Häufig gestellte Fragen zum klassischen Azure Information Protection-Client

Gilt für: Azure Information Protection, Office 365

Relevant für:Nur klassischer Client mit einheitlicher AIP-Bezeichnung. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Azure Information Protection.

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Ist der Azure Information Protection-Client nur für Abonnements verfügbar, die Klassifizierungen und Bezeichnungen enthalten?

Nein. Der klassische AIP-Client kann auch für Abonnements verwendet werden, die nur den Azure Rights Management-Dienst enthalten, nur für den Datenschutz.

Wenn der klassische Client ohne eine Azure Information Protection-Richtlinie installiert wird, wird der Client automatisch im Nur-Schutz-Modusausgeführt, der es Benutzern ermöglicht, Vorlagen für die Rechteverwaltung und benutzerdefinierte Berechtigungen anzuwenden.

Wenn Sie später ein Abonnement erwerben, das Klassifizierung und Bezeichnung enthält, wechselt der Client beim Herunterladen der Azure Information Protection-Richtlinie automatisch in den Standardmodus.

Was ist der Unterschied zwischen Windows Server-FCI und dem Azure Information Protection-Scanner?

Windows Server File Classification Infrastructure war in der Vergangenheit eine Option zum Klassifizieren von Dokumenten und zum anschließenden Schützen dieser Dokumente mithilfe des Rights Management-Connectors (nur Office-Dokumente) oder eines PowerShell-Skripts (alle Dateitypen).

Wir empfehlen jetzt, den Azure Information Protection-Scanner zu verwenden. Der Scanner verwendet den Azure Information Protection-Client und Ihre Azure Information Protection-Richtlinie, um Dokumente (alle Dateitypen) zu beschriften, sodass diese Dokumente dann klassifiziert und optional geschützt werden.

Die wichtigsten Unterschiede zwischen diesen beiden Lösungen:

Windows Server FCI Azure Information Protection-Scanner
Unterstützte Datenspeicher Lokale Ordner auf Windows Server – Windows von Dateifreigaben und angefügtem Netzwerkspeicher

– SharePoint Server 2016 und SharePoint Server 2013. SharePoint Server 2010 wird auch für Kunden unterstützt, die erweiterten Support für diese Version von SharePoint.
Betriebsmodus Echtzeit Systematisch durchforstet die Datenspeicher einmal oder wiederholt
Unterstützte Dateitypen – Standardmäßig sind alle Dateitypen geschützt.

– Bestimmte Dateitypen können durch Bearbeiten der Registrierung aus dem Schutz ausgeschlossen werden
Unterstützung für Dateitypen:

– Office Dateitypen und PDF-Dokumente sind standardmäßig geschützt.

– Zusätzliche Dateitypen können zum Schutz durch Bearbeiten der Registrierung eingeschlossen werden

Festlegen von Rechteverwaltungsbesitzern

Standardmäßig ist sowohl für Windows Server-FCI als auch den Azure Information Protection-Scanner der Rechteverwaltungsbesitzer auf das Konto festgelegt, das die Datei schützt.

Überschreiben Sie die Standardeinstellungen wie folgt:

  • Windows Server FCI:Legen Sie den Rechteverwaltungsbesitzer auf ein einzelnes Konto für alle Dateien oder dynamisch auf den Rechteverwaltungsbesitzer für jede Datei festgelegt.

    Zum dynamischen Festlegen des Rechteverwaltungsbesitzers verwenden Sie den Parameter und Wert "-OwnerMail [Source File Owner Email]". Diese Konfiguration ruft die E-Mail-Adresse des Benutzers aus Active Directory ab, indem der Benutzername in der Eigenschaft Besitzer der Datei verwendet wird.

  • Azure Information Protection-Scanner:Legen Sie für neu geschützte Dateien den Rechteverwaltungsbesitzer auf ein einzelnes Konto für alle Dateien in einem angegebenen Datenspeicher fest, indem Sie im Scannerprofil die Einstellung "-Standardbesitzer" angeben.

    Das dynamische Festlegen des Rechteverwaltungsbesitzers für jede Datei wird nicht unterstützt, und der Rechteverwaltungsbesitzer wird für zuvor geschützte Dateien nicht geändert.

    Hinweis

    Wenn der Scanner Dateien auf SharePoint-Websites und -Bibliotheken schützt, wird der Besitzer der Rechteverwaltung dynamisch für jede Datei festgelegt, indem der Wert SharePoint-Editor verwendet wird.

Kann eine Datei mehrere Klassifizierungen haben?

Benutzer können jeweils nur eine Bezeichnung für jedes Dokument oder jede E-Mail-Nachricht auswählen, was häufig nur zu einer Klassifizierung führt. Wenn benutzer jedoch ein Unterzeichen auswählen, werden dadurch tatsächlich zwei Bezeichnungen gleichzeitig angewendet. eine primäre Bezeichnung und eine sekundäre Bezeichnung. Durch die Verwendung von Unterzeichen kann eine Datei zwei Klassifizierungen haben, die eine Beziehung "parent\child" für eine zusätzliche Steuerungsebene bezeichnen.

Die Bezeichnung Vertraulich kann z. B. Unterbezeichnungen wie Legal und Finance enthalten. Sie können auf diese Unterzeichen verschiedene visuelle Klassifizierungsmarkierungen und unterschiedliche Vorlagen für die Rechteverwaltung anwenden. Ein Benutzer kann die Bezeichnung Vertraulich nicht allein auswählen. nur eines der unterlabels, z. B. Legal. Daher ist die festgelegte Bezeichnung Vertraulich \ Rechts. Die Metadaten für diese Datei umfassen eine benutzerdefinierte Texteigenschaft für Vertraulich ,eine benutzerdefinierte Texteigenschaft für "Legal"und eine weitere, die beide Werte enthält(Vertrauliches Recht).

Wenn Sie Unterbezeichnungen verwenden, konfigurieren Sie keine visuellen Markierungen, Schutz und Bedingungen für das Primäre Etikett. Wenn Sie Unterebenen verwenden, konfigurieren Sie diese Einstellung nur für das Unterzeichen. Wenn Sie diese Einstellungen für das primäre Etikett und dessen Unterbezeichnung konfigurieren, haben die Einstellungen am Unterzeichen Vorrang.

Wie kann ich verhindern, dass jemand eine Bezeichnung entfernt oder ändert?

Obwohl es eine Richtlinieneinstellung gibt, mit der Benutzer festlegen müssen, warum sie eine Klassifizierungsbezeichnung senken, eine Bezeichnung entfernen oder den Schutz entfernen, werden diese Aktionen durch diese Einstellung nicht verhindert. Um zu verhindern, dass Benutzer eine Bezeichnung entfernen oder ändern, muss der Inhalt bereits geschützt sein, und die Schutzberechtigungen gewähren dem Benutzer nicht das Nutzungsrecht "Exportieren" oder "Vollzugriff".

Wie können DLP-Lösungen und andere Anwendungen in Azure Information Protection integriert werden?

Da Azure Information Protection persistente Metadaten für die Klassifizierung verwendet, die eine Klartextbeschriftung enthält, können diese Informationen von DLP-Lösungen und anderen Anwendungen gelesen werden.

Weitere Informationen zu diesen Metadaten finden Sie unter Bezeichnungsinformationen, die in E-Mails und Dokumenten gespeichert sind.

Beispiele für die Verwendung dieser Metadaten mit Regeln Exchange Online E-Mail-Fluss finden Sie unter Konfigurieren Exchange Online E-Mail-Flussregeln für Azure Information Protection-Bezeichnungen.

Kann ich eine Dokumentvorlage erstellen, die automatisch die Klassifizierung enthält?

Ja. Sie können eine Bezeichnung so konfigurieren, dass eine Kopf- oder Fußzeile angewendet wird, die den Bezeichnungsnamen enthält. Wenn dies jedoch nicht Ihren Anforderungen entspricht, können Sie nur für den klassischen Azure Information Protection-Client eine Dokumentvorlage mit der von Ihnen verwendeten Formatierung erstellen und die Klassifizierung als Feldcode hinzufügen.

Beispiel: Die Kopfzeile ihres Dokuments enthält eine Tabelle, in der die Klassifizierung angezeigt wird. Oder Sie verwenden eine bestimmte Formulierung für eine Einführung, die auf die Klassifizierung des Dokuments verweist.

So fügen Sie diese Feldcode in Ihr Dokument ein:

  1. Beschriften und speichern Sie das Dokument. Mit dieser Aktion werden neue Metadatenfelder erstellt, die Sie jetzt für Ihre Feldcode verwenden können.

  2. Positionieren Sie den Cursor im Dokument an der Stelle, an der Sie die Klassifizierung der Beschriftung hinzufügen möchten, und wählen Sie dann auf der Registerkarte Einfügen die Option Textschnellparts-Feldaus.

  3. Wählen Sie im Dialogfeld Feld in der Dropdownliste Kategorien die Option Dokumentinformationen aus. Wählen Sie dann in der Dropdownliste Feldernamen die Option DocProperty aus.

  4. Wählen Sie in der Dropdownliste Eigenschaft die Option Vertraulichkeitund dann OK aus.

Die Klassifizierung der aktuellen Bezeichnung wird im Dokument angezeigt, und dieser Wert wird automatisch aktualisiert, wenn Sie das Dokument öffnen oder die Vorlage verwenden. Wenn sich also die Bezeichnung ändert, wird die für diese Feldcode angezeigte Klassifizierung automatisch im Dokument aktualisiert.

Wie unterscheiden sich die Klassifizierungen für E-Mails mit Azure Information Protection von Exchange Nachrichtenklassifizierung?

Exchange Nachrichtenklassifizierung ist ein älteres Feature, das E-Mails klassifizieren kann und unabhängig von Azure Information Protection-Bezeichnungen oder Vertraulichkeitsbezeichnungen implementiert wird, die Klassifizierung anwenden.

Sie können dieses ältere Feature jedoch in Bezeichnungen integrieren, sodass, wenn Benutzer eine E-Mail mithilfe von Outlook im Web und mithilfe einiger mobiler E-Mail-Anwendungen klassifizieren, die Bezeichnungsklassifizierung und entsprechende Bezeichnungsmarkierungen automatisch hinzugefügt werden.

Auf die gleiche Weise können Sie Ihre Etiketten auch in Outlook im Web mobilen E-Mail-Anwendungen verwenden.

Beachten Sie, dass dies nicht benötigt wird, wenn Sie Outlook im Web mit Exchange Online verwenden, da diese Kombination die integrierte Beschriftung unterstützt, wenn Sie Vertraulichkeitsbeschriftungen aus der Microsoft 365 Compliance Center.

Wenn Sie die integrierte Beschriftung für Outlook im Web nicht verwenden können, finden Sie informationen unter den Konfigurationsschritten für diese Problemumgehung: Integration in die Legacy-Exchange-Nachrichtenklassifizierung.

Wie kann ich einen Mac-Computer zum Schützen und Nachverfolgen von Dokumenten konfigurieren?

Stellen Sie zunächst sicher, dass Sie die Office für Mac installiert haben, indem Sie den Link zur Softwareinstallation von https://admin.microsoft.com verwenden. Vollständige Anweisungen finden Sie unter Herunterladen und Installieren bzw. erneutes Installieren Microsoft 365 oder Office 2019 auf einem PC oder Mac.

Öffnen Outlook, und erstellen Sie ein Profil mit Ihrem Microsoft 365- oder Schulkonto. Erstellen Sie dann eine neue Nachricht, und gehen Sie wie folgt vor, um Office so zu konfigurieren, dass Dokumente und E-Mails mithilfe des Azure Rights Management-Diensts geschützt werden können:

  1. Klicken Sie in der neuen Nachricht auf der Registerkarte Optionen aufBerechtigungen , und klicken Sie dann auf Anmeldeinformationen überprüfen.

  2. Wenn Sie dazu aufgefordert werden, Microsoft 365 Ihre Kontodetails für Ihr Schul- oder Unternehmen ein, und wählen Sie Anmelden aus.

    Dadurch werden die Azure Rights Management-Vorlagen heruntergeladen, und "Anmeldeinformationen überprüfen" wird jetzt durch Optionen ersetzt, die keine Einschränkungen,Nicht weiterleiten und Azure Rights Management-Vorlagen enthalten, die für Ihren Mandanten veröffentlicht werden. Sie können diese neue Nachricht jetzt abbrechen.

So schützen Sie eine E-Mail-Nachricht oder ein Dokument: Klicken Sie auf der Registerkarte Optionen auf Berechtigungen, und wählen Sie eine Option oder Vorlage aus, die Ihre E-Mail oder Ihr Dokument schützt.

So verfolgen Sie ein Dokument nach, nachdem Sie es geschützt haben: Registrieren Sie das Dokument auf einem Windows-Computer, auf dem der klassische Azure Information Protection-Client installiert ist, das Dokument auf der Dokumentverfolgungswebsite, indem Sie entweder eine Office-Anwendung oder den Datei-Explorer verwenden. Anweisungen finden Sie unter Nachverfolgen und Widerrufen von Dokumenten. Auf Ihrem Mac-Computer können Sie jetzt ihren Webbrowser verwenden, um zur Website zur Dokumentnachverfolgung () zu wechseln, um dieses Dokument nachverfolgt https://track.azurerms.com und zu widerrufen.

Wenn ich die Sperrung auf der Dokumentnachverfolgungswebsite teste, wird eine Meldung mit dem Text angezeigt, dass Benutzer weiterhin bis zu 30 Tage auf das Dokument zugreifen können. Ist dieser Zeitraum konfigurierbar?

Ja. Diese Meldung gibt die Nutzungslizenz für diese bestimmte Datei an.

Wenn Sie eine Datei widerrufen, kann diese Aktion nur erzwungen werden, wenn sich der Benutzer beim Azure Rights Management-Dienst authentifiziert. Wenn für eine Datei also die Gültigkeitsdauer einer Nutzungslizenz 30 Tage gültig ist und der Benutzer das Dokument bereits geöffnet hat, kann der Benutzer während der Laufzeit der Nutzungslizenz weiterhin auf das Dokument zugreifen. Wenn die Nutzungslizenz abläuft, muss sich der Benutzer erneut authentifizieren. Zu diesem Zeitpunkt wird dem Benutzer der Zugriff verweigert, da das Dokument jetzt widerrufen wurde.

Der Benutzer, der das Dokument geschützt hat, der Aussteller der Rechteverwaltung ist von dieser Sperrung ausgenommen und kann immer auf seine Dokumente zugreifen.

Der Standardwert für die Gültigkeitsdauer der Lizenz für einen Mandanten beträgt 30 Tage, und diese Einstellung kann durch eine restriktivere Einstellung in einer Bezeichnung oder Vorlage außer Kraft gesetzt werden. Weitere Informationen zur Nutzungslizenz und zu deren Konfiguration finden Sie in der Dokumentation zur Nutzungslizenz für die Rechteverwaltung.

Was ist der Unterschied zwischen BYOK und HYOK, und wann sollte ich diese verwenden?

Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Anschließend übertragen Sie diesen Schlüssel in ein Hardwaresicherheitsmodul (HSM) im Azure Key Vault, in dem Sie den Schlüssel weiterhin besitzen und verwalten. Wenn Sie dies nicht tun, würde Azure Rights Management-Schutz einen Schlüssel verwenden, der automatisch in Azure für Sie erstellt und verwaltet wird. Diese Standardkonfiguration wird als "von Microsoft verwaltet" und nicht als "vom Kunden verwaltet" bezeichnet (die Option BYOK).

Weitere Informationen zu BYOK und dazu, ob Sie diese Schlüsseltopologie für Ihre Organisation auswählen sollten, finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Halten Sie Ihren eigenen Schlüssel (HYOK) im Kontext von Azure Information Protection für einige Organisationen, die über eine Teilmenge von Dokumenten oder E-Mails verfügen, die nicht durch einen Schlüssel geschützt werden können, der in der Cloud gespeichert ist. Für diese Organisationen gilt diese Einschränkung auch dann, wenn sie den Schlüssel mit BYOK erstellt und verwaltet haben. Die Einschränkung kann häufig aus gesetzlichen Gründen oder aus Konformitätsgründen gelten, und die HYOK-Konfiguration sollte nur auf "Oberste geheime" Informationen angewendet werden, die niemals außerhalb der Organisation freigegeben werden, nur im internen Netzwerk genutzt werden und nicht über mobile Geräte zugänglich sein müssen.

Für diese Ausnahmen (normalerweise weniger als 10 % aller Inhalte, die geschützt werden müssen) können Organisationen eine lokale Lösung (Active Directory Rights Management Services) verwenden, um den Schlüssel zu erstellen, der lokal erhalten bleibt. Bei dieser Lösung erhalten Computer ihre Azure Information Protection-Richtlinie aus der Cloud, aber diese identifizierten Inhalte können mithilfe des lokalen Schlüssels geschützt werden.

Weitere Informationen zu HYOK und zur Sicherheit, dass Sie dessen Einschränkungen und Einschränkungen sowie Anleitungen zu seiner Verwendung verstehen, finden Sie unter Sicherstellen eigener Schlüsselanforderungen und Einschränkungen für den AD RMS-Schutz.

Was muss ich tun, wenn meine Frage hier nicht gestellt wird?

Lesen Sie zunächst die nachstehend aufgeführten häufig gestellten Fragen, die speziell für Klassifizierung und Bezeichnung oder datenschutzspezifisch sind. Der Azure Rights Management-Dienst (Azure RMS) stellt die Datenschutztechnologie für Azure Information Protection bereit. Azure RMS kann mit Klassifizierung und Bezeichnung oder allein verwendet werden.

Wenn Ihre Frage nicht beantwortet wird, lesen Sie die Links und Ressourcen, die unter Informationen und Support für Azure Information Protection aufgeführt sind.

Darüber hinaus gibt es häufig gestellte Fragen für Endbenutzer: