Häufig gestellte Fragen zum Schutz von Daten in Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Hinweis

Um eine einheitliche und optimierte Kundenumgebung zu gewährleisten, werden Azure Information Protection-Client (klassisch) und Bezeichnungsverwaltung im Azure-Portal zum 31. März 2021 eingestellt.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Dieser Zeitrahmen ermöglicht allen aktuellen Azure Information Protection-Kunden den Umstieg auf die Microsoft Information Protection-Plattform für einheitliche Bezeichnungen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Weitere Informationen erhalten Sie im offiziellen Hinweis zu veralteten Funktionen.Learn more in the official deprecation notice.

Haben Sie eine Frage zum Datenschutzdienst Azure Rights Management (Azure RMS) aus Azure Information Protection?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Vielleicht finden Sie hier eine Antwort.See if it's answered here.

Müssen Dateien in der Cloud gespeichert sein, um durch Azure Rights Management geschützt zu werden?Do files have to be in the cloud to be protected by Azure Rights Management?

Nein, das ist ein weit verbreitetes Missverständnis.No, this is a common misconception. Der Azure Rights Management Service (und Microsoft) sieht oder speichert Ihre Daten nicht als Teil des Informationsschutzprozesses.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. Informationen, die Sie schützen, werden niemals an Azure gesendet oder in Azure gespeichert, es sei denn, Sie speichern sie explizit in Azure oder verwenden einen anderen Clouddienst, der sie in Azure speichert.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Weitere Informationen finden Sie unter wie funktioniert Azure RMS? Im Hintergrund wird erläutert, wie eine geheime Cola-Formel, die lokal erstellt und gespeichert wird, durch den Azure-Rights Management Service geschützt wird, aber lokal bleibt.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Worin besteht der Unterschied zwischen Azure Rights Management Verschlüsselung und Verschlüsselung in anderen Microsoft Cloud Services?What's the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

Microsoft stellt mehrere Verschlüsselungstechnologien bereit, die Sie zum Schutz Ihrer Daten in verschiedenen und sich häufig ergänzenden Szenarien verwenden können.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Während Office 365 beispielsweise eine Verschlüsselung für die in Office 365 gespeicherten Daten bietet, verschlüsselt Azure Rights Management Service von Azure Information Protection Ihre Daten unabhängig, sodass sie unabhängig davon geschützt sind, wo sie sich befinden oder wie sie übertragen werden.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Diese Verschlüsselungstechnologien ergänzen einander, und ihre Verwendung erfordert, dass sie unabhängig voneinander aktiviert und konfiguriert werden.These encryption technologies are complementary and using them requires enabling and configuring them independently. Wenn Sie so vorgehen, besteht ggf. die Option, einen eigenen Schlüssel für die Verschlüsselung zu verwenden, ein Szenario, das auch als „BYOK“ bezeichnet wird.When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Die Aktivierung von BYOK für eine dieser Technologien wirkt sich nicht auf die anderen Technologien aus.Enabling BYOK for one of these technologies does not affect the others. Sie können BYOK z.B. für Azure Information Protection und nicht für andere Verschlüsselungstechnologien verwenden und umgekehrt.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. Die Schlüssel, die von diesen verschiedenen Technologien verwendet werden, können gleich oder unterschiedlich sein, je nachdem, wie Sie die Verschlüsselungsoptionen für jeden Dienst konfigurieren.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Worin besteht der Unterschied zwischen Byok und Hyok, und wann sollte ich Sie verwenden?What's the difference between BYOK and HYOK and when should I use them?

Bring Your Own Key (BYOK) im Kontext von Azure Information Protection bedeutet, dass Sie Ihren eigenen Schlüssel für den Schutz von Azure Rights Management lokal erstellen.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Anschließend übertragen Sie diesen Schlüssel an ein Hardwaresicherheitsmodul (HSM) in Azure Key Vault, wo Sie weiterhin Besitzer des Schlüssels sind und diesen verwalten.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Wenn Sie nicht so vorgegangen wären, würde der Schutz von Azure Rights Management einen Schlüssel verwenden, der automatisch für Sie in Azure erstellt und verwaltet wird.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Diese Standardkonfiguration wird als „von Microsoft verwaltet“ und nicht als „vom Kunden verwaltet“ (Option BYOK) bezeichnet.This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

Weitere Informationen zu BYOK und dazu, ob Sie diese Schlüsseltopologie für Ihre Organisation auswählen sollten, finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Hold Your Own Key (HYOK) im Kontext von Azure Information Protection eignet sich für einige wenige Organisationen, die über eine Teilmenge von Dokumenten oder E-Mails verfügen, die nicht durch einen Schlüssel geschützt werden können, der in der Cloud gespeichert ist.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. Für diese Organisationen gilt diese Einschränkung selbst dann, wenn sie den Schlüssel erstellt haben und mit BYOK verwalten.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. Die Einschränkung kann oft aus rechtlichen oder Konformitätsgründen erfolgen, und die HYOK-Konfiguration sollte nur auf Informationen des Typs „Top Secret“ angewendet werden, die niemals außerhalb der Organisation freigegeben werden, nur im internen Netzwerk genutzt werden und nicht von mobilen Geräten aus zugänglich sein müssen.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

Für diese Ausnahmen (in der Regel weniger als 10 % des gesamten zu schützenden Inhalts) können Unternehmen eine lokale Lösung (Active Directory Rights Management Services) verwenden, um den Schlüssel zu erstellen, der lokal gespeichert bleibt.For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. Mit dieser Lösung erhalten Computer ihre Azure Information Protection-Richtlinie aus der Cloud, aber diese identifizierten Inhalte können durch Verwendung des lokalen Schlüssels geschützt werden.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

Weitere Informationen zu HYOK und zu den Grenzen und Einschränkungen von HYOK sowie Hinweise zur Verwendung finden Sie unter HYOK-Anforderungen (Hold Your Own Key) und -Einschränkungen für den AD RMS-Schutz.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Kann ich BYOK jetzt mit Exchange Online verwenden?Can I now use BYOK with Exchange Online?

Ja, Sie können BYOK jetzt mit Exchange Online verwenden, wenn Sie die Anweisungen unter Einrichten neuer Office 365-Nachrichtenverschlüsselungsfunktionen, die auf Azure Information Protection aufbauen befolgen.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. Diese Anweisungen ermöglichen die neuen Funktionen in Exchange Online, die BYOK für den Schutz von Azure-Informationen unterstützen, sowie die neue Office 365-Nachrichtenverschlüsselung.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Weitere Informationen zu dieser Änderung finden Sie in der Blogankündigung: Office 365-Nachrichtenverschlüsselung mit den neuen Funktionen.For more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Wo finde ich Informationen zu Lösungen von Drittanbietern, die in Azure RMS integriert werden können?Where can I find information about third-party solutions that integrate with Azure RMS?

Viele Softwareanbieter verfügen bereits über Lösungen oder implementieren Lösungen, die sich in Azure Rights Management integrieren lassen, und die Liste wächst rasant.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Möglicherweise ist es hilfreich, die Liste der RMS-fähigen Anwendungen zu überprüfen und die neuesten Updates von Microsoft Mobility@MSFTMobility auf Twitter zu erhalten.You might find it useful to check the RMS-enlightened applications lists and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. Lesen Sie auch den Entwicklerleitfaden, und stellen Sie spezifische Integrationsfragen auf der Yammer -Website von Azure Information Protection.Also check the developer's guide and post any specific integration questions on the Azure Information Protection Yammer site.

Gibt es ein Management Pack oder einen ähnlichen Überwachungsmechanismus für den RMS-Connector?Is there a management pack or similar monitoring mechanism for the RMS connector?

Obwohl der Rights Management-Connector Informationen, Warnungen und Fehlermeldungen im Ereignisprotokoll protokolliert, gibt es keine Management Pack, die die Überwachung für diese Ereignisse einschließt.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn't a management pack that includes monitoring for these events. Die Liste der Ereignisse und ihrer Beschreibungen mit weiteren Informationen, die Ihnen helfen, Korrekturmaßnahmen zu ergreifen, ist jedoch unter Überwachen des Azure Rights Management-Connectors dokumentiert.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Wie erstelle ich eine neue benutzerdefinierte Vorlage im Azure-Portal?How do I create a new custom template in the Azure portal?

Benutzerdefinierte Vorlagen wurden in das Azure-Portal verschoben, wo Sie sie weiterhin als Vorlagen verwalten oder in Bezeichnungen konvertieren können.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Um eine neue Vorlage zu erstellen, erstellen Sie eine neue Bezeichnung und konfigurieren die Datenschutzeinstellungen für Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. Im Hintergrund wird eine neue Vorlage erstellt, auf die dann Dienste und Anwendungen zugreifen können, die in Rights Management-Vorlagen integriert sind.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Weitere Informationen zu Vorlagen im Azure-Portal finden Sie unter Konfigurieren und Verwalten von Vorlagen für Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

Ich habe ein Dokument geschützt und möchte nun die Nutzungsrechte ändern oder Benutzer hinzufügen. Muss ich das Dokument erneut schützen?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Wenn das Dokument mit einer Bezeichnung oder einer Vorlage geschützt wurde, besteht keine Notwendigkeit, das Dokument erneut zu schützen.If the document was protected by using a label or template, there's no need to reprotect the document. Ändern Sie die Bezeichnung oder Vorlage, indem Sie Ihre Änderungen an den Nutzungsrechten vornehmen oder neue Gruppen (oder Benutzer) hinzufügen und diese Änderungen dann speichern:Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save these changes:

  • Wenn ein Benutzer nicht auf das Dokument zugegriffen hat, bevor Sie die Änderungen vorgenommen haben, werden die Änderungen wirksam, sobald der Benutzer das Dokument öffnet.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Wenn ein Benutzer bereits auf das Dokument zugegriffen hat, werden diese Änderungen wirksam, wenn seine Nutzungslizenz abläuft.When a user has already accessed the document, these changes take effect when their use license expires. Schützen Sie das Dokument nur dann erneut, wenn Sie nicht warten können, bis die Nutzungslizenz abgelaufen ist.Reprotect the document only if you cannot wait for the use license to expire. Durch das erneute Schützen wird eine neue Version des Dokuments und damit eine neue Nutzungslizenz für den Benutzer erstellt.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Wenn Sie bereits eine Gruppe für die erforderlichen Berechtigungen konfiguriert haben, können Sie alternativ die Gruppenzugehörigkeit ändern, um Benutzer ein- oder auszuschließen, und es ist nicht erforderlich, die Bezeichnung oder die Vorlage zu ändern.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Es kann eine kleine Verzögerung bis zum Inkrafttreten der Änderungen geben, da die Gruppenmitgliedschaft durch den Azure Rights Management Service zwischengespeichert wird.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Wenn das Dokument mit benutzerdefinierten Berechtigungen geschützt wurde, können Sie die Berechtigungen für das vorhandene Dokument nicht ändern.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Sie müssen das Dokument erneut schützen und alle Benutzer und alle Nutzungsrechte angeben, die für diese neue Version des Dokuments erforderlich sind.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. Um ein geschütztes Dokument erneut zu schützen, müssen Sie über das Nutzungsrecht „Vollzugriff“ verfügen.To reprotect a protected document, you must have the Full Control usage right.

Tipp: Verwenden Sie das PowerShell-Cmdlet Get-AIPFileStatus, um zu überprüfen, ob ein Dokument durch eine Vorlage oder durch die Verwendung benutzerdefinierter Berechtigungen geschützt wurde.Tip: To check whether a document was protected by a template or by using custom permission, use the Get-AIPFileStatus PowerShell cmdlet. Es wird immer die Vorlagenbeschreibung Eingeschränkter Zugriff für benutzerdefinierte Berechtigungen mit einer eindeutigen Vorlagen-ID angezeigt, die nicht angezeigt wird, wenn Sie Get-RMSTemplate ausführen.You always see a template description of Restricted Access for custom permissions, with a unique template ID that is not displayed when you run Get-RMSTemplate.

Ich verwende eine Hybridbereitstellung von Exchange mit einigen Benutzern unter Exchange Online und anderen unter Exchange Server. Wird dies von Azure RMS unterstützt?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Ja, und das Gute ist, dass Benutzer für zwei Exchange-Bereitstellungen E-Mails und Anlagen nahtlos schützen sowie geschützte E-Mails und Anlagen nutzen können.Absolutely, and the nice thing is, users are able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Aktivieren Sie für diese Konfiguration Azure RMS und IRM für Exchange Online, und stellen Sie dann den RMS-Connector für Exchange Server bereit, und konfigurieren Sie ihn.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Wenn ich diesen Schutz in meiner Produktionsumgebung verwende, ist mein Unternehmen dann an die Lösung gebunden und läuft andernfalls Gefahr, den Zugriff auf Inhalte zu verlieren, die wir mit Azure RMS geschützt haben?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Nein, Sie behalten immer die Kontrolle über Ihre Daten und können weiterhin darauf zugreifen, selbst wenn Sie sich entscheiden, den Azure Rights Management-Dienst nicht mehr zu verwenden.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Weitere Informationen finden Sie unter Außerbetriebnahme und Deaktivieren von Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

Kann ich steuern, welche Benutzer Azure RMS verwenden können, um Inhalte zu schützen?Can I control which of my users can use Azure RMS to protect content?

Ja, Azure Rights Management Service verfügt für dieses Szenario über Onboarding-Steuerelemente für Benutzer.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Onboarding-Steuerelementen für eine stufenweise Bereitstellung im Artikel Aktivieren des Schutz dienstanweises in Azure Information Protection .For more information, see the Configuring onboarding controls for a phased deployment section in the Activating the protection service from Azure Information Protection article.

Kann ich verhindern, dass Benutzer geschützte Dokumente für bestimmte Organisationen freigeben?Can I prevent users from sharing protected documents with specific organizations?

Einer der größten Vorteile der Verwendung des Azure Rights Management-Diensts für den Schutz von Daten besteht darin, dass er B2B-Zusammenarbeit unterstützt, ohne dass Sie explizite Vertrauensstellungen für jede Partnerorganisation konfigurieren müssen, denn Azure AD übernimmt die Authentifizierung für Sie.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Es gibt keine Verwaltungsoption, die Benutzer daran hindert, Dokumente sicher mit bestimmten Organisationen auszutauschen.There is no administration option to prevent users from securely sharing documents with specific organizations. Beispielsweise möchten Sie eine Organisation blockieren, der Sie nicht vertrauen oder die ein konkurrierendes Unternehmen hat.For example, you want to block an organization that you don't trust or that has a competing business. Das Senden geschützter Dokumente an Benutzer in diesen Organisationen durch den Azure Rights Management-Dienst zu verhindern, wäre nicht sinnvoll, da die Benutzer Ihre Dokumente dann ungeschützt freigeben würden. Dies ist wahrscheinlich das letzte, was Sie in diesem Szenario tun möchten.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn't make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Beispielsweise könnten Sie nicht erkennen, wer vertrauliche Unternehmensdokumente für welche Benutzer in diesen Organisationen freigibt, was Sie tun können, wenn das Dokument (oder die e-Mail) durch den Azure Rights Management-Dienst geschützt wird.For example, you wouldn't be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Wenn ich ein geschütztes Dokument mit jemandem außerhalb meines Unternehmens teile, wie wird dieser Benutzer authentifiziert?When I share a protected document with somebody outside my company, how does that user get authenticated?

Standardmäßig verwendet Azure Rights Management Service ein Azure Active Directory-Konto und eine zugehörige E-Mail-Adresse für die Benutzerauthentifizierung, wodurch die Zusammenarbeit zwischen Unternehmen für Administratoren nahtlos wird.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Wenn die andere Organisation Azure-Dienste verwendet, haben Benutzer bereits Konten in Azure Active Directory, selbst wenn diese Konten lokal erstellt und verwaltet und dann mit Azure synchronisiert werden.If the other organization uses Azure services, users already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Wenn die Organisation über Office 365 verfügt, verwendet dieser Dienst im Hintergrund auch Azure Active Directory für die Benutzerkonten.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Wenn die Organisation des Benutzers keine verwalteten Konten in Azure hat, können sich Benutzer für RMS for Individualsregistrieren. Dadurch werden ein nicht verwalteter Azure-Mandant und ein Verzeichnis für die Organisation mit einem Konto für den Benutzer erstellt, sodass dieser Benutzer (und nachfolgende Benutzer) für den Azure Rights Management-Dienst authentifiziert werden kann.If the user's organization doesn't have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

Die Authentifizierungsmethode für diese Konten kann unterschiedlich sein, je nachdem, wie der Administrator in der anderen Organisation die Azure Active Directory-Konten konfiguriert hat.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Beispielsweise können Kennwörter, die für diese Konten erstellt wurden, Verbund oder Kennwörter verwendet werden, die in Active Directory Domain Services erstellt und dann mit Azure Active Directory synchronisiert wurden.For example, they could use passwords that were created for these accounts, federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Andere Authentifizierungsmethoden:Other authentication methods:

  • Wenn Sie eine E-Mail mit einer Office-Dokumentanlage an einen Benutzer schützen, der kein Konto in Azure AD besitzt, ändert sich die Authentifizierungsmethode.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. Der Azure Rights Management Service bildet einen Verbund mit einigen beliebten sozialen Netzwerken als Identitätsanbieter, z.B. mit Google Mail.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Wenn der E-Mail-Anbieter des Benutzers unterstützt wird, kann sich der Benutzer bei diesem Dienst anmelden, und sein E-Mail-Anbieter ist für die Authentifizierung verantwortlich.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Wenn der E-Mail-Anbieter des Benutzers nicht unterstützt wird (oder als Präferenz), kann der Benutzer einen einmaligen Passcode beantragen, der ihn authentifiziert und die E-Mail mit dem geschützten Dokument in einem Webbrowser anzeigt.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

  • Azure Information Protection kann Microsoft-Konten für unterstützte Anwendungen verwenden.Azure Information Protection can use Microsoft accounts for supported applications. Derzeit können nicht alle Anwendungen geschützten Inhalt öffnen, wenn ein Microsoft-Konto für die Authentifizierung verwendet wird.Currently, not all applications can open protected content when a Microsoft account is used for authentication. Weitere InformationenMore information

Kann ich externe Benutzer (Personen außerhalb meiner Firma) benutzerdefinierten Vorlagen hinzufügen?Can I add external users (people from outside my company) to custom templates?

Ja.Yes. Mit den Schutzeinstellungen, die Sie im Azure-Portal konfigurieren können, können Sie für Benutzer und Gruppen außerhalb Ihrer Organisation und sogar für alle Benutzer in einer anderen Organisation Berechtigungen hinzufügen.The protection settings that you can configure in the Azure portal let you add permissions to users and groups from outside your organization, and even all users in another organization. Das ausführliche Beispiel Secure document collaboration by using Azure Information Protection (Sichere Dokumentenzusammenarbeit durch Azure Information Protection) ist womöglich nützlich für Sie.You might find it useful to reference the step-by-step example, Secure document collaboration by using Azure Information Protection.

Beachten Sie Folgendes: Wenn Sie Azure Information Protection-Bezeichnungen verwenden, müssen Sie Ihre benutzerdefinierte Vorlage zunächst in eine Bezeichnung konvertieren, bevor Sie diese Schutzeinstellungen im Azure-Portal konfigurieren können.Note that if you have Azure Information Protection labels, you must first convert your custom template to a label before you can configure these protection settings in the Azure portal. Weitere Informationen finden Sie unter Konfigurieren und Verwalten von Vorlagen für Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Alternativ können Sie mithilfe von PowerShell externe Benutzer benutzerdefinierten Vorlagen (und Bezeichnungen) hinzufügen.Alternatively, you can add external users to custom templates (and labels) by using PowerShell. Diese Konfiguration erfordert, dass Sie ein Rechtedefinitionsobjekt verwenden, mit dem Sie Ihre Vorlage aktualisieren:This configuration requires you to use a rights definition object that you use to update your template:

  1. Geben Sie die externen e-Mail-Adressen und ihre Rechte in einem Rechte Definitions Objekt an, indem Sie das Cmdlet New-aipservicerighundefinition verwenden, um eine Variable zu erstellen.Specify the external email addresses and their rights in a rights definition object, by using the New-AipServiceRightsDefinition cmdlet to create a variable.

  2. Stellen Sie diese Variable mit dem Cmdlet " Set-aipservicetemplateproperty " für den rightiondefinition-Parameter bereit.Supply this variable to the RightsDefinition parameter with the Set-AipServiceTemplateProperty cmdlet.

    Wenn Sie Benutzer einer vorhandenen Vorlage hinzufügen, müssen Sie zusätzlich zu den neuen Benutzern Rechtedefinitionsobjekte für die vorhandenen Benutzer in den Vorlagen definieren.When you add users to an existing template, you must define rights definition objects for the existing users in the templates, in addition to the new users. Für dieses Szenario finden Sie möglicherweise Beispiel 3: Hinzufügen neuer Benutzer und Rechte zu einer benutzerdefinierten Vorlage aus dem Abschnitt Beispiele für das Cmdlet hilfreich.For this scenario, you might find helpful Example 3: Add new users and rights to a custom template from the Examples section for the cmdlet.

Welche Art von Gruppen kann ich mit Azure RMS verwenden?What type of groups can I use with Azure RMS?

In den meisten Szenarien können Sie alle Gruppentypen in Azure AD verwenden, die über eine E-Mail-Adresse verfügen.For most scenarios, you can use any group type in Azure AD that has an email address. Diese Faustregel gilt immer dann, wenn Sie Nutzungsrechte zuweisen, aber einige Ausnahmen für die Verwaltung von Azure Rights Management Service bestehen.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Weitere Informationen finden Sie unter Azure Information Protection-Anforderungen für Gruppenkonten.For more information, see Azure Information Protection requirements for group accounts.

Wie sende ich eine geschützte E-Mail an ein Google Mail- oder Hotmail-Konto?How do I send a protected email to a Gmail or Hotmail account?

Wenn Sie Exchange Online und Azure Rights Management Service nutzen, senden Sie die E-Mail einfach als geschützte Nachricht an den Benutzer.When you use Exchange Online and the Azure Rights Management service, you just send the email to the user as a protected message. Sie können beispielsweise die neue Schaltfläche Schützen in der Befehlsleiste in Outlook im Web auswählen, die Outlook-Schaltfläche Nicht weiterleiten oder die Menüoption verwenden.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward button or menu option. Oder Sie können eine Azure Information Protection-Bezeichnung auswählen, die automatisch „Nicht weiterleiten“ für Sie anwendet und die E-Mail klassifiziert.Or, you can select an Azure Information Protection label that automatically applies Do Not Forward for you, and classifies the email.

Dem Empfänger wird eine Option angezeigt, mit der dieser sich bei seinem Gmail-, Yahoo- oder Microsoft-Konto anmelden und die geschützte E-Mail anschließend lesen kann.The recipient sees an option to sign in to their Gmail, Yahoo, or Microsoft account, and then they can read the protected email. Alternativ können sie die Option für einen einmaligen Passcode auswählen, um die E-Mail in einem Browser zu lesen.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Damit dieses Szenario unterstützt wird, muss Exchange Online für Azure Rights Management Service und die neuen Funktionen in der Office 365-Nachrichtenverschlüsselung aktiviert sein.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Weitere Informationen zu dieser Konfiguration finden Sie unter Exchange Online: IRM-Konfiguration.For more information about this configuration, see Exchange Online: IRM Configuration.

Weitere Informationen zu den neuen Funktionen, zu denen auch die Unterstützung aller E-Mail-Konten auf allen Geräten gehört, finden Sie im folgenden Blogbeitrag: Ankündigung neuer Funktionen, die in der Office 365-Nachrichtenverschlüsselung verfügbar sind.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Welche Geräte und Dateitypen werden von Azure RMS unterstützt?What devices and which file types are supported by Azure RMS?

Eine Liste der Geräte, die Azure Rights Management Service unterstützen, finden Sie unter Clientgeräte, die Azure Rights Management-Datenschutz unterstützen.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Da derzeit nicht alle unterstützten Geräte alle Rights Management Funktionen unterstützen, achten Sie auch darauf, die Tabellen auf RMS-Anwendungenzu überprüfen.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the tables for RMS-enlighted applications.

Azure Rights Management Service kann alle Dateitypen unterstützen.The Azure Rights Management service can support all file types. Für Text-, Bild-, Microsoft Office-Dateien (Word, Excel, PowerPoint), PDF-Dateien und einige andere Anwendungsdateitypen stellt Azure Rights Management nativen Schutz bereit, der sowohl Verschlüsselung als auch Durchsetzung von Rechten (Berechtigungen) umfasst.For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Für alle anderen Anwendungen und Dateitypen bietet der generische Schutz Dateikapselung und Authentifizierung, um zu überprüfen, ob ein Benutzer berechtigt ist, die Datei zu öffnen.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Eine Liste der Dateinamenerweiterungen, die nativ von Azure Rights Management unterstützt werden, finden Sie unter Vom Azure Information Protection-Client unterstützte Dateitypen.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. Nicht aufgeführte Dateinamenerweiterungen werden unterstützt, indem der Azure Information Protection-Client verwendet wird, der automatisch generischen Schutz auf diese Dateien anwendet.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Wie konfiguriere ich einen Mac-Computer zum Schützen und Nachverfolgen von Dokumenten?How do I configure a Mac computer to protect and track documents?

Stellen Sie zuerst anhand des Softwareinstallationslinks unter https://admin.microsoft.com sicher, dass Office für Mac installiert ist.First, make sure that you have installed Office for Mac by using the software installation link from https://admin.microsoft.com. Vollständige Anweisungen finden Sie unter Herunterladen und Installieren oder Neuinstallieren von Office 365 oder Office 2019 auf einem PC oder Mac.For full instructions, see Download and install or reinstall Office 365 or Office 2019 on a PC or Mac.

Öffnen Sie Outlook, und erstellen Sie ein Profil, indem Sie Ihr Office 365-Geschäfts-, Schul- oder Unikonto verwenden.Open Outlook and create a profile by using your Office 365 work or school account. Erstellen Sie anschließend eine neue Nachricht, und führen Sie die folgenden Schritte aus, um Office so zu konfigurieren, dass Dokumente und E-Mails mithilfe von Azure Rights Management-Service geschützt werden können:Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. Klicken Sie in der neuen Nachricht auf der Registerkarte Optionen auf Berechtigungen, und klicken Sie dann auf Anmeldeinformationen überprüfen.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. Wenn Sie dazu aufgefordert werden, geben Sie die Details Ihres Office 365-Geschäfts-, Schul- oder Unikontos erneut an, und wählen Sie dann Anmelden aus.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Die Azure Rights Management-Vorlagen werden nun heruntergeladen, und Anmeldeinformationen überprüfen wird durch Optionen wie Keine Einschränkungen, Nicht weiterleiten und alle Azure Rights Management-Vorlagen ersetzt, die für Ihren Mandanten veröffentlicht werden.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Sie können diese neue Nachricht jetzt abbrechen.You can now cancel this new message.

So schützen Sie eine E-Mail-Nachricht oder ein Dokument: Klicken Sie auf der Registerkarte Optionen auf Berechtigungen, und wählen Sie eine Option oder eine Vorlage aus, die Ihre E-Mail oder Ihr Dokument schützt.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

So verfolgen Sie ein Dokument nach, nachdem Sie es geschützt haben: Auf einem Windows-Computer, auf dem der Azure Information Protection-Client installiert ist, registrieren Sie das Dokument mithilfe einer Office-Anwendung oder des Datei-Explorers bei der Dokumentnachverfolgungs-Website.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Anweisungen hierzu finden Sie unter Nachverfolgen und Widerrufen Ihrer Dokumente.For instructions, see Track and revoke your documents. Auf Ihrem Mac können Sie nun über Ihren Webbrowser zur Website für die Dokumentenverfolgung (https://track.azurerms.com)) navigieren, um dieses Dokument nachzuverfolgen und zu widerrufen.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

Wenn ich ein durch RMS geschütztes Office-Dokument öffne, wird die zugehörige temporäre Datei ebenfalls durch RMS geschützt?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

NeinNo. In diesem Szenario enthält die zugehörige temporäre Datei keine Daten aus dem Originaldokument, sondern nur das, was der Benutzer eingibt, während die Datei geöffnet ist.In this scenario, the associated temporary file doesn't contain data from the original document but instead, only what the user enters while the file is open. Im Gegensatz zur ursprünglichen Datei ist die temporäre Datei offensichtlich nicht für die Freigabe vorgesehen und würde auf dem Gerät verbleiben, geschützt durch lokale Sicherheitsmechanismen wie BitLocker und EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

Eine Funktion, die ich Suche, scheint nicht mit SharePoint-geschützten Bibliotheken zu funktionieren – ist die Unterstützung für meine Funktion geplant?A feature I am looking for doesn't seem to work with SharePoint protected libraries—is support for my feature planned?

Derzeit unterstützt Microsoft SharePoint RMS-geschützte Dokumente mithilfe von unm-geschützten Bibliotheken, die Rights Management Vorlagen, die dokumentenverfolgung und einige andere Funktionen nicht unterstützen.Currently, Microsoft SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Weitere Informationen finden Sie im Abschnitt SharePoint in Microsoft 365 und SharePoint Server im Artikel Office-Anwendungen und-Dienste .For more information, see the SharePoint in Microsoft 365 and SharePoint Server section in the Office applications and services article.

Wenn Sie an einer bestimmten Funktion interessiert sind, die noch nicht unterstützt wird, sollten Sie die Ankündigungen im Blog zu Enterprise Mobility + Security im Auge behalten.If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Gewusst wie Konfigurieren eines Laufwerks in SharePoint, sodass Benutzer Ihre Dateien sicher für Personen innerhalb und außerhalb des Unternehmens freigeben können?How do I configure One Drive in SharePoint, so that users can safely share their files with people inside and outside the company?

Standardmäßig wird dies als Office 365-Administrator nicht konfiguriert. Benutzer.By default, as an Office 365 administrator, you don't configure this; users do.

Ebenso wie ein SharePoint-Website Administrator für eine SharePoint-Bibliothek, deren Besitzer er ist, "unm" aktiviert und konfiguriert, ist onedrive für Benutzer so konzipiert, dass Sie für Ihre eigene onedrive-Bibliothek "IRiM" aktivieren und konfigurieren können.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive is designed for users to enable and configure IRM for their own OneDrive library. Mit PowerShell können Sie diese Aufgabe jedoch für sie übernehmen.However, by using PowerShell, you can do this for them. Anweisungen hierzu finden Sie im Abschnitt SharePoint in Microsoft 365 und onedrive: IRiM-Konfiguration im Artikel Office 365: Konfiguration für Clients und Onlinedienste .For instructions, see the SharePoint in Microsoft 365 and OneDrive: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Kennen Sie Tipps und Tricks für eine erfolgreiche Bereitstellung?Do you have any tips or tricks for a successful deployment?

Nachdem wir viele Bereitstellungen betreut und unseren Kunden, Partnern, Beratern und Supportengineers zugehört haben, ist einer der besten Tipps, die wir aus Erfahrung weitergeben können: Entwerfen und implementieren Sie einfache Richtlinien.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Da Azure Information Protection die sichere Freigabe von Daten für jedermann unterstützt, können Sie es sich leisten, ehrgeizig zu sein, wenn es um den Schutz Ihrer Daten geht.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Seien Sie jedoch vorsichtig, wenn Sie Einschränkungen der Rechteverwendung konfigurieren.But be conservative when you configure rights usage restrictions. Für viele Unternehmen ist die größte Auswirkung auf das Geschäft die Verhinderung von Datendiebstahl durch die Beschränkung des Zugriffs auf Personen im Unternehmen.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Natürlich können Sie viel differenziertere erhalten, als wenn Sie – Personen am drucken, bearbeiten usw. hindern müssen. Behalten Sie jedoch die präziseteren Einschränkungen als Ausnahme für Dokumente bei, die wirklich eine hohe Sicherheit benötigen, und implementieren Sie diese restriktiveren Nutzungsrechte nicht am ersten Tag, sondern planen Sie einen mehrstufigen Ansatz.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don't implement these more restrictive usage rights on day one, but plan for a more phased approach.

Wie erhalten wir erneut Zugriff auf Dateien, die von einem Mitarbeiter geschützt wurden, der das Unternehmen inzwischen verlassen hat?How do we regain access to files that were protected by an employee who has now left the organization?

Verwenden Sie das Feature Administrator (super user), das autorisierten Benutzern das Nutzungsrecht „Vollzugriff“ für alle Dokumente und E-Mails gewährt, die durch Ihren Mandanten geschützt sind.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Administratoren können diesen geschützten Inhalt immer lesen und bei Bedarf den Schutz aufheben oder den Inhalt erneut für andere Benutzer schützen.Super users can always read this protected content, and if necessary, remove the protection or reprotect it for different users. Mit diesem Feature können autorisierte Dienste bei Bedarf Dateien indizieren und untersuchen.This same feature lets authorized services index and inspect files, as needed.

Wenn ich den Widerruf auf der Dokumentnachverfolgungsseite teste, sehe ich eine Meldung, die besagt, dass Personen bis zu 30 Tage lang auf das Dokument zugreifen können. Ist dieser Zeitraum konfigurierbar?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Ja.Yes. Diese Meldung gibt die Nutzungslizenz für diese bestimmte Datei an.This message reflects the use license for that specific file.

Wenn Sie eine Datei widerrufen, kann diese Aktion nur erzwungen werden, wenn sich der Benutzer bei Azure Rights Management Service authentifiziert.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Wenn eine Datei also eine Gültigkeitsdauer der Nutzungslizenz von 30 Tagen aufweist und der Benutzer das Dokument bereits geöffnet hat, hat dieser Benutzer für die Dauer der Nutzungslizenz weiterhin Zugriff auf das Dokument.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Wenn die Nutzungslizenz abläuft, muss sich der Benutzer erneut authentifizieren. Daraufhin wird dem Benutzer der Zugriff verweigert, da das Dokument nun widerrufen ist.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

Der Benutzer, der das Dokument geschützt hat (der Rights Management-Herausgeber), ist von diesem Widerruf ausgenommen und kann jederzeit auf seine Dokumente zugreifen.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

Der Standardwert für den Gültigkeitszeitraum der Nutzungslizenz für einen Mandanten beträgt 30 Tage. Diese Einstellung kann durch eine restriktivere Einstellung in einer Bezeichnung oder einer Vorlage überschrieben werden.The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. Weitere Informationen zur Nutzungslizenz und deren Konfiguration finden Sie in der Dokumentation zur Rights Management-Nutzungslizenz.For more information about the use license and how to configure it, see the Rights Management use license documentation.

Kann Rights Management Bildschirmaufnahmen verhindern?Can Rights Management prevent screen captures?

Wenn Sie das Nutzungsrecht" Kopieren " nicht gewähren, können Rights Management Bildschirmaufnahmen von vielen der häufig verwendeten Bildschirm Erfassungs Tools auf Windows-Plattformen (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile) und Android verhindern.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile) and Android. iOS- und Mac-Geräte erlauben Apps jedoch das Verhindern von Bildschirmaufnahmen nicht.However, iOS and Mac devices do not allow any app to prevent screen captures. Ferner können Browser auf Geräten, gleich welchen, keine Bildschirmaufnahmen verhindern.In addition, browsers on any device cannot prevent screen captures. Die Browser Verwendung umfasst Outlook im Web und Office für das Web.Browser use includes Outlook on the web and Office for the web.

Das Verhindern von Bildschirmaufnahmen kann helfen, eine versehentliche oder fahrlässige Offenlegung vertraulicher oder sensibler Informationen zu vermeiden.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. Es gibt jedoch viele Möglichkeiten, wie ein Benutzerdaten freigeben kann, die auf einem Bildschirm angezeigt werden, und ein Screenshot ist nur eine Methode.But there are many ways that a user can share data that is displayed on a screen, and taking a screenshot is only one method. Beispielsweise kann ein Benutzer, der beabsichtigt, angezeigte Informationen zu teilen, mit seiner Smartphonekamera ein Foto davon machen, die Daten erneut eingeben oder sie einfach mündlich an eine andere Person weitergeben.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Wie diese Beispiele zeigen, kann Technologie allein nicht immer verhindern, dass Benutzer Daten unerlaubt gemeinsam nutzen, selbst wenn alle Plattformen und die gesamte Software die Rights Management-APIs zur Blockierung von Bildschirmaufnahmen unterstützten.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. Rights Management kann Ihnen dabei helfen, Ihre wichtigen Daten durch die Verwendung von Autorisierung und Nutzungsrichtlinien zu schützen, aber diese Lösung für die Verwaltung von Unternehmensrechten sollte zusammen mit anderen Kontrollmechanismen verwendet werden.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Implementieren Sie beispielsweise physische Sicherheit, überprüfen und überwachen Sie sorgfältig Personen, die autorisierten Zugriff auf die Daten Ihres Unternehmens besitzen, und investieren Sie in die Schulung der Benutzer, damit Benutzer verstehen, welche Daten nicht geteilt werden sollten.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Worin besteht der Unterschied zwischen einem Benutzer, der eine E-Mail mit „Nicht weiterleiten“ schützt, und einer Vorlage, die das Recht „Weiterleiten“ nicht enthält?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

Trotz des Namens und des Erscheinungsbilds ist Nicht weiterleiten nicht das Gegenteil des Rechts „Weiterleiten“ oder einer Vorlage.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Es handelt sich eigentlich um einen Satz von Rechten, die das Einschränken von kopieren, Drucken und Speichern der e-Mail außerhalb des Postfachs, zusätzlich zum Einschränken der Weiterleitung von e-Mails, beinhalten.It is actually a set of rights that include restricting copying, printing, and saving the email outside the mailbox, in addition to restricting the forwarding of emails. Die Rechte werden auf Benutzer über die ausgewählten Empfänger dynamisch angewendet und nicht statisch vom Administrator zugewiesen.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Weitere Informationen finden Sie im Abschnitt "nicht weiterleiten" für e-Mails unter Konfigurieren von Nutzungsrechten für Azure Information Protection.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Information Protection.