Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur VerschlüsselungRestrict access to content by using sensitivity labels to apply encryption

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.Microsoft 365 licensing guidance for security & compliance.

Wenn Sie eine Vertraulichkeitsbezeichnung erstellen, können Sie den Zugriff auf Inhalte beschränken, auf die die Bezeichnung angewendet wird. Mit den Verschlüsselungseinstellungen für eine Vertraulichkeitsbezeichnung können Sie beispielsweise Inhalte so schützen, dass:When you create a sensitivity label, you can restrict access to content that the label will be applied to. For example, with the encryption settings for a sensitivity label, you can protect content so that:

  • Nur Benutzer in Ihrer Organisation ein vertrauliches Dokument oder vertrauliche E-Mails öffnen können.Only users within your organization can open a confidential document or email.
  • Nur Benutzer in der Marketingabteilung das Ankündigungsdokument oder die Ankündigungs-E-Mail für die Werbeaktion bearbeiten und drucken können, während alle anderen Benutzer in der Organisation dieses Dokument oder diese E-Mail nur lesen können.Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read it.
  • Benutzer eine E-Mail nicht weiterleiten oder Informationen daraus kopieren können, die Neuigkeiten zur internen Neuorganisation enthalten.Users cannot forward an email or copy information from it that contains news about an internal reorganization.
  • Die aktuelle Preisliste, die an Geschäftspartner gesendet wird, kann nach einem angegebenen Datum nicht geöffnet werden.The current price list that is sent to business partners cannot be opened after a specified date.

Wenn ein Dokument oder eine E-Mail verschlüsselt ist, wird Zugriff auf den Inhalt so eingeschränkt, dass:When a document or email is encrypted, access to the content is restricted, so that it:

  • Kann nur von Benutzern entschlüsselt werden, die durch die Verschlüsselungseinstellungen der Bezeichnung dazu autorisiert sind.Can be decrypted only by users authorized by the label's encryption settings.
  • Bleibt verschlüsselt, ganz gleich, wo sich diese befindet, ob innerhalb oder außerhalb Ihrer Organisation, auch wenn sie umbenannt wurde.Remains encrypted no matter where it resides, inside or outside your organization, even if the file's renamed.
  • Er sowohl im Ruhezustand (z. B. in einem OneDrive-Konto) als auch während der Übertragung (z. B. eine E-Mail während der Übertragung über das Internet) verschlüsselt ist.Is encrypted both at rest (for example, in a OneDrive account) and in transit (for example, email as it traverses the internet).

Als Administrator können Sie bei der Konfigurierung einer Vertraulichkeitsbezeichnung für die Zwecke der Verschlüsselung eine der folgenden Optionen auswählen:Finally, as an admin, when you configure a sensitivity label to apply encryption, you can choose either to:

  • Berechtigungen sofort zuweisen, um genau zu bestimmen, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten.Assign permissions now, so that you determine exactly which users get which permissions to content with that label.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn sie die Bezeichnung auf Inhalte anwenden.Let users assign permissions when they apply the label to content. Auf diese Weise ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können.This way, you can allow people in your organization some flexibility that they might need to collaborate and get their work done.

Die Verschlüsselungseinstellungen stehen zur Verfügung, wenn Sie im Microsoft 365 Compliance Center, Microsoft 365 Security Center oder Security & Compliance Center eine Vertraulichkeitsbezeichnung erstellen.The encryption settings are available when you create a sensitivity label in the Microsoft 365 compliance center, Microsoft 365 security center, or the Security & Compliance Center.

Grundlegendes zur Funktionsweise der VerschlüsselungUnderstand how the encryption works

Die Verschlüsselung verwendet den Azure Rights Management-Dienst (Azure RMS) aus Azure Information Protection.Encryption uses the Azure Rights Management service (Azure RMS) from Azure Information Protection. Diese Schutzlösung verwendet Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien.This protection solution uses encryption, identity, and authorization policies. Weitere Informationen hierzu finden Sie unter Was ist Azure Rights Management? in der Dokumentation zum Azure Information Protection.To learn more, see What is Azure Rights Management? from the Azure Information Protection documentation.

Wenn Sie diese Verschlüsselungslösung verwenden, wird mit der Funktion Administrator sichergestellt, dass autorisierte Personen und Dienste die Daten, die für Ihre Organisation verschlüsselt wurden, immer lesen und überprüfen können.When you use this encryption solution, the super user feature ensures that authorized people and services can always read and inspect the data that has been encrypted for your organization. Bei Bedarf kann die Verschlüsselung darauf entfernt oder geändert werden.If necessary, the encryption can then be removed or changed. Weitere Informationen hierzu finden Sie unter Konfigurieren von Administratoren für Azure Dienste zur Informationssicherung und -Recherche oder Datenwiederherstellung.For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

Konfigurieren einer Bezeichnung für die VerschlüsselungHow to configure a label for encryption

Erstellen oder bearbeiten Sie eine Vertraulichkeitsbezeichnung, und wählen Sie auf der Seite Verschlüsselung des Assistenten eine der folgenden Optionen aus:Create or edit a sensitivity label, and on the Encryption page of the wizard, select one of the following options:

  • Keine: Die Standardeinstellung für eine neue Bezeichnung.None: The default setting for a new label. Es wird keine neue Verschlüsselung angewendet.No new encryption is applied.
  • Anwenden: Aktiviert die Verschlüsselung und danach geben Sie die Verschlüsselungseinstellungen an.Apply: Turns on encryption, and you then specify encryption settings.
  • Entfernen: Entfernt die Verschlüsselung, wenn das Dokument oder die E-Mail verschlüsselt ist.Remove: Removes encryption if the document or email is encrypted.

Hinweis

Die Option Entfernen wird nur vom Azure Information Protection-Clients mit einheitlichen Bezeichnungen unterstützt.The Remove option is supported by the Azure Information Protection unified labeling client only. Wenn Sie die integrierte Bezeichnung verwenden, wird in Office-Apps und Diensten eine Bezeichnung mit dieser Option angezeigt, und wenn diese Option ausgewählt wurde, ist das Verschlüsselungsverhalten identisch mit Keine.When you use built-in labeling, a label with this option is visible in Office apps and services and if selected, the encryption behavior is the same as None.

Konfigurieren der Verschlüsselungsoptionen:Configuring the encryption options:

Optionen für die Vertraulichkeitsbezeichnung zur Verschlüsselung

Was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Bezeichnung angewendet wirdWhat happens to existing encryption when a label's applied

Wenn eine Vertraulichkeitsbezeichnung auf unverschlüsselte Inhalte angewendet wird, ist das Ergebnis der Verschlüsselungsoptionen, die Sie auswählen können, selbsterklärend.If a sensitivity label is applied to unencrypted content, the outcome of the encryption options you can select is self-explanatory. Wenn die Verschlüsselung beispielsweise auf Keine festgelegt ist, bleibt der Inhalt unverschlüsselt.For example, if encryption is set to None, the content remains unencrypted.

Allerdings ist der Inhalt möglicherweise bereits verschlüsselt.However, the content might be already encrypted. Ein anderer Benutzer kann beispielsweise Folgendes angewendet haben:For example, another user might have applied:

  • Ihre eigenen Berechtigungen, die benutzerdefinierte Berechtigungen umfassen, wenn Sie von einer Bezeichnung, benutzerdefinierte Berechtigungen durch den Azure Information Protection-Client und den Dokumentschutz „Eingeschränkter Zugriff“ in einer Office-App angezeigt werden.Their own permissions, which include user-defined permissions when prompted by a label, custom permissions by the Azure Information Protection client, and the Restricted Access document protection from within an Office app.
  • Eine Azure Rights Management-Vorlage, mit der die Inhalte unabhängig von einer Bezeichnung verschlüsselt werden.An Azure Rights Management protection template that encrypts the content independently from a label. Diese Kategorie umfasst die Regeln für den E-Mail-Verkehr, die die Verschlüsselung mithilfe des Rechteschutzes anwenden.This category includes mail flow rules that apply encryption by using rights protection.
  • Eine Bezeichnung, die Verschlüsselung mit Berechtigungen zulässt, die vom Administrator zugewiesen wurden.A label that applies encryption with permissions assigned by the administrator.

In der folgenden Tabelle wird dargestellt, was mit einer vorhandenen Verschlüsselung geschieht, wenn eine Vertraulichkeitsbezeichnung auf diese Inhalte angewendet wird:The following table identifies what happens to existing encryption when a sensitivity label is applied to that content:

Verschlüsselung: KeineEncryption: None Verschlüsselung: AnwendenEncryption: Apply Verschlüsselung: EntfernenEncryption: Remove
Von einem Benutzer festgelegte BerechtigungenPermissions specified by a user Die ursprüngliche Verschlüsselung bleibt erhaltenOriginal encryption is preserved Es wird keine neue Verschlüsselung mit Bezeichnung angewendetNew label encryption is applied Die ursprüngliche Verschlüsselung wird entferntOriginal encryption is removed
SchutzvorlageProtection template Die ursprüngliche Verschlüsselung bleibt erhaltenOriginal encryption is preserved Es wird keine neue Verschlüsselung mit Bezeichnung angewendetNew label encryption is applied Die ursprüngliche Verschlüsselung wird entferntOriginal encryption is removed
Bezeichnung mit von dem Administrator definierten BerechtigungenLabel with administator-defined permissions Die ursprüngliche Verschlüsselung wird entferntOriginal encryption is removed Es wird keine neue Verschlüsselung mit Bezeichnung angewendetNew label encryption is applied Die ursprüngliche Verschlüsselung wird entferntOriginal encryption is removed

Beachten Sie, dass in den Fällen, in denen die neue Verschlüsselung mit Bezeichnungen angewendet oder die ursprüngliche Verschlüsselung entfernt wird, dies geschieht nur, wenn der Benutzer, der die Bezeichnung angewendet hat, über ein Nutzungsrecht oder eine Rolle verfügt, die diese Aktion unterstützt:Note that in the cases where the new label encryption is applied or the original encryption is removed, this happens only if the user applying the label has a usage right or role that supports this action:

Wenn der Benutzer nicht über eines dieser Rechte oder Rollen verfügt, kann die Bezeichnung nicht angewendet werden und die ursprüngliche Verschlüsselung bleibt erhalten.If the user doesn't have one of these rights or roles, the label can't be applied and so the original encryption is preserved. Dem Benutzer wird die folgende Meldung angezeigt: Sie verfügen nicht über die erforderlichen Berechtigungen zum Ändern der Vertraulichkeitsbezeichnung. Wenden Sie sich an den Inhaltsbesitzer.The user sees the following message: You don't have permission to make this change to the sensitivity label. Please contact the content owner.

So kann beispielsweise die Person, die „Keine Weiterleitung“ an eine E-Mail-Nachricht anwendet, die Diskussion so kennzeichnen, dass die Verschlüsselung ersetzt oder entfernt wird, weil die Person der Besitzer der Rechteverwaltung für die E-Mail ist.For example, the person who applies Do Not Forward to an email message can relabel the thread to replace the encryption or remove it, because they are the Rights Management owner for the email. Abgesehen von den Administratoren können Empfänger dieser E-Mail diese nicht erneut beschriften, weil Sie nicht über die erforderlichen Nutzungsrechte verfügen.But with the exception of super users, recipients of this email can't relabel it because they don't have the required usage rights.

E-Mail-Anlagen für unverschlüsselte E-Mail-NachrichtenEmail attachments for encrypted email messages

Wenn eine E-Mail-Nachricht mit einer beliebigen Methode verschlüsselt wird, erben unverschlüsselte Office-Dokumente, die mit der E-Mail verbunden sind, automatisch die gleichen Verschlüsselungseinstellungen.When an email message is encrypted by any method, any unencrypted Office documents that are attached to the email automatically inherit the same encryption settings.

Dokumente, die bereits verschlüsselt und dann als Anlagen hinzugefügt wurden, erhalten immer die ursprüngliche Verschlüsselung.Documents that are already encrypted and then added as attachments always preserve their original encryption.

Konfigurieren von VerschlüsselungseinstellungenConfigure encryption settings

Wenn Sie auf der Seite Verschlüsselung des Assistenten die Option Anwenden verwenden, um eine Vertraulichkeitsbezeichnung zu erstellen oder zu bearbeiten, wählen Sie eine der folgenden Optionen aus:When you select Apply on the Encryption page of the wizard to create or edit a sensitivity label, choose whether to:

  • Berechtigungen sofort zuweisen, damit Sie genau bestimmen können, welche Benutzer welche Berechtigungen für Inhalte mit dieser Bezeichnung erhalten.Assign permissions now, so that you can determine exactly which users get which permissions to content that has the label applied. Weitere Informationen hierzu finden Sie im nächsten Abschnitt Berechtigungen sofort zuweisen.For more information, see the next section Assign permissions now.
  • Benutzern die Zuweisung von Berechtigungen überlassen, wenn Ihre Benutzer die Bezeichnung auf Inhalte anwenden.Let users assign permissions when your users apply the label to content. Mit deiser Option ermöglichen Sie Personen in Ihrer Organisation eine gewisse Flexibilität, die sie möglicherweise benötigen, um untereinander zusammenarbeiten und ihre Aufgaben erfüllen zu können.With this option, you can allow people in your organization some flexibility that they might need to collaborate and get their work done. Weitere Informationen hierzu finden Sie auf dieser Seite im Abschnitt Benutzern die Zuweisung von Berechtigungen überlassen.For more information, see the Let users assign permissions section on this page.

Liegt beispielsweise eine Vertraulichkeitsbezeichnung namens Streng vertraulich vor, die auf Ihre vertraulichsten Inhalte angewendet wird, können Sie jetzt festlegen, wer welche Art von Berechtigungen für diese Inhalte erhält.For example, if you have a sensitivity label named Highly Confidential that will be applied to your most sensitive content, you might want to decide now who gets what type of permissions to that content.

Wenn Sie hingegen über eine Vertraulichkeitsbezeichnung namens Geschäftsverträge verfügen und der Workflow in Ihrer Organisation erfordert, dass Ihre Mitarbeiter mit anderen Personen auf Ad-hoc-Basis an diesen Inhalten zusammenarbeiten, können Sie zulassen, dass Ihre Benutzer jeweils entscheiden, wer eine Berechtigung erhält, wenn sie diese Bezeichnung zuweisen.Alternatively, if you have a sensitivity label named Business Contracts, and your organization's workflow requires that your people collaborate on this content with different people on an ad hoc basis, you might want to allow your users to decide who gets permissions when they assign the label. Diese Flexibilität fördert die Produktivität Ihrer Benutzer und verringert die Anfragen an Ihre Administratoren, Vertraulichkeitsbezeichnungen für spezifische Szenarios zu erstellen oder zu aktualisieren.This flexibility both helps your users' productivity and reduces the requests for your admins to update or create new sensitivity labels to address specific scenarios.

Auswählen, ob Berechtigungen jetzt zugewiesen werden sollen oder ob Benutzer Berechtigungen zuweisen dürfen:Choosing whether to assign permissions now or let users assign permissions:

Option zum Hinzufügen von benutzer- oder administratordefinierten Berechtigungen

Berechtigungen sofort zuweisenAssign permissions now

Steuern Sie über die folgenden Optionen, wer auf E-Mails oder Dokumente zugreifen kann, auf die eine bestimmte Bezeichnung angewendet wurde.Use the following options to control who can access email or documents to which this label is applied. Sie können:You can:

  1. Zulassen, dass der Zugriff auf gekennzeichnete Inhalte abläuft – entweder zu einem bestimmten Datum oder nach einer bestimmten Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Danach können Benutzer das gekennzeichnete Element nicht mehr öffnen. Wenn Sie ein Datum angeben, gilt es ab Mitternacht an diesem Tag in Ihrer aktuellen Zeitzone. (Beachten Sie, dass einige E-Mail-Clients aufgrund ihrer Caching-Mechanismen möglicherweise das Ablaufen nicht erzwingen können und deshalb E-Mails anzeigen, deren Ablaufdatum überschritten ist.)Allow access to labeled content to expire, either on a specific date or after a specific number of days after the label is applied. After this time, users won't be able to open the labeled item. If you specify a date, it is effective midnight on that date in your current time zone. (Note that some email clients might not enforce expiration and show emails past their expiration date, due to their caching mechanisms.)

  2. Offlinezugriff zulassen entweder „niemals“, „immer“ oder für eine bestimmte Anzahl von Tagen, nachdem die Bezeichnung angewendet wurde. Wenn Sie den Offlinezugriff jedoch auf „nie“ oder eine Anzahl von Tagen einschränken, müssen Benutzer erneut authentifiziert werden, und ihr Zugriff wird protokolliert. Weitere Informationen finden Sie im nächsten Abschnitt zur Verwendungslizenz von Rights Management.Allow offline access never, always, or for a specific number of days after the label is applied. If you restrict offline access to never or a number of days, when that threshold is reached, users must be reauthenticated and their access is logged. For more information, see the next section on the Rights Management use license.

Einstellungen für die Zugriffssteuerung für verschlüsselte Inhalte:Settings for access control for encrypted content:

Einstellungen für von Administratoren definierte Berechtigungen

Rights Management-Verwendungslizenz für den OfflinezugriffRights Management use license for offline access

Wenn ein Benutzer ein Dokument oder eine E-Mail-Nachricht öffnet, das bzw. die durch Verschlüsselung über den Azure Rights Management-Dienst geschützt wurde, erhält der Benutzer eine Azure Rights Management-Verwendungslizenz für den jeweiligen Inhalt.When a user opens a document or email that's been protected by encryption from the Azure Rights Management service, an Azure Rights Management use license for that content is granted to the user. Hierbei handelt es sich um ein Zertifikat, das die Nutzungsberechtigungen des Benutzers für das Dokument oder die E-Mail sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde.This use license is a certificate that contains the user's usage rights for the document or email, and the encryption key that was used to encrypt the content. Die Verwendungslizenz enthält außerdem ein Ablaufdatum, sofern eins festgelegt wurde, und eine Gültigkeitsdauer.The use license also contains an expiration date if this has been set, and how long the use license is valid.

Wenn kein Ablaufdatum festgelegt wurde, beträgt die Standardeinstellung für die Gültigkeitsdauer der Verwendungslizenz für einen Mandanten 30 Tage. Für die Dauer der Verwendungslizenz muss der Benutzer nicht erneut authentifiziert oder für den Inhalt erneut autorisiert werden. Auf diese Weise kann der Benutzer das geschützte Dokument oder die geschützte E-Mail weiterhin ohne Internetverbindung öffnen. Wenn der Gültigkeitszeitraum für die Verwendungslizenz abläuft, muss der Benutzer beim nächsten Zugriff auf das geschützte Dokument oder die geschützte E-Mail erneut authentifiziert und erneut autorisiert werden.If no expiration date has been set, the default use license validity period for a tenant is 30 days. For the duration of the use license, the user is not reauthenticated or reauthorized for the content. This process lets the user continue to open the protected document or email without an internet connection. When the use license validity period expires, the next time the user accesses the protected document or email, the user must be reauthenticated and reauthorized.

Zusätzlich zur erneuten Authentifizierung werden die Verschlüsselungseinstellungen und die Benutzergruppenmitgliedschaft neu ausgewertet.In addition to reauthentication, the encryption settings and user group membership is reevaluated. Dies bedeutet, dass bei Benutzern unterschiedliche Zugriffsergebnisse für dasselbe Dokument oder dieselbe E-Mail auftreten könnten, wenn es seit dem letzten Zugriff auf den Inhalt Änderungen in den Verschlüsselungseinstellungen oder der Gruppenmitgliedschaft gab.This means that users could experience different access results for the same document or email if there are changes in the encryption settings or group membership from when they last accessed the content.

Informationen zum Ändern der Standardeinstellung von 30 Tagen finden Sie unter Rights Management-Verwendungslizenz.To learn how to change the default 30-day setting, see Rights Management use license.

Zuweisen von Berechtigungen für bestimmte Benutzer oder GruppenAssign permissions to specific users or groups

Sie können bestimmten Personen Berechtigungen erteilen, sodass nur sie mit dem gekennzeichneten Inhalt interagieren können:You can grant permissions to specific people so that only they can interact with the labeled content:

  1. Zuerst fügen Sie Benutzer oder Gruppen hinzu, denen Berechtigungen für gekennzeichnete Inhalte erteilt werden.First, add users or groups that will be assigned permissions to the labeled content.

  2. Dann wählen Sie die Berechtigungen aus, die diese Benutzer für die gekennzeichneten Inhalte haben sollten.Then, choose which permissions those users should have for the labeled content.

Zuweisen von Berechtigungen:Assigning permissions:

Optionen zum Zuweisen von Berechtigungen zu Benutzern

Hinzufügen von Benutzern und GruppenAdd users or groups

Wenn Sie Berechtigungen zuweisen, können Sie folgende Optionen auswählen:When you assign permissions, you can choose:

  • Jeder in Ihrem Unternehmen (alle Mandantenmitglieder). Diese Einstellung schließt Gastkonten aus.Everyone in your organization (all tenant members). This setting excludes guest accounts.

  • Alle authentifizierten Benutzer.Any authenticated users. Stellen Sie sicher, dass Sie die Voraussetzungen und Einschränkungen dieser Einstellung verstehen, bevor Sie sie auswählen.Make sure you understand the requirements and limitations of this setting before selecting it.

  • Jede spezifische Benutzer- oder E-Mail-fähige Sicherheits-, Verteiler- oder Microsoft 365-Gruppe (ehemals Office 365-Gruppe) in Azure AD.Any specific user or email-enabled security group, distribution group, or Microsoft 365 group (formerly Office 365 group) in Azure AD. Die Microsoft 365-Gruppe kann die statische oder dynamische Mitgliedschaft haben.The Microsoft 365 group can have static or dynamic membership. Sie können keine dynamische Verteilergruppe aus Exchange verwenden, da dieser Gruppentyp nicht mit Azure AD synchronisiert wird und Sie keine Sicherheitsgruppe verwenden können, die nicht E-Mail-aktiviert ist.Note that you can't use a dynamic distribution group from Exchange because this group type isn't synchronized to Azure AD, and you can't use a security group that isn't email-enabled.

  • Beliebige E-Mail-Adresse oder Domäne.Any email address or domain. Verwenden Sie diese Option, um alle Benutzer in einer anderen Organisation, die Azure AD verwendet, anzugeben, indem Sie einen beliebigen Domänennamen aus dieser Organisation eingeben.Use this option to specify all users in another organization who uses Azure AD, by entering any domain name from that organization. Sie können diese Option auch für Anbieter sozialer Dienste verwenden, indem Sie deren Domänennamen eingeben, z. B. gmail.com****hotmail.com oder Outlook.com.You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

    Hinweis

    Wenn Sie eine Domäne aus einer Organisation angeben, die Azure AD verwendet, können Sie den Zugriff auf diese bestimmte Domäne nicht einschränken.If you specify a domain from an organization that uses Azure AD, you can't restrict access to that specific domain. Stattdessen werden alle überprüften Domänen in Azure AD für den Mandanten mit dem von Ihnen angegebenen Domänennamen automatisch einbezogen.Instead, all verified domains in Azure AD are automatically included for the tenant that owns the domain name you specify.

Wenn Sie alle Mandantenmitglieder auswählen oder das Verzeichnis durchsuchen, müssen die Benutzer oder Gruppe eine E-Mail-Adresse aufweisen.When you choose all tenant members or browse the directory, the users or groups must have an email address.

Als bewährte Methode sollten Sie besser Gruppen anstelle von Benutzern verwenden. Dadurch wird die Konfiguration einfacher.As a best practice, use groups rather than users. This strategy keeps your configuration simpler.

Voraussetzungen und Einschränkungen für Hinzufügen von allen authentifizierten BenutzernRequirements and limitations for Add any authenticated users

Diese Einstellung schränkt den Zugriff der Benutzer auf den Inhalt nicht ein, der von der Bezeichnung verschlüsselt wird, während sie den Inhalt weiterhin verschlüsselt und Ihnen Optionen zum Einschränken des Inhalts (Berechtigungen) und zum Zugriff auf (Ablauf und Offlinezugriff) bietet.This setting doesn't restrict who can access the content that the label encrypts, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). Die Anwendung, die die verschlüsselten Inhalte öffnet, muss die verwendete Authentifizierung unterstützen können.However, the application opening the encrypted content must be able to support the authentication being used. Aus diesem Grund funktionieren Partner-Sozialnetwerkanbieter wie Google und die Authentifizierung mit einer Einmalkennung nur für E-Mail und nur dann, wenn Sie Exchange Online verwenden.For this reason, federated social providers such as Google, and onetime passcode authentication work for email only, and only when you use Exchange Online. Microsoft-Konten können mit Office 365-Apps und dem Azure Information Protection-Viewerverwendet werden.Microsoft accounts can be used with Office 365 apps and the Azure Information Protection viewer.

Einige typische Szenarien für die Einstellung "Alle authentifizierten Benutzer":Some typical scenarios for the any authenticated users setting:

  • Es ist Ihnen egal, wer auf den Inhalt zugreift, aber Sie möchten die Verwendung einschränken.You don't mind who views the content, but you want to restrict how it is used. So möchten Sie beispielsweise nicht, dass der Inhalt bearbeitet, kopiert oder gedruckt wird.For example, you don't want the content to be edited, copied, or printed.
  • Sie müssen nicht einschränken, wer auf die Inhalte zugreift, aber Sie möchten bestätigen können, wer die Inhalte öffnet.You don't need to restrict who accesses the content, but you want to be able to confirm who opens it.
  • Sie fordern, dass der Inhalt im Standby und bei der Übermittlung verschlüsselt werden muss, aber es sind keine Zugriffskontrollen erforderlich.You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.

Berechtigungen auswählenChoose permissions

Wenn Sie die Berechtigungen für diese Benutzer oder Gruppen auswählen, können Sie folgende Optionen auswählen:When you choose which permissions to allow for those users or groups, you can select either:

  • Eine vordefinierte Berechtigungsstufe mit einer bereits festgelegten Gruppen von Rechten, z. B. Mitverfasser oder Überprüfer.A predefined permissions level with a preset group of rights, such as Co-Author or Reviewer.
  • Benutzerdefinierte Berechtigungen, wobei Sie ein oder mehrere Nutzungsrechte auswählen.Custom permissions, where you choose one or more usage rights.

Weitere Informationen, die Ihnen bei der Auswahl der entsprechenden Berechtigungen helfen, finden Sie unter Nutzungsrechte und Beschreibungen.For more information to help you select the appropriate permissions, see Usage rights and descriptions.

Optionen zum Auswählen bereits festgelegter oder benutzerdefinierter Berechtigungen

Beachten Sie, dass dieselbe Bezeichnung unterschiedlichen Benutzern unterschiedliche Berechtigungen erteilen kann. Eine einzelne Bezeichnung kann beispielsweise einige Benutzer als "Überprüfer" und einen anderen Benutzer als "Mitverfasser" zuweisen, wie im folgenden Screenshot dargestellt.Note that the same label can grant different permissions to different users. For example, a single label can assign some users as Reviewer and a different user as Co-author, as shown in the following screenshot.

Weisen Sie hierfür Benutzern und Gruppen Berechtigungen zu, und speichern Sie die Einstellungen. Wiederholen Sie dann diese Schritte, und fügen Sie jedes Mal Benutzer hinzu, weisen diesen Berechtigungen zu, und speichern die Einstellungen. Sie können diese Konfiguration so oft wie erforderlich wiederholen, um unterschiedliche Berechtigungen für unterschiedliche Benutzer zu definieren.To do this, add users or groups, assign them permissions, and save those settings. Then repeat these steps, adding users and assigning them permissions, saving the settings each time. You can repeat this configuration as often as necessary, to define different permissions for different users.

Unterschiedliche Benutzer mit unterschiedlichen Berechtigungen

Rights Management-Aussteller (Benutzer, der die Vertraulichkeitsbezeichnung anwendet) hat immer VollzugriffRights Management issuer (user applying the sensitivity label) always has Full Control

Die Verschlüsselung für eine Vertraulichkeitsbezeichnung verwendet den Azure Rights Management-Dienst (Azure RMS) aus Azure Information Protection.Encryption for a sensitivity label uses the Azure Rights Management service from Azure Information Protection. Wenn ein Benutzer eine Vertraulichkeitsbezeichnung anwendet, um ein Dokument oder eine E-Mail mithilfe von Verschlüsselung zu schützen, wird dieser Benutzer der Rights Management-Aussteller für diesen Inhalt.When a user applies a sensitivity label to protect a document or email by using encryption, that user becomes the Rights Management issuer for that content.

Der Rights Management-Aussteller erhält immer Vollzugriff für das Dokument oder die E-Mail. Außerdem gilt:The Rights Management issuer is always granted Full Control permissions for the document or email, and in addition:

  • Wenn die Verschlüsselungseinstellungen ein Ablaufdatum umfassen, kann der Rights Management-Aussteller das Dokument oder die E-Mail nach diesem Datum immer noch öffnen und bearbeiten.If the encryption settings include an expiration date, the Rights Management issuer can still open and edit the document or email after that date.
  • Der Rights Management-Aussteller kann immer offline auf das Dokument oder die E-Mail zugreifen.The Rights Management issuer can always access the document or email offline.
  • Der Rights Management-Aussteller kann ein Dokument weiterhin öffnen, nachdem es gesperrt wurde.The Rights Management issuer can still open a document after it is revoked.

Weitere Informationen finden Sie unter Rights Management-Aussteller und Rights Management-Besitzer.For more information, see Rights Management issuer and Rights Management owner.

Benutzern die Zuweisung von Berechtigungen überlassenLet users assign permissions

Sie können mithilfe dieser Optionen Benutzern erlauben, Berechtigungen zuzuweisen, wenn sie eine Vertraulichkeitsbezeichnung manuell auf Inhalte anwenden:You can use these options to let users assign permissions when they manually apply a sensitivity label to content:

  • In Outlook kann ein Benutzer Einschränkungen wählen, die der Option Nicht weiterleiten für Ihre gewählten Empfänger entsprechen.In Outlook, a user can select restrictions equivalent to the Do Not Forward option for their chosen recipients.

  • In Word, PowerPoint und Excel wird ein Benutzer aufgefordert, ihre eigenen Berechtigungen für bestimmte Benutzer, Gruppen oder Organisationen auszuwählen.In Word, PowerPoint, and Excel, a user is prompted to select their own permissions for specific users, groups, or organizations.

    Hinweis

    Diese Option für Word, PowerPoint und Excel wird vom Azure Information Protection-Clients mit einheitlichen Bezeichnungen unterstützt.This option for Word, PowerPoint, and Excel is supported by the Azure Information Protection unified labeling client. Bei Apps, die integrierte Bezeichnungen verwenden, wird die Unterstützung für Windows und Mac derzeit in der Vorschau bereitgestellt.For apps that use built-in labeling, support is currently in preview for Windows and Mac.

    Ist diese Option ausgewählt, wird aber für die App eines Benutzers nicht unterstützt, wird die Bezeichnung entweder für den Benutzer nicht angezeigt oder die Bezeichnung wird zu Konsistenzzwecken angezeigt (Rollout erfolgt aktuell in der Vorschau für IOS und Android), kann jedoch nicht mit einer Erläuterung für Benutzer angewendet werden.If this option is selected but isn't supported for a user's app, either that label doesn't display to the user, or (currently rolling out in preview for iOS and Android) the label displays for consistency, but it can't be applied with an explanation message to users.

Wenn die Optionen unterstützt werden, verwenden Sie die folgende Tabelle, um zu ermitteln, wann Benutzer die Vertraulichkeitsbezeichnung sehen:When the options are supported, use the following table to identify when users see the sensitivity label:

EinstellungSetting Die Bezeichnung ist in Outlook sichtbarLabel visible in Outlook Die Bezeichnung ist in Word, Excel, PowerPoint sichtbarLabel visible in Word, Excel, PowerPoint
In Outlook Einschränkungen durchsetzen, die der Option „Nicht weiterleiten“ entsprechenIn Outlook, enforce restrictions equivalent to the Do Not Forward option JaYes NeinNo
In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugebenIn Word, PowerPoint, and Excel, prompt users to specify permissions NeinNo JaYes

Wenn beide Einstellungen ausgewählt sind, ist die Bezeichnung sowohl in Outlook als auch in Word, Excel und PowerPoint sichtbar.When both settings are selected, the label is therefore visible in both Outlook and in Word, Excel, and PowerPoint.

Eine Vertraulichkeitsbezeichnung, bei der Benutzer Berechtigungen zuweisen können, kann nur manuell von Benutzern angewendet werden. Sie kann nicht automatisch angewendet oder als empfohlene Bezeichnung genutzt werden.A sensitivity label that lets users assign permissions can be applied to content only manually by users; it can't be auto-applied or used as a recommended label.

Konfigurieren der dem Benutzer zugewiesenen Berechtigungen:Configuring the user-assigned permissions:

Verschlüsselungseinstellungen für benutzerdefinierte Berechtigungen

Einschränkungen in OutlookOutlook restrictions

Wenn ein Benutzer in Outlook eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für eine Nachricht gestattet, entsprechen die Einschränkungen der Option "Nicht weiterleiten".In Outlook, when a user applies a sensitivity label that lets them assign permissions to a message, the restrictions are the same as the Do Not Forward option. Der Benutzer sieht oben in der Nachricht den Namen und die Beschreibung der Bezeichnung, die den Inhalt als geschützt ausweist.The user will see the label name and description at the top of the message, which indicates the content's being protected. Anders als in Word, PowerPoint und Excel (mehr dazu im nächsten Abschnitt) werden die Benutzer hier nicht aufgefordert, bestimmte Berechtigungen auszuwählen.Unlike Word, PowerPoint, and Excel (see the next section), users aren't prompted to select specific permissions.

Auf eine E-Mail angewendete Vertraulichkeitsbezeichnung in Outlook

Wenn die Option "Nicht weiterleiten" auf eine E-Mail angewendet wird, wird diese E-Mail verschlüsselt und die Empfänger müssen authentifiziert werden.When the Do Not Forward option is applied to an email, the email is encrypted and recipients must be authenticated. Die Empfänger können dann die Nachricht nicht weiterleiten, drucken oder kopieren.Then, the recipients cannot forward it, print it, or copy from it. Wenn beispielsweise im Outlook-Client die Schaltfläche "Weiterleiten" nicht verfügbar ist, sind die Menüoptionen "Speichern unter" und "Drucken" ebenfalls nicht verfügbar, und Sie können in den Feldern "An", CC oder Bcc keine Empfänger hinzufügen oder ändern.For example, in the Outlook client, the Forward button is not available, the Save As and Print menu options are not available, and you cannot add or change recipients in the To, Cc, or Bcc boxes.

Für unverschlüsselte Office-Dokumente, die sich im Anhang der E-Mail befinden, werden automatisch die gleichen Beschränkungen übernommen.Unencrypted Office documents that are attached to the email automatically inherit the same restrictions. Die für diese Dokumente geltenden Nutzungsrechte sind "Inhalt bearbeiten", "Bearbeiten", "Speichern", "Anzeigen", "Öffnen", "Lesen" und "Makros zulassen".The usage rights applied to these documents are Edit Content, Edit; Save; View, Open, Read; and Allow Macros. Wenn der Benutzer andere Nutzungsrechte für eine Anlage wünscht, oder wenn es sich bei der Anlage nicht um ein Office-Dokument handelt, das die Vererbung des Schutzes unterstützt, muss der Benutzer die Datei schützen, bevor er sie an die E-Mail anfügt.If the user wants different usage rights for an attachment, or the attachment is not an Office document that supports this inherited protection, the user needs to protect the file before attaching it to the email.

Berechtigungen in Word, PowerPoint und ExcelWord, PowerPoint, and Excel permissions

Wenn ein Benutzer in Word, PowerPoint oder Excel eine Vertraulichkeitsbezeichnung anwendet, die ihm das Zuweisen von Berechtigungen für ein Dokument gestattet, wird er aufgefordert, Benutzer und Berechtigungen für die Verschlüsselung auszuwählen.In Word, PowerPoint, and Excel, when a user applies a sensitivity label that lets them assign permissions to a document, they are prompted to specify their choice of users and permissions when the encryption is applied.

So können Die Benutzer mithilfe des Azure Information Protection-Clients mit einheitlichen Bezeichnungen beispielsweise Folgendes tun:For example, with the Azure Information Protection unified labeling client, users can:

  • Er kann eine Berechtigungsstufe auswählen, z. B. "Betrachter" (dadurch wird nur die Berechtigung "Nur anzeigen" zugewiesen) oder "Mitautor" (mit Berechtigungen zum "Anzeigen", "Bearbeiten", "Kopieren" und "Drucken").Select a permission level, such as Viewer (which assigns View Only permission) or Co-Author (which assigns View, Edit, Copy, and Print permissions).
  • Er kann Benutzer, Gruppen oder Organisationen auswählen.Select users, groups, or organizations. Dies kann Personen innerhalb und außerhalb Ihrer Organisation umfassen.This can include people both inside or outside your organizations.
  • Er kann ein Ablaufdatum festlegen, nach dem die ausgewählten Benutzer nicht mehr auf die betreffenden Inhalte zugreifen können.Set an expiration date, after which the selected users cannot access the content. Weitere Informationen finden Sie im vorstehenden Abschnitt Rights Management-Verwendungslizenz für den Offlinezugriff.For more information, see the above section Rights Management use license for offline access.

Optionen für Benutzer für den Schutz durch benutzerdefinierte Berechtigungen

Bei der integrierten Bezeichnung sehen die Benutzer dasselbe Dialogfeld, wenn Sie Folgendes auswählen:For built-in labeling, users see the same dialog box if they select the following:

  • Windows: Registerkarte "Datei" > Info > Dokument schützen > Zugriff einschränken > Eingeschränkter ZugriffWindows: File tab > Info > Protect Document > Restrict Access > Restricted Access

  • MacOS: Registerkarte Überprüfen > Schutz > Berechtigungen > eingeschränkter ZugriffMacOS: Review tab > Protection > Permissions > Restricted Access

Beispielkonfigurationen für die VerschlüsselungseinstellungenExample configurations for the encryption settings

Führen Sie für jedes der folgenden Beispiele die Konfiguration über die Seite Verschlüsselung des Assistenten aus, wenn Sie eine Vertraulichkeitsbezeichnung erstellen oder bearbeiten.For each example that follows, do the configuration from the Encryption page of the wizard when you create or edit a sensitivity label. Stellen Sie zunächst sicher, dass die Verschlüsselung auf Übernehmen festgelegt ist:First make sure that the Encryption is set to Apply:

Anwenden der Verschlüsselungsoption im Assistenten für Vertraulichkeitsbezeichnungen

Beispiel 1: Bezeichnung, die "Nicht weiterleiten" beim Senden einer verschlüsselten E-Mail-Nachricht an ein Gmail-Konto anwendetExample 1: Label that applies Do Not Forward to send an encrypted email to a Gmail account

Diese Bezeichnung wird nur in Outlook und Outlook im Web angezeigt und Sie müssen Exchange Online verwenden.This label displays only in Outlook and Outlook on the web, and you must use Exchange Online. Weisen Sie Benutzer an, diese Bezeichnung auszuwählen, wenn sie eine verschlüsselte E-Mail an Personen senden müssen, die ein Gmail-Konto (oder ein anderes E-Mail-Konto außerhalb Ihrer Organisation) verwenden.Instruct users to select this label when they need to send an encrypted email to people using a Gmail account (or any other email account outside your organization).

Ihre Benutzer geben die Gmail-Adresse in das Feld An ein.Your users type the Gmail email address in the To box. Dann wählen sie die Bezeichnung aus, und die Option "Nicht weiterleiten" wird der E-Mail automatisch hinzugefügt.Then, they select the label and the Do Not Forward option is automatically added to the email. Das hat zur Folge, dass Empfänger die E-Mail nicht weiterleiten oder drucken, deren Inhalt nicht kopieren und die E-Mail nicht über die Option Speichern unter außerhalb Ihres Postfachs speichern können.The result is that recipients cannot forward the email, or print it, copy from it, or save the email outside their mailbox by using the Save As option.

  1. Auf der Seite Verschlüsselung: Wählen Sie für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Benutzern die Zuweisung von Berechtigungen überlassen, wenn sie die Bezeichnung anwenden aus.On the Encryption page: For Assign permissions now or let users decide? select Let users assign permissions when they apply the label.

  2. Aktivieren Sie das Kontrollkästchen In Outlook Einschränkungen durchsetzen, die der Option "Nicht weiterleiten" entsprechen.Select the checkbox: In Outlook, enforce restrictions equivalent to the Do Not Forward option.

  3. Wenn das Kontrollkästchen In Word, PowerPoint und Excel die Benutzer auffordern, Berechtigungen anzugeben aktiviert ist, deaktivieren Sie es.If selected, clear the checkbox: In Word, PowerPoint, and Excel, prompt users to specify permissions.

  4. Wählen Sie Weiter aus, und schließen Sie den Assistenten ab.Select Next and complete the wizard.

Beispiel 2: Bezeichnung, die die Nur-Lese-Berechtigung auf alle Benutzer in einer anderen Organisation beschränktExample 2: Label that restricts read-only permission to all users in another organization

Diese Bezeichnung eignet sich für die schreibgeschützte Freigabe streng vertraulicher Dokumente, wobei zum Anzeigen der Dokumente immer eine Internetverbindung benötigt wird.This label is suitable for sharing very sensitive documents as read-only, and the documents always require an internet connection to view them.

Diese Bezeichnung eignet sich nicht für E-Mails.This label is not suitable for emails.

  1. Auf der Seite Verschlüsselung: Wählen Sie für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen aus.On the Encryption page: For Assign permissions now or let users decide? select Assign permissions now.

  2. Wählen Sie für Offlinezugriff zulassen die Option Nie aus.For Allow offline access, select Never.

  3. Wählen Sie Berechtigungen zuweisen aus.Select Assign permissions.

  4. Wählen Sie im Bereich Berechtigungen zuweisen die Option Diese E-Mail-Adresse oder Domänen hinzufügen aus.On the Assign permissions pane, select Add these email address or domains.

  5. Geben Sie in das Textfeld den Namen einer Domäne der anderen Organisation ein, z. B. fabrikam.com.In the text box, enter the name of a domain from the other organization, for example, fabrikam.com. Wählen Sie dann Hinzufügen aus.Then select Add.

  6. Wählen Sie Vordefinierte oder benutzerdefinierte Berechtigungen auswählen aus.Select Choose permissions from present or custom.

  7. Wählen Sie im Bereich Vorhandene oder benutzerdefinierte Berechtigungen auswählen im Dropdownfeld Viewer und dann Speichern aus.On the Choose permissions from present or custom pane, select the dropdown box, select Viewer, and then select Save.

  8. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.Back on the Assign Permissions pane, select Save.

  9. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie den Assistenten ab.On the Encryption page, select Next and complete the wizard.

Beispiel 3: Hinzufügen externer Benutzer zu einer vorhandenen Bezeichnung, die Inhalt verschlüsseltExample 3: Add external users to an existing label that encrypts content

Die neuen Benutzer, die Sie hinzufügen, können Dokumente und E-Mails öffnen, die bereits mit dieser Bezeichnung geschützt sind.The new users that you add will be able open documents and emails that have already been protected with this label. Die Berechtigungen, die Sie diesen Benutzern gewähren, können sich von den Berechtigungen der vorhandenen Benutzer unterscheiden.The permissions that you grant these users can be different from the permissions that the existing users have.

  1. Auf der Seite Verschlüsselung: Stellen Sie sicher, dass für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen ausgewählt ist.On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. Wählen Sie Berechtigungen zuweisen aus.Select Assign permissions.

  3. Wählen Sie im Bereich Berechtigungen zuweisen die Option Diese E-Mail-Adresse oder Domänen hinzufügen aus.On the Assign permissions pane, select Add these email address or domains.

  4. Geben Sie in das Textfeld die E-Mail-Adresse des ersten hinzuzufügenden Benutzers (oder der ersten Gruppe) ein, und wählen Sie dann Hinzufügen aus.In the text box, enter the email address of the first user (or group) to add, and then select Add.

  5. Wählen Sie Vordefinierte oder benutzerdefinierte Berechtigungen auswählen aus.Select Choose permissions from present or custom.

  6. Wählen Sie im Bereich Vorhandene oder benutzerdefinierte Berechtigungen auswählen die Berechtigungen für diesen Benutzer (oder die Gruppe) und dann Speichern aus.On the Choose permissions from present or custom pane, select the permissions for this user (or group), and then select Save.

  7. Wiederholen Sie im Bereich Berechtigungen zuweisen die Schritte 3 bis 6 für jeden Benutzer (oder jede Gruppe), zu dem bzw. der Sie diese Bezeichnung hinzufügen möchten.Back on the Assign Permissions pane, repeat steps 3 through 6 for each user (or group) that you want to add to this label. Klicken Sie dann auf Speichern.Then click Save.

  8. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie den Assistenten ab.On the Encryption page, select Next and complete the wizard.

Beispiel 4: Bezeichnung, die Inhalte verschlüsselt, aber nicht einschränkt, wer darauf zugreifen kannExample 4: Label that encrypts content but doesn't restrict who can access it

Diese Konfiguration hat den Vorteil, dass Sie zur Verschlüsselung einer E-Mail oder eines Dokuments keine Benutzer, Gruppen oder Domänen angeben müssen.This configuration has the advantage that you don't need to specify users, groups, or domains to encrypt an email or document. Der Inhalt wird trotzdem verschlüsselt, und Sie können Nutzungsrechte, ein Ablaufdatum und Offlinezugriff festlegen.The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access.

Verwenden Sie diese Konfiguration nur, wenn Sie nicht einschränken müssen, wer das geschützte Dokument oder die E-Mail öffnen kann.Use this configuration only when you do not need to restrict who can open the protected document or email. Weitere Informationen zu dieser EinstellungMore information about this setting

  1. Auf der Seite Verschlüsselung: Stellen Sie sicher, dass für Jetzt Berechtigungen zuweisen oder die Benutzer entscheiden lassen? die Option Berechtigungen sofort zuweisen ausgewählt ist.On the Encryption page: For Assign permissions now or let users decide? make sure Assign permissions now is selected.

  2. Konfigurieren Sie die Einstellungen für Benutzerzugriff auf Inhalte läuft ab und Offlinezugriff zulassen wie erforderlich.Configure settings for User access to content expires and Allow offline access as required.

  3. Wählen Sie Berechtigungen zuweisen aus.Select Assign permissions.

  4. Wählen Sie im Bereich Berechtigungen zuweisendie Option Alle authentifizierten Benutzer hinzufügen aus.On the Assign permissions pane, select Add any authenticated users.

    Für Benutzer und Gruppen wird AuthenticatedUsers automatisch hinzugefügt.For Users and groups, you see AuthenticatedUsers automatically added. Sie können diesen Wert nicht ändern, sondern nur löschen, wodurch die Auswahl Alle authentifizierten Benutzer hinzufügen aufgehoben wird.You can't change this value, only delete it, which cancels the Add any authenticated users selection.

  5. Wählen Sie Vordefinierte oder benutzerdefinierte Berechtigungen auswählen aus.Select Choose permissions from present or custom.

  6. Wählen Sie im Bereich Vorhandene oder benutzerdefinierte Berechtigungen auswählen im Dropdownfeld die gewünschten Berechtigungen und dann Speichern aus.On the Choose permissions from present or custom pane, select the dropdown box, select the permissions you want, and then select Save.

  7. Zurück im Bereich Berechtigungen zuweisen wählen Sie Speichern aus.Back on the Assign Permissions pane, select Save.

  8. Wählen Sie auf der Seite Verschlüsselung die Option Weiter aus, und schließen Sie den Assistenten ab.On the Encryption page, select Next and complete the wizard.

Überlegungen zu verschlüsselten InhaltenConsiderations for encrypted content

Durch die Verschlüsselung Ihrer sensibelsten Dokumente und E-Mails können Sie sicherstellen, dass nur autorisierte Personen auf diese Daten zugreifen können.Encrypting your most sensitive documents and emails helps to ensure that only authorized people can access this data. Es müssen jedoch einige Überlegungen berücksichtigt werden:However, there are some considerations to take into account:

  • Wenn Ihre OrganisationAktivieren von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive nicht gewählt hat:If your organization hasn't enabled sensitivity labels for Office files in SharePoint and OneDrive:

    • werden Suche, eDiscovery und Delve bei verschlüsselten Dateien nicht funktionieren.Search, eDiscovery, and Delve will not work for encrypted files.
    • funktionieren DLP-Richtlinien für die Metadaten dieser verschlüsselten Dateien (einschließlich Aufbewahrungsbezeichnungen), aber nicht für die Inhalte dieser Dateien (z. B. Kreditkartennummern innerhalb von Dateien).DLP policies work for the metadata of these encrypted files (including retention label information) but not the content of these files (such as credit card numbers within files).
    • können Benutzer verschlüsselte Dateien mit Office im Web nicht öffnen.Users can't open encrypted files using Office on the web. Wenn Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert sind, können Benutzer Office im Web verwenden, um verschlüsselte Dateien zu öffnen, mit einigen Einschränkungen, darunter die Verschlüsselung, die mit einem firmeneigenen Schlüssel (bekannt als "Hold your own key" oder HYOK) angewendet wurde, und die Verschlüsselung, die unabhängig von einer Vertraulichkeitsbezeichnung angewendet wurde.When sensitivity labels for Office files in SharePoint and OneDrive is enabled, users can use Office on the web to open encrypted files, with some limitations that include encryption that has been applied with an on-premises key (known as "hold your own key", or HYOK), and encryption that has been applied independently from a sensitivity label.
  • Damit mehrere Benutzer gleichzeitig eine verschlüsselte Datei bearbeiten können, müssen alle Office für Web verwenden.For multiple users to edit an encrypted file at the same time, they must all be using Office for the web. Wenn dies nicht der Fall ist und die Datei bereits geöffnet ist:If this isn't the case, and the file is already open:

    • In Office-Apps (Windows, Mac, Android und IOS) wird Benutzern eine „Datei wird verwendet“-Nachricht mit dem Namen der Person angezeigt, die die Datei ausgecheckt hat.In Office apps (Windows, Mac, Android, and iOS), users see a File In Use message with the name of the person who has checked out the file. Sie können dann eine schreibgeschützte Kopie anzeigen oder eine Kopie der Datei speichern und bearbeiten sowie benachrichtigt werden, wenn die Datei verfügbar ist.They can then view a read-only copy or save and edit a copy of the file, and receive notification when the file is available.
    • In Office für Web wird Benutzern eine Fehlermeldung angezeigt, dass Sie das Dokument nicht zusammen mit anderen Personen bearbeiten können.In Office for the web, users see an error message that they can't edit the document with other people. Sie können dann In der Leseansicht öffnen auswählen.They can then select Open in Reading View.
  • Die Funktion Automatisches Speichern in Office-Apps (Windows-, Mac-, Android-und IOS) ist für verschlüsselte Dateien deaktiviert.The AutoSave functionality in Office apps (Windows, Mac, Android, and iOS) is disabled for encrypted files. Benutzern wird eine Meldung angezeigt, dass die Datei eingeschränkte Berechtigungen hat, die entfernt werden müssen, bevor das automatische Speichern aktiviert werden kann.Users see a message that the file has restricted permissions that must be removed before AutoSave can be turned on.

  • Das Öffnen verschlüsselter Dateien in Office-Anwendungen (Windows, Mac, Android und iOS) kann länger dauern.Encrypted files might take longer to open in Office apps (Windows, Mac, Android, and iOS).

  • Die folgenden Aktionen für verschlüsselte Dateien werden von Office-Apps (Windows, Mac, Android und IOS) nicht unterstützt und Benutzern wird eine Fehlermeldung angezeigt, dass etwas schief gelaufen ist.The following actions for encrypted files aren't supported from Office apps (Windows, Mac, Android, and iOS), and users see an error message that something went wrong. Allerdings kann die SharePoint-Funktionalität als Alternative verwendet werden:However, SharePoint functionality can be used as an alternative:

Für eine optimale Zusammenarbeit bei Dateien, die mit einer Vertraulichkeitsbezeichnung verschlüsselt sind, empfehlen wir die Verwendung von Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive sowie Office im Web.For the best collaboration experience for files that are encrypted by a sensitivity label, we recommend you use sensitivity labels for Office files in SharePoint and OneDrive and Office for the web.

Wichtige VoraussetzungenImportant prerequisites

Bevor Sie Verschlüsselung verwenden können, müssen Sie möglicherweise einige Konfigurationsaufgaben ausführen.Before you can use encryption, you might need to do some configuration tasks.

Schutz vor Azure Information Protection aktivierenActivate protection from Azure Information Protection

Damit Vertraulichkeitsbezeichnungen angewendet werden können, muss der Protection Service (Azure Rights Management) aus Azure Information Protection für Ihren Mandanten aktiviert werden.For sensitivity labels to apply encryption, the protection service (Azure Rights Management) from Azure Information Protection must be activated for your tenant. In neueren Mandanten ist dies die Standardeinstellung, möglicherweise müssen Sie den Dienst jedoch manuell aktivieren.In newer tenants, this is the default setting, but you might need to manually activate the service. Weitere Informationen finden Sie unter Aktivieren des Schutzdienstes von Azure Information Protection.For more information, see Activating the protection service from Azure Information Protection.

Konfigurieren von Exchange für Azure Information ProtectionConfigure Exchange for Azure Information Protection

Exchange muss nicht für Azure Information Protection konfiguriert werden, bevor Benutzer in Outlook zum Verschlüsseln ihrer E-Mails Bezeichnungen anwenden können.Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to encrypt their emails. Solange Exchange jedoch nicht für Azure Information Protection konfiguriert ist, erhalten Sie nicht die volle Funktionalität des Azure Rights Management-Schutzes mit Exchange.However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange.

Benutzer können beispielsweise verschlüsselte E-Mails nicht auf Mobiltelefonen oder mit Outlook im Web anzeigen, verschlüsselte E-Mails können nicht für die Suche indexiert werden, und Sie können Exchange Online DLP nicht für den Rights Management-Schutz konfigurieren.For example, users cannot view encrypted emails on mobile phones or with Outlook on the web, encrypted emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection.

Um sicherzustellen, dass Exchange diese zusätzlichen Szenarien unterstützt, lesen Sie die folgenden Informationen:To ensure that Exchange can support these additional scenarios, see the following: