Integration von Azure Information ProtectionAzure Information Protection integration

Gilt für: Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Wichtig

Die Produktnamen des Bedrohungsschutzes von Microsoft ändern sich.Threat protection product names from Microsoft are changing. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in der Dokumentation aktualisieren.We'll be updating names in products and in the docs in the near future.

Mithilfe von Microsoft Cloud App Security können Sie Klassifizierungsbezeichnungen für Azure Information Protection automatisch auf Dateien (mit oder ohne Schutz) als eine Governanceaktion für eine Dateirichtlinie anwenden.Microsoft Cloud App Security lets you apply Azure Information Protection classification labels automatically, with or without protection, to files as a file policy governance action. Sie können Dateien außerdem untersuchen, indem Sie nach den angewandten Klassifizierungsbezeichnungen im Cloud App Security-Portal filtern.You can also investigate files by filtering for the applied classification label within the Cloud App Security portal. Mithilfe von Klassifizierungen werden Ihre sensiblen Daten in der Cloud besser sichtbar und können besser kontrolliert werden.Using classifications enables greater visibility and control of your sensitive data in the cloud. Die Integration von Azure Information Protection mit Cloud App Security ist genauso einfach, wie ein einziges Kontrollkästchen zu aktivieren.Integrating Azure Information Protection with Cloud App Security is as easy as selecting one single checkbox.

Hinweis

Dieser Artikel ist auch für die Bezeichnungen von Office 365 Unified sensisensitivität relevant, wenn Sie Ihre Klassifizierungs Bezeichnungen für Office 365 Security and Compliance Center bereits migrierthaben.This article is also relevant for Office 365 unified sensitivity labels if you already migrated your classification labels for the Office 365 Security and Compliance Center. Wenn Sie Ihre vorhandenen Klassifizierungs Bezeichnungen nicht migriert haben und mit der Erstellung neuer Bezeichnungen im Office 365 Security and Compliance Center beginnen, werden Cloud App Security nur die bereits vorhandenen Bezeichnungen verwenden, die im Azure Information Protection Portal konfiguriert sind.If you did not migrate your existing classification labels, and you begin to create new labels in the Office 365 Security and Compliance Center, Cloud App Security will only use the preexisting labels configured in the Azure Information Protection portal.

Durch die Integration von Azure Information Protection in Cloud App Security können Sie die volle Leistungsfähigkeit beider Dienste nutzen und Dateien in Ihrer Cloud schützen, z.B.:By integrating Azure Information Protection into Cloud App Security, you can use the full power of both services and secure files in your cloud, including:

  • die Möglichkeit, Klassifizierungsbezeichnungen als eine Gorvernanceaktion auf Dateien anzuwenden, die bestimmten Richtlinien entsprechenThe ability to apply classification labels as a governance action to files that match specific policies
  • die Möglichkeit, alle klassifizierten Dateien an einem zentralen Ort anzuzeigenThe ability to view all classified files in a central location
  • die Möglichkeit, Untersuchungen gemäß Klassifizierungsebene durchzuführen sowie über Ihre Cloudanwendungen zu quantifizieren, wie stark Ihre sensiblen Daten preisgegeben werdenThe ability to investigate according to classification level, and quantify exposure of sensitive data over your cloud applications
  • die Möglichkeit, Richtlinien zu erstellen, die sicherstellen sollen, dass klassifizierte Dateien ordnungsgemäß verarbeitet werdenThe ability to create policies to make sure classified files are being handled properly

VoraussetzungenPrerequisites

Hinweis

Zum Aktivieren dieses Features benötigen Sie Lizenzen für Cloud App Security und Azure Information Protection Premium P1.To enable this feature, you need both a Cloud App Security license and a license for Azure Information Protection Premium P1. Sobald beide Lizenzen vorhanden sind, Cloud App Security die Bezeichnungen der Organisation vom Azure Information Protection Dienst synchronisiert.As soon as both licenses are in place, Cloud App Security syncs the organization's labels from the Azure Information Protection service.

Um Bezeichnungen in Cloud App Security verwenden zu können, müssen die Bezeichnungen als Teil der Richtlinie veröffentlicht werden.To use labels in Cloud App Security, the labels must be published as part of the policy. Wenn Sie Azure Information Protection verwenden, müssen Bezeichnungen über das Azure Information Protection-Portal veröffentlicht werden.If you're using Azure Information Protection, labels must be published via the Azure Information Protection portal. Wenn Sie zu Unified Labels migriert haben, müssen Bezeichnungen über Office 365 Security and Compliance Center veröffentlicht werden.If you migrated to unified labels, labels must be published via Office 365 Security and Compliance Center.

Cloud App Security unterstützt derzeit die Anwendung von Klassifizierungsbezeichnungen für Azure Information Protection für die folgenden Dateitypen:Cloud App Security currently supports applying Azure Information Protection classification labels for the following file types:

  • Word: docm, docx, dotm, dotxWord: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltxExcel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptxPowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDFPDF

    Hinweis

    Für PDF müssen Sie einheitliche Bezeichnungen verwenden.For PDF, you must use unified labels.

Diese Funktion ist zurzeit für Dateien verfügbar, die in Box, Google Workspace, SharePoint Online und onedrive for Business gespeichert sind.This feature is currently available for files stored in Box, Google Workspace, SharePoint Online, and OneDrive for Business. Mehr Cloud-Apps werden in zukünftigen Versionen unterstützt.More cloud apps will be supported in future versions.

FunktionsweiseHow it works

Sie kennen wahrscheinlich Dateiklassifizierungsbezeichnungen in Azure Information Protection.You're probably familiar with file classification labels in Azure Information Protection. Sie können die Klassifizierungstags von Azure Informationen Protection-Tags in Cloud App Security sehen.You can see the Azure Information Protection classification tags in Cloud App Security. Sobald Sie Cloud App Security mithilfe von Azure Information Protection integriert haben, überprüft Cloud App Security die Dateien wie folgt:As soon as you integrate Cloud App Security with Azure Information Protection, Cloud App Security scans files as follows:

  1. Cloud App Security ruft eine Liste aller Klassifizierungsbezeichnungen ab, die in Ihrem Mandanten verwendet werden.Cloud App Security retrieves the list of all the classification labels used in your tenant. Diese Aktion wird einmal pro Stunde ausgeführt, um die Liste auf dem neuesten Stand zu halten.This action is performed every hour to keep the list up-to-date.

  2. Cloud App Security überprüft dann die Dateien folgendermaßen auf Klassifizierungsbezeichnungen:Cloud App Security then scans the files for classification labels, as follows:

    • Wenn Sie die automatische Überprüfung aktiviert haben, werden alle neuen oder geänderten Dateien der Überprüfungs Warteschlange hinzugefügt, und alle vorhandenen Dateien und Depots werden gescannt.If you enabled automatic scan, all new or modified files are added to the scan queue and all existing files and repositories will be scanned.
    • Wenn Sie eine Dateirichtlinie zum Suchen nach Klassifizierungsbezeichnungen eingerichtet haben, werden diese Dateien der Überprüfungswarteschlange für Klassifizierungsbezeichnungen hinzugefügt.If you set a file policy to search for classification labels, these files are added to the scan queue for classification labels.
  3. Wie bereits erwähnt, gelten diese Überprüfungen für die Klassifizierungsbezeichnungen, die bei der Erstüberprüfung von Cloud App Security gefunden wurden. Dadurch wird erkannt, welche Klassifizierungsbezeichnungen in Ihrem Mandanten verwendet werden.As noted above, these scans are for the classification labels discovered in the initial scan Cloud App Security does to see which classification labels are used in your tenant. Zu Ihrer Liste der Klassifizierungsbezeichnungen werden externe Bezeichnungen hinzugefügt. Dies sind Klassifizierungsbezeichnungen, die für Ihren Mandanten von einer externen Person festgelegt wurden.External labels, classification labels set by someone external to your tenant, are added to the list of classification labels. Wenn Sie diese nicht überprüfen möchten, aktivieren Sie das Kontrollkästchen Dateien für Azure Information Protection-Klassifizierungsbezeichnungen nur von diesem Mandanten überprüfen.If you don't want to scan for these, select the Only scan files for Azure Information Protection classification labels from this tenant check box.

  4. Nachdem Sie Azure Information Protection auf Cloud App Security aktiviert haben, werden alle neuen Dateien, die zu den verbundenen Cloud-apps hinzugefügt werden, auf Klassifizierungs Bezeichnungen überprüft.After you enable Azure Information Protection on Cloud App Security, all new files that are added to your connected cloud apps will be scanned for classification labels.

  5. Sie können neue Richtlinien in Cloud App Security erstellen, die Ihre Klassifizierungsbezeichnungen automatisch anwenden.You can create new policies within Cloud App Security that apply your classification labels automatically.

Hinweis

  • Dateien, die mit Schutz außerhalb von Cloud App Security gekennzeichnet wurden, können durch Cloud App Security nicht geändert werden.Files that were labeled with protection outside of Cloud App Security can't be changed by Cloud App Security. Allerdings können Sie diese Dateien durchsuchen, indem Sie Berechtigungen zum über Prüfen von Inhalten für geschützte Dateienerteilen.However, you can scan these files by granting permissions to inspect content for protected files.
  • Im Gegensatz dazu können Dateien, die durch Cloud App Security und hochgeladen werden, in SharePoint oder onedrive und die Bezeichnung mit einem Konto aus einem Dienst Prinzipal Namen angewendet werden, nicht in Office im Web geöffnet werden.Conversely, files labeled by Cloud App Security and uploaded to SharePoint or OneDrive and the label applied encryption by using an account from a service principal name, the files can't be opened in Office on the web. Beispielszenarien sind Cloud App Security und eine Datei, die per e-Mail an Teams gesendet wird.Example scenarios include Cloud App Security and a file sent to Teams by email.

So integrieren Sie Azure Information Protection mit Cloud App SecurityHow to integrate Azure Information Protection with Cloud App Security

Aktivieren von Azure Information ProtectionEnable Azure Information Protection

Um Azure Information Protection mit Cloud App Security zu integrieren müssen Sie einfach nur ein Kontrollkästchen aktivieren.All you have to do to integrate Azure Information Protection with Cloud App Security is click a single checkbox. Mit der automatischen Überprüfung können Sie in Ihren Office 365-Dateien nach Azure Information Protection-Klassifizierungsbezeichnungen suchen, ohne eine Richtlinie erstellen zu müssen.By enabling automatic scan, you enable searching for Azure Information Protection classification labels on your Office 365 files without the need to create a policy. Wenn sich nach der Aktivierung die Dateien in Ihrer Cloudumgebung befinden, die Azure Information Protection-Klassifizierungsbezeichnungen aufweisen, werden sie in Cloud App Security angezeigt.After you enable it, if you have files in your cloud environment that are labeled with Azure Information Protection classification labels, you'll see them in Cloud App Security.

So aktivieren Sie Cloud App Security, um Dateien mit Inhaltsuntersuchung zu überprüfen, bei denen Klassifizierungsbezeichnungen aktiviert sind:To enable Cloud App Security to scan files with content inspection enabled for classification labels:

  1. Klicken Sie in Cloud App Security auf das Zahnradsymbol für Einstellungen, und wählen Sie unter der Überschrift System die Seite Einstellungen aus.In Cloud App Security, under the settings cog, select the Settings page under the System heading.

    Menü „Einstellungen“

  2. Wählen Sie unter Azure Information Protection die Option Neue Dateien automatisch auf Azure Information Protection-Klassifizierungsbezeichnungen überprüfen aus.Under Azure Information Protection, select Automatically scan new files for Azure Information Protection classification labels.

    Azure Information Protection aktivieren

Nachdem Sie Azure Information Protection aktiviert haben, können Sie die Dateien sehen, die über Klassifizierungsbezeichnungen verfügen, und diese nach Bezeichnung in Cloud App Security filtern.After enabling Azure Information Protection, you'll be able to see files that have classification labels and filter them per label in Cloud App Security. Nachdem Cloud App Security eine Verbindung mit der Cloud-App hergestellt hat, können Sie die Integrationsfeatures von Azure Information Protection verwenden, um Azure Information Protection-Klassifizierungsbezeichnungen (mit oder ohne Schutz) im Cloud App Security-Portal anzuwenden, indem Sie sie direkt zu den Dateien hinzufügen oder eine Dateirichtlinie konfigurieren, die automatisch auf Klassifizierungsbezeichnungen als Governanceaktion angewendet werden kann.After Cloud App Security is connected to the cloud app, you'll be able to use the Azure Information Protection integration features to apply Azure Information Protection classification labels (with or without protection) in the Cloud App Security portal, by adding them directly to files or by configuring a file policy to apply classification labels automatically as a governance action.

Hinweis

Die automatische Überprüfung wird für vorhandene Dateien erst dann ausgeführt, wenn sie erneut geändert werden.Automatic scan does not scan existing files until they are modified again. Um vorhandene Dateien nach Azure Information Protection Klassifizierungs Bezeichnungen zu scannen, benötigen Sie mindestens eine Datei Richtlinie , die die Inhalts Untersuchung einschließt.To scan existing files for Azure Information Protection classification labels, you must have at least one File policy that includes content inspection. Wenn Sie keine haben, erstellen Sie eine neue Datei Richtlinie, löschen Sie alle vordefinierten Filter, und wählen Sie unter Inspektionsmethode die Option integrierte DLP aus.If you have none, create a new File policy, delete all the preset filters, under Inspection method select Built-in DLP. Wählen Sie im Feld Inhalts Untersuchung die Option Dateien einschließen, die einem vordefinierten Ausdruck entsprechen aus, und wählen Sie einen beliebigen vordefinierten Wert aus, und speichern Sie die Richtlinie.In the Content inspection field, select Include files that match a preset expression and select any predefined value, and save the policy. Dadurch wird die Inhaltsüberprüfung aktiviert, die automatisch Azure Information Protection-Klassifizierungsbezeichnungen erkennt.This enables content inspection, which automatically detects Azure Information Protection classification labels.

Festlegen von internen und externen TagsSet internal and external tags

Cloud App Security überprüft standardmäßig sowohl Klassifizierungsbezeichnungen, die in Ihrer Organisation definiert wurden, als auch externe, die von anderen Organisationen definiert wurden.By default, Cloud App Security scans classification labels that were defined in your organization as well as external ones defined by other organizations.

Um Klassifizierungsbezeichnungen, die nicht von Ihrer Organisation festgelegt wurden, zu ignorieren, navigieren Sie im Cloud App Security-Portal zu Einstellungen und Azure Information Protection.To ignore classification labels set external to your organization, in the Cloud App Security portal, go under Settings and Azure Information Protection. Aktivieren Sie Dateien auf Azure Information Protection-Klassifizierungsbezeichnungen und Warnungen der Inhaltsuntersuchung nur von diesem Mandanten überprüfen.Select Only scan files for Azure Information Protection classification labels and content inspection warnings from this tenant.

Bezeichnungen ignorieren

Bezeichnungen direkt auf Dateien anwendenApply labels directly to files

  1. Wählen Sie auf der Seite Dateien unter Untersuchen die Datei aus, die Sie schützen möchten.From the Files page under Investigate, select the file you want to protect. Klicken Sie auf die drei Punkte am Ende der Dateizeile und dann auf Klassifizierungsbezeichnung anwenden.Click the three dots at the end of the file's row then choose Apply classification label.

    App schützen

    Hinweis

    Cloud App Security kann Azure Information Protection auf Dateien mit bis zu 50 MB anwenden.Cloud App Security can apply Azure Information Protection on files that are up to 50 MB.

  2. Sie werden aufgefordert, eine der Klassifizierungsbezeichnungen Ihrer Organisation auf die Datei anzuwenden und auf Anwenden zu klicken.You're asked to choose one of your organization's classification labels to apply to the file, and click Apply.

    Klassifizierungsbezeichnung zum Schützen

  3. Nachdem Sie eine Klassifizierungsbezeichnung ausgewählt und auf „Anwenden“ geklickt haben, wendet Cloud App Security die Klassifizierungsbezeichnung auf die ursprüngliche Datei an.After you choose a classification label and click apply, Cloud App Security will apply the classification label to the original file.

  4. Außerdem können Sie Klassifizierungsbezeichnungen entfernen, indem Sie auf die Option Klassifizierungsbezeichnung entfernen klicken.You can also remove classification labels by choosing the Remove classification label option.

Hinweis

Sie können nur Bezeichnungen entfernen, die keinen Schutz beinhalten und innerhalb von Cloud App Security angewendet wurden. Direkt in Information Protection angewendete Bezeichnungen können nicht entfernt werden.You can remove labels only if they do not include protection, and they were applied from within Cloud App Security, not labels applied directly in Information Protection.

Weitere Informationen zur Zusammenarbeit von Cloud App Security und Azure Information Protection finden Sie unter Automatisches Anwenden von Azure Information Protection Klassifizierungs Bezeichnungen.For more information about how Cloud App Security and Azure Information Protection work together, see Automatically apply Azure Information Protection classification labels.

Dateien automatisch Bezeichnungen hinzufügenAutomatically label files

Sie können Klassifizierungbezeichnungen automatisch auf Dateien anwenden, indem Sie eine Dateirichtlinie erstellen und Klassifizierungsbezeichnung anwenden als Governanceaktion festlegen.You can automatically apply classification labels to files by creating a file policy and setting Apply classification label as the governance action.

Folgen Sie den folgenden Anweisungen, um die Dateirichtlinie zu erstellen:Follow these instructions to create the file policy:

  1. Erstellen Sie eine Dateirichtlinie.Create a file policy.

  2. Konfigurieren Sie die Richtlinie so, dass der Typ der Datei eingeschlossen wird, den Sie erkennen möchten.Set the policy to include the type of file you want to detect. Wählen Sie beispielsweise alle Dateien aus, in denen die Zugriffsebene nicht Intern entspricht und die Besitzerorganisationseinheit Ihrem Finanzteam entspricht.For example, select all files where Access level does not equal Internal and where the Owner OU equals your finance team.

  3. Klicken Sie unter „Governanceaktionen“ für die jeweilige App auf Klassifzierungsbezeichnung anwenden, und wählen Sie anschließend den Bezeichnungstyp aus.Under governance actions for the relevant app, click Apply a classification label then select the label type.

    Bezeichnung anwenden

Hinweis

  • Die Möglichkeit, eine Azure Information Protection-Bezeichnung automatisch über Dateirichtlinien anzuwenden, ist eine leistungsstarke Funktion.The ability to automatically apply an Azure Information Protection label through file policy is a powerful capability. Um Kunden davor zu schützen, versehentlich eine große Anzahl von Dateien mit einer Bezeichnung zu versehen, gibt es als Sicherheitsvorkehrung einen Grenzwert von 100 Aktionen des Typs Bezeichnung anwenden pro Tag, pro App und pro Mandant.To protect customers from mistakenly applying a label to a large number of files, as a safety precaution there is a daily limit of 100 Apply label actions per app, per tenant. Nach Erreichen des Tagesgrenzwerts wird die Aktion „Bezeichnung anwenden“ vorübergehend ausgesetzt und am nächsten Tag (nach 12:00 Uhr UTC) automatisch fortgesetzt.After the daily limit is reached, the apply label action pauses temporarily and continues automatically the next day (after 12:00 UTC). Öffnen Sie ein Support Ticket, um den Grenzwert für Ihren Mandanten zu erhöhen.To raise the limit for your tenant, open a support ticket.
  • Wenn eine Richtlinie deaktiviert ist, werden alle ausstehenden Bezeichnungs Tasks für diese Richtlinie angehalten.When a policy is disabled, all pending labeling tasks for that policy are suspended.

Steuerung der DateioffenlegungControl file exposure

  • Wenn das Nachfolgende beispielsweise das Dokument ist, das Sie mit einer Azure Information Protection-Klassifizierungsbezeichnung markiert haben, gehen Sie wie folgt vor:For example, if the below is a document you labeled with an Azure Information Protection classification label:

    Azure Information Protection-Bildschirm mit Beispieldokument

  • Sie können dieses Dokument in Cloud App Security anzeigen, indem Sie auf der Seite Dateien auf die Klassifizierungsbezeichnung für Azure Information Protection filtern.You can see this document in Cloud App Security by filtering on the classification label for Azure Information Protection in the Files page.

    Vergleich von Cloud App Security mit Azure Information Protection

  • Sie erhalten weitere Informationen zu diesen Dateien und deren Klassifizierunsbezeichnungen im Datei-Drawer.You can get more information about these files and their classification labels in the file drawer. Klicken Sie einfach auf der Seite Dateien auf die entsprechende Datei, und überprüfen Sie, ob sie über eine Klassifizierungsbezeichnung verfügen.Just click on the relevant file in the Files page and check whether it has a classification label.

    Datei-Drawer

  • Sie können dann Dateirichtlinien in Cloud App Security erstellen, um Dateien zu steuern, die nicht ordnungsgemäß freigegeben wurden, oder um Dateien zu finden, die eine Bezeichnung aufweisen und vor kurzem geändert wurden.Then, you can create file policies in Cloud App Security to control files that are shared inappropriately and find files that are labeled and were recently modified.

  • Sie können eine Richtlinie erstellen, die automatisch eine Klassifizierungsbezeichnung auf bestimmte Dateien anwendet.You can create a policy that automatically applies a classification label to specific files.

  • Zudem können Sie Warnungen für Aktivitäten im Zusammenhang mit Dateiklassifizierungen auslösen.You can also trigger alerts on activities related to file classification.

Hinweis

Wenn für eine Datei Azure Information Protection-Bezeichnungen deaktiviert sind, werden sie in Cloud App Security als deaktiviert angezeigt.When Azure Information Protection labels are disabled on a file, the disabled labels appear as disabled in Cloud App Security. Gelöschte Bezeichnungen werden nicht angezeigt.Deleted labels are not displayed.

Beispielrichtlinie: vertrauliche Daten, die extern auf Box freigegeben werden:Sample policy - confidential data that is externally shared on Box:

  1. Erstellen Sie eine Dateirichtlinie.Create a file policy.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.Set the policy's name, severity, and category.

  3. Fügen Sie die folgenden Filter hinzu, um alle vertraulichen Daten zu finden, die extern auf Box geteilt wurden:Add the following filters to find all confidential data that is externally shared on Box:

    Vertraulichkeitsrichtlinie

Beispielrichtlinie: geschützte Daten, die außerhalb des Ordners „Finance“ (Finanzen) kürzlich auf SharePoint geändert wurden:Sample policy - restricted data that was recently modified outside the Finance folder on SharePoint:

  1. Erstellen Sie eine Dateirichtlinie.Create a file policy.

  2. Legen Sie den Namen, den Schweregrad und die Kategorie der Richtlinie fest.Set the policy's name, severity, and category.

  3. Fügen Sie die folgenden Filter hinzu, um alle eingeschränkten Dateien zu finden, die vor kurzem geändert wurden, und schließen Sie den Ordner „Finance“ in der Ordnerauswahloption aus:Add the following filters to find all recently modified restricted files while excluding the Finance folder in the folder selection option:

    Richtlinie für geschützte Daten

Sie können auch Warnungen oder Benutzerbenachrichtigung einrichten oder sofortige Maßnahmen für diese Richtlinien ergreifen.You can also choose to set alerts, user notification or take immediate action for these policies. Erfahren Sie mehr über Governanceaktionen.Learn more about governance actions.

Erfahren Sie mehr über Azure Information Protection, und sehen Sie sich das Schnellstart-Tutorial für Azure Information Protection an.Learn more about Azure Information Protection and check out the Azure Information Protection Quick start tutorial.

Nächste SchritteNext steps

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter.If you run into any problems, we're here to help. Öffnen Sie ein Supportticket, um Hilfe oder Support für Ihr Produktproblem anzufordern.To get assistance or support for your product issue, please open a support ticket.