. Das Recht zum Speichern der bearbeiteten Kopie wird nicht gewährt.

Wenn Sie in Word nicht über Office 365 ProPlus mit einer Mindestversion von 1807verfügen, reicht diese Rechts nicht aus, um Änderungen nachverfolgen zu aktivieren oder zu deaktivieren oder alle Features zum Nachverfolgen von Änderungen als Beprüfer zu verwenden. Um alle Optionen zum Nachverfolgen von Änderungen zu verwenden, ist stattdessen folgendes Recht erforderlich: Vollversion.
Office Benutzerdefinierte Rechte: Als Teil der Optionen Ändern und Vollversion.

Name im klassischen Azure-Portal: Inhalt bearbeiten

Name im Microsoft 365 Compliance Center Azure-Portal: Inhalt bearbeiten, Bearbeiten (DOCEDIT)

Name in AD RMS-Vorlagen: Bearbeiten

API-Konstante oder -Wert: Nicht zutreffend.
Häufig verwendeter Name: Speichern

Codierung in der Richtlinie: EDIT
Ermöglicht dem Benutzer, das Dokument am aktuellen Speicherort zu speichern.

In Office-Anwendungen kann der Benutzer mit dieser Rechten auch das Dokument ändern und an einem neuen Speicherort und unter einem neuen Namen speichern, wenn das ausgewählte Dateiformat den Rechteverwaltungsschutz nativ unterstützt. Mit der Dateiformatbeschränkung wird sichergestellt, dass der ursprüngliche Schutz nicht aus der Datei entfernt werden kann.
Office Benutzerdefinierte Rechte: Als Teil der Optionen Ändern und Vollversion.

Name im klassischen Azure-Portal: Datei speichern

Name im Microsoft 365 Compliance Center Azure-Portal: Speichern (EDIT)

Name in AD RMS-Vorlagen: Speichern

API-Konstante oder -Wert: IPC_GENERIC_WRITE L"EDIT"
Häufig verwendeter Name: Kommentar

Codierung in der Richtlinie: COMMENT
Ermöglicht das Hinzufügen von Anmerkungen oder Kommentaren zum Inhalt.

Diese Rechte steht im SDK zur Verfügung, steht als Ad-hoc-Richtlinie im AzureInformationProtection- und RMS-Schutzmodul für Windows PowerShell zur Verfügung und wurde in einigen Anwendungen von Softwareanbietern implementiert. Sie ist jedoch nicht weit verbreitet und wird von anderen Anwendungen Office unterstützt.
Office Benutzerdefinierte Rechte: Nicht implementiert.

Name im klassischen Azure-Portal: Nicht implementiert.

Name im Microsoft 365 Compliance Center Azure-Portal: Nicht implementiert.

Name in AD RMS-Vorlagen: Nicht implementiert.

API-Konstante oder -Wert: IPC_GENERIC_COMMENT L"COMMENT
Häufig verwendeter Name: "Speichern unter", "Exportieren"

Codierung in der Richtlinie: EXPORT
Aktiviert die Option zum Speichern des Inhalts unter einem anderen Dateinamen (Speichern unter).

Für den Azure Information Protection-Client kann die Datei ohne Schutz gespeichert und außerdem mit neuen Einstellungen und Berechtigungen erneut geschützt werden. Diese zulässigen Aktionen bedeuten, dass ein Benutzer, der über dieses Recht verfügt, eine Azure Information Protection-Bezeichnung in einem geschützten Dokument oder einer geschützten E-Mail ändern oder entfernen kann.

Mit dieser Rechten kann der Benutzer auch andere Exportoptionen in Anwendungen ausführen, z. B. An OneNote.
Office Benutzerdefinierte Rechte: Als Teil der Option Vollbild.

Name im klassischen Azure-Portal: Inhalt exportieren (Speichern unter)

Name im Microsoft 365 Compliance Center Azure-Portal: Speichern unter, Exportieren (EXPORT)

Name in AD RMS-Vorlagen: Exportieren (Speichern unter)

API-Konstante oder -Wert: IPC_GENERIC_EXPORT L"EXPORT"
Häufig verwendeter Name: Forward

Codierung in der Richtlinie: FORWARD
Ermöglicht das Weiterleiten einer E-Mail-Nachricht und das Hinzufügen von Empfängern zu den Zeilen "An" und "Cc". Diese Rechte gelten nicht für Dokumente; nur E-Mail-Nachrichten.

Die Weiterleitung darf anderen Benutzern im Rahmen der Weiterleitungsaktion keine Rechte erteilen.

Wenn Sie diesem Recht erteilen, gewähren Sie auch Inhalt bearbeiten, Rechts bearbeiten (häufig verwendeter Name) und zusätzlich das Recht speichern (häufig verwendeter Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anlage übermittelt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder Outlook Web App verwendet. Oder für Benutzer in Ihrer Organisation, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboarding-Steuerelemente implementiert haben.
Office Benutzerdefinierte Rechte: Verweigert, wenn Sie die Standardrichtlinie "Nicht weiterleiten" verwenden.

Name im klassischen Azure-Portal: Weiterleiten

Name im Microsoft 365 Compliance Center Azure-Portal: Forward (FORWARD)

Name in AD RMS-Vorlagen: Weiterleiten

API-Konstante oder -Wert: IPC_EMAIL_FORWARD L"FORWARD"
Häufig verwendeter Name: Vollversion

Codierung in der Richtlinie: OWNER
Es können alle Rechte für das Dokument gewährt werden, und alle verfügbaren Aktionen können ausgeführt werden.

Bietet die Möglichkeit, den Schutz zu entfernen und ein Dokument erneut zu schützen.

Beachten Sie, dass dieses Nutzungsrecht nicht mit dem Rechteverwaltungsbesitzer identisch ist.
Office Benutzerdefinierte Rechte: Als benutzerdefinierte Vollsteuerungsoption.

Name im klassischen Azure-Portal: Vollversion

Name im Microsoft 365 Compliance Center Azure-Portal: Vollsteuerung (BESITZER)

Name in AD RMS-Vorlagen: Vollversion

API-Konstante oder -Wert: IPC_GENERIC_ALL L"OWNER"
Häufig verwendeter Name: Drucken

Codierung in der Richtlinie: PRINT
Ermöglicht die Optionen zum Drucken des Inhalts. Office Benutzerdefinierte Rechte: Als Option "Inhalt drucken" in benutzerdefinierten Berechtigungen. Keine Empfängereinstellung.

Name im klassischen Azure-Portal: Drucken

Name im Microsoft 365 Compliance Center Azure-Portal: Print (PRINT)

Name in AD RMS-Vorlagen: Drucken

API-Konstante oder -Wert: IPC_GENERIC_PRINT L"PRINT"
Häufig verwendeter Name: Antwort

Codierung in der Richtlinie: REPLY
Aktiviert die Option Antworten in einem E-Mail-Client, ohne Änderungen in den Zeilen "An" oder "Cc" zu zulassen.

Wenn Sie diesem Recht erteilen, gewähren Sie auch Inhalt bearbeiten, Rechts bearbeiten (häufig verwendeter Name) und zusätzlich das Recht speichern (häufig verwendeter Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anlage übermittelt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder Outlook Web App verwendet. Oder für Benutzer in Ihrer Organisation, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboarding-Steuerelemente implementiert haben.
Office Benutzerrechte: Nicht zutreffend.

Name im klassischen Azure-Portal: Antworten

Name im klassischen Azure-Portal: Reply (REPLY)

Name in AD RMS-Vorlagen: Antworten

API-Konstante oder -Wert: IPC_EMAIL_REPLY
Häufig verwendeter Name: Allen antworten

Codierung in der Richtlinie: REPLYALL
Aktiviert die Option Allen antworten in einem E-Mail-Client, lässt es dem Benutzer aber nicht zu, empfänger zu den Zeilen "An" oder "Cc" hinzuzufügen.

Wenn Sie diesem Recht erteilen, gewähren Sie auch Inhalt bearbeiten, Rechts bearbeiten (häufig verwendeter Name) und zusätzlich das Recht speichern (häufig verwendeter Name), um sicherzustellen, dass die geschützte E-Mail-Nachricht nicht als Anlage übermittelt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder Outlook Web App verwendet. Oder für Benutzer in Ihrer Organisation, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboarding-Steuerelemente implementiert haben.
Office Benutzerrechte: Nicht zutreffend.

Name im klassischen Azure-Portal: Allen antworten

Name im Microsoft 365 Compliance Center Azure-Portal: Allen antworten (ALLEN ANTWORTEN)

Name in AD RMS-Vorlagen: Allen antworten

API-Konstante oder -Wert: IPC_EMAIL_REPLYALL L"REPLYALL"
Häufig verwendeter Name: "Ansicht", "Öffnen", "Lesen"

Codierung in der Richtlinie: VIEW
Ermöglicht dem Benutzer, das Dokument zu öffnen und den Inhalt anzuzeigen.

In Excel reicht dieses Recht nicht aus, um Daten zu sortieren. Dazu ist Folgendes erforderlich: Inhalt bearbeiten, Bearbeiten. Zum Filtern von Daten in Excel benötigen Sie die folgenden beiden Rechte: Inhalt bearbeiten, Bearbeiten und Kopieren.
Office Benutzerdefinierte Rechte: Als benutzerdefinierte Richtlinie lesen, Option Ansicht.

Name im klassischen Azure-Portal: Ansicht

Name im Microsoft 365 Compliance Center Azure-Portal: Ansicht, Öffnen, Lesen (ANSICHT)

Name in AD RMS-Vorlagen: Lesen

API-Konstante oder -Wert: IPC_GENERIC_READ L"VIEW"
Häufig verwendeter Name: Kopieren

Codierung in der Richtlinie: EXTRACT
Ermöglicht es Optionen, Daten (einschließlich Bildschirmaufzeichnungen) aus dem Dokument in dasselbe oder ein anderes Dokument zu kopieren.

In einigen Anwendungen kann auch das gesamte Dokument in ungeschützter Form gespeichert werden.

In Skype for Business und ähnlichen Anwendungen für die Bildschirmfreigabe muss der Presenter über dieses Recht verfügen, um ein geschütztes Dokument erfolgreich präsentieren zu können. Wenn der Sprechteilnehmer dieses Recht nicht hat, können die Teilnehmer das Dokument nicht anzeigen und es wird für sie als schwarz eins der Dokumente angezeigt.
Office Benutzerdefinierte Rechte: Als Option Benutzern mit Lesezugriff das Kopieren von Inhalten durch benutzerdefinierte Richtlinien gestatten.

Name im klassischen Azure-Portal: Kopieren und Extrahieren von Inhalt

Name im Microsoft 365 Compliance Center Azure-Portal: Kopieren (EXTRACT)

Name in AD RMS-Vorlagen: Extrahieren

API-Konstante oder -Wert: IPC_GENERIC_EXTRACT L"EXTRACT"
Häufig verwendeter Name: Anzeigerechte

Codierung in der Richtlinie: VIEWRIGHTSDATA
Ermöglicht dem Benutzer, die Richtlinie zu sehen, die auf das Dokument angewendet wurde.

Wird von Office oder Azure Information Protection-Clients nicht unterstützt.
Office Benutzerdefinierte Rechte: Nicht implementiert.

Name im klassischen Azure-Portal: "Zugewiesene Rechte anzeigen"

Name im Microsoft 365 Compliance Center Azure-Portal: View Rights (VIEWRIGHTSDATA).

Name in AD RMS-Vorlagen: Anzeigerechte

API-Konstante oder -Wert: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
Häufig verwendeter Name: Rechte ändern

Codierung in der Richtlinie: EDITRIGHTSDATA
Ermöglicht dem Benutzer das Ändern der Richtlinie, die auf das Dokument angewendet wird. Umfasst auch das Entfernen von Schutz.

Wird von Office oder Azure Information Protection-Clients nicht unterstützt.
Office Benutzerdefinierte Rechte: Nicht implementiert.

Name im klassischen Azure-Portal: Rechte ändern

Name im Microsoft 365 Compliance Center Azure-Portal: Edit Rights (EDITRIGHTSDATA).

Name in AD RMS-Vorlagen: Bearbeiten von Rechten

API-Konstante oder -Wert: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
Häufig verwendeter Name: Makros zulassen

Codierung in der Richtlinie: OBJMODEL
Ermöglicht das Ausführen von Makros oder das Ausführen anderer programmgesteuerter oder Remotezugriff auf den Inhalt eines Dokuments. Office Benutzerdefinierte Rechte: Als benutzerdefinierte Richtlinienoption Programmgesteuerter Zugriff zulassen. Keine Empfängereinstellung.

Name im klassischen Azure-Portal: Makros zulassen

Name im Microsoft 365 Compliance Center Azure-Portal: Makros zulassen (OBJMODEL)

Name in AD RMS-Vorlagen: Makros zulassen

API-Konstante oder -Wert: Nicht implementiert.

In Berechtigungsstufen enthaltene Rechte

Einige Anwendungen gruppieren Nutzungsrechte in Berechtigungsstufen, um die Auswahl von Nutzungsrechten, die normalerweise zusammen verwendet werden, zu vereinfachen. Diese Berechtigungsstufen helfen dabei, ein Komplexitätsgrad von Benutzern zu abstrahiert, sodass sie rollenbasierte Optionen auswählen können. Beispiel: Prüfer und Mitautor. Obwohl diese Optionen Benutzern häufig eine Zusammenfassung der Rechte anzeigen, enthalten sie möglicherweise nicht alle Rechte, die in der vorherigen Tabelle aufgeführt sind.

In der folgenden Tabelle finden Sie eine Liste dieser Berechtigungsstufen und eine vollständige Liste der Nutzungsrechte, die sie enthalten. Die Nutzungsrechte sind nach dem gemeinsamen Namen aufgeführt.

Berechtigungsstufe Anwendungen Enthaltene Nutzungsrechte
Viewer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Anzeigerechte; Antwort [1]; Allen antworten [1]; Zulassen von Makros [2]

Hinweis: Verwenden Sie für E-Mails Den Prüfer anstelle dieser Berechtigungsstufe, um sicherzustellen, dass eine E-Mail-Antwort als E-Mail-Nachricht statt als Anlage empfangen wird. Der Prüfer ist auch erforderlich, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder Outlook-App verwendet. Oder für Benutzer in Ihrer Organisation, die von der Nutzung des Azure Rights Management-Diensts ausgenommen sind, weil Sie Onboarding-Steuerelemente implementiert haben.
Prüfer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Anzeigerechte; Antwort: Allen antworten [3]; Weiterleiten [3]; Zulassen von Makros [2]
Mitautor Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Anzeigerechte; Makros zulassen; Speichern unter, Exportieren [4]; Drucken; Antwort [3]; Allen antworten [3]; Weiterleiten [3]
Mitbesitzer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Anzeigerechte; Rechte ändern; Makros zulassen; Speichern unter, Exportieren; Drucken; Antwort [3]; Allen antworten [3]; Weiterleiten [3]; Vollversion
Fußnote 1

Nicht im Microsoft 365 Compliance Center- oder Azure-Portal enthalten.

Fußnote 2

Für den Azure Information Protection-Client für Windows ist dieses Recht für die Informationsschutzleiste in Office erforderlich.

Fußnote 3

Gilt nicht für den Azure Information Protection-Client für Windows.

Fußnote 4

Nicht in der Microsoft 365 Compliance Center, dem Azure-Portal oder dem Azure Information Protection-Client für Windows.

Option "Nicht weiterleiten" für E-Mails

Exchange-Clients und -Dienste (z. B. der Outlook-Client, Outlook im Web-, Exchange-Nachrichtenflussregeln und DLP-Aktionen für Exchange) verfügen über eine zusätzliche Option zum Schutz von Informationsrechten für E-Mails: Nicht weiterleiten.

Obwohl diese Option benutzern (und Exchange Administratoren) so angezeigt wird, als ob es sich um eine Standardvorlage zur Rechteverwaltung handelt, die sie auswählen können, ist "Nicht weiterleiten" keine Vorlage. Dies erläutert, warum sie beim Anzeigen und Verwalten von Schutzvorlagen nicht im Azure-Portal angezeigt wird. Stattdessen ist die Option Nicht weiterleiten eine Reihe von Verwendungsrechten, die von Benutzern dynamisch auf ihre E-Mail-Empfänger angewendet werden.

Wenn die Option Nicht weiterleiten auf eine E-Mail angewendet wird, wird die E-Mail verschlüsselt, und die Empfänger müssen authentifiziert werden. Dann können die Empfänger das Dokument nicht weiterleiten, drucken oder kopieren. Im Outlook-Client ist beispielsweise die Schaltfläche Weiterleiten nicht verfügbar, die Menüoptionen Speichern unter und Drucken sind nicht verfügbar, und Sie können in den Feldern An,Ccoder Bcc keine Empfänger hinzufügen oder ändern.

Ungeschützte Office an die E-Mail angefügte Dokumente erben automatisch dieselben Einschränkungen. Die auf diese Dokumente angewendeten Nutzungsrechte sind Inhalt bearbeiten, Bearbeiten; Speichern; Anzeigen, Öffnen, Lesen; und Makros zulassen aus. Wenn Sie unterschiedliche Verwendungsrechte für eine Anlage wünschen oder die Anlage kein Office-Dokument ist, das diesen geerbten Schutz unterstützt, schützen Sie die Datei, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.

Differenz zwischen "Nicht weiterleiten" und "Nicht weiterleiten" gewähren

Es gibt eine wichtige Unterscheidung zwischen dem Anwenden der Option Nicht weiterleiten und der Anwendung einer Vorlage, die die Verwendung "Weiterleiten" nicht auf eine E-Mail zugreift: Bei der Option Nicht weiterleiten wird eine dynamische Liste autorisierter Benutzer verwendet, die auf den ausgewählten Empfängern der ursprünglichen E-Mail des Benutzers basiert. Die Rechte in der Vorlage enthalten dagegen eine statische Liste autorisierter Benutzer, die der Administrator zuvor angegeben hat. Worin besteht der Unterschied? Nehmen wir ein Beispiel:

Ein Benutzer möchte einige Informationen per E-Mail an bestimmte Personen in der Marketingabteilung senden, die nicht mit anderen Personen geteilt werden sollten. Sollte sie die E-Mail mit einer Vorlage schützen, die Rechte (Anzeigen, Antworten und Speichern) auf die Marketingabteilung beschränkt? Oder sollte sie die Option Nicht weiterleiten auswählen? Beide Auswahlmöglichkeiten würden dazu führen, dass die Empfänger die E-Mail nicht weiterleiten können.

  • Wenn sie die Vorlage angewendet hat, könnten die Empfänger die Informationen weiterhin für andere Personen in der Marketingabteilung freigeben. Ein Empfänger könnte die E-Mail beispielsweise mit Explorer an einen freigegebenen Speicherort oder ein USB-Laufwerk ziehen und ablegen. Jetzt kann jeder aus der Marketingabteilung (und dem E-Mail-Besitzer), der Zugriff auf diesen Standort hat, die Informationen in der E-Mail anzeigen.

  • Wenn sie die Option "Nicht weiterleiten" angewendet hat, können die Empfänger die Informationen nicht mit einer anderen Person in der Marketingabteilung teilen, indem sie die E-Mail an einen anderen Speicherort verschieben. In diesem Szenario können nur die ursprünglichen Empfänger (und der E-Mail-Besitzer) die Informationen in der E-Mail anzeigen.

Hinweis

Verwenden Sie Nicht weiterleiten, wenn es wichtig ist, dass nur die vom Absender auswählen Empfänger die Informationen in der E-Mail sehen sollen. Verwenden Sie eine Vorlage für E-Mails, um die Rechte auf eine vom Administrator im Voraus festgelegte Personengruppe unabhängig von den ausgewählten Empfängern des Absenders einzuschränken.

Option "Nur verschlüsseln" für E-Mails

Wenn Exchange Online die neuen Funktionen für Office 365-Nachrichtenverschlüsselung verwendet, wird eine neue Option E-Mail verschlüsseln verfügbar, um die Daten ohne zusätzliche Einschränkungen zu verschlüsseln.

Diese Option steht Mandanten zur Verfügung, die Exchange Online verwenden, und kann wie folgt ausgewählt werden:

  • In Outlook im Web mit der Option "Verschlüsseln" oder einer Vertraulichkeitsbezeichnung, die für "Benutzern das Zuweisen von Berechtigungen gestatten" konfiguriert ist, und der Option "Nur verschlüsseln"
  • Als weitere Option zum Schutz von Rechten für eine Nachrichtenflussregel
  • Als eine Office 365 DLP-Aktion
  • Aus der Outlook für Desktops und mobile Geräte:
    • Mit einer Vertraulichkeitsbezeichnung, die für "Benutzern das Zuweisen von Berechtigungen gestatten" konfiguriert ist, und der Option "Nur verschlüsseln" für Windows, macOS, iOS und Android, wenn Sie die integrierte Beschriftung mit den mindestversionen verwenden, die in der Tabelle für Vertraulichkeitsbeschriftungsfunktionen in Outlookaufgeführt sind.
    • Verwenden Sie die Option Verschlüsseln unter Windows und macOS für die Versionen, die in der Tabelle der unterstützten Versionen für Microsoft 365 Appsnach Updatekanal aufgeführt sind, wenn Sie über Microsoft 365-Apps verfügen, die Azure Rights Managementunterstützen.

Weitere Informationen zur Option "Nur verschlüsseln" finden Sie im folgenden Blogbeitrag, als er erstmals vom Office-Team angekündigt wurde:Nur das Rollback in Office 365-Nachrichtenverschlüsselung.

Wenn diese Option aktiviert ist, wird die E-Mail verschlüsselt, und die Empfänger müssen authentifiziert werden. Anschließend haben die Empfänger alle Nutzungsrechte mit Ausnahme von Speichern unter, Exportieren und Vollsteuerung. Diese Kombination von Nutzungsrechten bedeutet, dass den Empfängern keine Einschränkungen unterliegen, mit der Ausnahme, dass sie den Schutz nicht entfernen können. Ein Empfänger kann z. B. eine Kopie aus der E-Mail erstellen, die E-Mail drucken und weiterleiten.

Ebenso erben standardmäßig nicht geschützte Office, die an die E-Mail angefügt sind, die gleichen Berechtigungen. Diese Dokumente werden automatisch geschützt, und wenn sie heruntergeladen werden, können sie von den Empfängern aus den Office gespeichert, bearbeitet, kopiert und gedruckt werden. Wenn das Dokument von einem Empfänger gespeichert wird, kann es unter einem neuen Namen und sogar in einem anderen Format gespeichert werden. Es stehen jedoch nur Dateiformate zur Verfügung, die den Schutz unterstützen, sodass das Dokument nicht ohne den ursprünglichen Schutz gespeichert werden kann. Wenn Sie unterschiedliche Verwendungsrechte für eine Anlage wünschen oder die Anlage kein Office-Dokument ist, das diesen geerbten Schutz unterstützt, schützen Sie die Datei, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.

Alternativ können Sie diese Schutzvererbung von Dokumenten ändern, indem Sie mit Exchange Online Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true Verwenden Sie diese Konfiguration, wenn Sie den ursprünglichen Schutz für das Dokument nach der Authentifizierung des Benutzers nicht beibehalten müssen. Wenn Empfänger die E-Mail-Nachricht öffnen, ist das Dokument nicht geschützt.

Wenn Sie ein angefügtes Dokument benötigen, um den ursprünglichen Schutz zu erhalten, lesen Sie Sichern der Zusammenarbeit an Dokumenten mithilfe von Azure Information Protection.

Hinweis

Wenn Verweise auf DecryptAttachmentFromPortalangezeigt werden, wird dieser Parameter für Set-IRMConfiguration nun nicht mehr unterstützt. Sofern Sie diesen Parameter nicht zuvor festgelegt haben, ist er nicht verfügbar.

AUTOMATISCHES Verschlüsseln von PDF-Dokumenten Exchange Online

Wenn Exchange Online neue Funktionen für Office 365-Nachrichtenverschlüsselung verwendet, können Sie ungeschützte PDF-Dokumente automatisch verschlüsseln, wenn sie an eine verschlüsselte E-Mail angefügt werden. Das Dokument erbt dieselben Berechtigungen wie die Berechtigungen für die E-Mail-Nachricht. Um diese Konfiguration zu aktivieren, legen Sie EnablePdfEncryption $TrueSet-IRMConfiguration .

Empfänger, die noch keinen Reader installiert haben, der den ISO-Standard für PDF-Verschlüsselung unterstützt, können einen der Leser installieren, die in PDF-Readern aufgeführt sind, die Microsoft Information Protection. Alternativ können die Empfänger das geschützte PDF-Dokument im OME-Portal lesen.

Rights Management-Aussteller und Rechteverwaltungsbesitzer

Wenn ein Dokument oder eine E-Mail mithilfe des Azure Rights Management-Diensts geschützt wird, wird das Konto, das diese Inhalte schützt, automatisch zum Aussteller der Rechteverwaltung für diese Inhalte. Dieses Konto wird in den Verwendungsprotokollen als Ausstellerfeld protokolliert.

Dem Aussteller der Rechteverwaltung wird immer das Nutzungsrecht "Vollsteuerung" für das Dokument oder die E-Mail gewährt, und zusätzlich gilt:

  • Wenn die Schutzeinstellungen ein Ablaufdatum enthalten, kann der Aussteller der Rechteverwaltung das Dokument oder die E-Mail nach diesem Datum weiterhin öffnen und bearbeiten.

  • Der Aussteller der Rechteverwaltung kann immer offline auf das Dokument oder die E-Mail zugreifen.

  • Der Aussteller von Rights Management kann ein Dokument nach dem Widerrufen weiterhin öffnen.

Dieses Konto ist standardmäßig auch der Rechteverwaltungsbesitzer für diese Inhalte, was der Fall ist, wenn ein Benutzer, der das Dokument oder die E-Mail erstellt hat, den Schutz initiiert. Es gibt jedoch einige Szenarien, in denen ein Administrator oder Dienst Inhalte im Auftrag von Benutzern schützen kann. Zum Beispiel:

  • Ein Administrator schützt Dateien in einem Massenschutz auf einer Dateifreigabe: Das Administratorkonto in Azure AD die Dokumente für die Benutzer schützt.

  • Der Rights Management-Connector schützt Office-Dokumente in einem Windows Server-Ordner: Das Dienstprinzipalkonto in Azure AD, das für den RMS-Connector erstellt wird, schützt die Dokumente für die Benutzer.

In diesen Szenarien kann der Rights Management-Aussteller den Rechteverwaltungsbesitzer einem anderen Konto zuweisen, indem er die Azure Information Protection-SDKs oder PowerShell verwendet. Wenn Sie z. B. das Protect-RMSFile PowerShell-Cmdlet mit dem Azure Information Protection-Client verwenden, können Sie den Parameter OwnerEmail angeben, um den Rechteverwaltungsbesitzer einem anderen Konto zuzuordnen.

Wenn der Rechteverwaltungsaussteller im Auftrag von Benutzern schützt, stellt die Zuweisung des Rechteverwaltungsbesitzers sicher, dass das ursprüngliche Dokument oder der E-Mail-Besitzer über die gleiche Kontrolle für den geschützten Inhalt verfügt, als ob er den Schutz selbst initiiert hat.

Beispielsweise kann der Benutzer, der das Dokument erstellt hat, es drucken, obwohl es jetzt mit einer Vorlage geschützt ist, die das Nutzungsrecht für "Drucken" nicht enthält. Der gleiche Benutzer kann unabhängig von der Einstellung für den Offlinezugriff oder dem Ablaufdatum, die in dieser Vorlage konfiguriert wurde, immer auf sein Dokument zugreifen. Da der Besitzer der Rechteverwaltung über das Nutzungsrecht "Vollzugriff" verfügt, kann dieser Benutzer das Dokument auch erneut schützen, um weiteren Benutzern Zugriff zu gewähren (an diesem Punkt wird der Benutzer dann zum Aussteller der Rechteverwaltung sowie zum Besitzer der Rechteverwaltung), und dieser Benutzer kann den Schutz sogar aufheben. Nur der Aussteller von Rights Management kann ein Dokument nachverfolgen und widerrufen.

Der Rechteverwaltungsbesitzer für ein Dokument oder eine E-Mail wird in den Verwendungsprotokollen als Besitzer-E-Mail-Feldprotokolliert.

Hinweis

Der Besitzer der Rechteverwaltung ist vom Besitzer Windows Dateisystems unabhängig. Sie sind häufig identisch, können aber unterschiedlich sein, auch wenn Sie die SDKs oder PowerShell nicht verwenden.

Nutzungslizenz für die Rechteverwaltung

Wenn ein Benutzer ein Dokument oder eine E-Mail öffnet, das oder die durch Azure Rights Management geschützt wurde, wird dem Benutzer eine Rechteverwaltungs-Nutzungslizenz für diese Inhalte gewährt. Bei dieser Nutzungslizenz handelt es sich um ein Zertifikat, das die Verwendungsrechte des Benutzers für das Dokument oder die E-Mail-Nachricht enthält, sowie den Verschlüsselungsschlüssel, der zum Verschlüsseln des Inhalts verwendet wurde. Die Nutzungslizenz enthält außerdem ein Ablaufdatum, wenn dies festgelegt wurde und wie lange die Nutzungslizenz gültig ist.

Ein Benutzer muss zusätzlich zum Rights Account Certificate (RAC) über eine gültige Nutzungslizenz zum Öffnen des Inhalts verfügen. Dabei handelt es sich um ein Zertifikat, das bei der Initialisierung der Benutzerumgebung erteilt und dann alle 31 Tage verlängert wird.

Für die Dauer der Nutzungslizenz wird der Benutzer nicht erneut authentifiziert oder für den Inhalt nicht erneut autorisiert. Auf diese Weise kann der Benutzer das geschützte Dokument oder die E-Mail weiterhin ohne Internetverbindung öffnen. Wenn die Gültigkeitsdauer der Lizenz abgelaufen ist, muss der Benutzer beim nächsten Zugriff auf das geschützte Dokument oder die geschützte E-Mail-Adresse erneut authentifiziert und autorisiert werden.

Wenn Dokumente und E-Mail-Nachrichten mit einer Bezeichnung oder einer Vorlage geschützt werden, die die Schutzeinstellungen definiert, können Sie diese Einstellungen in Ihrer Bezeichnung oder Vorlage ändern, ohne den Inhalt erneut schützen zu müssen. Wenn der Benutzer bereits auf den Inhalt zugegriffen hat, werden die Änderungen wirksam, nachdem seine Nutzungslizenz abgelaufen ist. Wenn Benutzer jedoch benutzerdefinierte Berechtigungen (auch als Ad-hoc-Rechterichtlinie bezeichnet) anwenden und diese Berechtigungen geändert werden müssen, nachdem das Dokument oder die E-Mail geschützt wurde, müssen diese Inhalte erneut mit den neuen Berechtigungen geschützt werden. Benutzerdefinierte Berechtigungen für eine E-Mail-Nachricht werden mit der Option Nicht weiterleiten implementiert.

Die Standardmäßige Gültigkeitsdauer der Lizenz für einen Mandanten beträgt 30 Tage, und Sie können diesen Wert mithilfe des PowerShell-Cmdlets Set-AipServiceMaxUseLicenseLicense1 konfigurieren. Sie können eine restriktivere Einstellung für die Anwendung des Schutzes mithilfe einer Vertraulichkeitsbezeichnung oder -vorlage konfigurieren:

  • Wenn Sie eine Vertraulichkeitsbezeichnung konfigurieren, wird für die Gültigkeitsdauer der Lizenz der Wert der Einstellung Offlinezugriff zulassen verwendet.

    Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung finden Sie in der Tabelle mit den Schutzeinstellungen in den Anweisungen zum Konfigurieren einer Bezeichnung für den Rechteverwaltungsschutz.

  • Wenn Sie eine Vorlage mithilfe von PowerShell konfigurieren, übernimmt der Gültigkeitszeitraum der Lizenz den Wert aus dem Parameter LicenseProperty In den Cmdlets Set-AipServiceTemplateProperty und Add-AipServiceTemplate.

    Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung mithilfe von PowerShell finden Sie in der Hilfe zu jedem Cmdlet.

In den Standardvorlagen enthaltene Rechte

Relevant für:nur klassischer AIP-Client

In der folgenden Tabelle sind die Verwendungsrechte aufgeführt, die beim Erstellen der Standardvorlagen eingeschlossen werden. Die Nutzungsrechte sind nach dem gemeinsamen Namen aufgeführt.

Diese Standardvorlagen werden beim Kauf Ihres Abonnements erstellt, und die Namen und Nutzungsrechte können im Azure-Portal und mit PowerShell geändert werden.

Anzeigename der Vorlage Nutzungsrechte: 6. Oktober 2017 bis aktuelles Datum Nutzungsrechte vor dem 6. Oktober 2017
Organisationsname – Nur vertrauliche Ansicht

oder

Streng vertraulich \ Alle Mitarbeiter
Anzeigen, Öffnen, Lesen; Kopieren; Anzeigerechte; Makros zulassen; Drucken; Weiterleiten; Antworten; Allen antworten; Speichern; Inhalt bearbeiten, Bearbeiten Anzeigen, Öffnen, Lesen
Organisationsname – Vertraulich

oder

Vertraulich \ Alle Mitarbeiter
Anzeigen, Öffnen, Lesen; Speichern unter, Exportieren; Kopieren; Anzeigerechte; Rechte ändern; Makros zulassen; Drucken; Weiterleiten; Antworten; Allen antworten; Speichern; Inhalt bearbeiten, Bearbeiten; Vollversion Anzeigen, Öffnen, Lesen; Speichern unter, Exportieren; Inhalt bearbeiten, Bearbeiten; Anzeigerechte; Makros zulassen; Weiterleiten; Antworten; Allen antworten

Siehe auch