Konfigurieren der Richtlinieneinstellungen für Azure Information Protection

  • Artikel

Zusätzlich zum Titel und der QuickInfo für die Information Protection-Leiste gibt es einige Einstellungen in der Azure Information Protection-Richtlinie, die Sie unabhängig von den Bezeichnungen konfigurieren können:

Azure Information Protection policy global settings

Beachten Sie, dass Ihre Richtlinieneinstellungen möglicherweise unterschiedliche Standardwerte aufweisen, je nachdem, wann Sie Ihr Azure Information Protection-Abonnement erworben haben. Einige Einstellungen können auch durch eine benutzerdefinierte Clienteinstellung festgelegt werden.

Konfigurieren der Richtlinieneinstellungen

  1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben. Navigieren Sie anschließend zum Bereich Azure Information Protection.

    Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.

  2. In der Menüoption Klassifikationen>Richtlinien: Wählen Sie in der Karte Azure Information Protection - Richtlinien die Option Global, wenn die zu konfigurierenden Einstellungen für alle Benutzer gelten sollen.

    Wenn sich die zu konfigurierenden Einstellungen in einer bereichsbezogenen Richtlinie befinden, sodass sie nur für ausgewählte Benutzer verfügbar sind, wählen Sie stattdessen Ihre bereichsbezogene Richtlinie aus.

  3. Konfigurieren Sie im Bereich Policy die Einstellungen:

    • Select the default label (Standardbezeichnung auswählen): Wählen Sie bei Festlegung dieser Option die Bezeichnung aus, die Dokumenten und E-Mails zugewiesen werden sollen, die nicht über eine Bezeichnung verfügen. Bezeichnungen mit untergeordneten Bezeichnungen können nicht als Standardbezeichnungen festgelegt werden.

      Diese Einstellung gilt für Office-Apps und den Scanner. Sie gilt nicht für Datei-Explorer oder PowerShell.

    • Senden Sie Überwachungsdaten an Azure Information Protection analytics: Bevor Sie einen Azure Log Analytics-Arbeitsbereich für Azure Information analytics erstellen, zeigen die Werte für diese Einstellung Aus und Nicht konfiguriert. Wenn Sie den Arbeitsbereich erstellen, ändern sich die Werte auf Aus und Ein.

      Wenn die Einstellung aktiviert ist, senden Clients, die zentrale Berichte unterstützen, Daten an den Azure-Information Protection-Dienst. Diese Informationen umfassen, welche Bezeichnungen angewendet werden und wann ein Benutzer eine Bezeichnung mit einer niedrigeren Klassifizierung auswählt oder eine Bezeichnung entfernt. Setzen Sie diese Richtlinieneinstellung auf Aus, um zu verhindern, dass diese Daten gesendet werden.

      Hinweis

      Der AIP-Überwachungsprotokoll und der Analyse-Sonnenuntergang wird ab dem 18. März 2022 mit einem vollständigen Ruhestandsdatum vom 31. September 2022 angekündigt. Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.

    • All documents and emails must have a label (Alle Dokumente und E-Mails müssen eine Bezeichnung aufweisen): Bei Festlegung dieser Option auf On (Ein) muss auf alle gespeicherten Dokumente und gesendeten E-Mails eine Bezeichnung angewendet werden. Die Bezeichnung kann manuell von einem Benutzer, automatisch als Ergebnis einer erfüllten Bedingung oder standardmäßig (durch Festlegung der Option Select the default label [Standardbezeichnung auswählen]) zugewiesen werden.

      Wenn beim Speichern eines Dokuments oder beim Senden einer E-Mail keine Bezeichnung zugewiesen ist, wird der Benutzer zur Auswahl einer Bezeichnung aufgefordert. Beispiel:

      Azure Information Protection prompt if labeling is enforced

      Diese Option gilt nicht, wenn Sie eine Bezeichnung mit dem PowerShell-Cmdlet Set-AIPFileLabel mit dem Parameter RemoveLabel entfernen.

    • Benutzer müssen eine Begründung angeben, wenn sie eine niedrigere Klassifizierungsbezeichnung verwenden, eine Bezeichnung entfernen oder den Schutz entfernen möchten: Ist diese Option auf On (Ein) festgelegt und der Benutzer führt eine dieser Aktionen aus (z.B. Ändern der Bezeichnung von Public (Öffentlich) auf Personal (Persönlich)), so wird er aufgefordert, eine Begründung für diese Aktion anzugeben. Der Benutzer kann z. B. angeben, dass das Dokument keine sensiblen Informationen mehr enthält. Die Aktion und ihr Rechtfertigungsgrund werden im lokalen Windows-Ereignisprotokoll protokolliert: Anwendungs- und Dienstprotokolle>Azure Information Protection.

      Azure Information Protection prompt if new classification is lower

      Diese Option gilt nicht für die Senkung der Klassifizierung untergeordneter Bezeichnungen unter der gleichen übergeordneten Bezeichnung.

    • Wenden Sie für E-Mail-Nachrichten mit Anlagen eine Bezeichnung an, die der höchsten Einstufung dieser Anlagen entspricht: Wenn Sie diese Option auf Recommended (Empfohlen) festlegen, werden Benutzer aufgefordert, ihrer E-Mail-Nachricht eine Bezeichnung zuzuweisen. Die Bezeichnung wird dynamisch ausgewählt, basierend auf den Klassifizierungsbezeichnungen, die auf die Anlagen angewendet werden, und es wird die höchste Klassifizierungsbezeichnung ausgewählt. Bei der Anlage muss es sich um eine physische Datei handeln, nicht um einen Link zu einer Datei (z. B. einen Link zu einer Datei auf Microsoft SharePoint oder OneDrive). Benutzer können die Empfehlung akzeptieren oder ablehnen. Wenn Sie diese Option auf Automatisch festlegen, wird die Bezeichnung automatisch angewendet, aber Benutzer können die Bezeichnung entfernen oder vor dem Senden der E-Mail eine andere Bezeichnung auswählen.

      Um die Reihenfolge der untergeordneten Bezeichnungen bei der Verwendung dieser Richtlinieneinstellung zu berücksichtigen, müssen Sie eine erweiterte Clienteinstellung konfigurieren.

      Wenn die Anlage mit der höchsten Klassifizierungsbezeichnung für den Schutz mit der Vorschau der benutzerdefinierten Berechtigungen konfiguriert ist: - Wenn die benutzerdefinierten Berechtigungen der Bezeichnung Outlook (Nicht Weiterleiten) enthalten, wird diese Bezeichnung angewendet und der Schutz nicht weiterleiten auf die E-Mail angewendet. Wenn die benutzerdefinierten Berechtigungen der Bezeichnung nur für Word, Excel, PowerPoint und den Dateiexplorer gelten, wird diese Bezeichnung nicht auf die E-Mail angewendet, der Schutz ebenfalls nicht.

    • Display the Information Protection bar in Office apps (Information Protection-Leiste in Office-Apps anzeigen): Wenn diese Einstellung deaktiviert ist, können Benutzer keine Bezeichnungen aus einer Leiste in Word, Excel, PowerPoint und Outlook auswählen. Stattdessen müssen sie Bezeichnungen über die Schaltfläche Schützen auf dem Menüband auswählen. Wenn diese Einstellung aktiviert ist, können Benutzer Bezeichnungen entweder über die Leiste oder die Schaltfläche auswählen.

      Wenn diese Einstellung aktiviert ist, kann Sie in Verbindung mit einer erweiterten Clienteinstellung verwendet werden, sodass Benutzer die Azure Information Protection-Leiste dauerhaft ausblenden können, wenn Sie diese nicht anzeigen möchten. Sie können dies tun, indem sie die Option Balken anzeigen in der Schaltfläche Schutz deaktivieren.

    • Add the Do Not Forward button to the Outlook ribbon (Die Schaltfläche „Nicht weiterleiten“ dem Outlook-Menüband hinzufügen): Wenn diese Einstellung aktiviert ist, können Benutzer diese Schaltfläche aus der Schutzgruppe auf dem Outlook-Menüband zusätzlich zur Auswahl der Option Nicht weiterleiten im Outlook-Menü auswählen. Um sicherzustellen, dass die Benutzer ihre E-Mails nicht nur schützen, sondern auch klassifizieren, sollten Sie diese Schaltfläche nicht hinzufügen, sondern stattdessen ein Label für den Schutz und eine benutzerdefinierte Berechtigung für Outlook konfigurieren. Wenn Sie diese Schutzeinstellung verwenden, geschieht das gleiche wie beim Klick auf Nicht weiterleiten. Wenn jedoch die Funktion in einer Bezeichnung enthalten ist, werden E-Mails ebenso als geschützt klassifiziert.

      Diese Schutzeinstellung kann auch mit einer erweiterten Clienteinstellung als Clientanpassung konfiguriert werden.

    • Make the custom permissions option available to users (Die Option der benutzerdefinierten Berechtigungen Benutzern zur Verfügung stellen): Wenn diese Einstellung aktiviert ist, können Benutzer ihre eigenen Schutzeinstellungen festlegen und jene außer Kraft setzen, die Sie möglicherweise in einer Bezeichnungskonfiguration eingeschlossen haben. Benutzer können außerdem eine Option zum Entfernen des Schutzes sehen. Wenn diese Einstellung deaktiviert ist, sehen Benutzer keine dieser Optionen.

      Beachten Sie, dass diese Richtlinieneinstellung keine Auswirkungen auf benutzerdefinierte Berechtigungen hat, die Benutzer über Office-Menüoptionen konfigurieren können. Sie kann jedoch auch mit einer erweiterten Clienteinstellung als Clientanpassung konfiguriert werden.

      Die benutzerdefinierten Berechtigungsoptionen befinden sich hier:

      • In Office-Anwendungen: Im Menüband Startseite Registerkarte >Schutz Gruppe >Schutz>Benutzerdefinierte Berechtigungen

      • Vom Datei-Explorer aus: Rechtsklick auf >Klassifizieren und schützen>Benutzerdefinierte Berechtigungen

    • Geben Sie eine benutzerdefinierte URL für die „Weitere Infos“-Webseite des Azure Information Protection-Clients an: Benutzer sehen diesen Link im Dialogfeld Microsoft Azure Information Protection im Abschnitt Hilfe und Feedback, wenn sie in ihren Office-Clientanwendungen auf der Registerkarte Startseite die Option Schützen>Hilfe und Feedback auswählen. Standardmäßig gelangen Sie über diesen Link zur Azure Information Protection-Website. Sie können eine HTTP- oder HTTPS-URL (empfohlen) eingeben, wenn dieser Link auf eine andere Webseite verweisen soll. Es wird nicht überprüft, ob die eingegebene benutzerdefinierte URL erreichbar ist oder auf allen Geräten ordnungsgemäß angezeigt wird.

      Für Ihren Helpdesk könnten Sie beispielsweise die Microsoft-Dokumentationsseite eingeben, die Informationen zur Installation und Verwendung des Clients enthält: https://docs.microsoft.com/information-protection/rms-client/info-protect-client. Oder Versionsinformationen: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history. Alternativ können Sie eine eigene Webseite veröffentlichen, die Benutzern Informationen zur Kontaktaufnahme mit Ihrem Helpdesk bereitstellt oder ein Video enthält, das Benutzern zeigt, wie die konfigurierten Bezeichnungen verwendet werden.

  4. Klicken Sie auf Speichern, um Ihre Änderungen zu speichern und diese für Benutzer verfügbar zu machen.

Nachdem Sie auf Speichern geklickt haben, sind Ihre vorgenommenen Änderungen automatisch für Benutzer und Dienste verfügbar. Es gibt keine gesonderte Veröffentlichungsoption mehr.

Nächste Schritte

Um anzuzeigen, wie einige dieser Richtlinieneinstellungen zusammen funktionieren, absolvieren Sie das Tutorial: Konfigurieren von Azure Information Protection-Richtlinieneinstellungen, die nahtlos funktionieren.

Um weitere Informationen zum Konfigurieren Ihrer Azure Information Protection-Richtlinie zu erhalten, klicken Sie auf die Links im Abschnitt Konfigurieren der Richtlinie für Ihre Organisation.