Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blog-Ankündigung.

Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, können Sie den Zugriff auf Inhalte beschränken, auf die die Bezeichnung angewendet wird. Mit den Verschlüsselungseinstellungen für eine Vertraulichkeitsbezeichnung können Sie beispielsweise Inhalte so schützen, dass:

  • Nur Benutzer in Ihrer Organisation ein vertrauliches Dokument oder vertrauliche E-Mails öffnen können.
  • Nur Benutzer in der Marketingabteilung das Ankündigungsdokument oder die Ankündigungs-E-Mail für die Werbeaktion bearbeiten und drucken können, während alle anderen Benutzer in der Organisation dieses Dokument oder diese E-Mail nur lesen können.
  • Benutzer können eine E-Mail nicht weiterleiten oder Informationen daraus kopieren, die Neuigkeiten über eine interne Neuorganisation enthalten.
  • Die aktuelle Preisliste, die an Geschäftspartner gesendet wird, kann nach einem angegebenen Datum nicht mehr geöffnet werden.

Wenn ein Dokument oder eine E-Mail verschlüsselt ist, wird Zugriff auf den Inhalt so eingeschränkt, dass:

  • Kann nur von Benutzern entschlüsselt werden, die durch die Verschlüsselungseinstellungen der Bezeichnung dazu autorisiert sind.
  • Bleibt verschlüsselt, ganz gleich, wo sich diese befindet, ob innerhalb oder außerhalb Ihrer Organisation, auch wenn sie umbenannt wurde.
  • Er sowohl im Ruhezustand (z. B. in einem OneDrive-Konto) als auch während der Übertragung (z. B. eine E-Mail während der Übertragung über das Internet) verschlüsselt ist.

Als Administrator können Sie bei der Konfigurierung einer Vertraulichkeitsbezeichnung für die Zwecke der Verschlüsselung eine der folgenden Optionen auswählen:

  • Berechtigungen sofort zuweisen, um genau zu bestimmen, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn sie die Bezeichnung auf Inhalte anwenden. Auf diese Weise ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können.

Die Verschlüsselungseinstellungen stehen zur Verfügung, wenn Sie im Microsoft Purview-Complianceportal eine Vertraulichkeitsbezeichnung erstellen.

Grundlegendes zur Funktionsweise der Verschlüsselung

Die Verschlüsselung verwendet den Azure Rights Management-Dienst (Azure RMS) aus Azure Information Protection. Diese Schutzlösung verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien. Weitere Informationen hierzu finden Sie unter Was ist Azure Rights Management? in der Dokumentation zum Azure Information Protection.

Wenn Sie diese Verschlüsselungslösung verwenden, wird mit der Funktion Administrator sichergestellt, dass autorisierte Personen und Dienste die Daten, die für Ihre Organisation verschlüsselt wurden, immer lesen und überprüfen können. Bei Bedarf kann die Verschlüsselung darauf entfernt oder geändert werden. Weitere Informationen hierzu finden Sie unter Konfigurieren von Administratoren für Azure Dienste zur Informationssicherung und -Recherche oder Datenwiederherstellung.

Wichtige Voraussetzungen

Bevor Sie Verschlüsselung verwenden können, müssen Sie möglicherweise einige Konfigurationsaufgaben ausführen. Wenn Sie Verschlüsselungseinstellungen konfigurieren, wird nicht überprüft, ob diese Voraussetzungen erfüllt sind.

  • Schutz vor Azure Information Protection aktivieren

    Damit Vertraulichkeitsbezeichnungen angewendet werden können, muss der Protection Service (Azure Rights Management) aus Azure Information Protection für Ihren Mandanten aktiviert werden. In neueren Mandanten ist dies die Standardeinstellung, möglicherweise müssen Sie den Dienst jedoch manuell aktivieren. Weitere Informationen finden Sie unter Aktivieren des Schutzdienstes von Azure Information Protection.

  • Überprüfen auf Netzwerkanforderungen

    Möglicherweise müssen Sie einige Änderungen an Ihren Netzwerkgeräten vornehmen, z. B. Firewalls erstellen. Einzelheiten hierzu finden Sie in der Azure Information Protection-Dokumentation unter Firewalls und Netzwerkinfrastruktur.

  • Konfigurieren von Exchange für Azure Information Protection

    Exchange muss nicht für Azure Information Protection konfiguriert werden, bevor Benutzer in Outlook Bezeichnungen zum Verschlüsseln ihrer E-Mails anwenden können. Solange Exchange jedoch nicht für Azure Information Protection konfiguriert ist, erhalten Sie nicht die volle Funktionalität des Azure Rights Management-Schutzes mit Exchange.

    Benutzer können beispielsweise verschlüsselte E-Mails nicht auf Mobiltelefonen oder mit Outlook im Web anzeigen, verschlüsselte E-Mails können nicht für die Suche indexiert werden, und Sie können Exchange Online DLP nicht für den Rights Management-Schutz konfigurieren.

    Um sicherzustellen, dass Exchange diese zusätzlichen Szenarien unterstützen kann:

Konfigurieren einer Bezeichnung für die Verschlüsselung

  1. Befolgen Sie die allgemeinen Anweisungen für die Erstellung oder Bearbeitung einer Vertraulichkeitsbezeichnung und stellen Sie sicher, dass als Bereich für die Bezeichnung Dateien und E-Mails ausgewählt ist:

    Bereichsoptionen bei Vertraulichkeitsbezeichnungen für Dateien und E-Mails.

  2. Stellen Sie dann auf der Seite Schutzeinstellungen für Dateien und E-Mails auswählen sicher, dass Sie Dateien und E-Mails verschlüsseln auswählen.

    Schutzoptionen bei Vertraulichkeitsbezeichnungen für Dateien und E-Mails.

  3. Wählen Sie auf der Seite Verschlüsselung eine der folgenden Optionen aus:

    • Verschlüsselung entfernen, wenn die Datei verschlüsselt ist: Diese Option wird nur von Azure Information Protection-Clients mit einheitlichen Bezeichnungen unterstützt. Wenn Sie diese Option auswählen und integrierte Bezeichnungen verwenden, wird die Bezeichnung möglicherweise nicht in Apps angezeigt, oder es werden keine Verschlüsselungsänderungen angezeigt oder vorgenommen.

      Weitere Informationen zu diesem Szenario finden Sie in dem Abschnitt Was geschieht mit einer bestehenden Verschlüsselung, wenn eine Bezeichnung angewendet wird?. Es ist wichtig zu wissen, dass diese Einstellung zu einer Vertraulichkeitsbezeichnung führen kann, die Benutzer ohne ausreichende Berechtigungen unter Umständen nicht anwenden können.

    • Konfigurieren der Verschlüsselungseinstellungen: Die Verschlüsselung wird aktiviert, und die Verschlüsselungseinstellungen werden angezeigt:

      Optionen für die Vertraulichkeitsbezeichnung zur Verschlüsselung.

      Anweisungen für die Einstellungen finden Sie in dem folgenden Abschnitt Konfigurieren von Verschlüsselungseinstellungen.

Was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Bezeichnung angewendet wird

Wenn eine Vertraulichkeitsbezeichnung auf unverschlüsselte Inhalte angewendet wird, ist das Ergebnis der Verschlüsselungsoptionen, die Sie auswählen können, selbsterklärend. Wenn Sie beispielsweise Dateien und E-Mails verschlüsseln nicht ausgewählt haben, bleiben die Inhalte unverschlüsselt.

Allerdings ist der Inhalt möglicherweise bereits verschlüsselt. Ein anderer Benutzer kann beispielsweise Folgendes angewendet haben:

  • Ihre eigenen Berechtigungen, die benutzerdefinierte Berechtigungen umfassen, wenn Sie von einer Bezeichnung, benutzerdefinierte Berechtigungen durch den Azure Information Protection-Client und den Dokumentschutz „Eingeschränkter Zugriff“ in einer Office-App angezeigt werden.
  • Eine Azure Rights Management-Vorlage, mit der die Inhalte unabhängig von einer Bezeichnung verschlüsselt werden. Diese Kategorie umfasst die Regeln für den E-Mail-Verkehr, die die Verschlüsselung mithilfe des Rechteschutzes anwenden.
  • Eine Bezeichnung, die Verschlüsselung mit Berechtigungen zulässt, die vom Administrator zugewiesen wurden.

In der folgenden Tabelle wird dargestellt, was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Vertraulichkeitsbezeichnung auf diese Inhalte angewendet wird:

Verschlüsselung: nicht ausgewählt Verschlüsselung: konfiguriert Verschlüsselung: Entfernen *
Von einem Benutzer festgelegte Berechtigungen Die ursprüngliche Verschlüsselung bleibt erhalten Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt
Schutzvorlage Die ursprüngliche Verschlüsselung bleibt erhalten Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt
Bezeichnung mit von dem Administrator definierten Berechtigungen Die ursprüngliche Verschlüsselung wird entfernt Neue Verschlüsselung der Bezeichnung wird angewendet Die ursprüngliche Verschlüsselung wird entfernt

Fußnote:

* Wird nur von Azure Information Protection-Clients mit einheitlichen Bezeichnungen unterstützt

In den Fällen, in denen die neue Verschlüsselung mit Bezeichnungen angewendet oder die ursprüngliche Verschlüsselung entfernt wird, geschieht dies nur, wenn der Benutzer, der die Bezeichnung anwendet, über ein Nutzungsrecht oder eine Rolle verfügt, das bzw. die diese Aktion unterstützt:

Wenn der Benutzer nicht über eines dieser Rechte oder Rollen verfügt, kann die Bezeichnung nicht angewendet werden und die ursprüngliche Verschlüsselung bleibt erhalten. Dem Benutzer wird die folgende Meldung angezeigt: Sie verfügen nicht über die erforderlichen Berechtigungen zum Ändern der Vertraulichkeitsbezeichnung. Wenden Sie sich an den Inhaltsbesitzer.

So kann beispielsweise die Person, die „Keine Weiterleitung“ auf eine E-Mail-Nachricht anwendet, den Thread so kennzeichnen, dass die Verschlüsselung ersetzt oder entfernt wird, weil die Person der Besitzer des Rights Management für die E-Mail ist. Mit Ausnahme der Administratoren können Empfänger dieser E-Mail diese nicht erneut beschriften, weil Sie nicht über die erforderlichen Nutzungsrechte verfügen.

E-Mail-Anlagen für unverschlüsselte E-Mail-Nachrichten

Wenn eine E-Mail-Nachricht mit einer beliebigen Methode verschlüsselt wird, erben unverschlüsselte Office-Dokumente, die mit der E-Mail verbunden sind, automatisch die gleichen Verschlüsselungseinstellungen.

Dokumente, die bereits verschlüsselt und dann als Anlagen hinzugefügt wurden, erhalten immer die ursprüngliche Verschlüsselung.

Konfigurieren von Verschlüsselungseinstellungen

Wählen Sie eine der folgenden Optionen aus, wenn Sie auf der Seite Verschlüsselung****Verschlüsselungseinstellungen konfigurieren auswählen, um eine Vertraulichkeitsbezeichnung zu erstellen oder zu bearbeiten:

  • Berechtigungen sofort zuweisen, damit Sie genau bestimmen können, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten. Weitere Informationen hierzu finden Sie im nächsten Abschnitt Berechtigungen sofort zuweisen.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn Ihre Benutzer die Bezeichnung auf Inhalte anwenden. Mit deiser Option ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können. Weitere Informationen hierzu finden Sie auf dieser Seite im Abschnitt Benutzern die Zuweisung von Berechtigungen überlassen.

Liegt beispielsweise eine Vertraulichkeitsbezeichnung namens Streng vertraulich vor, die auf Ihre vertraulichsten Inhalte angewendet wird, können Sie jetzt festlegen, wer welche Art von Berechtigungen für diese Inhalte erhält.

Wenn Sie hingegen über eine Vertraulichkeitsbezeichnung namens Geschäftsverträge verfügen und der Workflow in Ihrer Organisation erfordert, dass Ihre Mitarbeiter ungeplant mit anderen Personen an diesen Inhalten zusammenarbeiten, können Sie zulassen, dass Ihre Benutzer jeweils entscheiden, wer eine Berechtigung erhält, wenn sie diese Bezeichnung zuweisen. Diese Flexibilität fördert die Produktivität Ihrer Benutzer und verringert die Anfragen an Ihre Administratoren, Vertraulichkeitsbezeichnungen für spezifische Szenarios zu erstellen oder zu aktualisieren.

Auswählen, ob Berechtigungen jetzt zugewiesen werden sollen oder ob Benutzer Berechtigungen zuweisen dürfen:

Option zum Hinzufügen von durch Benutzer oder Administratoren definierten Berechtigungen.

Berechtigungen sofort zuweisen

Steuern Sie über die folgenden Optionen, wer auf E-Mails oder Dokumente zugreifen kann, auf die eine bestimmte Bezeichnung angewendet wurde. Sie können:

  • Lassen Sie zu, dass der Zugriff auf gekennzeichnete Inhalte abläuft, entweder zu einem bestimmten Datum oder nach einer bestimmten Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Danach können Benutzer das gekennzeichnete Element nicht mehr öffnen. Wenn Sie ein Datum angeben, gilt es ab Mitternacht an diesem Tag in Ihrer aktuellen Zeitzone. Einige E-Mail-Clients werden aufgrund ihrer Caching-Mechanismen möglicherweise das Ablaufen nicht erzwingen und deshalb E-Mails anzeigen, deren Ablaufdatum überschritten ist.

  • Erlauben Sie den Offline-Zugriff nie, immer oder für eine bestimmte Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Verwenden Sie diese Einstellung, um ein Gleichgewicht zwischen Ihren Sicherheitsanforderungen und der Möglichkeit für Benutzer herzustellen, verschlüsselte Inhalte zu öffnen, wenn sie keine Internetverbindung haben. Wenn Sie den Offlinezugriff auf nie oder eine Anzahl von Tagen beschränken, müssen Benutzer bei Erreichen dieses Schwellenwerts erneut authentifiziert werden, und ihr Zugriff wird protokolliert. Weitere Informationen zur Funktionsweise dieses Prozesses finden Sie im folgenden Abschnitt zur Rights Management-Nutzungslizenz.

Einstellungen für die Zugriffssteuerung für verschlüsselte Inhalte:

Einstellungen für von Administratoren definierte Berechtigungen.

Empfehlungen für die Einstellungen für Ablauf und Offlinezugriff:

Einstellung Empfohlene Einstellung
Benutzerzugriff auf Inhalt läuft ab Nie, es sei denn, der Inhalt hat eine bestimmte zeitgebundene Anforderung.
Offlinezugriff zulassen Hängt von der Vertraulichkeit des Inhalts ab:

- Nur für eine bestimmte Anzahl von Tagen = 7 für vertrauliche Geschäftsdaten, die für das Unternehmen Schaden verursachen könnten, wenn sie mit nicht autorisierten Personen geteilt werden. Diese Empfehlung bietet einen ausgewogenen Kompromiss zwischen Flexibilität und Sicherheit. Beispiele hierfür sind Verträge, Sicherheitsberichte, Prognosezusammenfassungen und Vertriebskontodaten.

- Nie für sehr vertrauliche Geschäftsdaten, die für das Unternehmen Schaden verursachen würden, wenn sie für nicht autorisierte Personen freigegeben würden. Diese Empfehlung priorisiert die Sicherheit gegenüber der Flexibilität, und stellt sicher, dass ein oder mehrere Benutzer ein Dokument nicht mehr öffnen können, wenn Sie deren Zugriff entfernen. Beispiele hierfür sind Mitarbeiter- und Kundeninformationen, Kennwörter, Quellcode und vorab angekündigte Finanzberichte.

- Immer für weniger vertrauliche Inhalte, bei denen es keine Rolle spielt, ob Benutzer verschlüsselte Inhalte während bis zu 30 Tagen (oder die konfigurierte Gültigkeitsdauer der Nutzungslizenz für den Mandanten) öffnen können, nachdem ihr Zugriff entfernt wurde und sie zuvor den verschlüsselten Inhalt geöffnet haben.

Nur Bezeichnungen, die zum Zuweisen von Berechtigungen konfiguriert sind, unterstützen jetzt unterschiedliche Werte für den Offlinezugriff. Bezeichnungen, mit denen Benutzer die Berechtigungen automatisch zuweisen können, verwenden die Gültigkeitsdauer der Rights Management-Nutzungslizenz des Mandanten. Beispiel: Bezeichnungen, die für „Nicht weiterleiten“, „Nur verschlüsseln“ konfiguriert sind und Benutzer auffordern, ihre eigenen Berechtigungen anzugeben. Der Standardwert für diese Einstellung ist 30 Tage.

Rights Management-Verwendungslizenz für den Offlinezugriff

Hinweis

Obwohl Sie die Verschlüsselungseinstellung so konfigurieren können, dass der Offlinezugriff zugelassen wird, unterstützen einige Apps den Offlinezugriff für verschlüsselte Inhalte möglicherweise nicht. Beispielsweise werden bezeichnete und verschlüsselte Dateien in Power BI-Desktop nicht geöffnet, wenn Sie offline sind.

Wenn ein Benutzer ein Dokument oder eine E-Mail-Nachricht öffnet, das bzw. die durch Verschlüsselung über den Azure Rights Management-Dienst geschützt wurde, erhält der Benutzer eine Azure Rights Management-Verwendungslizenz für den jeweiligen Inhalt. Hierbei handelt es sich um ein Zertifikat, das die Nutzungsberechtigungen des Benutzers für das Dokument oder die E-Mail sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde. Die Verwendungslizenz enthält außerdem ein Ablaufdatum, sofern eins festgelegt wurde, und eine Gültigkeitsdauer.

Wenn kein Ablaufdatum festgelegt wurde, beträgt die Standardeinstellung für die Gültigkeitsdauer der Nutzungslizenz für einen Mandanten 30 Tage. Für die Dauer der Nutzungslizenz muss der Benutzer nicht erneut authentifiziert oder für den Inhalt autorisiert werden. Auf diese Weise kann der Benutzer das geschützte Dokument oder die geschützte E-Mail weiterhin ohne Internetverbindung öffnen. Wenn der Gültigkeitszeitraum für die Nutzungslizenz abläuft, muss der Benutzer beim nächsten Zugriff auf das geschützte Dokument oder die geschützte E-Mail erneut authentifiziert und autorisiert werden.

Zusätzlich zur erneuten Authentifizierung werden die Verschlüsselungseinstellungen und die Benutzergruppenmitgliedschaft neu ausgewertet. Dies bedeutet, dass bei Benutzern unterschiedliche Zugriffsergebnisse für dasselbe Dokument oder dieselbe E-Mail auftreten könnten, wenn es seit dem letzten Zugriff auf den Inhalt Änderungen in den Verschlüsselungseinstellungen oder der Gruppenmitgliedschaft gab.

Informationen zum Ändern der Standardeinstellung von 30 Tagen finden Sie unter Rights Management-Verwendungslizenz.

Zuweisen von Berechtigungen für bestimmte Benutzer oder Gruppen

Sie können bestimmten Personen Berechtigungen erteilen, sodass nur sie mit dem gekennzeichneten Inhalt interagieren können:

  1. Zuerst fügen Sie Benutzer oder Gruppen hinzu, denen Berechtigungen für gekennzeichnete Inhalte erteilt werden.

  2. Dann wählen Sie die Berechtigungen aus, die diese Benutzer für die gekennzeichneten Inhalte haben sollten.

Zuweisen von Berechtigungen:

Optionen zum Zuweisen von Berechtigungen zu Benutzern.

Hinzufügen von Benutzern und Gruppen

Wenn Sie Berechtigungen zuweisen, können Sie folgende Optionen auswählen:

  • Jeder in Ihrem Unternehmen (alle Mandantenmitglieder). Diese Einstellung schließt Gastkonten aus.

  • Alle authentifizierten Benutzer. Stellen Sie sicher, dass Sie die Voraussetzungen und Einschränkungen dieser Einstellung verstehen, bevor Sie sie auswählen.

  • Jede spezifische Benutzer- oder E-Mail-aktivierte Sicherheitsgruppe, Verteilergruppe oder Microsoft 365-Gruppe in Azure AD. Die Microsoft 365-Gruppe kann die statische oder dynamische Mitgliedschaft haben. Sie können keine dynamische Verteilergruppe aus Exchange verwenden, da dieser Gruppentyp nicht mit Azure AD synchronisiert wird. Sie können auch keine Sicherheitsgruppe verwenden, die nicht E-Mail-aktiviert ist.

    Obwohl Sie Gruppen, die E-Mail-Kontakte enthalten, als praktische Methode verwenden können, um mehreren Personen außerhalb Ihrer Organisation Zugriff zu gewähren, gibt es derzeit ein bekanntes Problem mit dieser Konfiguration. Weitere Informationen finden Sie unter E-Mail-Kontakte in Gruppen haben zeitweiligen Zugriff auf verschlüsselte Inhalte.

  • Beliebige E-Mail-Adresse oder Domäne. Verwenden Sie diese Option, um alle Benutzer in einer anderen Organisation, die Azure AD verwendet, anzugeben, indem Sie einen beliebigen Domänennamen aus dieser Organisation eingeben. Sie können diese Option auch für Anbieter sozialer Dienste verwenden, indem Sie deren Domänennamen eingeben, z. B. gmail.com****hotmail.com oder Outlook.com.

    Hinweis

    Wenn Sie eine Domäne aus einer Organisation angeben, die Azure AD verwendet, können Sie den Zugriff auf diese bestimmte Domäne nicht einschränken. Stattdessen werden alle überprüften Domänen in Azure AD für den Mandanten mit dem von Ihnen angegebenen Domänennamen automatisch einbezogen.

Wenn Sie alle Benutzer und Gruppen in Ihrer Organisation auswählen oder das Verzeichnis durchsuchen, müssen die Benutzer oder Gruppen eine E-Mail-Adresse aufweisen.

Als bewährte Methode sollten Sie besser Gruppen anstelle von Benutzern verwenden. Dadurch wird die Konfiguration einfacher.

Voraussetzungen und Einschränkungen für „Hinzufügen von allen authentifizierten Benutzern“

Diese Einstellung schränkt den Zugriff der Benutzer auf den Inhalt nicht ein, der von der Bezeichnung verschlüsselt wird, während sie den Inhalt weiterhin verschlüsselt und Ihnen Optionen zum Einschränken des Inhalts (Berechtigungen) und zum Zugriff auf (Ablauf und Offlinezugriff) bietet. Die Anwendung, die die verschlüsselten Inhalte öffnet, muss die verwendete Authentifizierung unterstützen können. Aus diesem Grund funktionieren Partner-Sozialnetwerkanbieter wie Google und die Authentifizierung mit einer Einmalkennung nur für E-Mail und nur dann, wenn Sie Exchange Online verwenden. Microsoft-Konten können mit Office 365-Apps und dem Azure Information Protection-Viewerverwendet werden.

Hinweis

Erwägen Sie die Verwendung dieser Einstellung mit SharePoint- und OneDrive-Integration in Azure AD B2B wenn Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert sind.

Einige typische Szenarien für die Einstellung "Alle authentifizierten Benutzer":

  • Es ist Ihnen egal, wer auf den Inhalt zugreift, aber Sie möchten die Nutzung einschränken. So möchten Sie beispielsweise nicht, dass der Inhalt bearbeitet, kopiert oder gedruckt wird.
  • Sie müssen nicht einschränken, wer auf die Inhalte zugreift, aber Sie möchten bestätigen können, wer die Inhalte öffnet.
  • Sie fordern, dass der Inhalt im Standby und bei der Übermittlung verschlüsselt werden muss, aber es sind keine Zugriffskontrollen erforderlich.

Berechtigungen auswählen

Wenn Sie die Berechtigungen für diese Benutzer oder Gruppen auswählen, können Sie folgende Optionen auswählen:

  • Eine vordefinierte Berechtigungsstufe mit einer bereits festgelegten Gruppen von Rechten, z. B. Mitverfasser oder Überprüfer.
  • Benutzerdefinierte Berechtigungen, wobei Sie ein oder mehrere Nutzungsrechte auswählen.

Weitere Informationen, die Ihnen bei der Auswahl der entsprechenden Berechtigungen helfen, finden Sie unter Nutzungsrechte und Beschreibungen.

Optionen zum Auswählen bereits festgelegter oder benutzerdefinierter Berechtigungen.

Beachten Sie, dass dieselbe Bezeichnung unterschiedlichen Benutzern unterschiedliche Berechtigungen erteilen kann. Eine einzelne Bezeichnung kann beispielsweise einige Benutzer als "Überprüfer" und einen anderen Benutzer als "Mitverfasser" zuweisen, wie im folgenden Screenshot dargestellt.

Weisen Sie hierfür Benutzern und Gruppen Berechtigungen zu, und speichern Sie die Einstellungen. Wiederholen Sie dann diese Schritte, und fügen Sie jedes Mal Benutzer hinzu, weisen diesen Berechtigungen zu, und speichern die Einstellungen. Sie können diese Konfiguration so oft wie erforderlich wiederholen, um unterschiedliche Berechtigungen für unterschiedliche Benutzer zu definieren.

Unterschiedliche Benutzer mit unterschiedlichen Berechtigungen.

Rights Management-Aussteller (Benutzer, der die Vertraulichkeitsbezeichnung anwendet) hat immer Vollzugriff

Die Verschlüsselung für eine Vertraulichkeitsbezeichnung verwendet den Microsoft Azure AD Rights Management-Dienst aus Azure Information Protection. Wenn ein Benutzer eine Vertraulichkeitsbezeichnung anwendet, um ein Dokument oder eine E-Mail mithilfe von Verschlüsselung zu schützen, wird dieser Benutzer der Rights Management-Aussteller für diesen Inhalt.

Der Rights Management-Aussteller erhält immer Vollzugriff für das Dokument oder die E-Mail. Außerdem gilt:

  • Wenn die Verschlüsselungseinstellungen ein Ablaufdatum umfassen, kann der Rights Management-Aussteller das Dokument oder die E-Mail nach diesem Datum immer noch öffnen und bearbeiten.
  • Der Rights Management-Aussteller kann immer offline auf das Dokument oder die E-Mail zugreifen.
  • Der Rights Management-Aussteller kann ein Dokument weiterhin öffnen, nachdem es zurückgezogen wurde.

Weitere Informationen finden Sie unter Rights Management-Aussteller und Rights Management-Besitzer.

Verschlüsselung mit Doppelschlüssel

Hinweis

Diese Funktion wird derzeit nur von Azure Information Protection-Clients mit einheitlichen Bezeichnungen unterstützt.

Wählen Sie diese Option erst, nachdem Sie den Doppelschlüsselverschlüsselungsdienst konfiguriert haben und Sie diese Doppelschlüsselverschlüsselung für Dateien verwenden müssen, die mit dieser Bezeichnung versehen werden. Nach dem Konfigurieren und Speichern der Bezeichnung können Sie diese nicht mehr bearbeiten.

Weitere Informationen, Voraussetzungen und Konfigurationsanweisungen finden Sie unter Double Key Encryption (DKE).

Benutzern die Zuweisung von Berechtigungen überlassen

Wichtig

Nicht alle Bezeichnungsclients unterstützen alle Optionen, mit denen Benutzer ihre eigenen Berechtigungen zuweisen können. Verwenden Sie diesen Abschnitt, um mehr zu erfahren.

Sie können die folgenden Optionen verwenden, um Benutzern zu erlauben, Berechtigungen zuweisen zu können, wenn sie eine Vertraulichkeitsbezeichnung manuell auf Inhalte anwenden:

  • In Outlook kann ein Benutzer für seine ausgewählten Empfänger Einschränkungen auswählen, die der Option Nicht weiterleiten oder Nur verschlüsseln entsprechen.

    Die Option "Nicht weiterleiten" wird von allen E-Mail-Clients unterstützt, die Vertraulichkeitsbezeichnungen unterstützen. Die Anwendung der Option Nur verschlüsseln mit einer Vertraulichkeitsbezeichnung ist jedoch eine neuere Version, die nur von der integrierten Kennzeichnung und nicht vom Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt wird. Bei E-Mail-Clients, die diese Funktion nicht unterstützen, wird die Bezeichnung nicht sichtbar sein.

    Um die Mindestversionen für Outlook-Apps zu überprüfen, die integrierten Bezeichnungen verwenden, um die Anwendung der Option „Nur verschlüsseln“ mit einer Vertraulichkeitsbezeichnung zu unterstützen, verwenden Sie die Funktionstabelle für Outlook und die Zeile Benutzern die Zuweisung von Berechtigungen überlassen: – Nur verschlüsseln.

  • In Word, PowerPoint und Excel wird ein Benutzer aufgefordert, ihre eigenen Berechtigungen für bestimmte Benutzer, Gruppen oder Organisationen auszuwählen.

    Diese Option wird vom Azure Information Protection-Client für einheitliche Bezeichnungen und von einigen Apps, die die integrierte Kennzeichnung verwenden, unterstützt. Bei Apps, die diese Funktion nicht unterstützen, ist die Bezeichnung entweder für die Benutzer nicht sichtbar, oder die Bezeichnung ist für die Konsistenz sichtbar, kann aber nicht mit einer Erklärungsmeldung für die Benutzer angewendet werden.

    Um zu prüfen, welche Apps, die die integrierte Bezeichnung verwenden, diese Option unterstützen, verwenden Sie die Funktionstabelle für Word, Excel und PowerPoint und die Zeile Benutzer Berechtigungen zuweisen lassen: – Benutzer auffordern.

Wenn die Optionen unterstützt werden, verwenden Sie die folgende Tabelle, um zu ermitteln, wann Benutzer die Vertraulichkeitsbezeichnung sehen:

Einstellung Die Bezeichnung ist in Outlook sichtbar Die Bezeichnung ist in Word, Excel, PowerPoint sichtbar
Setzen Sie in Outlook Einschränkungen mit der Option "Nicht weiterleiten" oder "Nur verschlüsseln durch Ja Nein
In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben Nein Ja

Wenn beide Einstellungen ausgewählt sind, ist die Bezeichnung sowohl in Outlook als auch in Word, Excel und PowerPoint sichtbar.

Eine Vertraulichkeitsbezeichnung, bei der Benutzer Berechtigungen zuweisen können, kann nur manuell von Benutzern angewendet werden. Sie kann nicht automatisch angewendet oder als empfohlene Bezeichnung genutzt werden.

Konfigurieren der dem Benutzer zugewiesenen Berechtigungen:

Verschlüsselungseinstellungen für benutzerdefinierte Berechtigungen.

Einschränkungen in Outlook

Wenn ein Benutzer in Outlook eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für eine Nachricht gestattet, entsprechen die Einschränkungen der Option Nicht weiterleiten oder Nur Verschlüsseln. Der Benutzer sieht oben in der Nachricht den Namen und die Beschreibung der Bezeichnung, die den Inhalt als geschützt ausweist. Anders als in Word, PowerPoint und Excel (mehr dazu im nächsten Abschnitt) werden die Benutzer hier nicht aufgefordert, bestimmte Berechtigungen auszuwählen.

Auf eine E-Mail angewendete Vertraulichkeitsbezeichnung in Outlook.

Wenn eine dieser beiden Optionen auf eine E-Mail angewendet wird, wird die E-Mail verschlüsselt und die Empfänger müssen authentifiziert werden. Die Empfänger haben dann automatisch eingeschränkte Nutzungsrechte:

  • Nicht weiterleiten: Die Empfänger können die E-Mail nicht weiterleiten, ausdrucken oder daraus kopieren. Wenn beispielsweise im Outlook-Client die Schaltfläche „Weiterleiten“ nicht verfügbar ist, sind die Menüoptionen „Speichern unter“ und „Drucken“ ebenfalls nicht verfügbar, und Sie können in den Feldern „An“, „CC“ oder „Bcc“ keine Empfänger hinzufügen oder ändern.

    Weitere Informationen zur Funktionsweise dieser Option finden Sie unter Option Nicht weiterleiten für E-Mails.

  • Nur verschlüsseln: Die Empfänger haben alle Nutzungsrechte außer Speichern unter, Exportieren und Vollzugriff. Diese Kombination von Nutzungsrechten bedeutet, dass die Empfänger keine Einschränkungen haben, außer dass sie den Schutz nicht entfernen können. Ein Empfänger kann z. B. eine Kopie der E-Mail erstellen, diese ausdrucken und weiterleiten.

    Weitere Informationen zur Funktionsweise dieser Option finden Sie unter Option Nur Verschlüsselung für E-Mails.

Für unverschlüsselte Office-Dokumente, die sich im Anhang der E-Mail befinden, werden automatisch die gleichen Beschränkungen übernommen. Für "Nicht weiterleiten" gelten für diese Dokumente die Nutzungsrechte "Inhalt bearbeiten", "Bearbeiten", "Speichern", "Anzeigen", "Öffnen", "Lesen" und "Makros zulassen". Wenn der Benutzer andere Nutzungsrechte für eine Anlage wünscht, oder wenn es sich bei der Anlage nicht um ein Office-Dokument handelt, das die Vererbung des Schutzes unterstützt, muss der Benutzer die Datei schützen, bevor er sie an die E-Mail anfügt.

Berechtigungen in Word, PowerPoint und Excel

Wenn ein Benutzer in Word, PowerPoint oder Excel eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für ein Dokument gestattet, wird der Benutzer aufgefordert, Benutzer und Berechtigungen für die Verschlüsselung auszuwählen.

Mit dem vereinheitlichten Bezeichnungs-Client von Azure Information Protection können Benutzer, sofern die gemeinsame Dokumenterstellung deaktiviert ist, Folgendes:

  • Er kann eine Berechtigungsstufe auswählen, z. B. "Betrachter" (dadurch wird nur die Berechtigung "Nur anzeigen" zugewiesen) oder "Mitautor" (mit Berechtigungen zum "Anzeigen", "Bearbeiten", "Kopieren" und "Drucken").
  • Er kann Benutzer, Gruppen oder Organisationen auswählen. Dies kann Personen innerhalb und außerhalb Ihrer Organisation umfassen.
  • Er kann ein Ablaufdatum festlegen, nach dem die ausgewählten Benutzer nicht mehr auf die betreffenden Inhalte zugreifen können. Weitere Informationen finden Sie im vorstehenden Abschnitt Rights Management-Verwendungslizenz für den Offlinezugriff.

Optionen für Benutzer für den Schutz durch benutzerdefinierte Berechtigungen.

Für die integrierte Bezeichnung und für den einheitlichen Bezeichnungsclient von Azure Information Protection, werden die Benutzer dasselbe Dialogfeld sehen, wenn die gemeinsame Dokumenterstellung aktiviert ist, als hätten sie die folgenden Optionen ausgewählt:

  • Windows: Registerkarte "Datei" > Info > Dokument schützen > Zugriff einschränken > Eingeschränkter Zugriff

  • macOS: Registerkarte Überprüfen > Schutz > Berechtigungen > Eingeschränkter Zugriff

Tipp

Wenn Benutzer mit dem Konfigurieren von benutzerdefinierten Berechtigungen mit dem Azure Information Protection-Client für einheitliche Bezeichnungen vertraut waren, bevor die gemeinsame Dokumenterstellung aktiviert wurde, ist es möglicherweise hilfreich, die Zuordnung von Berechtigungsstufen zu einzelnen Nutzungsrechten zu überprüfen: In Berechtigungsstufen enthaltene Rechte.

Beispielkonfigurationen für die Verschlüsselungseinstellungen

Führen Sie für jedes folgende Beispiel die Konfiguration auf der Seite Verschlüsselung aus, wenn Verschlüsselungseinstellungen konfigurieren ausgewählt ist:

Anwenden der Verschlüsselungsoption im Assistenten für Vertraulichkeitsbezeichnungen.

Beispiel 1: Bezeichnung, die "Nicht weiterleiten" beim Senden einer verschlüsselten E-Mail-Nachricht an ein Gmail-Konto anwendet

Diese Bezeichnung wird nur in Outlook und Outlook im Web angezeigt und Sie müssen Exchange Online verwenden. Weisen Sie Benutzer an, diese Bezeichnung auszuwählen, wenn sie eine verschlüsselte E-Mail an Personen senden müssen, die ein Gmail-Konto (oder ein anderes E-Mail-Konto außerhalb Ihrer Organisation) verwenden.

Ihre Benutzer geben die Gmail-Adresse in das Feld An ein. Dann wählen sie die Bezeichnung aus, und die Option "Nicht weiterleiten" wird der E-Mail automatisch hinzugefügt. Das hat zur Folge, dass Empfänger die E-Mail nicht weiterleiten, drucken oder daraus kopieren können und die E-Mail nicht über die Option Speichern unter außerhalb ihres Postfachs speichern können.

  1. Auf der Seite Verschlüsselung: Wählen Sie für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Benutzern die Zuweisung von Berechtigungen überlassen, wenn sie die Bezeichnung anwenden aus.

  2. Aktivieren Sie das Kontrollkästchen In Outlook Einschränkungen durchsetzen, die der Option "Nicht weiterleiten" entsprechen.

  3. Wenn das Kontrollkästchen In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben aktiviert ist, deaktivieren Sie es.

  4. Wählen Sie Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 2: Bezeichnung, die die Nur-Lese-Berechtigung auf alle Benutzer in einer anderen Organisation beschränkt

Diese Bezeichnung eignet sich für die schreibgeschützte Freigabe streng vertraulicher Dokumente, wobei zum Anzeigen der Dokumente immer eine Internetverbindung benötigt wird.

Diese Bezeichnung eignet sich nicht für E-Mails.

  1. Auf der Seite Verschlüsselung: Wählen Sie für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen aus.

  2. Wählen Sie für Offlinezugriff zulassen die Option Nie aus.

  3. Wählen Sie Berechtigungen zuweisen aus.

  4. Wählen Sie im Bereich Berechtigungen zuweisen die Option Spezifische E-Mail-Adressen oder Domänen hinzufügen aus.

  5. Geben Sie im Textfeld den Namen einer Domäne aus den anderen Organisationen ein, z. B. fabrikam.com. Wählen Sie dann Hinzufügen aus.

  6. Klicken Sie auf Berechtigungen auswählen.

  7. Wählen Sie im Bereich Berechtigungen auswählen im Dropdownfeld Viewer aus und klicken Sie anschließend auf Speichern.

  8. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.

  9. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 3: Hinzufügen externer Benutzer zu einer vorhandenen Bezeichnung, die Inhalt verschlüsselt

Die neuen Benutzer, die Sie hinzufügen, können Dokumente und E-Mails öffnen, die bereits mit dieser Bezeichnung geschützt sind. Die Berechtigungen, die Sie diesen Benutzern gewähren, können sich von den Berechtigungen der vorhandenen Benutzer unterscheiden.

  1. Auf der Seite Verschlüsselung: Stellen Sie sicher, dass für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen ausgewählt ist.

  2. Wählen Sie Berechtigungen zuweisen aus.

  3. Wählen Sie im Bereich Berechtigungen zuweisen die Option Spezifische E-Mail-Adressen oder Domänen hinzufügen aus.

  4. Geben Sie in das Textfeld die E-Mail-Adresse des ersten hinzuzufügenden Benutzers (oder der ersten Gruppe) ein, und wählen Sie dann Hinzufügen aus.

  5. Klicken Sie auf Berechtigungen auswählen.

  6. Wählen Sie im Bereich Berechtigungen auswählen die Berechtigungen für diesen Benutzer (oder die Gruppe) aus und klicken Sie anschließend auf Speichern.

  7. Wiederholen Sie im Bereich Berechtigungen zuweisen die Schritte 3 bis 6 für jeden Benutzer (oder jede Gruppe), dem Sie dieser Bezeichnung hinzufügen möchten. Klicken Sie dann auf Speichern.

  8. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie die Konfiguration ab.

Beispiel 4: Bezeichnung, die Inhalte verschlüsselt, aber nicht einschränkt, wer darauf zugreifen kann

Diese Konfiguration hat den Vorteil, dass Sie zur Verschlüsselung einer E-Mail oder eines Dokuments keine Benutzer, Gruppen oder Domänen angeben müssen. Der Inhalt wird trotzdem verschlüsselt, und Sie können Nutzungsrechte, ein Ablaufdatum und Offlinezugriff festlegen.

Verwenden Sie diese Konfiguration nur, wenn Sie nicht einschränken müssen, wer das geschützte Dokument oder die geschützte E-Mail öffnen kann. Weitere Informationen zu dieser Einstellung

  1. Auf der Seite Verschlüsselung: Stellen Sie sicher, dass für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen ausgewählt ist.

  2. Konfigurieren Sie die Einstellungen für Benutzerzugriff auf Inhalte läuft ab und Offlinezugriff zulassen wie erforderlich.

  3. Wählen Sie Berechtigungen zuweisen aus.

  4. Wählen Sie im Bereich Berechtigungen zuweisen die Option Alle authentifizierten Benutzer hinzufügen aus.

    Benutzer und Gruppen werden Authentifizierte Benutzer automatisch hinzugefügt. Sie können diesen Wert nicht ändern, sondern nur löschen, wodurch die Auswahl Alle authentifizierten Benutzer hinzufügen aufgehoben wird.

  5. Klicken Sie auf Berechtigungen auswählen.

  6. Wählen Sie im Bereich Berechtigungen auswählen im Dropdownfeld die gewünschten Berechtigungen und klicken Sie anschließend auf Speichern.

  7. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.

  8. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie die Konfiguration ab.

Überlegungen zu verschlüsselten Inhalten

Durch die Verschlüsselung Ihrer sensibelsten Dokumente und E-Mails können Sie sicherstellen, dass nur autorisierte Personen auf diese Daten zugreifen können. Es müssen jedoch einige Überlegungen berücksichtigt werden:

  • Wenn Ihre OrganisationAktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive nicht gewählt hat:

    • Suche, eDiscovery und Delve werden für verschlüsselten Dateien nicht funktionieren.
    • funktionieren DLP-Richtlinien für die Metadaten dieser verschlüsselten Dateien (einschließlich Aufbewahrungsbezeichnungen), aber nicht für die Inhalte dieser Dateien (z. B. Kreditkartennummern innerhalb von Dateien).
    • Benutzer können verschlüsselte Dateien nicht mit Office im Web öffnen. Wenn Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert sind, können Benutzer Office im Web verwenden, um verschlüsselte Dateien zu öffnen, mit einigen Einschränkungen, darunter die Verschlüsselung, die mit einem lokalen Schlüssel (als „Hold Your Own Key“ oder „HYOK“ bezeichnet) angewendet wurde, die Verschlüsselung mit doppeltem Schlüssel und die Verschlüsselung, die unabhängig von einer Vertraulichkeitsbezeichnung angewendet wurde.
  • Wenn Sie verschlüsselte Dokumente für Personen außerhalb Ihrer Organisation freigeben, müssen Sie möglicherweise Gastkonten erstellen und Richtlinien für bedingten Zugriff ändern. Weitere Informationen finden Sie unter Freigabe verschlüsselter Dokumente für externe Benutzer.

  • Wenn autorisierte Benutzer verschlüsselte Dokumente in ihren Office-Apps öffnen, sehen sie den Bezeichnungsnamen und die Beschreibung in einer gelben Meldungsleiste oben in ihrer App. Wenn die Verschlüsselungsberechtigungen auf Personen außerhalb Ihrer Organisation erweitert werden, überprüfen Sie sorgfältig die Bezeichnungsnamen und Beschreibungen, die beim Öffnen des Dokuments in dieser Meldungsleiste angezeigt werden.

  • Damit mehrere Benutzer eine verschlüsselte Datei gleichzeitig bearbeiten können, müssen sie alle Office für das Web verwenden, oder Sie haben die gemeinsame Erstellung für Dateien aktiviert, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, und alle Benutzer verfügen über Office Apps, die dieses Feature unterstützen. Ist dies nicht der Fall und die Datei ist bereits geöffnet:

    • In Office-Apps (Windows, Mac, Android und IOS) wird Benutzern eine „Datei wird verwendet“-Nachricht mit dem Namen der Person angezeigt, die die Datei ausgecheckt hat. Sie können dann eine schreibgeschützte Kopie anzeigen oder eine Kopie der Datei speichern und bearbeiten sowie benachrichtigt werden, wenn die Datei verfügbar ist.
    • In Office für das Web wird Benutzern eine Fehlermeldung angezeigt, dass sie das Dokument nicht mit anderen Personen bearbeiten können. Sie können dann In der Leseansicht öffnen auswählen.
  • Die Funktion zum automatischen Speichern in Office-Apps ist für verschlüsselte Dateien deaktiviert, wenn Sie die Gemeinsame Dokumenterstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind, nicht aktiviert haben. Benutzern wird eine Meldung angezeigt, dass die Datei eingeschränkte Berechtigungen hat, die entfernt werden müssen, bevor das automatische Speichern aktiviert werden kann.

  • Office für Windows unterstützt Bezeichnungen, die Verschlüsselungen anwenden, wenn Benutzer nicht mit dem Internet verbunden sind. Für die anderen Plattformen (macOS, iOS, Android) müssen Benutzer jedoch online sein, damit diese Bezeichnungen in Office-Apps angewendet werden können. Der Azure Information Protection-Client für einheitliche Bezeichnungen muss ebenfalls online sein, um diese Bezeichnungen in Explorer und PowerShell anwenden zu können. Benutzer müssen nicht online sein, um verschlüsselte Inhalte zu öffnen. Weitere Informationen zum Offlinezugriff finde Sie im Abschnitt Rights Management-Verwendungslizenz für den Offlinezugriff.

  • Das Öffnen verschlüsselter Dateien in Office-Anwendungen (Windows, Mac, Android und iOS) kann länger dauern.

  • Wenn beim Auschecken des Dokuments in SharePoint mithilfe einer Office-App eine Bezeichnung hinzugefügt wird, die Verschlüsselung anwendet, und der Benutzer dann das Auschecken verwirft, bleibt das Dokument mit der Bezeichnung versehen und wird verschlüsselt.

  • Sofern Sie die Option zur gemeinsamen Erstellung für Dateien, die mit Vertraulichkeitsbezeichnungen verschlüsselt sind nicht aktiviert haben, werden die folgenden Aktionen für verschlüsselte Dateien von Office-Apps (Windows, Mac, Android und iOS) nicht unterstützt, und Benutzern wird eine Fehlermeldung angezeigt, dass ein Fehler aufgetreten ist. Die SharePoint-Funktionalität kann jedoch als Alternative verwendet werden:

Für eine optimale Zusammenarbeit bei Dateien, die mit einer Vertraulichkeitsbezeichnung verschlüsselt sind, empfehlen wir die Verwendung von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive sowie Office im Web.

Nächste Schritte

Müssen Sie Ihre gekennzeichneten und verschlüsselten Dokumente mit Personen außerhalb Ihrer Organisation teilen? Informationen hierzu finden Sie unter Teilen verschlüsselter Dokumente mit externen Benutzern.