Administratorhandbuch: Benutzerdefinierte Konfigurationen für den Azure Information Protection-ClientAdmin Guide: Custom configurations for the Azure Information Protection client

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 mit SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows 7 with SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Anweisungen für: Azure Information Protection-Client für WindowsInstructions for: Azure Information Protection client for Windows

Verwenden Sie die folgenden Informationen für erweiterte Konfigurationen, die Sie bei der Verwaltung des Azure Information Protection-Clients möglicherweise für spezifische Szenarien oder eine Teilmenge der Benutzer benötigen.Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection client.

Einige dieser Einstellungen erfordern die Bearbeitung der Registrierung. Andere sind erweiterte Einstellungen, die Sie im Azure-Portal konfigurieren und anschließend für das Herunterladen durch Clients veröffentlichen müssen.Some of these settings require editing the registry and some use advanced settings that you must configure in the Azure portal, and then publish for clients to download.

Konfigurieren erweiterter Clientkonfigurationseinstellungen im PortalHow to configure advanced client configuration settings in the portal

  1. Melden Sie sich ggf. in einem neuen Browserfenster beim Azure-Portal an, und navigieren Sie zum Blatt Azure Information Protection.If you haven't already done so, in a new browser window, sign in to the Azure portal, and then navigate to the Azure Information Protection blade.

  2. Über die Menüoptionen Klassifizierungen > Bezeichnungen: Wählen Sie Richtlinien aus.From the Classifications > Labels menu option: Select Policies.

  3. Auf dem Blatt Azure Information Protection – Richtlinien wählen Sie das Kontextmenü (...) neben der Richtlinie aus, um die erweiterten Einstellungen einzuschließen.On the Azure Information Protection - Policies blade, select the context menu (...) next to the policy to contain the advanced settings. Wählen Sie dann Erweiterte Einstellungen aus.Then select Advanced settings.

    Sie können erweiterte Einstellungen für die globale Richtlinie sowie für bereichsbezogene Richtlinien konfigurieren.You can configure advanced settings for the Global policy, as well as for scoped policies.

  4. Geben Sie auf dem Blatt Erweiterte Einstellungen den Namen und Wert der erweiterten Einstellung ein, und klicken Sie dann auf Speichern und schließen.On the Advanced settings blade, type the advanced setting name and value, and then select Save and close.

  5. Stellen Sie sicher, dass Benutzer, für die diese Richtlinie gilt, alle Office-Anwendungen neu starten, die geöffnet waren.Make sure that users for this policy restart any Office applications that they had open.

  6. Wenn Sie die Einstellung nicht mehr benötigen und zum Standardverhalten zurückkehren möchten: Rufen Sie auf dem Blatt Erweiterte Einstellungen das Kontextmenü (...) neben der Einstellung auf, die Sie nicht mehr benötigen, und wählen Sie dann Löschen aus.If you no longer need the setting and want to revert to the default behavior: On the Advanced settings blade, select the context menu (...) next to the setting you no longer need, and then select Delete. Klicken Sie anschließend auf Speichern und Schließen.Then click Save and close.

Verfügbare erweiterte ClienteinstellungenAvailable advanced client settings

EinstellungSetting Szenario und AnweisungenScenario and instructions
DisableDNFDisableDNF Ausblenden der Schaltfläche „Nicht weiterleiten“ in OutlookHide or show the Do Not Forward button in Outlook
CompareSubLabelsInAttachmentActionCompareSubLabelsInAttachmentAction Aktivieren der Unterstützung der Reihenfolge für untergeordnete BezeichnungenEnable order support for sublabels
EnableBarHidingEnableBarHiding Die Azure Information Protection-Leiste dauerhaft ausblendenPermanently hide the Azure Information Protection bar
EnableCustomPermissionsEnableCustomPermissions Verfügbar- oder Nicht-Verfügbarmachen der Optionen für benutzerdefinierte Berechtigungen für BenutzerMake the custom permissions options available or unavailable to users
EnableCustomPermissionsForCustomProtectedFilesEnableCustomPermissionsForCustomProtectedFiles Ständiges Anzeigen von benutzerdefinierten Berechtigungen für Benutzer im Dateiexplorer für mit benutzerdefinierten Berechtigungen geschützte DateienFor files protected with custom permissions, always display custom permissions to users in File Explorer
EnablePDFv2ProtectionEnablePDFv2Protection Schützen Sie keine PDF-Dateien mithilfe des ISO-Standards für die PDF-Verschlüsselung.Don't protect PDF files by using the ISO standard for PDF encryption
LabelbyCustomPropertyLabelbyCustomProperty Migrieren von Bezeichnungen von Secure Islands und anderen BezeichnungslösungenMigrate labels from Secure Islands and other labeling solutions
LabelToSMIMELabelToSMIME Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwendenConfigure a label to apply S/MIME protection in Outlook
LogLevelLogLevel Ändern des lokalen ProtokolliergradsChange the local logging level
LogMatchedContentLogMatchedContent Deaktivieren der Übereinstimmungen des Sendeinformationstyps für eine Teilmenge von BenutzernDisable sending information type matches for a subset of users
OutlookBlockTrustedDomainsOutlookBlockTrustedDomains Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookBlockUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookDefaultLabelOutlookDefaultLabel Festlegen einer anderen Standardbezeichnung für OutlookSet a different default label for Outlook
OutlookJustifyTrustedDomainsOutlookJustifyTrustedDomains Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookJustifyUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabel Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookRecommendationEnabledOutlookRecommendationEnabled Die empfohlene Klassifizierung in Outlook aktivierenEnable recommended classification in Outlook
OutlookOverrideUnlabeledCollaborationExtensionsOutlookOverrideUnlabeledCollaborationExtensions Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnTrustedDomainsOutlookWarnTrustedDomains Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnUntrustedCollaborationLabelOutlookWarnUntrustedCollaborationLabel Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent
PostponeMandatoryBeforeSavePostponeMandatoryBeforeSave Deaktivieren der Option „Nicht jetzt“ für Dokumente bei Verwendung der obligatorischen BezeichnungRemove "Not now" for documents when you use mandatory labeling
ProcessUsingLowIntegrityProcessUsingLowIntegrity Deaktivieren der niedrigen Integritätsebene für den ScannerDisable the low integrity level for the scanner
PullPolicyPullPolicy Unterstützung für getrennte ComputerSupport for disconnected computers
RemoveExternalContentMarkingInAppRemoveExternalContentMarkingInApp Entfernen von Kopf- und Fußzeilen aus anderen BezeichnungslösungenRemove headers and footers from other labeling solutions
ReportAnIssueLinkReportAnIssueLink Add "Report an Issue" for users ("Problem melden" für Benutzer hinzufügen)Add "Report an Issue" for users
RunAuditInformationTypeDiscoveryRunAuditInformationTypeDiscovery Aktivieren von Azure Information Protection-Analysen zur Erkennung vertraulicher Informationen in DokumentenEnable Azure Information Protection analytics to discover sensitive information in documents
RunPolicyInBackgroundRunPolicyInBackground Aktivieren der dauerhaft im Hintergrund ausgeführten KlassifizierungTurn on classification to run continuously in the background
ScannerConcurrencyLevelScannerConcurrencyLevel Begrenzen der Anzahl der von der Überprüfung verwendeten ThreadsLimit the number of threads used by the scanner
SyncPropertyNameSyncPropertyName Hinzufügen einer Bezeichnung zu einem Office-Dokument über eine bereits bestehende benutzerdefinierte EigenschaftLabel an Office document by using an existing custom property
SyncPropertyStateSyncPropertyState Hinzufügen einer Bezeichnung zu einem Office-Dokument über eine bereits bestehende benutzerdefinierte EigenschaftLabel an Office document by using an existing custom property

Verhindern von Anmeldeaufforderungen für Computer, die nur AD RMS verwendenPrevent sign-in prompts for AD RMS only computers

Der Azure Information Protection-Client versucht standardmäßig, eine Verbindung mit dem Azure Information Protection-Dienst herzustellen.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service. Diese Konfiguration kann bei Computern, die nur mit AD RMS kommunizieren, zu einer unnötigen Anmeldeaufforderung für Benutzer führen.For computers that only communicate with AD RMS, this configuration can result in a sign-in prompt for users that is not necessary. Sie können diese Anmeldeaufforderung verhindern, indem Sie die Registrierung bearbeiten:You can prevent this sign-in prompt by editing the registry.

  • Suchen Sie nach dem folgenden Wertnamen, und legen Sie anschließend die Wertdaten auf 0 fest:Locate the following value name, and then set the value data to 0:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Unabhängig von dieser Einstellung folgt der Azure Information Protection-Client dem Prozess zur RMS-Diensterkennung, um sein AD RMS-Cluster zu finden.Regardless of this setting, the Azure Information Protection client still follows the standard RMS service discovery process to find its AD RMS cluster.

Anmelden als ein anderer BenutzerSign in as a different user

In einer Produktionsumgebung müssen sich Benutzer in der Regel nicht als ein anderer Benutzer anmelden, wenn sie den Azure Information Protection-Client verwenden.In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection client. Allerdings müssen Sie sich als Administrator während einer Testphase möglicherweise als anderer Benutzer anmelden.However, as an administrator, you might need to sign in as a different user during a testing phase.

Mithilfe des Dialogfelds Microsoft Azure Information Protection können Sie prüfen, an welchem Konto Sie derzeit angemeldet sind: Öffnen Sie eine Office-Anwendung, und klicken Sie auf der Registerkarte Start in der Gruppe Protection (Schutz) auf Protect (Schützen) und anschließend auf Help and feedback (Hilfe und Feedback).You can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, in the Protection group, click Protect, and then click Help and feedback. Ihr Kontoname wird im Abschnitt Clientstatus angezeigt.Your account name is displayed in the Client status section.

Überprüfen Sie auf jeden Fall auch den Domänennamen des angezeigten angemeldeten Kontos.Be sure to also check the domain name of the signed in account that's displayed. Es lässt sich leicht übersehen, dass Sie mit dem richtigen Kontonamen, aber bei der falschen Domäne angemeldet sind.It can be easy to miss that you're signed in with the right account name but wrong domain. Ein Hinweis auf das Verwenden des falschen Kontos können Fehler beim Herunterladen der Azure Information Protection-Richtlinie, die fehlende Anzeige der Bezeichnungen oder unerwartete Verhaltensweisen sein.A symptom of using the wrong account includes failing to download the Azure Information Protection policy, or not seeing the labels or behavior that you expect.

So melden Sie sich als ein anderer Benutzer an:To sign in as a different user:

  1. Navigieren Sie zu %localappdata%\Microsoft\MSIP, und löschen Sie die Datei TokenCache.Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. Starten Sie alle offenen Office-Anwendungen neu, und melden Sie sich mit einem anderen Benutzerkonto an.Restart any open Office applications and sign in with your different user account. Wenn in Ihrer Office-Anwendung keine Eingabeaufforderung für die Anmeldung beim Azure Information Protection-Dienst angezeigt wird, kehren Sie zum Dialogfeld Microsoft Azure Information Protection zurück, und klicken Sie im aktualisierten Abschnitt Clientstatus auf Anmelden.If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and click Sign in from the updated Client status section.

Darüber hinaus gilt:Additionally:

  • Wenn der Azure Information Protection-Client nach Abschluss dieser Schritte noch mit dem alten Konto angemeldet ist, löschen Sie im Internet Explorer alle Cookies, und wiederholen Sie dann die Schritte 1 und 2.If the Azure Information Protection client is still signed in with the old account after completing these steps, delete all cookies from Internet Explorer, and then repeat steps 1 and 2.

  • Wenn Sie einmaliges Anmelden nutzen, müssen Sie sich bei Windows abmelden und mit einem anderen Benutzerkonto erneut anmelden, nachdem Sie die Tokendatei gelöscht haben.If you are using single sign-on, you must sign out from Windows and sign in with your different user account after deleting the token file. Der Azure Information Protection-Client wird automatisch mit Ihrem aktuell angemeldeten Benutzerkonto authentifiziert.The Azure Information Protection client then automatically authenticates by using your currently signed in user account.

  • Diese Lösung wird unterstützt, wenn Sie sich als anderer Benutzer des gleichen Mandanten anmelden möchten.This solution is supported for signing in as another user from the same tenant. Diese Lösung wird nicht unterstützt, wenn Sie sich als anderer Benutzer eines anderen Mandanten anmelden möchten.It is not supported for signing in as another user from a different tenant. Um Azure Information Protection mit mehreren Mandanten zu testen, verwenden Sie verschiedene Computer.To test Azure Information Protection with multiple tenants, use different computers.

  • Sie können die Option Einstellungen zurücksetzen unter Hilfe und Feedback verwenden, um sich abzumelden und die aktuell heruntergeladene Azure Information Protection-Richtlinie zu löschen.You can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded Azure Information Protection policy.

Erzwingen des reinen Schutzmodus, wenn die Organisation über eine Kombination verschiedener Lizenzen verfügtEnforce protection-only mode when your organization has a mix of licenses

Wenn Ihre Organisation keine Lizenzen für Azure Information Protection besitzt, aber über Lizenzen für Office 365 verfügt, die den Azure Rights Management-Dienst für den Datenschutz umfassen, wird der Azure Information Protection-Client für Windows automatisch im reinen Schutzmodus ausgeführt.If your organization does not have any licenses for Azure Information Protection, but does have licenses for Office 365 that include the Azure Rights Management service for protecting data, the Azure Information Protection client for Windows automatically runs in protection-only mode.

Wenn Ihre Organisation jedoch über ein Abonnement für Azure Information Protection verfügt, können standardmäßig alle Windows-Computer die Azure Information Protection-Richtlinie herunterladen.However, if your organization has a subscription for Azure Information Protection, by default all Windows computers can download the Azure Information Protection policy. Der Azure Information Protection-Client ist nicht für die Überprüfung und Erzwingung von Lizenzen zuständig.The Azure Information Protection client does not do license checking and enforcement.

Wenn einige Ihrer Benutzer keine Lizenz für Azure Information Protection, aber eine Lizenz für Office 365 haben, die den Azure Rights Management-Dienst umfasst, bearbeiten Sie die Registrierung auf den Computern dieser Benutzer, um zu verhindern, dass diese Benutzer die nicht lizenzierten Klassifizierungs- und Bezeichnungsfeatures von Azure Information Protection ausführen.If you have some users who do not have a license for Azure Information Protection but do have a license for Office 365 that includes the Azure Rights Management service, edit the registry on these users' computers to prevent users from running the unlicensed classification and labeling features from Azure Information Protection.

Suchen Sie nach dem folgenden Wertnamen, und legen Sie die Wertdaten auf 0 fest:Locate the following value name and set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Überprüfen Sie außerdem, ob auf diesen Computern eine Datei namens Policy.msip im Ordner %LocalAppData%\Microsoft\MSIP vorhanden ist.In addition, check that these computers do not have a file named Policy.msip in the %LocalAppData%\Microsoft\MSIP folder. Wenn diese Datei vorhanden ist, löschen Sie sie.If this file exists, delete it. Diese Datei enthält die Azure Information Protection-Richtlinie und wurde möglicherweise heruntergeladen, bevor Sie die Registrierung bearbeitet haben. Die Datei kann auch vorhanden sein, wenn der Azure Information Protection-Client mit der Demooption installiert wurde.This file contains the Azure Information Protection policy and might have downloaded before you edited the registry, or if the Azure Information Protection client was installed with the demo option.

Add "Report an Issue" for users ("Problem melden" für Benutzer hinzufügen)Add "Report an Issue" for users

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn Sie die folgende erweiterte Clienteinstellung angeben, wird Benutzern die Option Problem melden angezeigt, die sie aus dem Clientdialogfeld Hilfe und Feedback auswählen können.When you specify the following advanced client setting, users see a Report an Issue option that they can select from the Help and Feedback client dialog box. Geben Sie eine HTTP-Zeichenfolge für den Link an.Specify an HTTP string for the link. Beispiele dafür sind eine benutzerdefinierte Webseite, über die Benutzer Probleme melden, oder eine E-Mail-Adresse, die E-Mails an Ihren Helpdesk weiterleitet.For example, a customized web page that you have for users to report issues, or an email address that goes to your help desk.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: ReportAnIssueLinkKey: ReportAnIssueLink

  • Wert: <HTTP-Zeichenfolge>Value: <HTTP string>

Beispielwert für eine Website: https://support.contoso.comExample value for a website: https://support.contoso.com

Beispielwert für eine E-Mail-Adresse: mailto:helpdesk@contoso.comExample value for an email address: mailto:helpdesk@contoso.com

Ausblenden der Menüoption „Klassifizieren und schützen“ im Windows-DateiexplorerHide the Classify and Protect menu option in Windows File Explorer

Erstellen Sie den folgenden DWORD-Wert (mit beliebigen Wertdaten):Create the following DWORD value name (with any value data):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisableHKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Unterstützung für getrennte ComputerSupport for disconnected computers

Der Azure Information Protection-Client versucht standardmäßig, eine Verbindung mit dem Azure Information Protection-Dienst herzustellen, um die neueste Azure Information Protection-Richtlinie herunterzuladen.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service to download the latest Azure Information Protection policy. Wenn Sie über Computer verfügen, von denen Sie wissen, dass sie für einen bestimmten Zeitraum keine Verbindung mit dem Internet herstellen können, können Sie den Client durch Bearbeiten der Registrierung am Verbindungsversuch mit dem Dienst hindern.If you have computers that you know will not be able to connect to the Internet for a period of time, you can prevent the client from attempting to connect to the service by editing the registry.

Beachten Sie, dass ohne Internetverbindung der Client keinen Schutz durch den cloudbasierten Schlüssel Ihrer Organisation anwenden (oder entfernen) kann.Note that without an Internet connection, the client cannot apply protection (or remove protection) by using your organization's cloud-based key. Stattdessen ist der Client auf die Verwendung von Bezeichnungen beschränkt, für die ausschließlich die Klassifizierung verwendet wird, oder auf den Schutz mit HYOK.Instead, the client is limited to using labels that apply classification only, or protection that uses HYOK.

Sie können eine Anmeldeaufforderung für den Azure Information Protection-Dienst verhindern, indem Sie eine erweiterte Clienteinstellung verwenden. Diese müssen Sie im Azure-Portal konfigurieren und die Richtlinie dann für Computer herunterladen.You can prevent a sign-in prompt to the Azure Information Protection service by using an advanced client setting that you must configure in the Azure portal and then download the policy for computers. Darüber hinaus können Sie dies diese Anmeldeaufforderung verhindern, indem Sie die Registrierung bearbeiten:Or, you can prevent this sign-in prompt by editing the registry.

  • So konfigurieren Sie die erweiterte Clienteinstellung:To configure the advanced client setting:

    1. Geben Sie die folgende Zeichenfolge ein:Enter the following strings:

      • Schlüssel: PullPolicyKey: PullPolicy

      • Wert: FalseValue: False

    2. Laden Sie die Richtlinie mit dieser Einstellung herunter und installieren Sie sie auf Computern, indem Sie die folgenden Anweisungen befolgen.Download the policy with this setting and install it on computers by using the instructions that follow.

  • Alternativ können Sie auch die Registrierung bearbeiten:Alternatively, to edit the registry:

    • Suchen Sie nach dem folgenden Wertnamen, und legen Sie anschließend die Wertdaten auf 0 fest:Locate the following value name, and then set the value data to 0:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Der Client benötigt eine gültige Richtliniendatei Policy.msip im Ordner %LocalAppData%\Microsoft\MSIP.The client must have a valid policy file named Policy.msip, in the %LocalAppData%\Microsoft\MSIP folder.

Sie können die globale oder eine bereichsbezogene Richtlinie aus dem Azure-Portal exportieren und die exportierte Datei auf den Clientcomputer kopieren.You can export the global policy or a scoped policy from the Azure portal, and copy the exported file to the client computer. Sie können mithilfe dieser Methode auch eine veraltete Richtliniendatei durch die neueste Richtlinie ersetzen.You can also use this method to replace an-out-of-date policy file with the latest policy. Der Export der Richtlinie unterstützt jedoch nicht das Szenario, in dem ein Benutzer zu mehr als einer bereichsbezogenen Richtlinie gehört.However, exporting the policy does not support the scenario where a user belongs to more than one scoped policy. Beachten Sie auch Folgendes: Wenn Benutzer die Option Einstellungen zurücksetzen aus Hilfe und Feedback auswählen, löscht diese Aktion die Richtliniendatei und macht den Client funktionsunfähig, bis Sie die Richtliniendatei manuell ersetzen, oder der Client eine Verbindung mit dem Dienst zum Herunterladen der Richtlinie herstellt.Also be aware that if users select the Reset Settings option from Help and feedback, this action deletes the policy file and renders the client inoperable until you manually replace the policy file or the client connects to the service to download the policy.

Wenn Sie die Richtlinie aus dem Azure-Portal exportieren, wird eine ZIP-Datei heruntergeladen, die mehrere Versionen der Richtlinie enthält.When you export the policy from the Azure portal, a zipped file is downloaded that contains multiple versions of the policy. Diese Richtlinienversionen entsprechen verschiedenen Versionen des Azure Information Protection-Clients:These policy versions correspond to different versions of the Azure Information Protection client:

  1. Entzippen Sie die Datei, und verwenden Sie die folgende Tabelle, um zu identifizieren, welche Richtliniendatei Sie benötigen.Unzip the file and use the following table to identify which policy file you need.

    DateinameFile name Entsprechende ClientversionCorresponding client version
    Policy1.1.msipPolicy1.1.msip Version 1.2version 1.2
    Policy1.2.msipPolicy1.2.msip Version 1.3 – 1.7version 1.3 - 1.7
    Policy1.3.msipPolicy1.3.msip Version 1.8 – 1.29version 1.8 - 1.29
    Policy1.4.msipPolicy1.4.msip Version 1.32 und höherversion 1.32 and later
  2. Benennen Sie die identifizierte Datei zu Policy.msip um, und kopieren Sie sie in den Ordner %LocalAppData%\Microsoft\MSIP auf Computern, auf denen der Azure Information Protection-Client installiert ist.Rename the identified file to Policy.msip, and then copy it to the %LocalAppData%\Microsoft\MSIP folder on computers that have the Azure Information Protection client installed.

Wenn es sich bei Ihrer nicht verbundene Computer die aktuelle GA-Version der Azure Information Protection-Überprüfung ausgeführt wird, stehen zusätzliche Konfigurationsschritte erforderlich, die Sie ausführen müssen.If your disconnected computer is running the current GA version of the Azure Information Protection scanner, there are additional configuration steps you must take. Weitere Informationen hierzu finden Sie unter Einschränkung: Der Überprüfungsserver kann über keine Internetkonnektivität verfügen in den Anweisungen zur Bereitstellung des Scanners.For more information, see Restriction: The scanner server cannot have Internet connectivity from the scanner deployment instructions.

Ausblenden oder Anzeigen der Schaltfläche „Nicht weiterleiten“ in OutlookHide or show the Do Not Forward button in Outlook

Das empfohlene Vorgehen zum Konfigurieren dieser Option ist die Verwendung der Richtlinieneinstellung Add the Do Not Forward button to the Outlook ribbon (Die Schaltfläche „Nicht weiterleiten“ dem Outlook-Menüband hinzufügen).The recommended method to configure this option is by using the policy setting Add the Do Not Forward button to the Outlook ribbon. Allerdings können Sie diese Option auch mithilfe einer erweiterten Clienteinstellung konfigurieren. Dies können Sie über das Azure-Portal durchführen.However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

Wenn Sie diese Einstellung konfigurieren, wird die Schaltfläche Nicht weiterleiten auf dem Menüband in Outlook ausgeblendet oder angezeigt.When you configure this setting, it hides or shows the Do Not Forward button on the ribbon in Outlook. Diese Einstellung hat keine Auswirkung auf die Option „Nicht weiterleiten“ der Office-Menüs.This setting has no effect on the Do Not Forward option from Office menus.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: DisableDNFKey: DisableDNF

  • Wert: TRUE zum Ausblenden der Schaltfläche, FALSE zum Anzeigen der SchaltflächeValue: True to hide the button, or False to show the button

Verfügbar- oder Nicht-Verfügbarmachen der Optionen für benutzerdefinierte Berechtigungen für BenutzerMake the custom permissions options available or unavailable to users

Das empfohlene Vorgehen zum Konfigurieren dieser Option ist die Verwendung der Richtlinieneinstellung Make the custom permissions option available for users (Die benutzerdefinierte Berechtigungsoption für Benutzer verfügbar machen).The recommended method to configure this option is by using the policy setting Make the custom permissions option available for users. Allerdings können Sie diese Option auch mithilfe einer erweiterten Clienteinstellung konfigurieren. Dies können Sie über das Azure-Portal durchführen.However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

Wenn Sie diese Einstellung konfigurieren und die Richtlinie für Benutzer veröffentlichen, werden die benutzerdefinierten Berechtigungsoptionen für Benutzer sichtbar, woraufhin diese ihre eigenen Schutzeinstellungen auswählen können. Alternativ werden die Optionen ausgeblendet, damit Benutzer ihre Schutzeinstellungen nicht auswählen können, es sei denn, sie werden dazu aufgefordert.When you configure this setting and publish the policy for users, the custom permissions options become visible for users to select their own protection settings, or they are hidden so that users can't select their own protection settings unless prompted.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: EnableCustomPermissionsKey: EnableCustomPermissions

  • Wert: TRUE, um die Option für benutzerdefinierte Berechtigungen anzuzeigen, FALSE, um diese Option auszublendenValue: True to make the custom permissions option visible, or False to hide this option

Ständiges Anzeigen von benutzerdefinierten Berechtigungen für Benutzer im Dateiexplorer für mit benutzerdefinierten Berechtigungen geschützte DateienFor files protected with custom permissions, always display custom permissions to users in File Explorer

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal. Diese Einstellung befindet sich in der Vorschauversion und kann sich ändern.This setting is in preview and might change.

Wenn Sie die Richtlinieneinstellung Option für benutzerdefinierte Berechtigungen für Benutzer verfügbar machen oder die entsprechende Clienteinstellung im vorherigen Abschnitt konfigurieren, können Benutzer benutzerdefinierte Berechtigungen nicht sehen oder ändern, die für ein geschütztes Dokument bereits festgelegt wurden.When you configure the policy setting Make the custom permissions option available for users or the equivalent advanced client setting in the previous section, users are not able to see or change custom permissions that are already set in a protected document.

Wenn Sie diese erweiterte Clienteinstellung erstellen und konfigurieren, können Benutzer Berechtigungen für ein geschütztes Dokument sehen und ändern, wenn sie den Dateiexplorer verwenden, und mit der rechten Maustaste auf die Datei klicken.When you create and configure this advanced client setting, users can see and change custom permissions for a protected document when they use File Explorer, and right-click the file. Die Option Benutzerdefinierte Berechtigungen über die Schaltfläche Schützen auf dem Office-Menüband bleibt ausgeblendet.The Custom Permissions option from the Protect button on the Office ribbon remains hidden.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: EnableCustomPermissionsForCustomProtectedFilesKey: EnableCustomPermissionsForCustomProtectedFiles

  • Wert: TrueValue: True

Azure Information Protection-Leiste dauerhaft ausblendenPermanently hide the Azure Information Protection bar

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal. Verwenden Sie diese nur, wenn die Richtlinieneinstellung Display the Information Protection bar in Office apps (Die Information Protection-Leiste in Office-Apps anzeigen) auf Ein festgelegt ist.Use it only when the policy setting Display the Information Protection bar in Office apps is set to On.

Wenn ein Benutzer standardmäßig die Option Leiste anzeigen von der Registerkarte Start entfernt, werden die Schutzgruppe, die Schaltfläche Schützen und die Leiste „Information Protection“ nicht länger in der Office-App angezeigt.By default, if a user clears the Show Bar option from the Home tab, Protection group, Protect button, the Information Protection bar no longer displays in that Office app. Die Leiste wird jedoch automatisch wieder beim nächsten Öffnen der Office-App angezeigt.However, the bar automatically displays again the next time an Office app is opened.

Verwenden Sie diese Clienteinstellung, um zu verhindern, dass die Leiste automatisch wieder angezeigt wird, nachdem der Benutzer diese ausgeblendet hat.To prevent the bar from displaying again automatically after a user has chosen to hide it, use this client setting. Diese Einstellung hat keine Auswirkung, wenn der Benutzer die Leiste mithilfe des Symbols Diese Leiste schließen schließt.This setting has no effect if the user closes the bar by using the Close this bar icon.

Obwohl die Azure Information Protection-Leiste ausgeblendet bleibt, können Benutzer weiterhin eine Bezeichnung auf einer vorübergehend angezeigten Leiste auswählen, wenn Sie die empfohlene Klassifizierung konfiguriert haben oder ein Dokument oder eine E-Mail eine Bezeichnung aufweisen muss.Even though the Azure Information Protection bar remains hidden, users can still select a label from a temporarily displayed bar if you have configured recommended classification, or when a document or email must have a label.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: EnableBarHidingKey: EnableBarHiding

  • Wert: TrueValue: True

Aktivieren der Unterstützung der Reihenfolge für untergeordnete Bezeichnungen bei AnlagenEnable order support for sublabels on attachments

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Verwenden Sie diese Einstellung, wenn Sie über untergeordnete Bezeichnungen verfügen und die folgende Richtlinieneinstellung konfiguriert haben:Use this setting when you have sublabels and you have configured the following policy setting:

  • Für E-Mail-Nachrichten mit Anlagen eine Bezeichnung anwenden, die der höchsten Einstufung dieser Anlagen entsprichtFor email messages with attachments, apply a label that matches the highest classification of those attachments

Konfigurieren Sie die folgenden Zeichenfolgen:Configure the following strings:

  • Schlüssel: CompareSubLabelsInAttachmentActionKey: CompareSubLabelsInAttachmentAction

  • Wert: TrueValue: True

Ohne diese Einstellung wird die erste Bezeichnung, die unter der übergeordneten Bezeichnung mit der höchsten Klassifizierung gefunden wird, auf die E-Mail angewendet.Without this setting, the first label that's found from the parent label with the highest classification is applied to the email.

Mit dieser Einstellung wird die untergeordnete Bezeichnung, die sich am nächsten zur übergeordneten Bezeichnung mit der höchsten Klassifizierung befindet, auf die E-Mail angewendet.With this setting, the sublabel that's ordered last from the parent label with the highest classification is applied to the email. Wenn Sie Bezeichnungen neu anordnen müssen, um die gewünschte Bezeichnung auf dieses Szenario anzuwenden, informieren Sie sich unter Löschen oder Ändern der Position einer Bezeichnung für Azure Information Protection.If you need to reorder your labels to apply the label that you want for this scenario, see How to delete or reorder a label for Azure Information Protection.

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal. Diese Einstellung befindet sich in der Vorschauversion und kann sich ändern.This setting is in preview and might change.

Wenn Sie eine Bezeichnung für die empfohlene Klassifizierung konfigurieren, werden Benutzer dazu aufgefordert, die empfohlene Bezeichnung in Word, Excel und PowerPoint anzunehmen oder abzulehnen.When you configure a label for recommended classification, users are prompted to accept or dismiss the recommended label in Word, Excel, and PowerPoint. Diese Einstellung erweitert diese Bezeichnungsempfehlung, sodass sie auch in Outlook angezeigt wird.This setting extends this label recommendation to also display in Outlook.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: OutlookRecommendationEnabledKey: OutlookRecommendationEnabled

  • Wert: TrueValue: True

Implementieren von Popupmeldungen in Outlook, die E-Mails während des Sendens legitimieren, blockieren oder Warnungen für sie ausgebenImplement pop-up messages in Outlook that warn, justify, or block emails being sent

Diese Konfiguration verwendet mehrere erweiterte Clienteinstellungen, die Sie im Azure-Portal konfigurieren müssen.This configuration uses multiple advanced client settings that you must configure in the Azure portal.

Wenn Sie die folgenden erweiterten Clienteinstellungen erstellen und konfigurieren, werden Benutzern Popupmeldungen in Outlook angezeigt, die sie vor dem Senden einer E-Mail warnen können, oder sie nach einer Legitimierung fragen, warum sie eine E-Mail versenden, oder sie aus folgenden Gründen davon abhalten, eine E-Mail zu senden:When you create and configure the following advanced client settings, users see pop-up messages in Outlook that can warn them before sending an email, or ask them to provide justification why they are sending an email, or prevent them from sending an email for either of the following scenarios:

  • Die E-Mail oder der E-Mail-Anhang hat eine bestimmte Bezeichnung:Their email or attachment for the email has a specific label:

    • Der Anhang kann einen beliebigen Dateityp habenThe attachment can be any file type
  • Die E-Mail oder der E-Mail-Anhang hat keine bestimmte Bezeichnung:Their email or attachment for the email doesn't have a label:

    • Der Anhang kann ein Office-Dokument oder ein PDF-Dokument seinThe attachment can be an Office document or PDF document

Wenn diese Bedingungen erfüllt sind, und die E-Mail-Adresse des Empfängers nicht in einer Liste zulässiger Domänennamen enthalten ist, die Sie festgelegt haben, wird dem Benutzer eine Popupmeldung mit einer der folgenden Aktionen angezeigt:When these conditions are met and the recipient's email address is not included in a list of allowed domain names that you have specified, the user sees a pop-up messages with one of the following actions:

  • Warnung: Der Benutzer kann bestätigen und senden, oder abbrechen.Warn: The user can confirm and send, or cancel.

  • Justify (Legitimation): Der Benutzer wird zu einer Legitimierung aufgefordert (mit vordefinierten Optionen oder Freiform).Justify: The user is prompted for justification (predefined options or free-form). Der Benutzer kann dann die E-Mail senden oder abbrechen.The user can then send or cancel the email. Der Legitimationstext wird in den X-Header der E-Mail geschrieben, sodass dieser von anderen Systemen gelesen werden kann.The justification text is written to the email x-header, so that it can be read by other systems. Zum Beispiel von Diensten, die der Verhinderung von Datenverlust dienen.For example, data loss prevention (DLP) services.

  • Blockieren: Der Benutzer wird davon abgehalten, die E-Mail zu senden, solange die Bedingung besteht.Block: The user is prevented from sending the email while the condition remains. Die Nachricht beinhaltet den Grund dafür, warum die E-Mail blockiert wird, sodass der Benutzer das Problem aufheben kann.The message includes the reason for blocking the email, so the user can address the problem. So kann er z.B. bestimmte Empfänger entfernen, oder der E-Mail eine Bezeichnung hinzufügen.For example, remove specific recipients, or label the email.

Die daraus resultierende Aktion wird im lokalen Windows-Ereignisprotokoll protokolliert: Anwendungs- und Dienstprotokolle > Azure Information Protection:The resulting action is logged to the local Windows event log Applications and Services Logs > Azure Information Protection:

  • Warnmeldungen: Informations-ID 301Warn messages: Information ID 301

  • Legitimationsmeldungen: Informations-ID 302Justify messages: Information ID 302

  • Blockiermeldungen: Informations-ID 303Block messages: Information ID 303

Beispielereigniseintrag aus einer Legitimationsmeldung:Example event entry from a justify message:

Client Version: 1.48.204.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Die folgenden Abschnitte enthalten Anweisungen für jedes erweiterte Clienteinstellung, und Sie finden sie in der Aktion selbst mit Lernprogramm: Konfigurieren von Azure Information Protection, um zu steuern, der Informationen, die mithilfe von Outlook oversharing.The following sections contain configuration instructions for each advanced client setting, and you can see them in action for yourself with Tutorial: Configure Azure Information Protection to control oversharing of information using Outlook.

So werden die Popupmeldungen zum Warnen, zur Legitimation oder zum Blockieren für bestimme Bezeichnungen implementiert:To implement the warn, justify, or block pop-up messages for specific labels:

Um die Popupmeldungen für bestimmte Bezeichnungen implementieren zu können, benötigen Sie die Bezeichnungs-ID der entsprechenden Bezeichnungen.To implement the pop-up messages for specific labels, you must know the label ID for those labels. Der Wert der Bezeichnungs-ID wird auf dem Blatt Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren.The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. Bei Dateien, auf die Bezeichnungen angewendet wurden, können Sie auch das PowerShell-Cmdlet Get-AIPFileStatus ausführen, um die Bezeichnungs-ID (MainLabelId oder SubLabelId) zu identifizieren.For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). Wenn eine Bezeichnung über untergeordnete Bezeichnungen verfügt, geben Sie immer die ID einer untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Erstellen Sie mit den folgenden Schlüsseln eine oder mehr der folgenden erweiterten Clienteinstellungen.Create one or more of the following advanced client settings with the following keys. Geben Sie als Werte ein oder mehrere Bezeichnungen mit deren IDs an, und trennen Sie die einzelnen Werte mit Kommas.For the values, specify one or more labels by their IDs, each one separated by a comma.

Beispielwert für mehrere Bezeichnungs-IDs als kommagetrennte Zeichenfolge: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813fExample value for multiple label IDs as a comma-separated string: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • Warnmeldungen:Warn messages:

    • Schlüssel: OutlookWarnUntrustedCollaborationLabelKey: OutlookWarnUntrustedCollaborationLabel

    • Wert: <Label-IDs, kommagetrennt>Value: <label IDs, comma-separated>

  • Legitimationsmeldungen:Justification messages:

    • Schlüssel: OutlookJustifyUntrustedCollaborationLabelKey: OutlookJustifyUntrustedCollaborationLabel

    • Wert: <Label-IDs, kommagetrennt>Value: <label IDs, comma-separated>

  • Blockiermeldungen:Block messages:

    • Schlüssel: OutlookBlockUntrustedCollaborationLabelKey: OutlookBlockUntrustedCollaborationLabel

    • Wert: <Label-IDs, kommagetrennt>Value: <label IDs, comma-separated>

So werden die Popupmeldungen zum Warnen, zur Legitimation oder zum Blockieren von E-Mails oder Anhängen implementiert, die keine Bezeichnung haben:To implement the warn, justify, or block pop-up messages for emails or attachments that don't have a label:

Erstellen Sie die folgende erweiterte Clienteinstellung mit einem der folgenden Werte:Create the following advanced client setting with one of the following values:

  • Warnmeldungen:Warn messages:

    • Schlüssel: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Wert: WarnungValue: Warn

  • Legitimationsmeldungen:Justification messages:

    • Schlüssel: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Wert: Justify (Legitimation)Value: Justify

  • Blockiermeldungen:Block messages:

    • Schlüssel: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Wert: BlockierenValue: Block

  • Diese Meldungen deaktivieren:Turn off these messages:

    • Schlüssel: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Wert: DeaktiviertValue: Off

Um bestimmte Dateinamenerweiterungen Weitere Erweiterungen für die Warnung zu definieren, begründen oder Popupmeldungen für e-Mail-Anlagen, die eine Bezeichnung aufweisen, nicht blockierenTo define specific file name extensions for the warn, justify, or block pop-up messages for email attachments that don't have a label

Standardmäßig wird die Warnung zu rechtfertigen, oder blockieren Popupmeldungen gelten für alle Office-Dokumente und PDF-Dokumente.By default, the warn, justify, or block pop-up messages apply to all Office documents and PDF documents. Sie können diese Liste durch Angabe optimieren, Dateierweiterungen der Warnung anzeigen, begründen oder Blockieren von Nachrichten mit einer zusätzlichen erweiterten Clients-Eigenschaft und eine durch Trennzeichen getrennte Liste der Dateinamenerweiterungen sollten.You can refine this list by specifying which file name extensions should display the warn, justify, or block messages with an additional advanced client property and a comma-separated list of file name extensions.

Beispiel für einen Wert für mehrere Dateinamenerweiterungen, als eine durch Trennzeichen getrennte Zeichenfolge zu definieren: .XLSX,.XLSM,.XLS,.XLTX,.XLTM, .DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTMExample value for multiple file name extensions to define as a comma-separated string: .XLSX,.XLSM,.XLS,.XLTX,.XLTM, .DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

In diesem Beispiel ist ein PDF-Dokument noch nicht gekennzeichneten führt nicht in warnen, begründen oder Popupmeldungen blockieren.In this example, an unlabeled PDF document will not result in warn, justify, or block pop-up messages.

  • Schlüssel: OutlookOverrideUnlabeledCollaborationExtensionsKey: OutlookOverrideUnlabeledCollaborationExtensions

  • Wert: < Dateinamenerweiterungen zum Anzeigen von Nachrichten, die durch Trennzeichen getrennte**>Value: < file name extensions to display messages, comma separated>**

Angeben der zulässigen Domänennamen für Empfänger, die von den Popupmeldungen ausgenommen sindTo specify the allowed domain names for recipients exempt from the pop-up messages

Wenn Sie in einer zusätzlichen erweiterten Clienteinstellung Domänennamen angeben, werden Benutzer nicht die Popupmeldungen für Empfänger angezeigt mit diesem Domänennamen in ihre e-Mail-Adresse enthalten.When you specify domain names in an additional advanced client setting, users do not see the pop-up messages for recipients who have that domain name included in their email address. In diesem Fall werden die E-Mails problemlos gesendet.In this case, the emails are sent without interruption. Wenn Sie mehrere Domänen angeben möchten, fügen Sie sie kommagetrennt als einzelne Zeichenfolge hinzu.To specify multiple domains, add them as a single string, separated by commas.

Eine übliche Konfiguration ist es, die Popupmeldungen nur für die Empfänger anzuzeigen, die nicht zu Ihrer Organisation gehören, oder die keine für Ihre Organisation autorisierte Partner sind.A typical configuration is to display the pop-up messages only for recipients who are external to your organization or who aren't authorized partners for your organization. In diesem Fall geben Sie alle E-Mail-Domänen an, die von Ihrer Organisation und von Ihren Partnern verwendet werden.In this case, you specify all the email domains that are used by your organization and by your partners.

Erstellen Sie die folgenden erweiterten Clienteinstellungen, und geben Sie für den Wert einer oder mehreren Domänen, die jeweils durch ein Komma getrennt.Create the following advanced client settings and for the value, specify one or more domains, each one separated by a comma.

Beispielwert für mehrere Domänen als kommagetrennte Zeichenfolge: contoso.com,fabrikam.com,litware.comExample value for multiple domains as a comma-separated string: contoso.com,fabrikam.com,litware.com

  • Warnmeldungen:Warn messages:

    • Schlüssel: OutlookWarnTrustedDomainsKey: OutlookWarnTrustedDomains

    • Wert: < Domänenname, kommagetrennt**>Value: < domain names, comma separated>**

  • Legitimationsmeldungen:Justification messages:

    • Schlüssel: OutlookJustifyTrustedDomainsKey: OutlookJustifyTrustedDomains

    • Wert: < Domänenname, kommagetrennt**>Value: < domain names, comma separated>**

  • Blockiermeldungen:Block messages:

    • Schlüssel: OutlookBlockTrustedDomainsKey: OutlookBlockTrustedDomains

    • Wert: < Domänenname, kommagetrennt**>Value: < domain names, comma separated>**

Geben Sie z. B. um e-Mails an Benutzer mit einer e-Mail-Adresse von "contoso.com" nicht zu blockieren, den erweiterten Client-Einstellung OutlookBlockTrustedDomains und "contoso.com".For example, to never block emails sent to users who have a contoso.com email address, specify the advanced client setting of OutlookBlockTrustedDomains and contoso.com. Benutzern werden daher nicht die Popup Warnmeldungen in Outlook angezeigt, beim Senden einer e-Mail um john@sales.contoso.com.As a result, users do not see the warning pop-up messages in Outlook when they send an email to john@sales.contoso.com.

Festlegen anderer Standardbezeichnung für OutlookSet a different default label for Outlook

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn Sie diese Einstellung konfigurieren, wendet Outlook für die Einstellung Standardbezeichnung auswählen nicht die in der Azure Information Protection-Richtlinie konfigurierte Standardbezeichnung an.When you configure this setting, Outlook doesn't apply the default label that is configured in the Azure Information Protection policy for the setting Select the default label. Stattdessen kann Outlook eine andere Standardbezeichnung oder gar keine Bezeichnung anwenden.Instead, Outlook can apply a different default label, or no label.

Um eine andere Bezeichnung anzuwenden, müssen Sie die Bezeichnungs-ID angeben.To apply a different label, you must specify the label ID. Der Wert der Bezeichnungs-ID wird auf dem Blatt Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren.The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. Bei Dateien, auf die Bezeichnungen angewendet wurden, können Sie auch das PowerShell-Cmdlet Get-AIPFileStatus ausführen, um die Bezeichnungs-ID (MainLabelId oder SubLabelId) zu identifizieren.For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). Wenn eine Bezeichnung über untergeordnete Bezeichnungen verfügt, geben Sie immer die ID einer untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Damit Outlook nicht die Standardbezeichnung anwendet, geben Sie None (Keine) an.So that Outlook doesn't apply the default label, specify None.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: OutlookDefaultLabelKey: OutlookDefaultLabel

  • Wert: <Bezeichnungs-ID> oder None (Keine)Value: <label ID> or None

Konfigurieren einer Bezeichnung, um die S/MIME-Schutz in Outlook anzuwendenConfigure a label to apply S/MIME protection in Outlook

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Verwenden Sie diese Einstellung nur, wenn Sie eine funktionierende S/MIME-Bereitstellung haben und eine Bezeichnung diese Schutzmethode automatisch auf E-Mails anwenden soll und nicht den Rights Management-Schutz vor Azure Information Protection.Use this setting only when you have a working S/MIME deployment and want a label to automatically apply this protection method for emails rather than Rights Management protection from Azure Information Protection. Der resultierende Schutz ist derselbe wie bei der manuellen Auswahl von S/MIME-Optionen in Outlook.The resulting protection is the same as when a user manually selects S/MIME options from Outlook.

In dieser Konfiguration müssen Sie eine erweiterte Clienteinstellung namens LabelToSMIME für jede Azure Information Protection-Bezeichnung angeben, die S/MIME-Schutz anwenden soll.This configuration requires you to specify an advanced client setting named LabelToSMIME for each Azure Information Protection label that you want to apply S/MIME protection. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID];[S/MIME action]

Der Wert der Bezeichnungs-ID wird auf dem Blatt Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren.The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. Um S/MIME mit einer untergeordneten Bezeichnung zu verwenden, geben Sie immer die ID der untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.To use S/MIME with a sublabel, always specify the ID of just the sublabel and not the parent label. Wenn Sie eine untergeordnete Bezeichnung angegeben, muss sich die übergeordnete Bezeichnung im gleichen Bereich oder in der globalen Richtlinie befinden.When you specify a sublabel, the parent label must be in the same scope, or in the global policy.

Folgende S/MIME-Aktionen sind möglich:The S/MIME action can be:

  • Sign;Encrypt: Zum Anwenden einer digitalen Signatur und der S/MIME-VerschlüsselungSign;Encrypt: To apply a digital signature and S/MIME encryption

  • Encrypt: Nur zum Anwenden der S/MIME-VerschlüsselungEncrypt: To apply S/MIME encryption only

  • Sign: Nur zum Anwenden einer digitalen SignaturSign: To apply a digital signature only

Beispielwerte für eine Bezeichnungs-ID von dcf781ba-727f-4860-b3c1-73479e31912b:Example values for a label ID of dcf781ba-727f-4860-b3c1-73479e31912b:

  • Zum Anwenden einer digitalen Signatur und der S/MIME-Verschlüsselung:To apply a digital signature and S/MIME encryption:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt

  • Nur zum Anwenden der S/MIME-Verschlüsselung:To apply S/MIME encryption only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Encrypt

  • Nur zum Anwenden einer digitalen Signatur:To apply a digital signature only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Signdcf781ba-727f-4860-b3c1-73479e31912b;Sign

Aufgrund dieser Konfiguration wird bei der Anwendung der Bezeichnung für eine E-Mail-Nachricht zusätzlich zur Klassifizierung der Bezeichnung auch der S/MIME-Schutz für die E-Mail angewendet.As a result of this configuration, when the label is applied for an email message, S/MIME protection is applied to the email in addition to the label's classification.

Wenn die von Ihnen angegebene Bezeichnung für den Rights Management-Schutz im Azure-Portal konfiguriert ist, ersetzt der S/MIME-Schutz den Rights Management-Schutz nur in Outlook.If the label you specify is configured for Rights Management protection in the Azure portal, S/MIME protection replaces the Rights Management protection only in Outlook. Für alle anderen Szenarien, die eine Bezeichnung unterstützen, wird der Rights Management-Schutz angewendet.For all other scenarios that support labeling, Rights Management protection will be applied.

Wenn die Bezeichnung nur in Outlook sichtbar sein soll, konfigurieren Sie sie so, dass sie die einzelne benutzerdefinierte Aktion Do Not Forward (Nicht weiterleiten) anwendet. Eine Anleitung dazu finden Sie im folgenden Artikel: Schnellstart: Konfigurieren einer Bezeichnung für Benutzer zum einfachen Schützen von E-Mails, die vertrauliche Informationen enthalten.If you want the label to be visible in Outlook only, configure the label to apply the single user-defined action of Do Not Forward, as described in the Quickstart: Configure a label for users to easily protect emails that contain sensitive information.

„Not now“ („Nicht jetzt“) für Dokumente bei Verwendung der obligatorischen Bezeichnung entfernenRemove "Not now" for documents when you use mandatory labeling

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn Sie die Richtlinieneinstellung All documents and emails must have a label (Alle Dokumente und E-Mails müssen eine Bezeichnung haben) verwenden, werden die Benutzer beim ersten Speichern eines Offices-Dokuments und beim Senden einer E-Mail dazu aufgefordert, eine Bezeichnung zu wählen.When you use the policy setting of All documents and emails must have a label, users are prompted to select a label when they first save an Office document and when they send an email. Bei Office-Dokumenten können Benutzer Not now (nicht jetzt) wählen, um die Aufforderung zum Auswählen einer Bezeichnung vorübergehend zu schließen und zum Dokument zurückzukehren.For documents, users can select Not now to temporarily dismiss the prompt to select a label and return to the document. Sie können das gespeicherte Dokument jedoch nicht schließen, ohne es zu bezeichnen.However, they cannot close the saved document without labeling it.

Wenn Sie diese Einstellung konfigurieren, wird die Option Not now (nicht jetzt) entfernt, sodass die Benutzer eine Bezeichnung wählen müssen, wenn das Dokument zum ersten Mal gespeichert wird.When you configure this setting, it removes the Not now option so that users must select a label when the document is first saved.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: PostponeMandatoryBeforeSaveKey: PostponeMandatoryBeforeSave

  • Wert: FalseValue: False

Aktivieren der dauerhaft im Hintergrund ausgeführten KlassifizierungTurn on classification to run continuously in the background

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal. Diese Einstellung befindet sich in der Vorschauversion und kann sich ändern.This setting is in preview and might change.

Wenn Sie diese Einstellung konfigurieren, ändert sich das Standardverhalten, wie der Azure Information Protection-Client automatische und empfohlene Bezeichnungen auf Dokumente anwendet, wie folgt:When you configure this setting, it changes the default behavior of how the Azure Information Protection client applies automatic and recommended labels to documents:

  • Für Word, Excel und PowerPoint wird die automatische Klassifizierung für Dokumente ständig im Hintergrund ausgeführt.For Word, Excel, and PowerPoint, automatic classification runs continuously in the background.

Das Verhalten für Outlook ändert sich nicht.The behavior does not change for Outlook.

Wenn der Azure Information Protection-Client Dokumente im Hintergrund periodisch auf die von Ihnen festgelegten Bedingungsregeln überprüft, aktiviert dieses Verhalten die automatische und empfohlene Klassifizierung und den Schutz für Dokumente, die in SharePoint Online gespeichert sind.When the Azure Information Protection client periodically checks documents for the condition rules that you specify, this behavior enables automatic and recommended classification and protection for documents that are stored in SharePoint Online. Große Dateien werden schneller gespeichert, da die Bedingungsregeln bereits ausgeführt wurden.Large files also save more quickly because the condition rules have already run.

Diese Bedingungsregeln werden nicht in Echtzeit, während der Benutzer tippt, ausgeführt.The condition rules do not run in real time as a user types. Stattdessen werden sie regelmäßig als Hintergrundaufgabe ausgeführt, wenn das Dokument geändert wird.Instead, they run periodically as a background task if the document is modified.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel: RunPolicyInBackgroundKey: RunPolicyInBackground

  • Wert: TrueValue: True

Schützen Sie keine PDF-Dateien mithilfe des ISO-Standards für die PDF-VerschlüsselungDon't protect PDF files by using the ISO standard for PDF encryption

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn die aktuelle Version des Azure Information Protection-Clients eine PDF-Datei schützt, verbleibt die daraus resultierende Erweiterung bei PDF und entspricht somit dem ISO-Standard für die Verschlüsselung von PDF-Dateien.When the latest version of the Azure Information Protection client protects a PDF file, the resulting file name extension remains as .pdf and adheres to the ISO standard for PDF encryption. Weitere Informationen zu diesem Standard finden Sie im Abschnitt 7.6 Encryption (7.6 Verschlüsselung) aus dem Dokument, das von ISO 32000-1 abgeleitet und von Adobe Systems Incorporated veröffentlicht wird.For more information about this standard, see section 7.6 Encryption from the document that is derived from ISO 32000-1 and published by Adobe Systems Incorporated.

Wenn Sie möchten, dass der Client zu dem Verhalten in älteren Versionen des Clients zurückkehrt, bei dem PDF-Dateien mit der .ppdf-Dateinamenerweiterung geschützt werden, verwenden Sie die folgende erweiterte Einstellung, indem Sie diese Zeichenfolge eingeben:If you need the client to revert to the behavior in older versions of the client that protected PDF files by using a .ppdf file name extension, use the following advanced setting by entering the following string:

  • Schlüssel: EnablePDFv2ProtectionKey: EnablePDFv2Protection

  • Wert: FalseValue: False

Sie könnten diese Einstellung zum Beispiel für alle Benutzer benötigen, wenn Sie einen PDF-Reader verwenden, der den ISO-Standard für die PDF-Verschlüsselung nicht unterstützt.For example, you might need this setting for all users if you use a PDF reader that doesn't support the ISO standard for PDF encryption. Oder Sie müssen sie möglicherweise für einige Benutzer konfigurieren, wenn Sie nach und nach zu einem PDF-Reader wechseln, der das neue Format unterstützt.Or, you might need to configure it for some users as you gradually phase in a change of PDF reader that supports the new format. Ein weiterer möglicher Grund für die Verwendung dieser Einstellung besteht, wenn Sie signierten PDF-Dokumenten Schutz hinzufügen müssen.Another potential reason to use this setting is if you need to add protection to signed PDF documents. Signierte PDF-Dokumente können zusätzlich mit dem PPDF-Format geschützt werden, da dieser Schutz als Wrapper für die Datei implementiert wird.Signed PDF documents can be additionally protected with the .ppdf format because this protection is implemented as a wrapper for the file.

Damit die Azure Information Protection-Überprüfung die neue Einstellung verwenden, muss der Überprüfungsdienst neu gestartet werden.For the Azure Information Protection scanner to use the new setting, the scanner service must be restarted. Darüber hinaus schützt die Überprüfung nicht mehr standardmäßig PDF-Dokumente.In addition, the scanner will no longer protect PDF documents by default. Wenn Sie möchten, dass PDF-Dokumente durch die Überprüfung geschützt werden sollen, wenn EnablePDFv2Protection auf „False“ festgelegt ist, müssen Sie die Registrierung bearbeiten.If you want PDF documents to be protected by the scanner when EnablePDFv2Protection is set to False, you must edit the registry.

Weitere Informationen zu dieser neuen PDF-Verschlüsselung finden Sie im Blogbeitrag Neue Unterstützung für die PDF-Verschlüsselung mit Microsoft Information Protection.For more information about the new PDF encryption, see the blog post New support for PDF encryption with Microsoft Information Protection.

Eine Liste von PDF-Readern, die den ISO-Standard für PDF-Verschlüsselung unterstützen, und Reader, die ältere Formate unterstützen, finden Sie unter Unterstützte Reader für PDF-Dokumente für Microsoft Azure Information Protection.For a list of PDF readers that support the ISO standard for PDF encryption, and readers that support older formats, see Supported PDF readers for Microsoft Information Protection.

Konvertieren vorhandener PPDF-Dateien in geschützte PDF-DateienTo convert existing .ppdf files to protected .pdf files

Wenn der Azure Information Protection-Client die Clientrichtlinie mit der neuen Einstellung heruntergeladen hat, können Sie mit PowerShell-Befehlen vorhandene PPDF-Dateien in geschützte PDF-Dateien konvertieren, die den ISO-Standard für die PDF-Verschlüsselung verwenden.When the Azure Information Protection client has downloaded the client policy with the new setting, you can use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption.

Wenn Sie die folgenden Anweisungen für Dateien verwenden möchten, die Sie nicht selbst geschützt haben, benötigen Sie Rights Management-Nutzungsrechte zum Entfernen des Schutzes aus Dateien oder Administratorrechte.To use the following instructions for files that you didn't protect yourself, you must have a Rights Management usage right to remove protection from files, or be a super user. Informationen zum Aktivieren der Administratorfunktion und zum Konfigurieren Ihres Kontos als Administrator finden Sie unter Konfigurieren von Administratoren für Azure Rights Management und Ermittlungsdienste oder die Datenwiederherstellung.To enable the super user feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Außerdem werden Sie zum RMS-Aussteller, wenn Sie diese Anweisungen für Dateien verwenden, die Sie nicht selbst geschützt haben.In addition, when you use these instructions for files that you didn't protect yourself, you become the RMS Issuer. In diesem Szenario kann der Benutzer, der das Dokument ursprünglich geschützt hat, es nicht mehr nachverfolgen und den Zugriff darauf nicht mehr widerrufen.In this scenario, the user who originally protected the document can no longer track and revoke it. Wenn Benutzer ihre geschützten PDF-Dokumente nachverfolgen und den Zugriff darauf widerrufen möchten, müssen sie die Bezeichnung manuell entfernen und mit dem Datei-Explorer per Rechtsklick erneut anwenden.If users need to track and revoke their protected PDF documents, ask them to manually remove and then reapply the label by using File Explorer, right-click.

So verwenden Sie PowerShell-Befehle zum Konvertieren vorhandener PPDF-Dateien in geschützte PDF-Dateien, die den ISO-Standard für die PDF-Verschlüsselung verwenden:To use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption:

  1. Verwenden Sie den Befehl Get-AIPFileStatus für die PPDF-Datei.Use Get-AIPFileStatus with the .ppdf file. Zum Beispiel:For example:

     Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf
    
  2. Beachten Sie bei der Ausgabe die folgenden Parameterwerte:From the output, take a note of the following parameter values:

    • Den Wert (GUID) für SubLabelId (falls vorhanden).The value (GUID) for SubLabelId, if there is one. Wenn dieser Wert leer ist, wurde keine untergeordnete Bezeichnung verwendet. Verwenden Sie in diesem Fall stattdessen den Wert für MainLabelId.If this value is blank, a sublabel wasn't used, so note the value for MainLabelId instead.

      Hinweis: Wenn es auch keinen Wert für MainLabelId gibt, erhält die Datei keine Bezeichnung.Note: If there is no value for MainLabelId either, the file isn't labeled. In diesem Fall können Sie die Befehle Unprotect-RMSFile und Protect-RMSFile anstelle der Befehle in Schritt 3 und 4 verwenden.In this case, you can use the Unprotect-RMSFile command and Protect-RMSFile command instead of the commands in step 3 and 4.

    • Den Wert für RMSTemplateId.The value for RMSTemplateId. Wenn dieser Wert Eingeschränkter Zugriff lautet, hat ein Benutzer die Datei mit benutzerdefinierten Berechtigungen und nicht mit Schutzeinstellungen, die für die Bezeichnung konfiguriert wurden, geschützt.If this value is Restricted Access, a user has protected the file using custom permissions rather than the protection settings that are configured for the label. Wenn Sie fortfahren, werden diese benutzerdefinierten Berechtigungen durch die Schutzeinstellungen der Bezeichnung überschrieben.If you continue, those custom permissions will be overwritten by the label's protection settings. Fahren Sie fort, oder bitten Sie den Benutzer (angezeigter Wert für RMSIssuer), die Bezeichnung zu entfernen und mit den ursprünglichen benutzerdefinierten Berechtigungen erneut anzuwenden.Decide whether to continue or ask the user (value displayed for the RMSIssuer) to remove the label and reapply it, together with their original custom permissions.

  3. Entfernen Sie die Bezeichnung mithilfe von Set-AIPFileLabel mit dem Parameter RemoveLabel.Remove the label by using Set-AIPFileLabel with the RemoveLabel parameter. Wenn Sie die Richtlinieneinstellung für Benutzer müssen eine Begründung angeben, wenn sie eine niedrigere Klassifizierungsbezeichnung festlegen, eine Bezeichnung oder den Schutz entfernen möchten verwenden, müssen Sie für den Parameter Begründung den Grund angeben.If you are using the policy setting of Users must provide justification to set a lower classification label, remove a label, or remove protection, you must also specify the Justification parameter with the reason. Zum Beispiel:For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'
    
  4. Übernehmen Sie erneut die ursprüngliche Bezeichnung, indem Sie den Wert für die Bezeichnung angeben, den Sie in Schritt 1 identifiziert haben.Reapply the original label, by specifying the value for the label that you identified in step 1. Zum Beispiel:For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
    

Die Datei behält die PDF-Erweiterung, wird jedoch wie zuvor klassifiziert und mit dem ISO-Standard für die PDF-Verschlüsselung geschützt.The file retains the .pdf file name extension but is classified as before, and it is protected by using the ISO standard for PDF encryption.

Unterstützung von durch Secure Islands geschützten DateienSupport for files protected by Secure Islands

Diese Konfigurationsoption ist als Vorschauversion verfügbar und kann sich ändern.This configuration option is in preview and might change.

Wenn Sie Secure Islands zum Schützen von Dokumenten verwendet haben, verfügen Sie aufgrund dieses Schutzes möglicherweise über geschützte Text- und Bilddateien sowie generisch geschützte Dateien.If you used Secure Islands to protect documents, you might have protected text and picture files, and generically protected files as a result of this protection. Zum Beispiel Dateien mit den Erweiterungen PTXT, PJPEG oder PFILE.For example, files that have a file name extension of .ptxt, .pjpeg, or .pfile. Wenn Sie die Registrierung wie folgt bearbeiten, können diese Dateien von Azure Information Protection entschlüsselt werden:When you edit the registry as follows, Azure Information Protection can decrypt these files:

Fügen Sie den DWORD-Wert EnableIQPFormats in den folgenden Registrierungspfad ein, und legen Sie den Wert „data“ (Daten) auf 1 fest:Add the following DWORD value of EnableIQPFormats to the following registry path, and set the value data to 1:

  • Für eine 64-Bit-Version von Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPFor a 64-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

  • Für eine 32-Bit-Version von Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPFor a 32-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP

Aufgrund dieser Änderung in der Registrierung werden die folgenden Szenarios unterstützt:As a result of this registry edit, the following scenarios are supported:

  • Der Azure Information Protection-Viewer kann diese geschützten Dateien öffnen.The Azure Information Protection viewer can open these protected files.

  • Die Azure Information Protection-Überprüfung kann diese Dateien auf vertrauliche Informationen prüfen.The Azure Information Protection scanner can inspect these files for sensitive information.

  • Datei-Explorer, PowerShell und die Azure Information Protection-Überprüfung können diese Dateien bezeichnen.File Explorer, PowerShell, and the Azure Information Protection scanner can label these files. Dementsprechend können Sie eine Azure Information Protection-Bezeichnung anwenden, die neuen Schutz von Azure Information Protection anwendet oder vorhandenen Schutz von Secure Islands entfernt.As a result, you can apply an Azure Information Protection label that applies new protection from Azure Information Protection, or that removes the existing protection from Secure Islands.

  • Mit der Clientanpassung für die Bezeichnungsmigration können Sie die Secure Islands-Bezeichnung dieser geschützten Dateien automatisch in eine Azure Information Protection-Bezeichnung konvertieren.You can use the labeling migration client customization to automatically convert the Secure Islands label on these protected files to an Azure Information Protection label.

Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen migrierenMigrate labels from Secure Islands and other labeling solutions

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Diese Konfiguration ist derzeit nicht mit dem neuen Standardverhalten kompatibel, das PDF-Dateien mithilfe des ISO-Standards für die PDF-Verschlüsselung schützt.This configuration is currently not compatible with the new default behavior that protects PDF files by using the ISO standard for PDF encryption. In diesem Szenario können PPDF-Dateien nicht mit Datei-Explorer, PowerShell oder der Überprüfung geöffnet werden.In this scenario, .ppdf files cannot be opened by File Explorer, PowerShell, or the scanner. Um dieses Problem zu beheben, verwenden Sie die erweiterte Clienteinstellung, mit der der ISO-Standard nicht für die PDF-Verschlüsselung verwendet wird.To resolve this, use the advanced client setting to don't use the ISO standard for PDF encryption.

Sie können Office- und PDF-Dokumente, die eine Bezeichnung von Secure Islands erhalten haben, mit einer neuen Azure Information Protection-Bezeichnung versehen, indem Sie eine von Ihnen definierte Zuordnung verwenden.For Office documents and PDF documents that are labeled by Secure Islands, you can relabel these documents with an Azure Information Protection label by using a mapping that you define. Mit dieser Methode können Sie auch Bezeichnungen aus anderen Lösungen wiederverwenden, wenn diese Bezeichnungen sich in Office-Dokumenten befinden.You also use this method to reuse labels from other solutions when their labels are on Office documents.

Hinweis

Wenn Sie über andere von Secure Islands geschützte Dateien verfügen, die keine PDF- und Office-Dokumente sind, können Sie diesen eine neue Bezeichnung geben, nachdem Sie die Registrierung wie im vorherigen Abschnitt beschrieben bearbeitet haben.If you have files other than PDF and Office documents that are protected by Secure Islands, these can be relabeled after you edit the registry as described in the preceding section.

Diese Konfigurationsoption führt dazu, dass die neue Azure Information Protection-Bezeichnung folgendermaßen vom Azure Information Protection-Client angewendet wird:As a result of this configuration option, the new Azure Information Protection label is applied by the Azure Information Protection client as follows:

  • Bei Office-Dokumenten: Wenn das Dokument in der Desktop-App geöffnet wird, wird die neue Azure Information Protection-Bezeichnung als festgelegt angezeigt und beim Speichern des Dokuments angewendet.For Office documents: When the document is opened in the desktop app, the new Azure Information Protection label is shown as set and is applied when the document is saved.

  • Im Datei-Explorer: Die neue Azure Information Protection-Bezeichnung wird im Azure Information Protection-Dialogfeld als festgelegt angezeigt und dann angewendet, wenn der Benutzer Anwenden auswählt.For File Explorer: In the Azure Information Protection dialog box, the new Azure Information Protection label is shown as set and is applied when the user selects Apply. Wenn der Benutzer Abbrechen auswählt, wird die neue Bezeichnung nicht angewendet.If the user selects Cancel, the new label is not applied.

  • In PowerShell: Set-AIPFileLabel wendet die neue Azure Information Protection-Bezeichnung an.For PowerShell: Set-AIPFileLabel applies the new Azure Information Protection label. Get-AIPFileStatus zeigt die neue Azure Information Protection-Bezeichnung erst dann an, wenn sie von einer anderen Methode festgelegt wird.Get-AIPFileStatus doesn't display the new Azure Information Protection label until it is set by another method.

  • Für die Azure Information Protection-Überprüfung: Die Ermittlung meldet das Festlegen der neuen Azure Information Protection-Bezeichnung, und diese Bezeichnung kann mit dem Erzwingungsmodus angewendet werden.For the Azure Information Protection scanner: Discovery reports when the new Azure Information Protection label would be set and this label can be applied with the enforce mode.

In dieser Konfiguration müssen Sie eine erweiterte Clienteinstellung namens LabelbyCustomProperty für jede Azure Information Protection-Bezeichnung angeben, die Sie der alten Bezeichnung zuordnen möchten.This configuration requires you to specify an advanced client setting named LabelbyCustomProperty for each Azure Information Protection label that you want to map to the old label. Geben Sie dann für jeden Eintrag mithilfe der folgenden Syntax den Wert an:Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Der Wert der Bezeichnungs-ID wird auf dem Blatt Bezeichnung angezeigt, wenn Sie die Azure Information Protection-Richtlinie im Azure-Portal anzeigen oder konfigurieren.The label ID value is displayed on the Label blade, when you view or configure the Azure Information Protection policy in the Azure portal. Damit eine untergeordnete Bezeichnung angegeben werden kann, muss sich die übergeordnete Bezeichnung im gleichen Bereich oder in der globalen Richtlinie befinden.To specify a sublabel, the parent label must be in the same scope, or in the global policy.

Geben Sie einen Namen für die Migrationsregel an.Specify your choice of a migration rule name. Verwenden Sie einen aussagekräftigen Namen, der angibt, wie Bezeichnungen aus Ihrer vorherigen Bezeichnungslösung zu einer Azure Information Protection-Bezeichnung zugeordnet werden sollen.Use a descriptive name that helps you to identify how one or more labels from your previous labeling solution should be mapped to an Azure Information Protection label. Der Name wird in den Scannerberichten und in der Ereignisanzeige angezeigt.The name displays in the scanner reports and in Event Viewer. Beachten Sie, dass durch diese Einstellung keine ursprüngliche Bezeichnung aus dem Dokument bzw. keine optische Kennzeichnung im Dokument entfernt wird, die von der ursprünglichen Bezeichnung möglicherweise angewendet wurde.Note that this setting does not remove the original label from the document or any visual markings in the document that the original label might have applied. Weitere Informationen zum Entfernen von Kopf- und Fußzeilen finden Sie im nächsten Abschnitt unter Remove headers and footers from other labeling solutions (Entfernen von Kopf- und Fußzeilen aus anderen Bezeichnungslösungen).To remove headers and footers, see the next section, Remove headers and footers from other labeling solutions.

Beispiel 1: 1:1-Zuordnung des gleichen BezeichnungsnamensExample 1: One-to-one mapping of the same label name

Anforderung: Dokumente mit der Secure Islands-Bezeichnung „Confidential“ sollten in Azure Information Protection die Bezeichnung „Vertraulich“ erhalten.Requirement: Documents that have a Secure Islands label of "Confidential" should be relabeled as "Confidential" by Azure Information Protection.

In diesem Beispiel:In this example:

  • Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Vertraulich. Sie hat die Bezeichnungs-ID 1ace2cc3-14bc-4142-9125-bf946a70542c.The Azure Information Protection label that you want to use is named Confidential and has a label ID of 1ace2cc3-14bc-4142-9125-bf946a70542c.

  • Die Secure Islands-Bezeichnung lautet Vertraulich und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.The Secure Islands label is named Confidential and stored in the custom property named Classification.

Erweiterte Clienteinstellung:The advanced client setting:

NameName WertValue
LabelbyCustomPropertyLabelbyCustomProperty 1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential

Beispiel 2: 1:1-Zuordnung für einen anderen BezeichnungsnamenExample 2: One-to-one mapping for a different label name

Anforderung: Dokumente mit der Secure Islands-Bezeichnung „Sensitive“ sollten in Azure Information Protection die Bezeichnung „Streng vertraulich“ erhalten.Requirement: Documents labeled as "Sensitive" by Secure Islands should be relabeled as "Highly Confidential" by Azure Information Protection.

In diesem Beispiel:In this example:

  • Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Streng vertraulich und hat die Bezeichnungs-ID 3e9df74d-3168-48af-8b11-037e3021813f.The Azure Information Protection label that you want to use is named Highly Confidential and has a label ID of 3e9df74d-3168-48af-8b11-037e3021813f.

  • Die Secure Islands-Bezeichnung lautet Sensitive (Sensibel) und ist in der benutzerdefinierten Eigenschaft Classification (Klassifizierung) gespeichert.The Secure Islands label is named Sensitive and stored in the custom property named Classification.

Erweiterte Clienteinstellung:The advanced client setting:

NameName WertValue
LabelbyCustomPropertyLabelbyCustomProperty 3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive

Beispiel 3: n:1-Zuordnung von BezeichnungsnamenExample 3: Many-to-one mapping of label names

Anforderung: Sie verfügen über zwei Secure Islands-Bezeichnungen, die das Wort „Internal“ enthalten, und Sie möchten Dokumente, die eine dieser beiden Secure Islands-Bezeichnungen enthalten, in Azure Information Protection als „Allgemein“ bezeichnen.Requirement: You have two Secure Islands labels that include the word "Internal" and you want documents that have either of these Secure Islands labels to be relabeled as "General" by Azure Information Protection.

In diesem Beispiel:In this example:

  • Die Azure Information Protection-Bezeichnung, die Sie verwenden werden, lautet Allgemein und hat die Bezeichnungs-ID 2beb8fe7-8293-444c-9768-7fdc6f75014d.The Azure Information Protection label that you want to use is named General and has a label ID of 2beb8fe7-8293-444c-9768-7fdc6f75014d.

  • Die Secure Islands-Bezeichnungen enthalten den Begriff Internal (intern) und sind in der benutzerdefinierten Eigenschaft namens Classification (Klassifizierung) gespeichert.The Secure Islands labels include the word Internal and are stored in the custom property named Classification.

Erweiterte Clienteinstellung:The advanced client setting:

NameName WertValue
LabelbyCustomPropertyLabelbyCustomProperty 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.*2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.*

Entfernen von Kopf- und Fußzeilen aus anderen BezeichnungslösungenRemove headers and footers from other labeling solutions

Diese Konfiguration verwendet mehrere erweiterte Clienteinstellungen, die Sie im Azure-Portal konfigurieren müssen.This configuration uses multiple advanced client settings that you must configure in the Azure portal. Diese Einstellungen befinden sich in der Vorschauversion und können sich ändern.These settings are in preview and might change.

Mit diesen Einstellungen können Sie textbasierte Kopf- und Fußzeilen in Dokumenten entfernen oder ersetzen, wenn diese optischen Kennzeichnungen von einer anderen Bezeichnungslösung angewendet wurden.The settings let you remove or replace text-based headers or footers from documents when those visual markings have been applied by another labeling solution. Die ältere Fußzeile enthält beispielsweise den Namen einer alten Bezeichnung, die Sie nun mit einem neuen Bezeichnungsnamen und einer eigenen Fußzeile zu Azure Information Protection migriert haben.For example, the old footer contains the name of an old label that you have now migrated to Azure Information Protection with a new label name and its own footer.

Wenn der Client diese Konfiguration in seiner Richtlinie abruft, werden die alten Kopf- oder Fußzeilen entfernt oder ersetzt, wenn das Dokument in der Office-App geöffnet wird und Azure Information Protection-Bezeichnungen auf das Dokument angewendet wurden.When the client gets this configuration in its policy, the old headers and footers are removed or replaced when the document is opened in the Office app and any Azure Information Protection label is applied to the document.

Diese Konfiguration wird für Outlook nicht unterstützt. Beachten Sie außerdem, dass die Verwendung mit Word, Excel und PowerPoint sich negativ auf die Leistung dieser Apps für Benutzer auswirken kann.This configuration is not supported for Outlook, and be aware that when you use it with Word, Excel, and PowerPoint, it can negatively affect the performance of these apps for users. Mithilfe der Konfiguration können Sie Einstellungen für jede einzelne Anwendung definieren, z.B. die Suche nach Text in Kopf- oder Fußzeilen von Word-Dokumenten, jedoch nicht von Excel-Tabellen oder PowerPoint-Präsentationen.The configuration lets you define settings per application, for example, search for text in the headers and footers of Word documents but not Excel spreadsheets or PowerPoint presentations.

Da der Musterabgleich sich auf die Leistung für Benutzer auswirkt, wird empfohlen, Office-Anwendungstypen (Word, Excel, PowerPoint) auf diejenigen einzuschränken, die durchsucht werden müssen:Because the pattern matching affects the performance for users, we recommend that you limit the Office application types (Word, Excel, PowerPoint) to just those that need to be searched:

  • Schlüssel: RemoveExternalContentMarkingInAppKey: RemoveExternalContentMarkingInApp

  • Wert: <Office-Anwendungstypen WXP>Value: <Office application types WXP>

Beispiele:Examples:

  • Geben Sie W an, um nur Word-Dokumente zu durchsuchen.To search Word documents only, specify W.

  • Geben Sie WP an, um Word-Dokumente und PowerPoint-Präsentationen zu durchsuchen.To search Word documents and PowerPoint presentations, specify WP.

Sie benötigen dann mindestens eine weitere erweiterte Clienteinstellung, ExternalContentMarkingToRemove, um die Inhalte der Kopf- oder Fußzeile anzugeben und diese zu entfernen oder zu ersetzen.You then need at least one more advanced client setting, ExternalContentMarkingToRemove, to specify the contents of the header or footer, and how to remove or replace them.

Konfigurieren von ExternalContentMarkingToRemoveHow to configure ExternalContentMarkingToRemove

Wenn Sie den Zeichenfolgenwert für den Schlüssel ExternalContentMarkingToRemove angeben, stehen drei Optionen zur Verfügung, die reguläre Ausdrücke verwenden:When you specify the string value for the ExternalContentMarkingToRemove key, you have three options that use regular expressions:

  • Partielle Übereinstimmung, um alles aus der Kopf- oder Fußzeile zu entfernen.Partial match to remove everything in the header or footer.

    Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE.Example: Headers or footers contain the string TEXT TO REMOVE. Sie möchten diese Kopf- oder Fußzeilen vollständig entfernen.You want to completely remove these headers or footers. Geben Sie den Wert *TEXT* an.You specify the value: *TEXT*.

  • Vollständige Übereinstimmung, um nur bestimmte Wörter aus der Kopf- oder Fußzeile zu entfernen.Complete match to remove just specific words in the header or footer.

    Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE.Example: Headers or footers contain the string TEXT TO REMOVE. Sie möchten nur das Wort TEXT entfernen, wodurch die Zeichenfolge der Kopf- oder Fußzeile TO REMOVE entspricht.You want to remove the word TEXT only, which leaves the header or footer string as TO REMOVE. Geben Sie den Wert TEXT an.You specify the value: TEXT.

  • Vollständige Übereinstimmung, um alles aus der Kopf- oder Fußzeile zu entfernen.Complete match to remove everything in the header or footer.

    Beispiel: Kopf- oder Fußzeilen enthalten die Zeichenfolge TEXT TO REMOVE.Example: Headers or footers have the string TEXT TO REMOVE. Sie möchten die Kopf- oder Fußzeilen entfernen, die genau diese Zeichenfolge enthalten.You want to remove headers or footers that have exactly this string. Geben Sie den Wert ^TEXT TO REMOVE$ an.You specify the value: ^TEXT TO REMOVE$.

Der Musterabgleich für die angegebene Zeichenfolge berücksichtigt keine Groß- und Kleinschreibung.The pattern matching for the string that you specify is case-insensitive. Die maximale Zeichenfolgenlänge beträgt 255 Zeichen.The maximum string length is 255 characters.

Da einige Dokumente unsichtbare Zeichen oder andere Arten von Leerzeichen oder Tabstopps enthalten können, wird die Zeichenfolge, die Sie für einen Begriff oder einen Satz angeben, möglicherweise nicht erkannt.Because some documents might include invisible characters or different kinds of spaces or tabs, the string that you specify for a phrase or sentence might not be detected. Geben Sie nach Möglichkeit immer ein einzelnes unterscheidendes Wort für den Wert an, und testen Sie die Ergebnisse, bevor Sie diese für die Produktion bereitstellen.Whenever possible, specify a single distinguishing word for the value and be sure to test the results before you deploy in production.

  • Schlüssel: ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • Value: <zu vergleichende Zeichenfolge; als regulärer Ausdruck definiert>Value: <string to match, defined as regular expression>

Mehrzeilige Kopf- oder FußzeilenMultiline headers or footers

Wenn der Text in einer Kopf- oder Fußzeile mehr als eine Zeile umfasst, erstellen Sie einen Schlüssel und einen Wert für jede Zeile.If a header or footer text is more than a single line, create a key and value for each line. Angenommen, folgende Fußzeile mit zwei Zeilen ist vorhanden:For example, you have the following footer with two lines:

The file is classified as ConfidentialThe file is classified as Confidential

Label applied manuallyLabel applied manually

Erstellen Sie folgende Einträge, um diese mehrzeilige Fußzeile zu entfernen:To remove this multiline footer, you create the following two entries:

  • Schlüssel 1: ExternalContentMarkingToRemoveKey 1: ExternalContentMarkingToRemove

  • Schlüsselwert 1: *Vertraulich*Key Value 1: *Confidential*

  • Schlüssel 2: ExternalContentMarkingToRemoveKey 2: ExternalContentMarkingToRemove

  • Schlüsselwert 2: *Label applied* (Bezeichnung angewendet)Key Value 2: *Label applied*

Optimierung für PowerPointOptimization for PowerPoint

In PowerPoint werden Fußzeilen als Formen implementiert.Footers in PowerPoint are implemented as shapes. Wenn Sie vermeiden möchten, dass Formen entfernt werden, die den angegeben Text enthalten, jedoch keine Kopf- oder Fußzeilen sind, verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens PowerPointShapeNameToRemove.To avoid removing shapes that contain the text that you have specified but are not headers or footers, use an additional advanced client setting named PowerPointShapeNameToRemove. Es wird empfohlen, diese Einstellung ebenfalls zu verwenden, um zu verhindern, dass der Text in allen Formen überprüft wird, denn dieser Prozess ist sehr ressourcenintensiv.We also recommend using this setting to avoid checking the text in all shapes, which is a resource-intensive process.

Wenn Sie diese zusätzliche erweiterte Clienteinstellung nicht angeben und PowerPoint im Schlüsselwert RemoveExternalContentMarkingInApp eingeschlossen ist, werden alle Formen auf den Text überprüft, den Sie im Wert ExternalContentMarkingToRemove angeben.If you do not specify this additional advanced client setting, and PowerPoint is included in the RemoveExternalContentMarkingInApp key value, all shapes will be checked for the text that you specify in the ExternalContentMarkingToRemove value.

So finden Sie den Namen der Form, die Sie als Kopf- oder Fußzeile verwenden:To find the name of the shape that you're using as a header or footer:

  1. Zeigen Sie in PowerPoint den Bereich Auswahl an: Registerkarte Format > Arrange group (Gruppe anordnen) > Auswahlbereich.In PowerPoint, display the Selection pane: Format tab > Arrange group > Selection Pane.

  2. Wählen Sie die Form auf der Folie aus, die die Kopf- oder Fußzeile enthält.Select the shape on the slide that contains your header or footer. Der Name der ausgewählten Form wird nun im Bereich Auswahl hervorgehoben.The name of the selected shape is now highlighted in the Selection pane.

Verwenden Sie den Namen der Form, um einen Zeichenfolgenwert für den Schlüssel PowerPointShapeNameToRemove anzugeben.Use the name of the shape to specify a string value for the PowerPointShapeNameToRemove key.

Beispiel: Der Name der Form ist fc.Example: The shape name is fc. Geben Sie den Wert fc an, um die Form mit diesem Namen zu entfernen.To remove the shape with this name, you specify the value: fc.

  • Schlüssel: PowerPointShapeNameToRemoveKey: PowerPointShapeNameToRemove

  • Wert: <Name der PowerPoint-Form>Value: <PowerPoint shape name>

Wenn mehr als eine PowerPoint-Form entfernt werden soll, erstellen Sie so viele PowerPointShapeNameToRemove-Schlüssel wie Sie Formen entfernen möchten.When you have more than one PowerPoint shape to remove, create as many PowerPointShapeNameToRemove keys as you have shapes to remove. Geben Sie für jeden Eintrag den Namen der zu entfernenden Form an.For each entry, specify the name of the shape to remove.

Standardmäßig werden nur die Masterfolien auf Kopf- oder Fußzeilen überprüft.By default, only the Master slides are checked for headers and footers. Wenn Sie diese Suche auf alle Folien ausweiten möchten (dieser Prozess ist jedoch wesentlich ressourcenintensiver), verwenden Sie eine zusätzliche erweiterte Clienteinstellung namens RemoveExternalContentMarkingInAllSlides:To extend this search to all slides, which is a much more resource-intensive process, use an additional advanced client setting named RemoveExternalContentMarkingInAllSlides:

  • Schlüssel: RemoveExternalContentMarkingInAllSlidesKey: RemoveExternalContentMarkingInAllSlides

  • Wert: TrueValue: True

Hinzufügen einer Bezeichnung zu einem Office-Dokument über eine bereits bestehende benutzerdefinierte EigenschaftLabel an Office document by using an existing custom property

Hinweis

Wenn Sie diese Konfiguration und die Konfiguration zum Migrieren von Bezeichnungen von Secure Islands und anderen Bezeichnungslösungen verwenden, erhält die Einstellung für die Bezeichnungsmigration Vorrang.If you use this configuration and the configuration to migrate labels from Secure Islands and other labeling solutions, the labeling migration setting takes precedence.

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn Sie diese Einstellung konfigurieren, können Sie ein Office-Dokument klassifizieren (und unter Umständen schützen), wenn es über eine benutzerdefinierte Eigenschaft mit einem Wert verfügt, der einem Ihrer Bezeichnungsnamen entspricht.When you configure this setting, you can classify (and optionally, protect) an Office document when it has an existing custom property with a value that matches one of your label names. Diese benutzerdefinierte Eigenschaft kann aus einer Klassifizierungslösung stammen oder von SharePoint als eine Eigenschaft festgelegt worden sein.This custom property can be set from another classification solution, or can be set as a property by SharePoint.

Diese Konfiguration hat zur Folge, dass einem Dokument, das ohne eine Azure Information Protection-Bezeichnung von einem Benutzer in einer Office-App geöffnet oder gespeichert wird, eine Bezeichnung zugeordnet wird, die mit dem entsprechenden Eigenschaftswert übereinstimmt.As a result of this configuration, when a document without an Azure Information Protection label is opened and saved by a user in an Office app, the document is then labeled to match the corresponding property value.

Bevor Sie diese Konfiguration verwenden können, müssen Sie zunächst zwei erweiterte Einstellungen angeben, die miteinander interagieren.This configuration requires you to specify two advanced settings that work together. Die erste Einstellung wird SyncPropertyName genannt. Es handelt sich dabei um den benutzerdefinierten Eigenschaftsnamen, der von der anderen Klassifizierungslösung festgelegt worden ist, oder um eine Eigenschaft, die von SharePoint festgelegt wurde.The first is named SyncPropertyName, which is the custom property name that has been set from the other classification solution, or a property that is set by SharePoint. Bei der zweiten Einstellung handelt es sich um SyncPropertyState. Diese muss auf „OneWay“ festgelegt sein.The second is named SyncPropertyState and must be set to OneWay.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting, enter the following strings:

  • Schlüssel 1: SyncPropertyNameKey 1: SyncPropertyName

  • Wert von Schlüssel 1: <Eigenschaftenname>Key 1 Value: <property name>

  • Schlüssel 2: SyncPropertyStateKey 2: SyncPropertyState

  • Schlüsselwert 2: OneWayKey 2 Value: OneWay

Verwenden Sie diesen Schlüssel und die entsprechenden Werte für lediglich eine benutzerdefinierte Eigenschaft.Use these keys and corresponding values for only one custom property.

Es gibt zum Beispiel eine SharePoint-Spalte mit dem Namen Klassifizierung und den möglichen Werten Öffentlich, Allgemein und Streng vertraulich\Alle Mitarbeiter.As an example, you have a SharePoint column named Classification that has possible values of Public, General, and Highly Confidential All Employees. Dokumente werden in SharePoint gespeichert, wobei deren Werte für die Klassifizierungseigenschaft auf Öffentlich, Allgemein oder Streng vertraulich\Alle Mitarbeiter festgelegt sind.Documents are stored in SharePoint and have Public, General, or Highly Confidential All Employees as values set for the Classification property.

Um einem Office-Dokument eine Bezeichnung dieser Klassifizierungswerte zuzuweisen, legen Sie SyncPropertyName auf Classification und SyncPropertyState auf OneWay fest.To label an Office document with one of these classification values, set SyncPropertyName to Classification, and SyncPropertyState to OneWay.

Wenn ein Benutzer nun eines dieser Office-Dokumente öffnet und speichert, wird diesem eine der folgenden Bezeichnungen zugeordnet: Öffentlich, Allgemein oder Streng vertraulich\Alle Mitarbeiter. Dies geschieht allerdings nur, wenn Bezeichnungen mit diesen Namen in der Azure Information Protection-Richtlinie vorhanden sind.Now, when a user opens and saves one of these Office documents, it is labeled Public, General, or Highly Confidential \ All Employees if you have labels with these names in your Azure Information Protection policy. Wenn es keine Bezeichnungen mit diesen Namen gibt, erhält das Dokument keine Bezeichnung.If you do not have labels with these names, the document remains unlabeled.

Aktivieren von Azure Information Protection-Analysen zur Erkennung vertraulicher Informationen in DokumentenEnable Azure Information Protection analytics to discover sensitive information in documents

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Azure Information Protection-Analysen sind in der Lage, die von Azure Information Protection-Clients gespeicherten Dokumente, die Inhalte mit vertraulichen Informationen enthalten, zu erkennen und zu melden.Azure Information Protection analytics can discover and report documents saved by Azure Information Protection clients when that content contain sensitive information. Standardmäßig werden diese Informationen nicht an Azure Information Protection-Analysen gesendet.By default, this information is not sent to Azure Information Protection analytics.

Um dieses Verhalten dahin gehend zu ändern, dass diese Informationen gesendet werden, geben Sie die folgenden Zeichenfolgen ein:To change this behavior so that this information is sent, enter the following strings:

  • Schlüssel: RunAuditInformationTypeDiscoveryKey: RunAuditInformationTypeDiscovery

  • Wert: TrueValue: True

Wenn diese erweiterte Clienteinstellung nicht festgelegt wird, werden weiterhin Überwachungsergebnisse vom Azure Information Protection-Client gesendet. Der Bericht beschränkt sich jedoch auf Informationen über Benutzerzugriffe auf bezeichnete Inhalte.If you do not set this advanced client setting, audit results are still sent from the Azure Information Protection client but the information is limited to reporting when a user has accessed labeled content.

Zum Beispiel:For example:

  • Ohne diese Einstellung können Sie sehen, dass ein Benutzer auf die mit Vertraulich\Vertrieb bezeichnete Datei „Finanzen.docx“ zugegriffen hat.Without this setting, you can see that a user accessed Financial.docx that is labeled Confidential \ Sales.

  • Und mit dieser Einstellung sehen Sie, dass „Finanzen.docx“ sechs Kreditkartennummern enthält.With this setting, you can see that Financial.docx contains 6 credit card numbers.

Deaktivieren der Übereinstimmungen des Sendeinformationstyps für eine Teilmenge von BenutzernDisable sending information type matches for a subset of users

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Wenn Sie das Kontrollkästchen für Azure Information Protection-Analysen aktivieren, das die Inhaltsübereinstimmungen für Ihre vertraulichen Informationstypen oder Ihre benutzerdefinierten Bedingungen sammelt, werden diese Informationen standardmäßig von allen Benutzern gesendet.When you select the checkbox for Azure Information Protection analytics that collects the content matches for your sensitive information types or your custom conditions, by default, this information is sent by all users. Wenn Sie einige Benutzer haben, die diese Daten nicht senden sollten, erstellen Sie die folgende erweiterte Clienteinstellung in einer bereichsbezogenen Richtlinie für diese Benutzer:If you have some users who should not send this data, create the following advanced client setting in a scoped policy for these users:

  • Schlüssel: LogMatchedContentKey: LogMatchedContent

  • Wert: DeaktivierenValue: Disable

Begrenzen der Anzahl der von der Überprüfung verwendeten ThreadsLimit the number of threads used by the scanner

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Standardmäßig verwendet die Überprüfung alle verfügbaren Prozessorressourcen des Computers, auf dem der Überprüfungsdienst ausgeführt wird.By default, the scanner uses all available processor resources on the computer running the scanner service. Wenn Sie die CPU-Nutzung während der Überprüfungsvorgänge des Diensts begrenzen müssen, erstellen Sie die folgende erweiterte Einstellung.If you need to limit the CPU consumption while this service is scanning, create the following advanced setting.

Geben Sie als Wert die Anzahl von gleichzeitigen Threads an, die von der Überprüfung parallel ausgeführt werden dürfen.For the value, specify the number of concurrent threads that the scanner can run in parallel. Die Überprüfung verwendet für jede Datei, die überprüft wird, einen separaten Thread, daher definiert diese Drosselungskonfiguration auch die Anzahl von Dateien, die parallel überprüft werden können.The scanner uses a separate thread for each file that it scans, so this throttling configuration also defines the number of files that can be scanned in parallel.

Wenn Sie den Wert zu Testzwecken zum ersten Mal konfigurieren, empfehlen wir Ihnen, „2 pro Kern“ anzugeben und die Ergebnisse zu überwachen.When you first configure the value for testing, we recommend you specify 2 per core, and then monitor the results. Wenn Sie die Überprüfung z.B. auf einem Computer mit vier Kernen ausführen, legen Sie den Wert auf „8“ fest.For example, if you run the scanner on a computer that has 4 cores, first set the value to 8. Erhöhen oder verringern Sie den Wert nach Bedarf – je nachdem, welche Leistung Sie für den Überprüfungscomputer und die Überprüfungshäufigkeit benötigen.If necessary, increase or decrease that number, according to the resulting performance you require for the scanner computer and your scanning rates.

  • Schlüssel: ScannerConcurrencyLevelKey: ScannerConcurrencyLevel

  • Wert: <Anzahl von gleichzeitigen Threads>Value: <number of concurrent threads>

Deaktivieren der niedrigen Integritätsebene für den ScannerDisable the low integrity level for the scanner

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Die Vorschauversion der Azure Information Protection-Überprüfung wird standardmäßig mit einer niedrigen Integritätsebene ausgeführt.By default, the Azure Information Protection scanner runs with a low integrity level. Diese Einstellung bietet eine höhere Sicherheitsisolationsstufe, beeinträchtigt jedoch die Leistung.This setting provides higher security isolation but at the cost of performance. Eine niedrige Integritätsebene eignet sich, wenn Sie den Scanner mit einem Konto ausführen, das privilegierte Zugriffsrechte hat (z.B. ein lokales Administratorkonto), da diese Einstellung den Computer schützt, der den Scanner ausführt.A low integrity level is suitable if you run the scanner with an account that has privileged rights (such as a local administrator account) because this setting helps to protect the computer running the scanner.

Wenn das Dienstkonto, das den Scanner ausführt, nur über die unter Voraussetzungen für die Azure Information Protection-Überprüfung dokumentierten Rechte verfügt, ist eine niedrige Integritätsebene weder erforderlich noch empfehlenswert, da sie sich negativ auf die Leistung auswirkt.However, when the service account that runs the scanner has only the rights documented in the scanner prerequisites, the low integrity level is not necessary and is not recommended because it negatively affects performance.

Weitere Informationen zu den Windows-Integritätsebenen finden Sie unter What is the Windows Integrity Mechanism? (Was ist der Windows-Integritätsmechanismus?).For more information about the Windows integrity levels, see What is the Windows Integrity Mechanism?

Wenn Sie diese erweiterte Einstellung so konfigurieren möchten, dass der Scanner mit einer automatisch von Windows zugewiesenen Integritätsebene ausgeführt wird (ein Standardbenutzerkonto wird mit einer mittleren Integritätsebene ausgeführt), geben Sie die folgenden Zeichenfolgen ein:To configure this advanced setting so that the scanner runs with an integrity level that's automatically assigned by Windows (a standard user account runs with a medium integrity level), enter the following strings:

  • Schlüssel: ProcessUsingLowIntegrityKey: ProcessUsingLowIntegrity

  • Wert: FalseValue: False

Ändern des lokalen ProtokolliergradsChange the local logging level

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen.This configuration uses an advanced client setting that you must configure in the Azure portal.

Der Azure Information Protection-Client schreibt Clientprotokolldateien standardmäßig in den Ordner %localappdata%\Microsoft\MSIP.By default, the Azure Information Protection client writes client log files to the %localappdata%\Microsoft\MSIP folder. Diese Dateien dienen zur Problembehandlung durch den Microsoft-Support.These files are intended for troubleshooting by Microsoft Support.

Zum Ändern des Protokolliergrads für diese Dateien konfigurieren Sie die folgende erweiterte Clienteinstellung:To change the logging level for these files, configure the following advanced client setting:

  • Schlüssel: LogLevelKey: LogLevel

  • Wert: <Protokolliergrad>Value: <logging level>

Legen Sie den Protokolliergrad auf einen der folgenden Werte fest:Set the logging level to one of the following values:

  • Off: Keine lokale Protokollierung.Off: No local logging.

  • Fehler: Nur Fehler.Error: Errors only.

  • Info: Minimale Protokollierung, bei der keine Ereignis-IDs einbezogen werden (die Standardeinstellung für den Scanner).Info: Minimum logging, which includes no event IDs (the default setting for the scanner).

  • Debug: Vollständige Informationen.Debug: Full information.

  • Trace: Ausführliche Protokollierung (die Standardeinstellung für Clients).Trace: Detailed logging (the default setting for clients). Für den Scanner bringt diese Einstellung eine erhebliche Beeinträchtigung der Leistung mit sich und sollte für den Scanner nur aktiviert werden, wenn der Microsoft Support dazu auffordert.For the scanner, this setting has a significant performance impact and should be enabled for the scanner only if requested by Microsoft Support. Wenn Sie angewiesen werden, diesen Protokolliergrad für den Scanner festzulegen, denken Sie nach dem Sammeln der relevanten Protokolle daran, einen anderen Wert festzulegen.If you are instructed to set this level of logging for the scanner, remember to set a different value when the relevant logs have been collected.

Durch diese erweiterte Clienteinstellung ändern sich weder die Informationen, die für die zentrale Berichterstellung an Azure Information Protection gesendet werden, noch die Informationen, die in das lokale Ereignisprotokoll geschrieben werden.This advanced client setting does not change the information that's sent to Azure Information Protection for central reporting, or change the information that's written to the local event log.

Integration in die Exchange-Nachrichtenklassifizierung für eine Lösung zur Bezeichnung mobiler GeräteIntegration with Exchange message classification for a mobile device labeling solution

Obwohl Outlook im Web noch keine systemeigene Unterstützung für die Klassifizierung und den Schutz durch Azure Information Protection bietet, können Sie Ihre Azure Information Protection-Bezeichnungen mithilfe der Exchange-Nachrichtenklassifizierung auf Ihre mobilen Benutzer erweitern, sofern sie Outlook im Web verwenden.Although Outlook on the web doesn't yet natively support Azure Information Protection classification and protection, you can use Exchange message classification to extend your Azure Information Protection labels to your mobile users when they use Outlook on the web. Outlook Mobile unterstützt keine Exchange-Nachrichtenklassifizierung.Outlook Mobile does not support Exchange message classification.

So erreichen Sie diese LösungTo achieve this solution:

  1. Verwenden Sie das Exchange PowerShell-Cmdlet New-MessageClassification, um Nachrichtenklassifizierungen mit der Name-Eigenschaft zu erstellen, die Ihren Bezeichnungsnamen in der Azure Information Protection-Richtlinie zugeordnet wird.Use the New-MessageClassification Exchange PowerShell cmdlet to create message classifications with the Name property that maps to your label names in your Azure Information Protection policy.

  2. Erstellen Sie für jede Bezeichnung eine Exchange-E-Mail-Flussregel: Wenden Sie die Regel an, wenn Nachrichteneigenschaften die von Ihnen konfigurierte Klassifizierung enthalten, und ändern Sie dann die Nachrichteneigenschaften, um einen Nachrichtenheader festzulegen.Create an Exchange mail flow rule for each label: Apply the rule when the message properties include the classification that you configured, and modify the message properties to set a message header.

    Für den Nachrichtenheader finden Sie die anzugebenden Informationen, indem Sie die Internetheader einer E-Mail untersuchen, die Sie mithilfe Ihrer Azure Information Protection-Bezeichnung gesendet und klassifiziert haben.For the message header, you find the information to specify by inspecting the Internet headers of an email that you sent and classified by using your Azure Information Protection label. Suchen Sie nach den Header msip_labels und die darauf folgende Zeichenfolge, bis zu und einschließlich dem Semikolon.Look for the header msip_labels and the string that immediately follows, up to and including the semicolon. Zum Beispiel:For example:

    msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True;

    Geben Sie dann für den Nachrichtenheader in der Regel msip_labels für den Header und den Rest der Zeichenfolge für den Headerwert an.Then, for the message header in the rule, specify msip_labels for the header, and the remainder of this string for the header value. Zum Beispiel:For example:

    Beispielregel für den E-Mail-Verkehr von Exchange Online, die den Nachrichtenheader für eine bestimmte Azure Information Protection-Bezeichnung festlegt

    Hinweis: Wenn die Bezeichnung eine untergeordnete Bezeichnung ist, müssen Sie im Headerwert vor der untergeordneten Bezeichnung auch die übergeordnete Bezeichnung im gleichen Format angeben.Note: When the label is a sublabel, you must also specify the parent label before the sublabel in the header value, using the same format. Wenn Ihre untergeordnete Bezeichnung z. B. die GUID 27efdf94-80a0-4d02-b88c-b615c12d69a9 aufweist, kann Ihr Wert wie folgt aussehen: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True;For example, if your sublabel has a GUID of 27efdf94-80a0-4d02-b88c-b615c12d69a9, your value might look like the following: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True;

Bevor Sie diese Konfiguration testen, beachten Sie, dass es häufig zu einer Verzögerung beim Erstellen oder Bearbeiten von Regeln für den E-Mail-Verkehr kommt (warten Sie eine Stunde).Before you test this configuration, remember that there is often a delay when you create or edit mail flow rules (for example, wait an hour). Bei aktivierter Regel treten nun die folgenden Ereignisse ein, wenn Benutzer Outlook im Web verwenden:When the rule is in effect, the following events now happen when users use Outlook on the web:

  • Benutzer wählen die Exchange-Nachrichtenklassifizierung aus, und senden die E-Mail.Users select the Exchange message classification and send the email.

  • Die Exchange-Regel erkennt die Exchange-Klassifizierung und ändert entsprechend den Nachrichtenheader, um die Azure Information Protection-Klassifizierung hinzuzufügen.The Exchange rule detects the Exchange classification and accordingly modifies the message header to add the Azure Information Protection classification.

  • Wenn interne Empfänger die E-Mail in Outlook anzeigen und der Azure Information Protection-Client installiert ist, sehen sie, dass die Azure Information Protection-Bezeichnung zugewiesen ist.When internal recipients view the email in Outlook and they have the Azure Information Protection client installed, they see the Azure Information Protection label assigned.

Wenn Ihre Azure Information Protection-Bezeichnungen Schutz anwenden, fügen Sie diesen Schutz zur Regelkonfiguration hinzu: Wählen Sie die Option zum Ändern der Nachrichtensicherheit aus, wenden Sie den Rechteschutz an, und wählen Sie dann die Schutzvorlage oder die Option „Nicht weiterleiten“ aus.If your Azure Information Protection labels apply protection, add this protection to the rule configuration: Selecting the option to modify the message security, apply rights protection, and then select the protection template or Do Not Forward option.

Sie können Regeln für den E-Mail-Verkehr auch so konfigurieren, dass sie die umgekehrte Zuordnung vornehmen.You can also configure mail flow rules to do the reverse mapping. Wenn eine Azure Information Protection-Bezeichnung erkannt wird, legen Sie eine entsprechende Exchange-Nachrichtenklassifizierung fest:When an Azure Information Protection label is detected, set a corresponding Exchange message classification:

  • Für jede Azure Information Protection-Bezeichnung: Erstellen Sie eine E-Mail-Flussregel, die angewendet wird, wenn der Header msip_labels den Namen Ihrer Bezeichnung enthält (z. B. Allgemein). Wenden Sie zudem eine Nachrichtenklassifizierung an, die dieser Bezeichnung zugeordnet wird.For each Azure Information Protection label: Create a mail flow rule that is applied when the msip_labels header includes the name of your label (for example, General), and apply a message classification that maps to this label.

Nächste SchritteNext steps

Nachdem Sie den Azure Information Protection-Client angepasst haben, lesen Sie die folgenden Artikel, die Sie eventuell zur Unterstützung dieses Clients benötigen:Now that you've customized the Azure Information Protection client, see the following resources for additional information that you might need to support this client: