Roadmap für die AIP-Bereitstellung für Klassifizierung, Kennzeichnung und Schutz

Gilt für: Azure Information Protection, Office 365

Relevant für:AIP Unified Labeling Client and Classic Client

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Verwenden Sie die folgenden Schritte als Empfehlungen, um Azure Information Protection für Ihre Organisation vorzubereiten, zu implementieren und zu verwalten, wenn Sie Ihre Daten klassifizieren, beschriften und schützen möchten.

Diese Roadmap wird allen Kunden mit einem unterstützenden Abonnement empfohlen. Weitere Funktionen umfassen das Ermitteln vertraulicher Informationen sowie das Beschriften von Dokumenten und E-Mails zur Klassifizierung.

Bezeichnungen können auch Schutz anwenden, was diesen Schritt für Ihre Benutzer vereinfacht.

Bereitstellungsprozess

Führen Sie die folgenden Schritte aus:

  1. Bestätigen Ihres Abonnements und Zuweisen von Benutzerlizenzen
  2. Vorbereiten Ihres Mandanten auf die Verwendung von Azure Information Protection
  3. Konfigurieren und Bereitstellen von Klassifizierung und Bezeichnung
  4. Vorbereiten des Datenschutzes
  5. Konfigurieren von Bezeichnungen und Einstellungen, Anwendungen und Diensten für den Datenschutz
  6. Verwenden und Überwachen Ihrer Datenschutzlösungen
  7. Verwalten des Schutzdiensts für Ihr Mandantenkonto nach Bedarf

Tipp

Verwenden Sie bereits die Schutzfunktionen von Azure Information Protection? Sie können viele dieser Schritte überspringen und sich auf die Schritte 3 und 5.1 konzentrieren.

Bestätigen Ihres Abonnements und Zuweisen von Benutzerlizenzen

Vergewissern Sie sich, dass Ihre Organisation über ein Abonnement verfügt, das die von Ihnen erwarten Funktionen und Funktionen enthält. Weitere Informationen finden Sie auf der Seite Microsoft 365 Richtlinien zur Lizenzierung für Sicherheit.

Weisen Sie dann jedem Benutzer in Ihrer Organisation Lizenzen aus diesem Abonnement zu, die Dokumente und E-Mails klassifizieren, beschriften und schützen.

Wichtig

Weisen Sie aus dem kostenlosen RMS-Abonnement für Einzelpersonen keine Benutzerlizenzen manuell zu, und verwenden Sie diese Lizenz nicht zum Verwalten des Azure Rights Management-Diensts für Ihre Organisation.

Diese Lizenzen werden im Microsoft 365 Admin Center als Rechteverwaltungs-Adhoc und RIGHTSMANAGEMENT_ADHOC angezeigt, wenn Sie das Azure AD PowerShell-Cmdlet Get-MsolAccountSku ausführen.

Weitere Informationen finden Sie unter RMS für Einzelpersonen und Azure Information Protection.

Vorbereiten Ihres Mandanten auf die Verwendung von Azure Information Protection

Bevor Sie mit der Verwendung von Azure Information Protection beginnen, stellen Sie sicher, dass Sie über Benutzerkonten und Gruppen in Microsoft 365 oder Azure Active Directory verfügen, mit denen AIP Ihre Benutzer authentifizieren und autorisieren kann.

Erstellen Sie bei Bedarf diese Konten und Gruppen, oder synchronisieren Sie sie aus ihrem lokalen Verzeichnis.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

Konfigurieren und Bereitstellen von Klassifizierung und Bezeichnung

Führen Sie die folgenden Schritte aus:

  1. Scannen Ihrer Dateien (optional, aber empfohlen)

    Stellen Sie den Azure Information Protection-Clientbereit, und installieren Sie dann den Scanner, und führen Sie diesen aus, um die vertraulichen Informationen zu ermitteln, die in Ihren lokalen Datenspeichern gespeichert sind.

    Die vom Scanner gefundenen Informationen können Sie bei Ihrer Klassifizierungstaxonomie unterstützen, wertvolle Informationen darüber bereitstellen, welche Bezeichnungen Sie benötigen und welche Dateien geschützt werden müssen.

    Der Scannererkennungsmodus erfordert keine Bezeichnungskonfiguration oder -taxonomie und eignet sich daher in diesem frühen Stadium der Bereitstellung. Sie können diese Scannerkonfiguration auch parallel zu den folgenden Bereitstellungsschritten verwenden, bis Sie die empfohlene oder automatische Bezeichnung konfigurieren.

  2. Passen Sie die AIP-Standardrichtlinie an.

    Wenn Sie noch keine Klassifizierungsstrategie haben, verwenden Sie eine Standardrichtlinie als Grundlage für die Ermittlung der Bezeichnungen, die Sie für Ihre Daten benötigen. Passen Sie diese Etiketten nach Bedarf an Ihre Anforderungen an.

    So können Sie ihre Etiketten beispielsweise mit den folgenden Details neu konfigurieren:

    • Stellen Sie sicher, dass Ihre Bezeichnungen Ihre Klassifizierungsentscheidungen unterstützen.
    • Konfigurieren von Richtlinien für manuelle Beschriftungen durch Benutzer
    • Schreiben Sie Benutzerleitfäden, um zu erläutern, welche Bezeichnung in jedem Szenario angewendet werden sollte.
    • Wenn Ihre Standardrichtlinie mit Bezeichnungen erstellt wurde, die automatisch Schutz anwenden, sollten Sie die Schutzeinstellungen vorübergehend entfernen oder die Bezeichnung deaktivieren, während Sie Ihre Einstellungen testen.

    Vertraulichkeitsbeschriftungen und Bezeichnungsrichtlinien für den einheitlichen Bezeichnungsclient werden in der Microsoft 365 Compliance Center. Weitere Informationen finden Sie unter Informationen zu Vertraulichkeitsbeschriftungen.

  3. Bereitstellen des Clients für die Benutzer

    Nachdem Sie eine Richtlinie konfiguriert haben, stellen Sie den Azure Information Protection-Client für Ihre Benutzer bereit. Stellen Sie Schulungen für Benutzer und spezifische Anweisungen zum Auswählen der Bezeichnungen zur Verfügung.

    Weitere Informationen finden Sie im einheitlichen Handbuch für Clientadministratoren.

  4. Einführung in erweiterte Konfigurationen

    Warten Sie, bis ihre Benutzer sich mit Bezeichnungen für ihre Dokumente und E-Mails besser aus der Arbeit machen. Wenn Sie fertig sind, stellen Sie erweiterte Konfigurationen vor, z. B.:

    • Anwenden von Standardbeschriftungen
    • Benutzer zur Rechtfertigung auffordern, wenn sie eine Bezeichnung mit einer niedrigeren Klassifizierungsebene ausgewählt oder eine Bezeichnung entfernt haben
    • Es wird darauf hindeten, dass alle Dokumente und E-Mails eine Bezeichnung haben.
    • Anpassen von Kopf- und Fußzeilen oder Wasserzeichen
    • Empfohlene und automatische Beschriftung

    Weitere Informationen finden Sie im Handbuch für Administratoren: Benutzerdefinierte Konfigurationen.

    Tipp

    Wenn Sie Bezeichnungen für die automatische Bezeichnung konfiguriert haben, führen Sie den Azure Information Protection-Scanner erneut für Ihre lokalen Datenspeicher im Erkennungsmodus und entsprechend Ihrer Richtlinie aus.

    Wenn Sie den Scanner im Erkennungsmodus ausführen, erfahren Sie, welche Bezeichnungen auf Dateien angewendet werden sollten. Dies hilft Ihnen bei der Feinabstimmung Ihrer Etikettenkonfiguration und bereitet Sie auf die Klassifizierung und den Massenschutz von Dateien vor.

Vorbereiten des Datenschutzes

Stellen Sie den Datenschutz für Ihre vertraulichsten Daten ein, sobald sich Benutzer mit dem Beschriften von Dokumenten und E-Mails wohl fühlen.

Führen Sie die folgenden Schritte aus, um den Datenschutz vorzubereiten:

  1. Bestimmen Sie, wie Sie Ihren Mandantenschlüssel verwalten möchten.

    Entscheiden Sie, ob Microsoft Ihren Mandantenschlüssel (standardmäßig) verwalten soll oder ob Sie Ihren Mandantenschlüssel selbst generieren und verwalten möchten (bekannt als "Bring your own key" oder BYOK).

    Weitere Informationen und Optionen für zusätzlichen lokalen Schutz finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

  2. Installieren Sie PowerShell für AIP.

    Installieren Sie das PowerShell-Modul für AIPService auf mindestens einem Computer mit Internetzugang. Sie können diesen Schritt jetzt oder später machen.

    Weitere Informationen finden Sie unter Installieren des AIPService PowerShell-Moduls.

  3. Nur AD RMS:Migrieren Sie Ihre Schlüssel, Vorlagen und URLs in die Cloud.

    Wenn Sie derzeit AD RMS verwenden, führen Sie eine Migration durch, um die Schlüssel, Vorlagen und URLs in die Cloud zu verschieben.

    Weitere Informationen finden Sie unter Migrieren von AD RMS zu Information Protection.

  4. Schutz aktivieren.

    Stellen Sie sicher, dass der Schutzdienst aktiviert ist, damit Sie mit dem Schutz von Dokumenten und E-Mails beginnen können. Wenn Sie die Bereitstellung in mehreren Phasen vor sich haben, konfigurieren Sie Benutzer-Onboarding-Steuerelemente, um die Fähigkeit der Benutzer zum Anwenden von Schutz einzuschränken.

    Weitere Informationen finden Sie unter Aktivieren des Schutzdiensts über Azure Information Protection.

  5. Erwägen Sie die Verwendungsprotokollierung (optional).

    Erwägen Sie die Protokollierungsnutzung, um zu überwachen, wie Ihre Organisation den Schutzdienst verwendet. Sie können diesen Schritt jetzt oder später machen.

    Weitere Informationen finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.

Konfigurieren von Bezeichnungen und Einstellungen, Anwendungen und Diensten für den Datenschutz

Führen Sie die folgenden Schritte aus:

  1. Aktualisieren der Etiketten, um Schutz anzuwenden

    Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Verschlüsselung in Vertraulichkeitsbezeichnungen.

    Wichtig

    Benutzer können Bezeichnungen in Outlook anwenden, die Rechteverwaltungsschutz anwenden, auch wenn Exchange nicht für Information Rights Management (IRM) konfiguriert ist.

    Solange Exchange für IRM oder Microsoft 365-Nachrichtenverschlüsselungmit neuen Funktionen konfiguriert ist, kann Ihre Organisation nicht den vollen Funktionsumfang der Verwendung von Azure Rights Management mit Exchange. Diese zusätzliche Konfiguration ist in der folgenden Liste enthalten (2 für Exchange Online und 5 für Exchange Lokal).

  2. Konfigurieren Office Anwendungen und Dienste

    Konfigurieren Office Anwendungen und Dienste für die IRM-Features (Information Rights Management) in Microsoft SharePoint oder Exchange Online.

    Weitere Informationen finden Sie unter Konfigurieren von Anwendungen für Azure Rights Management.

  3. Konfigurieren des Super-Benutzer-Features für die Datenwiederherstellung

    Wenn Sie bereits über IT-Dienste verfügen, die Dateien prüfen müssen, die von Azure Information Protection geschützt werden, wie DLP-Lösungen (Data Leak Prevention, Verhinderung von Datenverlust), Inhaltsverschlüsselungsgateways (Content Encryption Gateways, CEG) und Produkte zur Schadsoftware, konfigurieren Sie die Dienstkonten als Superbenutzer für Azure Rights Management.

    Weitere Informationen finden Sie unter Konfigurieren von Superbenutzern für Azure Information Protection und Discoverydienste oder Datenwiederherstellung.

  4. Klassifizieren und Schützen vorhandener Dateien in Massen

    Führen Sie für Ihre lokalen Datenspeicher den Azure Information Protection-Scanner nun im Erzwingungsmodus aus, damit Dateien automatisch beschriftet werden.

    Verwenden Sie für Dateien auf PCs PowerShell-Cmdlets zum Klassifizieren und Schützen von Dateien. Weitere Informationen finden Sie unter Verwenden von PowerShell mit dem einheitlichen Azure Information Protection-Beschriftungsclient.

    Verwenden Sie für cloudbasierte Datenspeicher Azure Cloud App Security.

    Tipp

    Obwohl das Klassifizieren und Schützen von vorhandenen Dateien in Massen nicht zu den Wichtigsten Anwendungsfällen für die Sicherheit von Cloud-Apps gehört, können Ihnen dokumentierte Problemumgehungen dabei helfen, ihre Dateien zu klassifizieren und zu schützen.

  5. Bereitstellen des Connectors für IRM-geschützte Bibliotheken auf SharePoint Server und IRM-geschützte E-Mails für Exchange lokale Bereitstellung

    Wenn Sie über SharePoint und Exchange verfügen und die IRM-Features (Information Rights Management) verwenden möchten, installieren und konfigurieren Sie den Rights Management Connector.

    Weitere Informationen finden Sie unter Bereitstellen des Microsoft Rights Management-Connectors.

Verwenden und Überwachen Ihrer Datenschutzlösungen

Jetzt können Sie überwachen, wie Ihre Organisation die von Ihnen konfigurierten Etiketten verwendet, und bestätigen, dass Sie vertrauliche Informationen schützen.

Weitere Informationen finden Sie auf den folgenden Seiten:

Verwalten des Schutzdiensts für Ihr Mandantenkonto nach Bedarf

Wenn Sie mit der Verwendung des Schutzdiensts beginnen, finden Sie PowerShell möglicherweise hilfreich beim Skripting oder Automatisieren von administrativen Änderungen. PowerShell kann auch für einige der erweiterten Konfigurationen erforderlich sein.

Weitere Informationen finden Sie unter Verwalten des Schutzes von Azure Information Protection mithilfe von PowerShell.

Verweise auf klassische Clientumgebungen

Relevant für:nur klassischer AIP-Client

Wenn Sie den klassischen Client verwenden, verwenden Sie die folgenden Verweise anstelle der oben verknüpften:

Tipp

Möglicherweise sind Sie auch an der Azure Information Protection-Bereitstellungs-Roadmap zum Schutz interessiert, die nur für den klassischen Client unterstützt wird.

Nächste Schritte

Bei der Bereitstellung von Azure Information Protection finden Sie es möglicherweise hilfreich, die häufig gestellten Fragen ,bekannte Probleme und die Seite mit Informationen und Support auf weitere Ressourcen zu überprüfen.