Konfigurieren Sie die Nutzungsrechte für Azure Information Protection

In diesem Artikel werden Nutzungsrechte beschrieben, die automatisch angewendet werden können, wenn eine Bezeichnung oder Vorlage von Benutzern, Administratoren oder konfigurierten Diensten ausgewählt wird.

Verwendungsrechte werden ausgewählt, wenn Sie Vertraulichkeitsbezeichnungen oder Schutzvorlagen für verschlüsselung konfigurieren. Sie können zum Beispiel Rollen auswählen, die eine logische Gruppierung von Nutzungsrechten konfigurieren, oder die einzelnen Rechte separat konfigurieren. Alternativ können Benutzer die Nutzungsrechte selbst auswählen und anwenden.

Aus Gründen der Vollständigkeit enthält der Artikel Werte aus dem klassischen Azure-Portal, das am 8. Januar 2018 außer Kraft gesetzt wurde.

Wichtig

In diesem Artikel erfahren Sie, wie Nutzungsrechte von Anwendungen interpretiert werden sollen.

Anwendungen können variieren, wie sie Nutzungsrechte implementieren, und wir empfehlen, mit der Dokumentation Ihrer Anwendung zu beraten und Ihre eigenen Tests durchzuführen, um das Anwendungsverhalten zu überprüfen, bevor sie in der Produktion bereitgestellt werden.

Nutzungsrechte und Beschreibungen

In der folgenden Tabelle sind die Nutzungsrechte aufgelistet und beschrieben, die Rights Management unterstützt, und wie sie verwendet und interpretiert werden. Sie sind mit ihrem allgemeinen Namen aufgelistet, wie die Nutzungsrechte in der Regel angezeigt werden, bzw. über den auf sie verwiesen wird, als benutzerfreundlichere Version des Einzelwortwerts, der im Code verwendet wird (der Richtliniencodierungswert).

In dieser Tabelle gilt Folgendes:

  • Die API-Konstante oder der API-Wert ist der SDK-Name für einen MSIPC API-Aufruf, der verwendet wird, wenn Sie eine Anwendung schreiben, die überprüft, ob ein Nutzungsrecht vorhanden ist, oder einer Richtlinie ein Nutzungsrecht hinzufügt.

  • Das Labeling Admin Center ist das Microsoft Purview-Complianceportal, in dem Sie Vertraulichkeitsbezeichnungen konfigurieren.

Nutzungsrecht BESCHREIBUNG Implementierung
Allgemeiner Name: Inhalt bearbeiten, Bearbeiten

Richtliniencodierung: DOCEDIT
Ermöglicht dem Benutzer das Ändern, Neuanordnen, Formatieren oder Sortieren des Inhalts in der Anwendung, der Office im Web enthält. Gewährt nicht das Recht, die bearbeitete Kopie zu speichern.

Wenn Sie nicht über Office 365 ProPlus mit einer Mindestversion von 1807 verfügen, reicht dieses Recht in Word nicht aus, um Änderungen nachverfolgen zu aktivieren oder zu deaktivieren oder um alle Funktionen zum Nachverfolgen von Änderungen als Überprüfer zu nutzen. Ist dies nicht der Fall, ist das Recht Vollzugriff erforderlich, um alle Optionen der Änderungsnachverfolgung zu verwenden.
Benutzerdefinierte Office-Rechte: als Teil der Optionen Änderung und Vollzugriff.

Name im klassischen Azure-Portal: Inhalt bearbeiten

Name im Microsoft Purview-Complianceportal und Azure-Portal: Bearbeiten von Inhalten, Bearbeiten (DOCEDIT)

Name in AD RMS-Vorlagen: Bearbeiten

API-Konstante oder -Wert: nicht zutreffend.
Allgemeiner Name: Speichern

Richtliniencodierung: EDIT
Ermöglicht es dem Benutzer, das Dokument am aktuellen Speicherort zu speichern. In Office im Web kann der Benutzer auch den Inhalt bearbeiten.

In Office-Anwendungen ermöglicht dieses Recht dem Benutzer, die Datei an einem neuen Ort und unter einem neuen Namen zu speichern, wenn das ausgewählte Dateiformat über eine integrierte Unterstützung für den Schutz durch Rights Management verfügt. Die Dateiformatbeschränkung stellt dabei sicher, dass der ursprüngliche Schutz nicht aus der Datei entfernt werden kann.
Benutzerdefinierte Office-Rechte: als Teil der Optionen Änderung und Vollzugriff.

Name im klassischen Azure-Portal: Datei speichern

Name im Microsoft Purview-Complianceportal und Azure-Portal: Speichern (EDIT)

Name in AD RMS-Vorlagen: Speichern

API-Konstante oder -Wert: IPC_GENERIC_WRITE L"EDIT"
Allgemeiner Name: Kommentar

Richtliniencodierung: COMMENT
Ermöglicht der Option, dem Inhalt Anmerkungen oder Kommentare hinzuzufügen.

Dieses Recht ist im SDK verfügbar, als Ad-hoc-Richtlinie in AzureInformationProtection und dem RMS-Schutz-Modul für Windows PowerShell verfügbar und wurde in einigen Anwendungen von Softwareherstellern implementiert. Es wird allerdings nicht häufig verwendet und nicht von Office-Anwendungen unterstützt.
Benutzerdefinierte Office-Rechte: nicht implementiert.

Name im klassischen Azure-Portal: nicht implementiert.

Name im Microsoft Purview-Complianceportal und Azure-Portal: Nicht implementiert.

Name in AD RMS-Vorlagen: nicht implementiert.

API-Konstante oder -Wert: IPC_GENERIC_COMMENT L"COMMENT
Allgemeiner Name: Speichern unter, Exportieren

Richtliniencodierung: EXPORT
Aktiviert die Option zum Speichern des Inhalts unter einem anderen Dateinamen (Speichern unter).

Für den Azure Information Protection-Client kann die Datei ohne Schutz gespeichert und auch mit neuen Einstellungen und Berechtigungen erneut geschützt werden. Diese zulässigen Aktionen bedeuten, dass ein Benutzer, der über dieses Recht verfügt, eine Azure Information Protection-Bezeichnung aus einem geschützten Dokument oder einer geschützten E-Mail ändern oder entfernen kann.

Durch dieses Recht hat der Benutzer auch die Möglichkeit, andere Exportoptionen in Anwendungen auszuführen, beispielsweise An OneNote senden.
Benutzerdefinierte Office-Rechte: als Teil der Option Vollzugriff

Name im klassischen Azure-Portal: Inhalt exportieren (Speichern unter)

Name im Microsoft Purview-Complianceportal und Azure-Portal: Speichern unter, Exportieren (EXPORT)

Name in AD RMS-Vorlagen: Exportieren (Speichern unter)

API-Konstante oder -Wert: IPC_GENERIC_EXPORT L"EXPORT"
Allgemeiner Name: Weiterleiten

Richtliniencodierung: FORWARD
Aktiviert die Option zum Weiterleiten einer E-Mail-Nachricht und zum Hinzufügen von Empfängern in den Zeilen An und Cc. Dieses Recht wird nicht auf Dokumente angewendet, sondern nur auf E-Mail-Nachrichten.

Erlaubt der Weiterleitung nicht, als Teil des Weiterleitungsvorgangs anderen Benutzern Berechtigungen zu gewähren.

Wenn Sie diese Berechtigung gewähren, gewähren Sie auch die Berechtigung Inhalt bearbeiten, Bearbeiten (allgemeiner Name) sowie Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail nicht als Anhang versendet wird. Legen Sie diese Berechtigungen außerdem fest, wenn Sie eine E-Mail an eine andere Organisation versenden, die den Outlook-Client oder Outlook Web App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben.
Benutzerdefinierte Office-Rechte: Bei Verwendung der Standardrichtlinie Nicht weiterleiten verweigert.

Name im klassischen Azure-Portal: Weiterleiten

Name im Microsoft Purview-Complianceportal und Azure-Portal: Forward (FORWARD)

Name in AD RMS-Vorlagen: Weiterleiten

API-Konstante oder -Wert: IPC_EMAIL_FORWARD L"FORWARD"
Allgemeiner Name: Vollzugriff

Richtliniencodierung: OWNER
Gewährt alle Berechtigungen für das Dokument, und alle verfügbaren Aktionen können ausgeführt werden.

Bietet die Möglichkeit zum Entfernen des Schutzes und erneuten Schützen eines Dokuments.

Beachten Sie, dass dieses Nutzungsrecht nicht mit dem des Rights Management-Besitzers identisch ist.
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Option Vollzugriff.

Name im klassischen Azure-Portal: Vollzugriff

Name im Microsoft Purview-Complianceportal und Azure-Portal: Vollzugriff (BESITZER)

Name in AD RMS-Vorlagen: Vollzugriff

API-Konstante oder -Wert: IPC_GENERIC_ALL L"OWNER"
Allgemeiner Name: Drucken

Richtliniencodierung: PRINT
Aktiviert die Optionen zum Drucken des Inhalts. Benutzerdefinierte Office-Rechte: wie die Option Inhalt drucken in benutzerdefinierten Berechtigungen. Keine Pro-Empfänger-Einstellung.

Name im klassischen Azure-Portal: Drucken

Name im Microsoft Purview-Complianceportal und Azure-Portal: Drucken (PRINT)

Name in AD RMS-Vorlagen: Drucken

API-Konstante oder -Wert: IPC_GENERIC_PRINT L"PRINT"
Allgemeiner Name: Antworten

Richtliniencodierung: REPLY
Aktiviert die Antworten-Option in einem E-Mail-Client, ohne Änderungen in der An- oder Cc-Zeile zuzulassen.

Wenn Sie diese Berechtigung gewähren, gewähren Sie auch die Berechtigung Inhalt bearbeiten, Bearbeiten (allgemeiner Name) sowie Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail nicht als Anhang versendet wird. Legen Sie diese Berechtigungen außerdem fest, wenn Sie eine E-Mail an eine andere Organisation versenden, die den Outlook-Client oder Outlook Web App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben.
Benutzerdefinierte Office-Rechte: nicht zutreffend.

Name im klassischen Azure-Portal: Antworten

Name im klassischen Azure-Portal: Antworten (REPLY)

Name in AD RMS-Vorlagen: Antworten

API-Konstante oder -Wert: IPC_EMAIL_REPLY
Allgemeiner Name: Allen Antworten

Richtliniencodierung: REPLYALL
Aktiviert die Option Allen antworten in einem E-Mail-Client, ermöglicht es dem Benutzer jedoch nicht, der Zeile An oder Cc Empfänger hinzuzufügen.

Wenn Sie diese Berechtigung gewähren, gewähren Sie auch die Berechtigung Inhalt bearbeiten, Bearbeiten (allgemeiner Name) sowie Speichern (allgemeiner Name), um sicherzustellen, dass die geschützte E-Mail nicht als Anhang versendet wird. Legen Sie diese Berechtigungen außerdem fest, wenn Sie eine E-Mail an eine andere Organisation versenden, die den Outlook-Client oder Outlook Web App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben.
Benutzerdefinierte Office-Rechte: nicht zutreffend.

Name im klassischen Azure-Portal: Allen antworten

Name in der Microsoft Purview-Complianceportal und Azure-Portal: Alle antworten (ALLE ANTWORTEN)

Name in AD RMS-Vorlagen: Allen antworten

API-Konstante oder -Wert: IPC_EMAIL_REPLYALL L"REPLYALL"
Allgemeiner Name: Anzeigen, Öffnen, Lesen

Richtliniencodierung: VIEW
Ermöglicht dem Benutzer, das Dokument zu öffnen und den Inhalt zu sehen.

In Excel reicht dieses Recht nicht aus, um Daten zu sortieren, sodass folgendes Recht erforderlich ist: Inhalt bearbeiten, Bearbeiten. Zum Filtern von Daten in Excel, benötigen Sie die folgenden Rechte: Inhalt bearbeiten, Bearbeiten und Kopieren.
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinie Lesen, Option Anzeigen.

Name im klassischen Azure-Portal: Anzeigen

Name im Microsoft Purview-Complianceportal und Azure-Portal: Ansicht, Öffnen, Lesen (VIEW)

Name in den AD RMS-Vorlagen: Lesen

API-Konstante oder -Wert: IPC_GENERIC_READ L"VIEW"
Allgemeiner Name: Kopieren

Richtliniencodierung: EXTRACT
Aktiviert Optionen zum Kopieren von Daten (einschließlich Screenshots) aus dem Dokument in dasselbe oder ein anderes Dokument.

In einigen Anwendungen wird auch das Speichern des gesamten Dokuments in ungeschützter Form ermöglicht.

In Skype for Business und ähnlichen Anwendungen mit Bildschirmfreigabe muss der Referent über dieses Recht verfügen, um ein geschütztes Dokument erfolgreich präsentieren zu können. Wenn der Referent nicht über dieses Recht verfügt, können die Teilnehmer das Dokument nicht sehen, und stattdessen wird ein schwarzer Bildschirm angezeigt.
Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinienoption Benutzern mit Lesezugriff das Kopieren des Inhalts erlauben.

Name im klassischen Azure-Portal: Inhalt kopieren und extrahieren

Name im Microsoft Purview-Complianceportal und Azure-Portal: Kopieren (EXTRAHIEREN)

Name in AD RMS-Vorlagen: Extrahieren

API-Konstante oder -Wert: IPC_GENERIC_EXTRACT L"EXTRACT"
Allgemeiner Name: Rechte anzeigen

Richtliniencodierung: VIEWRIGHTSDATA
Ermöglicht dem Benutzer, die Richtlinie anzuzeigen, die auf das Dokument angewendet wird.

Von Office Apps oder Azure Information Protection-Clients nicht unterstützt.
Benutzerdefinierte Office-Rechte: nicht implementiert.

Name im klassischen Azure-Portal: Zugewiesene Rechte anzeigen

Name im Microsoft Purview-Complianceportal und Azure-Portal: View Rights (VIEWRIGHTSDATA).

Name in AD RMS-Vorlagen: Rechte anzeigen

API-Konstante oder -Wert: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
Allgemeiner Name: Rechte ändern

Richtliniencodierung: EDITRIGHTSDATA
Ermöglicht dem Benutzer, die Richtlinie zu ändern, die auf das Dokument angewendet wird. Beinhaltet, das Entfernen des Schutzes einzubeziehen.

Von Office Apps oder Azure Information Protection-Clients nicht unterstützt.
Benutzerdefinierte Office-Rechte: nicht implementiert.

Name im klassischen Azure-Portal: Rechte ändern

Name im Microsoft Purview-Complianceportal und Azure-Portal: Bearbeiten von Rechten (EDITRIGHTSDATA).

Name in AD RMS-Vorlagen: Rechte bearbeiten

API-Konstante oder -Wert: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
Allgemeiner Name: Makros zulassen

Richtliniencodierung: OBJMODEL
Aktiviert die Option zum Ausführen von Makros oder anderem programmgesteuertem oder Remotezugriff auf den Inhalt in einem Dokument. Benutzerdefinierte Office-Rechte: wie die benutzerdefinierte Richtlinienoption Programmgesteuerten Zugriff zulassen. Keine Pro-Empfänger-Einstellung.

Name im klassischen Azure-Portal: Makros zulassen

Name in der Microsoft Purview-Complianceportal und Azure-Portal: Zulassen von Makros (OBJMODEL)

Name in AD RMS-Vorlagen: Makros zulassen

API-Konstante oder -Wert: nicht implementiert.

In Berechtigungsstufen enthaltene Rechte

Einige Anwendungen gruppieren Nutzungsrechte in Berechtigungsstufen, um die Auswahl von Nutzungsrechten zu vereinfachen, die in der Regel zusammen verwendet werden. Diese Berechtigungsstufen unterstützen das Abstrahieren eines Komplexitätsniveaus vor den Benutzern, damit sie rollenbasierte Optionen auswählen können. Beispiele: Prüfer und Mitautor. Obwohl diese Optionen Benutzern häufig eine Zusammenfassung der Rechte anzeigen, enthalten sie möglicherweise nicht jede Berechtigung, die in der vorherigen Tabelle aufgelistet wird.

In der folgenden Tabelle finden Sie eine Liste dieser Berechtigungsstufen und eine vollständige Liste der Nutzungsrechte, die sie enthalten. Die Nutzungsrechte sind nach ihren allgemeinen Namen aufgelistet.

Berechtigungsstufe Anwendungen Enthaltene Nutzungsrechte
Viewer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Rechte anzeigen; Antworten [1]; Allen Antworten [1]; Makros zulassen [2]

Hinweis: Verwenden Sie für E-Mails „Prüfer“ statt dieser Berechtigungsstufe, um sicherzustellen, dass eine E-Mail-Antwort als E-Mail-Nachricht und nicht als Anlage empfangen wird. „Prüfer“ ist auch erforderlich, wenn Sie eine E-Mail an eine andere Organisation senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Es ist ebenfalls für Benutzer in Ihrer Organisation erforderlich, die von der Verwendung des Azure Rights Management-Diensts ausgenommen sind, weil Sie Onboardingsteuerelemente implementiert haben.
Prüfer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Rechte anzeigen; Antworten: Allen antworten [3]; Weiterleiten [3]; Makros zulassen [2]
Mitautor Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Makros zulassen; Speichern unter, Exportieren [4]; Drucken; Antworten [3]; Allen antworten [3]; Weiterleiten [3]
Mitbesitzer Klassisches Azure-Portal

Azure-Portal

Azure Information Protection-Client für Windows
Anzeigen, Öffnen, Lesen; Speichern; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Rechte ändern; Makros zulassen; Speichern unter, Exportieren; Drucken; Antworten [3]; Allen antworten [3]; Weiterleiten [3]; Vollzugriff
Fußnote 1

Nicht im Microsoft Purview-Complianceportal oder Azure-Portal enthalten.

Fußnote 2

Für den Azure Information Protection-Client für Windows ist dieses Recht für die Information Protection-Leiste in Office-Apps erforderlich.

Fußnote 3

Gilt nicht für den Azure Information Protection-Client für Windows.

Fußnote 4

Nicht in den Microsoft Purview-Complianceportal, den Azure-Portal oder den Azure Information Protection-Client für Windows enthalten.

„Nicht weiterleiten“-Option für E-Mails

Exchange-Clients und -Dienste (z.B. der Outlook-Client, Outlook im Web, Exchange-Regeln zum E-Mail-Fluss und DLP-Aktionen für Exchange) haben eine zusätzliche Option zur Verwaltung von Informationsrechten für E-Mails: Nicht weiterleiten.

Obwohl diese Option für Benutzer (und Exchange-Administratoren) so angezeigt wird, als sei sie eine Rights Management-Standardvorlage, die sie auswählen können, ist Nicht weiterleiten keine Vorlage. Aus diesem Grund wird sie nicht im Azure-Portal angezeigt, wenn Sie Vorlagen für Azure RMS aufrufen und verwalten. Stattdessen stellt die Option Nicht weiterleiten eine Reihe von Berechtigungen dar, die von Benutzern dynamisch auf ihre E-Mail-Empfänger angewendet werden.

Wenn die Option Nicht weiterleiten auf eine E-Mail angewendet wird, wird sie verschlüsselt, und Empfänger müssen authentifiziert werden. So können die Empfänger keine E-Mails weiterleiten, drucken oder Teile aus diesen kopieren. Im Outlook-Client ist beispielsweise die Schaltfläche „Weiterleiten“ nicht verfügbar, die Menüoptionen Speichern unter und Drucken sind nicht verfügbar, und Sie können keine Empfänger in den Feldern An, Cc und Bcc hinzufügen oder ändern.

An eine E-Mail angehängte, ungeschützte Office-Dokumente unterliegen automatisch denselben Einschränkungen. Für diese Dokumente gelten folgende Nutzungsrechte: Inhalt bearbeiten, Bearbeiten; Speichern; Anzeigen, Öffnen, Lesen und Makros zulassen. Wenn für einen Anhang andere Nutzungsrechte gelten sollen oder es sich um ein Office-Dokument handelt, das diesen geerbten Schutz nicht unterstützt, schützen Sie die Datei, bevor Sie sie an eine E-Mail anhängen. So können Sie die nötigen Nutzungsrechte zuweisen.

Unterschied zwischen der Option „Nicht weiterleiten“ und dem Nichtgewähren des Nutzungsrechts „Weiterleiten“

Es besteht ein wichtiger Unterschied zwischen dem Anwenden der Option Nicht weiterleiten und dem Anwenden einer Vorlage, die das Nutzungsrecht Weiterleiten für eine E-Mail nicht gewährt: Bei der Option Nicht weiterleiten wird eine dynamische Liste autorisierter Benutzer verwendet, der die vom Benutzer ausgewählten Empfänger der ursprünglichen E-Mail zugrunde liegen. Für die Berechtigungen in der Vorlage gilt hingegen eine statische Liste autorisierter Benutzer, die zuvor vom Administrator festgelegt wurde. Wo liegt der Unterschied? Ein Beispiel sollte das Verständnis vereinfachen:

Ein Benutzer möchte per E-Mail einige Informationen an bestimmte Personen in der Marketingabteilung senden, die sonst niemand erfahren soll. Sollte er die E-Mail-Nachricht mit einer Vorlage schützen, die die Rechte (Anzeigen, Antworten und Speichern) auf die Marketingabteilung beschränkt? Oder sollte er die Nicht weiterleiten-Option wählen? Beides würde dazu führen, dass die Empfänger die E-Mail nicht weiterleiten können.

  • Wenn er die Vorlage anwendet, können die Empfänger die Informationen noch für andere in der Marketingabteilung freigeben. Ein Empfänger könnte die E-Mail z.B. im Explorer ziehen und auf einem freigegebenen Speicherort oder einem USB-Laufwerk ablegen. Nun können alle Mitarbeiter der Marketingabteilung, die Zugriff auf diesen Speicherort haben (sowie der Besitzer der E-Mail), die Informationen in der E-Mail anzeigen.

  • Wenn er die Nicht weiterleiten-Option angewendet hat, können die Empfänger die Informationen nicht für andere in der Marketingabteilung freigeben, indem sie die E-Mail an einen anderen Speicherort verschieben. In diesem Szenario können nur die ursprünglichen Empfänger (und der E-Mail-Besitzer) die Informationen in der E-Mail anzeigen.

Hinweis

Verwenden Sie Nicht weiterleiten, wenn es wichtig ist, dass nur die vom Absender ausgewählten Empfänger die Informationen in der E-Mail einsehen. Verwenden Sie eine Vorlage für E-Mails, um die Rechte auf eine Gruppe von Personen zu beschränken, die der Administrator unabhängig von der Empfängerauswahl des Absenders im Voraus festlegt.

Option "Nur Verschlüsselung" für E-Mails

Wenn Exchange Online die neuen Funktionen für Office 365 Message Encryption verwendet, wird eine neue Encrypt E-Mail-Option verfügbar, um die Daten ohne zusätzliche Einschränkungen zu verschlüsseln.

Diese Option steht Mandanten zur Verfügung, die Exchange Online verwenden und wie folgt ausgewählt werden können:

Weitere Informationen über die Option "Nur verschlüsseln" finden Sie in dem folgenden Blog-Beitrag, in dem sie erstmals vom Office-Team angekündigt wurde: Encrypt wird nur in Office 365 Message Encryption eingeführt.

Wenn diese Option aktiviert ist, wird die E-Mail verschlüsselt, und Empfänger müssen authentifiziert werden. Anschließend verfügen die Empfänger über alle Nutzungsrechte außer Speichern unter, Exportieren und Vollzugriff. Durch diese Kombination von Nutzungsrechten gilt für Empfänger als einzige Einschränkung, dass sie den Schutz nicht entfernen können. Sie können eine E-Mail aber kopieren, ausdrucken und weiterleiten.

Ebenso übernehmen ungeschützte Office-Dokumente, die an die E-Mail angehängt sind, standardmäßig die gleichen Berechtigungen. Diese Dokumente sind automatisch geschützt, und sie können von den Empfängern nach dem Herunterladen aus Office-Anwendungen gespeichert, bearbeitet, kopiert und ausgedruckt werden. Wenn ein Empfänger ein Dokument speichert, hat er die Möglichkeit, ihm einen neuen Namen zu geben und sogar ein anderes Format zu verwenden. Zur Auswahl stehen jedoch nur Dateiformate, die den Schutz unterstützten. So ist sichergestellt, dass dieser nicht durch Speichern umgangen wird. Wenn für einen Anhang andere Nutzungsrechte gelten sollen oder es sich um ein Office-Dokument handelt, das diesen geerbten Schutz nicht unterstützt, schützen Sie die Datei, bevor Sie sie an eine E-Mail anhängen. So können Sie die nötigen Nutzungsrechte zuweisen.

Alternativ können Sie diese Vererbung des Schutzes von Dokumenten ändern, indem Sie Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true für Exchange Online PowerShell angeben. Verwenden Sie diese Konfiguration, wenn Sie den ursprünglichen Schutz für das Dokument nach der Authentifizierung des Benutzers nicht beibehalten müssen. Wenn Empfänger die E-Mail-Nachricht öffnen, wird das Dokument nicht geschützt.

Wenn der ursprüngliche Schutz eines angefügten Dokuments beibehalten werden soll, finden Sie weitere Informationen unter Sicheres Zusammenarbeiten an Dokumenten mithilfe von Azure Information Protection.

Hinweis

Wenn Sie Verweise auf DecryptAttachmentFromPortal sehen, beachten Sie, dass dieser Parameter inzwischen für Set-IRMConfiguration als veraltet gilt. Sollten Sie den Parameter nicht zuvor festgelegt haben, ist er daher nicht verfügbar.

Automatisches Verschlüsseln von PDF-Dokumenten mit Exchange Online

Wenn Exchange Online die neuen Funktionen für die Office 365 Nachrichtenverschlüsselung verwendet, können Sie nicht geschützte PDF-Dokumente automatisch verschlüsseln, wenn sie an eine verschlüsselte E-Mail angefügt sind. Das Dokument erbt dieselben Berechtigungen wie die für die E-Mail-Nachricht. Um diese Konfiguration zu aktivieren, setzen Sie EnablePdfEncryption $True mit Set-IRMConfiguration.

Empfänger, die noch keine Leseausgabe installiert haben, die den ISO-Standard für die PDF-Verschlüsselung unterstützt, können einen der in PDF-Lesern aufgeführten Leser installieren, die Microsoft Purview Information Protection unterstützen. Alternativ können Empfänger das geschützte PDF-Dokument im OME-Portal lesen.

Rights Management-Aussteller und Rights Management-Besitzer

Wenn ein Dokument oder eine E-Mail mithilfe des Azure Rights Management-Diensts geschützt ist, wird das Konto, das diesen Inhalt schützt, automatisch der Rights Management-Aussteller dieses Inhalts. Dieses Konto wird als issuer-Feld in den Verwendungsprotokollen protokolliert.

Dem Rights Management-Aussteller wird immer das Nutzungsrecht „Vollzugriff“ für das Dokument oder die E-Mail gewährt, und darüber hinaus:

  • Wenn die Schutzeinstellungen ein Ablaufdatum umfassen, kann der Rights Management-Aussteller das Dokument oder die E-Mail nach diesem Datum immer noch öffnen und bearbeiten.

  • Der Rights Management-Aussteller kann stets offline auf das Dokument oder die E-Mail zugreifen.

  • Der Rights Management-Aussteller kann ein Dokument immer noch öffnen, nachdem es widerrufen wurde.

Standardmäßig ist dieses Konto auch der Rights Management-Besitzer dieses Inhalts, was der Fall ist, wenn ein Benutzer, der das Dokument oder die E-Mail erstellt hat, den Schutz initiiert. Aber es gibt einige Szenarien, in denen ein Administrator oder Dienst Inhalte im Auftrag von Benutzern schützen kann. Beispiel:

  • Ein Administrator schützt viele Dateien auf einer Dateifreigabe auf einmal: Das Administratorkonto in Azure AD schützt die Dokumente für die Benutzer.

  • Der Rights Management-Connector schützt Office-Dokumente in einem Windows Server-Ordner: Das Dienstprinzipalkonto in Azure AD, das für den RMS-Connector erstellt wird, schützt die Dokumente für die Benutzer.

In diesen Szenarien kann der Rights Management-Aussteller den Rights Management-Besitzer mithilfe der Azure Information Protection-SDKs oder von PowerShell einem anderen Konto zuweisen. Wenn Sie z.B. das Protect-RMSFile-PowerShell-Cmdlet mit dem Azure Information Protection-Client verwenden, können Sie den OwnerEmail-Parameter angeben, um den Rights Management-Besitzer einem anderen Konto zuzuweisen.

Wenn der Rights Management-Aussteller im Auftrag von Benutzern schützt, stellt das Zuweisen des Rights Management-Besitzers sicher, dass der ursprüngliche Dokument- oder E-Mail-Besitzer das gleiche Maß an Kontrolle über seinen geschützten Inhalt hat, als hätte er den Schutz selbst initiiert.

Beispielsweise kann der Benutzer, der das Dokument erstellt hat, es drucken, obwohl es jetzt mit einer Vorlage geschützt ist, die das Nutzungsrecht „Drucken“ nicht enthält. Derselbe Benutzer kann stets unabhängig von der Einstellung für Offlinezugriff oder Ablaufdatum, die in dieser Vorlage konfiguriert sein könnten, auf sein Dokument zugreifen. Da der Rights Management-Besitzer über das Nutzungsrecht „Vollzugriff“ verfügt, kann dieser Benutzer darüber hinaus sein Dokument auch erneut schützen, um weiteren Benutzern Zugriff zu gewähren (an diesem Punkt wird der Benutzer dann sowohl zum Rights Management-Aussteller als auch Rights Management-Besitzer), und dieser Benutzer kann sogar den Schutz entfernen. Allerdings kann nur der Rights Management-Aussteller ein Dokument nachverfolgen und widerrufen.

Der Rights Management-Besitzer für ein Dokument oder eine E-Mail wird im Feld owner-email der Verwendungsprotokolle protokolliert.

Hinweis

Der Rights Management-Besitzer ist vom Besitzer des Windows-Dateisystems unabhängig. Sie sind häufig identisch, können jedoch unterschiedlich sein, auch wenn Sie nicht die SDKs oder PowerShell verwenden.

Rights Management-Nutzungslizenz

Wenn ein Benutzer ein Dokument oder eine E-Mail öffnet, das/die von Azure Rights Management geschützt wurde, erhält der Benutzer eine Rights Management-Nutzungslizenz für diesen Inhalt. Diese Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte für das Dokument oder die E-Mail-Nachricht und den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde. Die Lizenz enthält auch ein ggf. festgelegtes Ablaufdatum und die Gültigkeitsdauer der Nutzungslizenz.

Ein Benutzer muss zum Öffnen des Inhalts zusätzlich zu einer gültigen Nutzungslizenz über ein Rechtekontozertifikat (RAC) verfügen. Dieses Zertifikat wird erteilt, wenn die Benutzerumgebung initialisiert wird, und es wird anschließend alle 31 Tage erneuert.

Für die Dauer der Nutzungslizenz wird der Benutzer für den Inhalt nicht erneut authentifiziert oder autorisiert. Auf diese Weise kann der Benutzer das Öffnen des geschützten Dokuments oder der E-Mail ohne Internetverbindung fortsetzen. Wenn die Gültigkeitsdauer der Nutzungslizenz abläuft, muss der Benutzer beim nächsten Zugriff auf das geschützte Dokument oder die geschützte E-Mail erneut authentifiziert und autorisiert werden.

Wenn Dokumente und E-Mail-Nachrichten mithilfe einer Bezeichnung oder Vorlage geschützt werden, die die Schutzeinstellungen definiert, können Sie diese Einstellungen in Ihrer Bezeichnung oder Vorlage ändern, ohne den Inhalt erneut schützen zu müssen. Wenn der Benutzer bereits auf den Inhalt zugegriffen hat, werden die Änderungen wirksam, wenn seine Nutzungslizenz abgelaufen ist. Wenn Benutzer jedoch benutzerdefinierte Berechtigungen (auch bekannt als Ad-hoc-Rechterichtlinie) anwenden, und diese Berechtigungen geändert werden müssen, nachdem das Dokument oder die E-Mail geschützt worden ist, muss dieser Inhalt erneut mit den neuen Berechtigungen geschützt werden. Benutzerdefinierte Berechtigungen für eine E-Mail-Nachricht werden mit der Option „Nicht weiterleiten“ implementiert.

Die Standardgültigkeitsdauer der Nutzungslizenz für einen Mandanten beträgt 30 Tage, und Sie können diesen Wert mithilfe des PowerShell-Cmdlets Set-AipServiceMaxUseLicenseValidityTime konfigurieren. Sie können eine restriktivere Einstellung für den Schutz konfigurieren, indem Sie eine Vertraulichkeitsbezeichnung verwenden, die zum Zuweisen von Berechtigungen jetzt oder einer Vorlage konfiguriert ist:

  • Wenn Sie ein Sensitivitätslabel konfigurieren, übernimmt die Gültigkeitsdauer der Nutzungslizenz ihren Wert aus der Einstellung Offline-Zugriff erlauben.

    Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung für eine Vertraulichkeitsbezeichnung finden Sie in der Empfehlungentabelle aus den Anweisungen zum Konfigurieren von Berechtigungen für eine Vertraulichkeitsbezeichnung.

  • Wenn Sie eine Vorlage mithilfe von PowerShell konfigurieren, wird der Wert für die Gültigkeitsdauer der Nutzungslizenz vom LicenseValidityDuration-Parameter in den Cmdlets Set-AipServiceTemplateProperty und Add-AipServiceTemplate übernommen.

    Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung mithilfe von PowerShell finden Sie in der Hilfe zu dem jeweiligen Cmdlet.

Weitere Informationen