Vorbereiten von Benutzern und Gruppen für Azure Information ProtectionPreparing users and groups for Azure Information Protection

Gilt für: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Bevor Sie Azure Information Protection für Ihre Organisation bereitstellen, vergewissern Sie sich, dass Sie in Azure AD über Benutzer und Gruppenkonten für die Mandanten Ihrer Organisation verfügen.Before you deploy Azure Information Protection for your organization, make sure that you have accounts for users and groups in Azure AD for your organization's tenant.

Es gibt verschiedene Verfahren zum Erstellen dieser Konten für Benutzer und Gruppen, z.B.:There are different ways to create these accounts for users and groups, which include:

  • Sie können die Benutzer im Office 365 Admin Center und die Gruppen in Exchange Online Admin Center erstellen.You create the users in the Office 365 admin center, and the groups in the Exchange Online admin center.

  • Sie können die Benutzer und Gruppen im Azure-Portal erstellen.You create the users and groups in the Azure portal.

  • Sie können die Benutzer und Gruppen mithilfe von Azure AD PowerShell und Exchange Online-Cmdlets erstellen.You create the users and group by using Azure AD PowerShell and Exchange Online cmdlets.

  • Sie können die Benutzer und Gruppen in Ihrem lokalen Active Directory erstellen und mit Azure AD synchronisieren.You create the users and groups in your on-premises Active Directory and synchronize them to Azure AD.

  • Sie können die Benutzer und Gruppen einem anderen Verzeichnis erstellen und mit Azure AD synchronisieren.You create the users and groups in another directory and synchronize them to Azure AD.

Wenn Sie Benutzer und Gruppen mit den ersten drei Methoden aus dieser Liste erstellen, werden sie automatisch in Azure AD erstellt und können von Azure Information Protection direkt verwendet werden.When you create users and groups by using the first three methods from this list, they are automatically created in Azure AD, and Azure Information Protection can use these accounts directly. Allerdings werden Benutzer und Gruppen in vielen Unternehmensnetzwerke in einem lokalen Verzeichnis erstellt und verwaltet.However, many enterprise networks use an on-premises directory to create and manage users and groups. Diese Konten können von Azure Information Protection nicht direkt verwendet werden, sondern müssen erst mit Azure AD synchronisiert werden.Azure Information Protection cannot use these accounts directly; you must synchronize them to Azure AD.

Verwendung von Benutzern und Gruppen durch Azure Information ProtectionHow users and groups are used by Azure Information Protection

Es gibt drei Szenarien für die Verwendung von Benutzern und Gruppen mit Azure Information Protection:There are three scenarios for using users and groups with Azure Information Protection:

  • Zum Zuweisen von Benutzerbezeichnungen, wenn Sie Bezeichnungen und Klassifizierungen verwenden.For assigning labels to users when you use labeling and classification. Diese Gruppen werden nur von Administratoren ausgewählt:Only administrators select these groups:

    • Die Azure Information Protection-Standardrichtlinie wird automatisch allen Benutzern im Azure AD Ihres Mandanten zugewiesen.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Allerdings können Sie einzelnen Benutzern oder Gruppen mithilfe von bereichsbezogenen Richtlinien auch zusätzliche Bezeichnungen zuweisen.However, you can also assign additional labels to specified users or groups by using scoped policies.
  • Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen, wenn Sie Dokumente und E-Mails mithilfe des Azure Rights Management-Diensts schützen.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Administratoren und Benutzer können diese Benutzer und Gruppen auswählen:Administrators and users can select these users and groups:

    • Nutzungsrechte bestimmen, ob ein Benutzer ein Dokument oder eine E-Mail öffnen kann, und wie er das Dokument oder die E-Mail verwenden darf.Usage rights determine whether a user can open a document or email and how they can use it. Sie bestimmen beispielsweise, ob er das Dokument oder die E-Mail nur lesen oder lesen und drucken oder lesen und bearbeiten darf.For example, whether they can only read it, or read and print it, or read and edit it.

    • Zugriffssteuerungen umfassen ein Ablaufdatum und geben an, ob für den Zugriff eine Verbindung mit dem Internet erforderlich ist.Access controls include an expiry date and whether a connection to the Internet is required for access.

  • Zum Konfigurieren des Azure Rights Management-Diensts, um bestimmte Szenarien zu unterstützen. Daher werden diese Gruppen nur von Administratoren ausgewählt.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Beispiele umfassen die Konfiguration folgender Elemente:Examples include configuring the following:

    • Administratoren, damit bestimmte Dienste oder Personen verschlüsselte Inhalte öffnen können, wenn dies für eDiscovery oder die Wiederherstellung von Daten erforderlich ist.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

    • Delegierte Administration des Azure Rights Management-Diensts.Delegated administration of the Azure Rights Management service.

    • Onboarding-Steuerelemente, zur Unterstützung einer stufenweisen Bereitstellung.Onboarding controls to support a phased deployment.

Zum Zuweisen von Bezeichnungen für Benutzer beim Konfigurieren der Azure Information Protection-Richtlinie, damit Bezeichnungen auf Dokumente und E-Mails angewendet werden können.For assigning labels to users when you configure the Azure Information Protection policy so that labels can be applied to documents and emails. Nur Administratoren können diese Benutzer und Gruppen auswählen:Only administrators can select these users and groups:

  • Die Azure Information Protection-Standardrichtlinie wird automatisch allen Benutzern im Azure AD Ihres Mandanten zugewiesen.The default Azure Information Protection policy is automatically assigned to all users in your tenant's Azure AD. Allerdings können Sie einzelnen Benutzern oder Gruppen mithilfe von bereichsbezogenen Richtlinien auch zusätzliche Bezeichnungen zuweisen.However, you can also assign additional labels to specified users or groups by using scoped policies.

Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen, wenn Sie Dokumente und E-Mails mithilfe des Azure Rights Management-Diensts schützen.For assigning usage rights and access controls when you use the Azure Rights Management service to protect documents and emails. Administratoren und Benutzer können diese Benutzer und Gruppen auswählen:Administrators and users can select these users and groups:

  • Nutzungsrechte bestimmen, ob ein Benutzer ein Dokument oder eine E-Mail öffnen kann, und wie er das Dokument oder die E-Mail verwenden darf.Usage rights determine whether a user can open a document or email and how they can use it. Sie bestimmen beispielsweise, ob er das Dokument oder die E-Mail nur lesen oder lesen und drucken oder lesen und bearbeiten darf.For example, whether they can only read it, or read and print it, or read and edit it.

  • Zugriffssteuerungen umfassen ein Ablaufdatum und geben an, ob für den Zugriff eine Verbindung mit dem Internet erforderlich ist.Access controls include an expiry date and whether a connection to the Internet is required for access.

Zum Konfigurieren des Azure Rights Management-Diensts, um bestimmte Szenarien zu unterstützen. Daher werden diese Gruppen nur von Administratoren ausgewählt.For configuring the Azure Rights Management service to support specific scenarios, and therefore only administrators select these groups. Beispiele umfassen die Konfiguration folgender Elemente:Examples include configuring the following:

  • Administratoren, damit bestimmte Dienste oder Personen verschlüsselte Inhalte öffnen können, wenn dies für eDiscovery oder die Wiederherstellung von Daten erforderlich ist.Super users, so that designated services or people can open encrypted content if required for eDiscovery or data recovery.

  • Delegierte Administration des Azure Rights Management-Diensts.Delegated administration of the Azure Rights Management service.

  • Onboarding-Steuerelemente, zur Unterstützung einer stufenweisen Bereitstellung.Onboarding controls to support a phased deployment.

Azure Information Protection-Anforderungen für BenutzerkontenAzure Information Protection requirements for user accounts

Für die Zuweisung von Bezeichnungen:For assigning labels:

  • Alle Benutzerkonten in Azure AD können zum Konfigurieren bereichsbezogener Richtlinien verwendet werden, die Benutzern zusätzliche Bezeichnungen zuweisen.All user accounts in Azure AD can be used to configure scoped policies that assign additional labels to users.

Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen sowie zum Konfigurieren des Azure Rights Management-Diensts:For assigning usage rights and access controls, and configuring the Azure Rights Management service:

  • Für die Autorisierung von Benutzern werden in Azure AD zwei Attribute verwendet: proxyAddresses und userPrincipalName.To authorize users, two attributes in Azure AD are used: proxyAddresses and userPrincipalName.

  • Das Attribut Azure AD proxyAddresses speichert alle E-Mail-Adressen für ein Konto und kann auf unterschiedliche Weise aufgefüllt werden.The Azure AD proxyAddresses attribute stores all email addresses for an account and can be populated in different ways. Ein Benutzer in Office 365, der über ein Exchange Online-Postfach verfügt, erhält beispielsweise automatisch eine E-Mail-Adresse, die in diesem Attribut gespeichert ist.For example, a user in Office 365 that has an Exchange Online mailbox automatically has an email address that is stored in this attribute. Wenn Sie einem Office 365-Benutzer eine alternative E-Mail-Adresse zuweisen, wird diese ebenfalls in diesem Attribut gespeichert.If you assign an alternative email address for an Office 365 user, it is also saved in this attribute. Das Attribut kann auch durch Synchronisierung mit den E-Mail-Adressen lokaler Konten aufgefüllt werden.It can also be populated by the email addresses that are synchronized from on-premises accounts.

    Azure Information Protection kann beliebige Werte im Attribut „Azure AD proxyAddresses“ verwenden, vorausgesetzt die Domäne wurde Ihrem Mandanten hinzugefügt („überprüfte Domäne“).Azure Information Protection can use any value in this Azure AD proxyAddresses attribute, providing the domain has been added to your tenant (a "verified domain"). Weitere Informationen zum Überprüfen von Domänen finden Sie unter:For more information about verifying domains:

  • Das Attribut Azure AD userPrincipalName wird nur verwendet, wenn ein Konto in Ihrem Mandanten im Attribut „Azure AD proxyAddresses“ keine Werte aufweist,The Azure AD userPrincipalName attribute is used only when an account in your tenant doesn't have values in the Azure AD proxyAddresses attribute. beispielsweise, wenn Sie einen Benutzer im Azure-Portal erstellen oder einen Benutzer für Office 365 erstellen, der kein Postfach besitzt.For example, you create a user in the Azure portal, or create a user for Office 365 that doesn't have a mailbox.

Zuweisen von Nutzungsrechten und Zugriffssteuerungen für externe BenutzerAssigning usage rights and access controls to external users

Azure Information Protection verwendet die Attribute „Azure AD proxyAddresses“ und „Azure AD userPrincipalName“ nicht nur für Benutzer in Ihrem Mandanten, sondern auch in gleicher Weise zum Autorisieren von Benutzern aus einem anderen Mandanten.In addition to using the Azure AD proxyAddresses and Azure AD userPrincipalName for users in your tenant, Azure Information Protection also uses these attributes in the same way to authorize users from another tenant.

Wenn eine E-Mail mit der Office 365-Nachrichtenverschlüsselung und deren neuen Funktionen an einen Benutzer gesendet wird, für den in Azure AD kein Konto angelegt ist, wird dieser Benutzer zunächst authentifiziert, indem ein Verbund mit einem Sozialen Netzwerk als Identitätsanbieter hergestellt oder eine Einmalkennung verwendet wird.When an email is sent by using Office 365 Message Encryption with new capabilities to a user who doesn't have an account in Azure AD, the user is first authenticated by using federation with a social identity provider or by using a one-time passcode. Anschließend wird die in der geschützten E-Mail angegebene E-Mail-Adresse verwendet, um den Benutzer zu autorisieren.Then the email address specified in the protected email is used to authorize the user.

Azure Information Protection-Anforderungen für GruppenkontenAzure Information Protection requirements for group accounts

Für die Zuweisung von Bezeichnungen:For assigning labels:

  • Um bereichsbezogene Richtlinien zu konfigurieren, die Gruppenmembern zusätzliche Bezeichnungen zuweisen, können Sie alle Arten von Gruppen in Azure AD verwenden, die über eine E-Mail-Adresse einer überprüften Domäne für den Mandanten des Benutzers verfügen.To configure scoped policies that assign additional labels to group members, you can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Eine Gruppe mit einer E-Mail-Adresse wird häufig als E-Mail-aktivierte Gruppe bezeichnet.A group that has an email address is often referred to as a mail-enabled group.

    Sie können z. B. eine E-Mail-aktivierte Sicherheitsgruppe, eine Verteilergruppe (statisch oder dynamisch) und eine Office 365-Gruppe verwenden.For example, you can use a mail-enabled security group, a distribution group (which can be static or dynamic), and an Office 365 group. Sie können keine Sicherheitsgruppe (dynamisch oder statisch) verwenden, da dieser Typ keine E-Mail-Adresse besitzt.You cannot use a security group (dynamic or static) because this group type doesn't have an email address.

Für die Zuweisung von Nutzungsrechten und Zugriffssteuerungen:For assigning usage rights and access controls:

  • Sie können alle Arten von Gruppen in Azure AD verwenden, die über eine E-Mail-Adresse einer überprüften Domäne für den Mandanten des Benutzers verfügen.You can use any type of group in Azure AD that has an email address that contains a verified domain for the user's tenant. Eine Gruppe mit einer E-Mail-Adresse wird häufig als E-Mail-aktivierte Gruppe bezeichnet.A group that has an email address is often referred to as a mail-enabled group.

Zum Deaktivieren des Azure Rights Management-Diensts:For configuring the Azure Rights Management service:

  • Sie können alle Arten von Gruppen in Azure AD verwenden, die über eine E-Mail-Adresse einer überprüften Domäne im Mandanten verfügen, mit einer Ausnahme.You can use any type of group in Azure AD that has an email address from a verified domain in your tenant, with one exception. Beim Konfigurieren der Onboarding-Steuerelemente verwenden Sie eine Gruppe, die in Azure AD eine Sicherheitsgruppe für Ihren Mandanten sein muss.That exception is when you configure onboarding controls to use a group, which must be a security group in Azure AD for your tenant.

  • Sie können alle Gruppen in Azure AD (mit oder ohne E-Mail-Adresse) aus einer überprüften Domäne in Ihrem Mandanten für die delegierte Administration des Azure Rights Management-Dienstes verwenden.You can use any group in Azure AD (with or without an email address) from a verified domain in your tenant for delegated administration of the Azure Rights Management service.

Zuweisen von Nutzungsrechten und Zugriffssteuerungen für externe GruppenAssigning usage rights and access controls to external groups

Azure Information Protection verwendet das Attribut „Azure AD proxyAddresses“ nicht nur für Gruppen in Ihrem Mandanten, sondern auch in gleicher Weise zum Autorisieren von Gruppen aus einem anderen Mandanten.In addition to using the Azure AD proxyAddresses for groups in your tenant, Azure Information Protection also uses this attribute in the same way to authorize groups from another tenant.

Lokale Verwendung von Konten aus Active Directory für Azure Information ProtectionUsing accounts from Active Directory on-premises for Azure Information Protection

Wenn Sie über lokal verwaltete Konten verfügen, die Sie mit Azure Information Protection verwenden möchten, müssen Sie diese mit Azure AD synchronisieren.If you have accounts that are managed on-premises that you want to use with Azure Information Protection, you must synchronize these to Azure AD. Zur einfacheren Bereitstellung empfehlen wir die Verwendung von Azure AD Connect.For ease of deployment, we recommend that you use Azure AD Connect. Sie können jedoch jede Verzeichnissynchronisierungsmethode verwenden, die das gleiche Ergebnis erzielt.However, you can use any directory synchronization method that achieves the same result.

Wenn Sie Ihre Konten synchronisieren, brauchen Sie nicht alle Attribute zu synchronisieren.When you synchronize your accounts, you do not need to synchronize all attributes. Eine Liste mit den Attributen, die synchronisiert werden müssen, finden Sie im Abschnitt zu Azure RMS in der Azure Active Directory-Dokumentation.For a list of the attributes that must be synchronized, see the Azure RMS section from the Azure Active Directory documentation.

Anhand der Liste der Attribute für Azure Rights Management erkennen Sie, dass für Benutzer die lokalen AD-Attribute mail, proxyAddresses und userPrincipalName für die Synchronisierung erforderlich sind.From the attributes list for Azure Rights Management, you see that for users, the on-premises AD attributes of mail, proxyAddresses, and userPrincipalName are required for synchronization. Werte für mail und proxyAddresses werden mit dem Attribut „Azure AD proxyAddresses“ synchronisiert.Values for mail and proxyAddresses are synchronized to the Azure AD proxyAddresses attribute. Weitere Informationen finden Sie unter Auffüllen des Attributs „proxyAddresses“ in Azure AD.For more information, see How the proxyAddresses attribute is populated in Azure AD

Bestätigen, dass Ihre Benutzer und Gruppen für Azure Information Protection vorbereitet sindConfirming your users and groups are prepared for Azure Information Protection

Sie können Azure AD PowerShell verwenden, um zu bestätigen, dass Benutzer und Gruppen mit Azure Information Protection verwendet werden können.You can use Azure AD PowerShell to confirm that users and groups can be used with Azure Information Protection. Sie können mit PowerShell auch die Werte bestätigen, die für deren Autorisierung verwendet werden können.You can also use PowerShell to confirm the values that can be used to authorize them.

Stellen Sie z. B. mithilfe des V1-PowerShell-Moduls für Azure Active Directory, MSOnline, in einer PowerShell-Sitzung zunächst eine Verbindung mit dem Dienst her, und geben Sie Ihre globalen Administratoranmeldeinformationen an:For example, using the V1 PowerShell module for Azure Active Directory, MSOnline, in a PowerShell session, first connect to the service and supply your global admin credentials:

Connect-MsolService

Hinweis: Wenn dieser Befehl nicht funktioniert, können Sie Install-Module MSOnline ausführen, um das Modul MSOnline zu installieren.Note: If this command doesn't work, you can run Install-Module MSOnline to install the MSOnline module.

Als Nächstes konfigurieren Sie die PowerShell-Sitzung so, dass sie die Werte nicht abgeschnitten werden:Next, configure your PowerShell session so that it doesn't truncate the values:

$Formatenumerationlimit =-1

Bestätigen, dass Benutzerkonten für Azure Information Protection bereit sindConfirm user accounts are ready for Azure Information Protection

Um die Benutzerkonten zu bestätigen, führen Sie den folgenden Befehl aus:To confirm the user accounts, run the following command:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Ihre erste Überprüfung besteht jetzt darin, sicherzustellen, dass die Benutzer, die Sie mit Azure Information Protection verwenden möchten, angezeigt werden.Your first check is to make sure that the users you want to use with Azure Information Protection are displayed.

Überprüfen Sie anschließend, ob die Spalte ProxyAddresses aufgefüllt wurde.Then check whether the ProxyAddresses column is populated. Wenn dies der Fall ist, können die E-Mail-Werte in dieser Spalte zur Autorisierung des Benutzers für Azure Information Protection genutzt werden.If it is, the email values in this column can be used to authorize the user for Azure Information Protection.

Wenn die Spalte ProxyAddresses nicht aufgefüllt wurde, wird der Wert von UserPrincipalName verwendet, um den Benutzer für den Azure Rights Management-Dienst zu autorisieren.If the ProxyAddresses column is not populated, the value in the UserPrincipalName is used to authorize the user for the Azure Rights Management service.

Beispiel:For example:

AnzeigenameDisplay Name UserPrincipalNameUserPrincipalName ProxyAddressesProxyAddresses
Jagannath ReddyJagannath Reddy jagannathreddy@contoso.com {}{}
Ankur RoyAnkur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}{SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

In diesem Beispiel:In this example:

  • Das Benutzerkonto für Jagannath Reddy wird mit jagannathreddy@contoso.com autorisiert.The user account for Jagannath Reddy will be authorized by jagannathreddy@contoso.com.

  • Das Benutzerkonto für Ankur Roy kann mit ankur.roy@contoso.com und ankur.roy@onmicrosoft.contoso.com, aber nicht mit ankurroy@contoso.com autorisiert werden.The user account for Ankur Roy can be authorized by using ankur.roy@contoso.com and ankur.roy@onmicrosoft.contoso.com, but not ankurroy@contoso.com.

In den meisten Fällen entspricht der Wert für „UserPrincipalName“ einem der Werte im Feld „ProxyAddresses".In most cases, the value for UserPrincipalName matches one of the values in the ProxyAddresses field. Dies ist die empfohlene Konfiguration, aber wenn Sie Ihren UPN nicht entsprechend der E-Mail-Adresse ändern können, müssen Sie die folgenden Schritte ausführen:This is the recommended configuration but if you cannot change your UPN to match the email address, you must take the following steps:

  1. Wenn der Domänenname im UPN-Wert eine überprüfte Domäne für Ihren Azure AD-Mandanten ist, fügen Sie den UPN-Wert als weitere E-Mail-Adresse in Azure AD hinzu, sodass der UPN-Wert nun verwendet werden kann, um das Benutzerkonto für Azure Information Protection zu autorisieren.If the domain name in the UPN value is a verified domain for your Azure AD tenant, add the UPN value as another email address in Azure AD so that the UPN value can now be used to authorize the user account for Azure Information Protection.

    Ist der Domänenname im UPN-Wert keine überprüfte Domäne für Ihren Mandanten, kann dieser nicht mit Azure Information Protection verwendet werden.If the domain name in the UPN value is not a verified domain for your tenant, it cannot be used with Azure Information Protection. Allerdings kann der Benutzer weiterhin als Mitglied einer Gruppe autorisiert werden, wenn die E-Mail-Adresse der Gruppe den Namen einer überprüften Domäne verwendet.However, the user can still be authorized as a member of a group when the group email address uses a verified domain name.

  2. Wenn der UPN nicht geroutet werden kann (z.B. ankurroy@contoso.local ), konfigurieren Sie alternative Anmelde-IDs für Benutzer, und erläutern Sie den Benutzern, wie sie sich mit dieser alternativen Anmelde-ID bei Office anmelden.If the UPN is not routable (for example, ankurroy@contoso.local), configure alternate login ID for users and instruct them how to sign in to Office by using this alternate login. Sie müssen außerdem einen Registrierungsschlüssel für Office festlegen.You must also set a registry key for Office.

    Weitere Informationen finden Sie unter Konfigurieren einer alternativen Anmelde-ID und Office-Anwendungen fordern regelmäßig Anmeldeinformationen für SharePoint Online, OneDrive und Lync Online an.For more information, see Configuring Alternate Login ID and Office applications periodically prompt for credentials to SharePoint Online, OneDrive, and Lync Online.

Tipp

Mit dem Cmdlet „Export-Csv „ können Sie die Ergebnisse zur einfacheren Verwaltung in eine Kalkulationstabelle exportieren, z.B. zum Durchsuchen und zur Massenbearbeitung für den Import.You can use the Export-Csv cmdlet to export the results to a spreadsheet for easier management, such as searching and bulk-editing for import.

Beispiel: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csvFor example: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

Bestätigen, dass Gruppenkonten für Azure Information Protection bereit sindConfirm group accounts are ready for Azure Information Protection

Verwenden Sie den folgenden Befehl, um Gruppenkonten zu bestätigen:To confirm group accounts, use the following command:

Get-MsolGroup | select DisplayName, ProxyAddresses

Stellen Sie sicher, dass die Gruppen, die Sie mit Azure Information Protection verwenden möchten, angezeigt werden.Make sure that the groups you want to use with Azure Information Protection are displayed. Die Gruppenmitglieder der angezeigten Gruppen können mithilfe der E-Mail-Adressen in der Spalte ProxyAddresses für den Azure Rights Management-Dienst autorisiert werden.For the groups displayed, the email addresses in the ProxyAddresses column can be used to authorize the group members for the Azure Rights Management service.

Überprüfen Sie anschließend, ob die Gruppen die gewünschten Benutzer (oder andere Gruppen) enthalten, die Azure Information Protection verwenden können sollen.Then check that the groups contain the users (or other groups) that you want to use for Azure Information Protection. Sie können dazu PowerShell (z.B. Get-MsolGroupMember) oder das Verwaltungsportal verwenden.You can use PowerShell to do this (for example, Get-MsolGroupMember), or use your management portal.

In den beiden Konfigurationsszenarien des Azure Rights Management-Diensts, in denen Sicherheitsgruppen verwendet werden, können Sie mit dem folgenden PowerShell-Befehl die Objekt-ID und den Anzeigenamen suchen, die zum Identifizieren dieser Gruppen verwendet werden können.For the two Azure Rights Management service configuration scenarios that use security groups, you can use the following PowerShell command to find the object ID and display name that can be used to identify these groups. Sie können diese Gruppen auch im Azure-Portal suchen und die Werte für Objekt-ID und Anzeigenamen kopieren:You can also use the Azure portal to find these groups and copy the values for the object ID and the display name:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Überlegungen für Azure Information Protection bei E-Mail-AdressänderungenConsiderations for Azure Information Protection if email addresses change

Wenn Sie die E-Mail-Adresse eines Benutzers oder einer Gruppe ändern, wird empfohlen, die alte E-Mail-Adresse als zweite E-Mail-Adresse (auch als Proxyadresse, Alias oder alternative E-Mail-Adresse bezeichnet) für den Benutzer oder die Gruppe hinzuzufügen.If you change the email address of a user or group, we recommend that you add the old email address as a second email address (also known as a proxy address, alias, or alternate email address) to the user or group. Dadurch wird die alte E-Mail-Adresse zum Attribut „Azure AD proxyAddresses“ hinzugefügt.When you do this, the old email address is added to the Azure AD proxyAddresses attribute. Durch dieses Vorgehen wird die Geschäftskontinuität für alle Nutzungsrechte oder anderen Konfigurationen gewährleistet, die gespeichert wurden, als noch die alte E-Mail-Adresse verwendet wurde.This account administration ensures business continuity for any usage rights or other configurations there were saved when the old email address was in use.

Ist dies nicht möglich, riskiert der Benutzer oder die Gruppe mit der neuen E-Mail-Adresse, dass ihm bzw. ihr der Zugriff auf zuvor geschützte Dokumente und E-Mails verweigert wird, die zuvor mit der alten E-Mail-Adresse geschützt waren.If you cannot do this, the user or group with the new email address risks being denied access to documents and emails that were previously protected with the old email address. In diesem Fall müssen Sie die Schutzkonfiguration wiederholen, um die neue E-Mail-Adresse zu speichern.In this case, you must repeat the protection configuration to save the new email address. Wenn dem Benutzer oder der Gruppe beispielsweise Nutzungsrechte in Vorlagen oder Bezeichnungen erteilt wurden, bearbeiten Sie diese Vorlagen oder Bezeichnungen, und geben Sie die neue E-Mail-Adresse mit den gleichen Nutzungsrechten an, die Sie der alten E-Mail-Adresse erteilt hatten.For example, if the user or group was granted usage rights in templates or labels, edit those templates or labels and specify the new email address with same usage rights as you granted to the old email address.

Beachten Sie, dass Gruppen nur selten ihre E-Mail-Adresse ändern, und wenn Sie Nutzungsrechte einer Gruppe und nicht einzelnen Benutzer zuweisen, ist es unerheblich, ob sich E-Mail-Adressen von Benutzern ändern.Note that it's rare for a group to change its email address and if you assign usage rights to a group rather to than individual users, it doesn't matter if the user's email address changes. Die Nutzungsrechte werden in diesem Szenario der Gruppen-E-Mail-Adresse und nicht den einzelnen Benutzer-E-Mail-Adressen zugewiesen.In this scenario, the usage rights are assigned to the group email address and not individual user email addresses. Dies ist die wahrscheinlichste (und empfohlene) Methode, wie ein Administrator Nutzungsrechte zum Schutz von Dokumenten und E-Mails konfiguriert.This is the most likely (and recommended) method for an administrator to configure usage rights that protect documents and emails. Allerdings ist es nicht unüblich, dass Benutzer einzelnen Benutzern benutzerdefinierte Berechtigungen zuweisen.However, users might more typically assign custom permissions for individual users. Da Sie nicht immer wissen, ob der Zugriff einem Benutzerkonto oder einer Gruppe gewährt wurde, ist es am sichersten, die alte E-Mail-Adresse immer als zweite E-Mail-Adresse hinzuzufügen.Because you cannot always know whether a user account or group has been used to grant access, it's safest to always add the old email address as a second email address.

Zwischenspeichern von Gruppenmitgliedschaften durch Azure Rights ManagementGroup membership caching by Azure Rights Management

Aus Leistungsgründen wird die Gruppenmitgliedschaft vom Azure Rights Management-Dienst zwischengespeichert.For performance reasons, group membership is cached by the Azure Rights Management service. Dies bedeutet, dass Änderungen an der Gruppenmitgliedschaft in Azure AD, wenn diese Gruppen von Azure Rights Management verwendet werden, bis zu drei Stunden benötigen, bis sie wirksam sind. Änderungen dieses Zeitraums sind vorbehalten.This means that any changes to group membership in Azure AD can take up to three hours to take effect when these groups are used by Azure Rights Management, and this time period is subject to change.

Berücksichtigen Sie diese Verzögerung, wenn Sie Änderungen oder Tests bei Verwendung von Gruppen für Azure Rights Management durch führen, wenn Sie beispielsweise Nutzungsrechte zuweisen oder den Azure Rights Management-Dienst konfigurieren.Remember to factor this delay into any changes or testing that you do when you use groups for Azure Rights Management, such as assigning usage rights or configuring the Azure Rights Management service.

Nächste SchritteNext steps

Wenn Sie sich vergewissert haben, dass Ihre Benutzer und Gruppen mit Azure Information Protection verwendet werden können und bereit sind, mit dem Schutz von Dokumenten und E-Mails zu beginnen, aktivieren Sie den Rights Management-Dienst als Datenschutzdienst.When you have confirmed that your users and groups can be used with Azure Information Protection and you are ready to start protecting documents and emails, activate the Rights Management service to enable this data protection service. Weitere Informationen finden Sie unter Aktivieren von Azure Rights Management.For more information, see Activating Azure Rights Management.

KommentareComments

Bevor Sie Kommentare bereitstellen, lesen Sie bitte unsere geltenden Regeln.Before commenting, we ask that you review our House rules.