Häufig gestellte Fragen zur Nachrichtenverschlüsselung

Haben Sie eine Frage zur Funktionsweise der neuen Nachrichtenschutzfunktionen? Hier finden Sie eine Antwort. Sehen Sie sich auch häufig gestellte Fragen zum Datenschutz in Azure Information Protection an, um Antworten auf Fragen zum Datenschutzdienst Azure Rights Management in Azure Information Protection zu geben.

Was ist Microsoft Purview-Nachrichtenverschlüsselung (OME)?

Microsoft Purview-Nachrichtenverschlüsselung kombiniert E-Mail-Verschlüsselung und Rechteverwaltungsfunktionen. Die Rechteverwaltungsfunktionen werden von Azure Information Protection unterstützt.

Wer kann Microsoft Purview-Nachrichtenverschlüsselung verwenden?

Sie können Microsoft Purview-Nachrichtenverschlüsselung unter den folgenden Bedingungen verwenden:

  • Wenn Sie noch nie Office 365 Nachrichtenverschlüsselung (OME) oder IRM für Exchange Online in Office 365 eingerichtet haben.

  • Wenn Sie OME und IRM eingerichtet haben, können Sie diese Schritte ausführen, wenn Sie den Azure Rights Management-Dienst von Azure Information Protection verwenden.

  • Wenn Sie Exchange Online mit dem Active Directory Rights Management-Dienst (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie AD RMS zuerst zu Azure Information Protection migrieren. Wenn Sie die Migration abgeschlossen haben, können Sie Microsoft Purview-Nachrichtenverschlüsselung erfolgreich einrichten.

    Wenn Sie weiterhin lokale AD RMS mit Exchange Online verwenden möchten, anstatt zu Azure Information Protection zu migrieren, können Sie Microsoft Purview-Nachrichtenverschlüsselung nicht verwenden.

Welche Abonnements muss ich Microsoft Purview-Nachrichtenverschlüsselung verwenden?

Um Microsoft Purview-Nachrichtenverschlüsselung verwenden zu können, benötigen Sie einen der folgenden Pläne:

  • Microsoft Purview-Nachrichtenverschlüsselung wird als Teil von Office 365 Enterprise E3 und E5, Microsoft 365 Enterprise E3 und E5 Microsoft 365 Business Premium , Office 365 A1, A3 und A5 sowie Office 365 Government G3 und G5. Sie benötigen keine zusätzlichen Lizenzen, um die neuen Schutzfunktionen zu erhalten, die von Azure Information Protection unterstützt werden.

  • Sie können Azure Information Protection Plan 1 auch den folgenden Plänen hinzufügen, um Microsoft Purview-Nachrichtenverschlüsselung zu erhalten: Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard oder Office 365 Enterprise E1.

  • Jeder Benutzer, der von Microsoft Purview-Nachrichtenverschlüsselung profitiert, muss lizenziert werden, um von dem Feature abgedeckt zu werden.

  • Die vollständige Liste finden Sie in den Exchange Online Dienstbeschreibungen für Microsoft Purview-Nachrichtenverschlüsselung.

Kann ich Exchange Online mit bring your own key (BYOK) in Azure Information Protection verwenden?

Ja! Microsoft empfiehlt, die Schritte zum Einrichten von BYOK auszuführen, bevor Sie Microsoft Purview-Nachrichtenverschlüsselung einrichten.

Weitere Informationen zu BYOK finden Sie unter Planen und Implementieren Ihres Azure Information Protection Mandantenschlüssels.

Ändern Microsoft Purview-Nachrichtenverschlüsselung und BYOK mit Azure Information Protection den Ansatz von Microsoft bei Datenanforderungen von Drittanbietern, z. B. Vorladungen?

Nein. Microsoft Purview-Nachrichtenverschlüsselung und die Möglichkeit, ihre eigenen Verschlüsselungsschlüssel, byOK genannt, von Azure Information Protection bereitzustellen und zu steuern, wurden nicht entwickelt, um auf Strafverfolgungs-Vorladungen zu reagieren. OME wurde mit BYOK für Azure Information Protection für Compliance-orientierte Organisationen entwickelt. Microsoft nimmt Anfragen von Drittanbietern für Kundendaten ernst. Als Cloud-Dienstanbieter setzen wir uns immer für den Datenschutz Ihrer Daten ein. Für den Fall, dass wir eine Vorladung erhalten, versuchen wir immer, den Drittanbieter direkt an Sie umzuleiten, um die Informationen zu erhalten. (Lesen Sie Brad Smiths Blog: Schützen von Kundendaten vor Government-Snooping). Wir veröffentlichen regelmäßig detaillierte Informationen über die Anfrage, die wir erhalten. Weitere Informationen zu Datenanforderungen von Drittanbietern finden Sie unter Antworten auf Anfragen von Behörden und Strafverfolgungsbehörden, um auf Kundendaten im Microsoft Trust Center zuzugreifen. Siehe auch "Offenlegung von Kundendaten" in den Nutzungsbedingungen für Onlinedienste (OST).

Wie hängt dieses Feature mit älteren Office 365 Nachrichtenverschlüsselungsfeatures (OME) und IRM-Features (Information Rights Management) zusammen?

Microsoft Purview-Nachrichtenverschlüsselung ist eine Weiterentwicklung der bestehenden IRM- und Legacy-OME-Lösungen. In der folgenden Tabelle finden Sie weitere Details.

Vergleich von legacy OME, IRM und Microsoft Purview-Nachrichtenverschlüsselung

Funktion Frühere Versionen von OME IRM Microsoft Purview-Nachrichtenverschlüsselung
Senden einer verschlüsselten E-Mail Nur über Exchange-Nachrichtenflussregeln Endbenutzer, die von Outlook für Windows, Outlook für Mac oder Outlook im Web oder über Exchange-Nachrichtenflussregeln initiiert wurden Endbenutzer, die über Outlook für Windows, Outlook für Mac oder Outlook im Web oder über Nachrichtenflussregeln initiiert wurden
Rechteverwaltung - Option "Nicht weiterleiten" und benutzerdefinierte Vorlagen Option "Nicht weiterleiten", Option "Nur verschlüsseln", Standardvorlagen und benutzerdefinierte Vorlagen
Unterstützter Empfängertyp Nur externe Empfänger Nur interne Empfänger Interne und externe Empfänger
Erfahrung für Empfänger Externe Empfänger erhielten eine HTML-Nachricht, die sie in einem Browser heruntergeladen und geöffnet oder eine mobile App heruntergeladen haben. Interne Empfänger erhielten nur verschlüsselte E-Mails in Outlook für Windows, Outlook für Mac und Outlook im Web. Interne und externe Empfänger empfangen E-Mails in Outlook für Windows, Outlook für Mac, Outlook im Web, Outlook für Android und Outlook für iOS oder über ein Webportal, unabhängig davon, ob sie sich in derselben Organisation oder in einer Organisation befinden oder nicht. Das OME-Portal erfordert keinen separaten Download.
Bring Your Own Key support Nicht verfügbar Nicht verfügbar BYOK unterstützt

Gewusst wie Microsoft Purview-Nachrichtenverschlüsselung für meine Organisation aktivieren?

Wird die vorherige Version von OME veraltet sein?

Sie können weiterhin die vorherige Version von OME verwenden, sie wird zu diesem Zeitpunkt nicht veraltet sein. Wir empfehlen Organisationen jedoch dringend, die neue und verbesserte Nachrichtenverschlüsselungslösung zu verwenden. Wenn Sie OME noch nicht bereitgestellt haben, können Sie keine neue Bereitstellung der vorherigen Version von OME einrichten.

Meine Organisation verwendet Active Directory Rights Management. Kann ich diese Funktionalität verwenden?

Nein. Wenn Sie Exchange Online mit dem Active Directory Rights Management-Dienst (AD RMS) verwenden, können Sie diese neuen Funktionen nicht sofort aktivieren. Stattdessen müssen Sie AD RMS zuerst zu Azure Information Protection migrieren.

Meine Organisation verfügt über eine Exchange-Hybridbereitstellung. Kann ich dieses Feature verwenden?

Lokale Benutzer können verschlüsselte E-Mails mithilfe Exchange Online Nachrichtenflussregeln senden. Dazu müssen Sie E-Mails über Exchange Online weiterleiten. Weitere Informationen finden Sie unter Teil 2: Konfigurieren des Nachrichtenflusses von Ihrem E-Mail-Server zu Microsoft 365.

Welchen E-Mail-Client muss ich verwenden, um eine verschlüsselte Nachricht zu erstellen? Welche Anwendungen werden zum Senden geschützter Nachrichten unterstützt?

Sie können geschützte Nachrichten aus Outlook 2016, Outlook 2013 für Windows und Mac und aus Outlook im Web erstellen. Weitere Informationen zum Senden verschlüsselter Nachrichten finden Sie unter Senden, Anzeigen und Beantworten verschlüsselter Nachrichten in Outlook für PC.

Welche E-Mail-Clients werden zum Lesen und Beantworten geschützter E-Mails unterstützt?

Microsoft 365-Benutzer können in Outlook für Windows und Mac (2013 und 2016), Outlook im Web und Outlook Mobile (Android und iOS) lesen und antworten. Sie können auch den systemeigenen iOS-E-Mail-Client verwenden, wenn ihre Organisation dies zulässt. Wenn Sie kein Microsoft 365-Benutzer sind, können Sie verschlüsselte Nachrichten im Web über Ihren Webbrowser lesen und beantworten.

Welche E-Mail-Clients unterstützen nur verschlüsselte E-Mails?

Microsoft 365-Benutzer können Outlook für PC-Versionen 2019 und Microsoft 365 verwenden, um E-Mails zu erstellen, die durch die Richtlinie "Nur verschlüsseln" geschützt sind. Dies bedeutet, dass Nachrichten, auf die die neue Nur-Verschlüsselungsrichtlinie angewendet wurde, direkt in Outlook im Web, in Outlook für iOS und Android und jetzt in Outlook für PC-Versionen 2019 und Microsoft 365 gelesen werden können.

Gibt es eine Größenbeschränkung für Nachrichten, die Sie mit OME senden können?

Ja. Die maximale Nachrichtengröße, die Sie mit Microsoft Purview-Nachrichtenverschlüsselung, einschließlich Anlagen, senden können, beträgt 25 MB. Weitere Informationen finden Sie unter Nachrichtenbeschränkungen.

Welche Art von Nachrichten unterstützt das OME-Portal?

Das OME-Portal unterstützt nur E-Mails. Das Portal unterstützt keine anderen Nachrichtentypen wie Kalender oder Voicemail.

Welche Dateitypen werden als Anlagen in geschützten E-Mails unterstützt? Erben Anlagen die Schutzrichtlinien, die geschützten E-Mails zugeordnet sind?

Sie können einen beliebigen Dateityp an eine geschützte E-Mail anfügen. Mit einer Ausnahme werden Schutzrichtlinien nur auf die Dateiformate angewendet, die in den vom Azure Information Protection-Client unterstützten Dateitypen erwähnt werden. Microsoft Purview-Nachrichtenverschlüsselung unterstützt die 97-2003-Versionen der folgenden Office-Programme nicht: Word (.doc), Excel (.xls) und PowerPoint (.ppt).

Wenn ein Dateiformat unterstützt wird, z. B. eine Word-, Excel- oder PowerPoint-Datei, ist die Datei immer geschützt, auch nachdem die Anlage vom Empfänger heruntergeladen wurde. Angenommen, eine Anlage ist durch "Nicht weiterleiten" geschützt. Der ursprüngliche Empfänger lädt die Datei herunter, erstellt eine Nachricht an einen neuen Empfänger und fügt die Datei an. Wenn der neue Empfänger die Datei empfängt, kann der Empfänger die geschützte Datei nicht öffnen.

Werden PDF-Dateianlagen unterstützt?

Die kurze Antwort lautet ja! Wenn die PDF-Verschlüsselung aktiviert ist, können Sie vertrauliche PDF-Dokumente durch sichere Kommunikation oder sichere Zusammenarbeit schützen. Wenn Sie eine E-Mail senden, verschlüsselt der Office 365-Dienst PDF-Dateianlagen. Der Outlook-Client verschlüsselt keine PDF-Dateianlagen.

Für Outlook im Web, Outlook für iOS und Outlook für Android können Sie PDF-Dateien, die Sie senden, ohne weitere Schritte verschlüsseln. Diese Clients unterstützen nativ die PDF-Verschlüsselung.

Outlook Desktop unterstützt die Verschlüsselung von PDF-Dateianlagen nicht systemintern. Stattdessen müssen Sie zuerst Exchange-Nachrichtenflussregeln oder DLP einrichten, um zuerst Verschlüsselung auf PDF-Anlagen anzuwenden. Wenn Sie E-Mails von Outlook Desktop mit einer PDF-Anlage senden, sendet der Client zuerst die Nachricht mit der Anlage an den Dienst. Wenn der Dienst die Datei empfängt, wendet der Dienst den Microsoft Purview-Nachrichtenverschlüsselung Schutz der DLP-Richtlinie (Data Loss Prevention) oder der Nachrichtenflussregel in Exchange Online an. Als Nächstes sendet Exchange Online die Nachricht mit der geschützten PDF-Dateianlage.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Verschlüsselung für PDF-Anlagen zu aktivieren:

Set-IRMConfiguration -EnablePdfEncryption $true

Mithilfe der PDF-Verschlüsselung können Sie vertrauliche PDF-Dokumente durch sichere Kommunikation oder sichere Zusammenarbeit schützen. Für alle Outlook-Clients erben Nachrichten und ungeschützte PDF-Anlagen den Microsoft Purview-Nachrichtenverschlüsselung Schutz der DLP-Richtlinie (Data Loss Prevention) oder der Nachrichtenflussregel in Exchange Online. Wenn ein Outlook im Web Benutzer ein ungeschütztes PDF-Dokument anfügt und Schutz auf Nachrichten anwendet, erbt die Nachricht außerdem den Schutz der Nachricht. Benutzer können die verschlüsselten Anlagen nur in Anwendungen öffnen, die geschützte PDF-Dateien unterstützen (z. B. das OME-Portal und den Azure Information Protection Viewer).

Wichtig

Der Outlook-Desktopclient unterstützt keine PDF-Verschlüsselung.

Werden SharePoint Online- oder OneDrive for Business-Anlagen unterstützt?

Not yet. SharePoint Online- oder OneDrive for Business-Anlagen werden nicht unterstützt, und Endbenutzer können eine E-Mail, aber nicht die Cloudanlagen verschlüsseln.

Welche E-Mail-Clients unterstützen die Vorschau verschlüsselter Anlagen in geschützten E-Mails?

Wenn Anlagen mit einer geschützten E-Mail geschützt sind, bieten Outlook-Clients die Möglichkeit, das Dokument direkt in der Vorschau anzuzeigen. Outlook unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx, doc, xls, ppt). Outlook im Web unterstützt die Vorschau von Office-Dokumenten (docx, xlsx, pptx) und PDF.

Welche E-Mail-Clients unterstützen den Widerruf geschützter E-Mails?

Outlook im Web unterstützt den Widerruf geschützter E-Mails. Weitere Informationen finden Sie unter Widerrufen einer verschlüsselten Nachricht, die Sie gesendet haben .

Unterstützt das OME-Portal die Vorschau verschlüsselter Anlagen in geschützten E-Mails?

Das OME-Portal unterstützt eine Vorschau aller verschlüsselten Anlagenkopien, die der verschlüsselten E-Mail hinzugefügt wurden. Die Unterstützten Dateitypen umfassen Word-, Excel-, Powerpoint- und PDF-Dateien.

Kann ich Nachrichten automatisch verschlüsseln, indem ich Richtlinien einrichtet?

Ja. Verwenden Sie Nachrichtenflussregeln in Exchange Online, um eine Nachricht basierend auf bestimmten Bedingungen automatisch zu verschlüsseln. Sie können z. B. Richtlinien erstellen, die auf der Empfänger-ID, empfängerdomäne oder auf dem Inhalt im Textkörper oder Betreff der Nachricht basieren. Siehe Definieren von Nachrichtenflussregeln zum Verschlüsseln von E-Mail-Nachrichten in Office 365.

Kann ich die Verschlüsselung bei eingehenden und ausgehenden E-Mails automatisch entfernen?

Administratoren können eine Nachrichtenflussregel einrichten, um die Verschlüsselung für ausgehende E-Mails zu entfernen. Sie können nur eine Regel einrichten, um die Verschlüsselung für eingehende E-Mails zu entfernen, die von Ihrer Organisation stammen.

Kann ich Nachrichten automatisch verschlüsseln, indem richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) über die Microsoft Purview-Complianceportal eingerichtet werden?

Ja! Sie können Nachrichtenflussregeln in Exchange Online oder mithilfe von DLP im Microsoft Purview-Complianceportal einrichten.

Kann ich verschlüsselte Nachrichten mit meinem Unternehmensbranding anpassen?

Ja, für E-Mails, die von einem Exchange Online Postfach in Ihrer Organisation gesendet werden! Informationen zum Anpassen von E-Mail-Nachrichten und dem OME-Portal finden Sie unter Hinzufügen der Marke Ihrer Organisation zu Ihren verschlüsselten Nachrichten.

Gibt es Berichterstellungsfunktionen oder Einblicke für verschlüsselte E-Mails?

Es gibt einen Verschlüsselungsbericht im Security and Compliance Center. Siehe Anzeigen von E-Mail-Sicherheitsberichten im Security & Compliance Center.

Kann ich die Nachrichtenverschlüsselung mit Compliancefeatures wie eDiscovery verwenden?

Ja, die meisten durch Microsoft Purview-Nachrichtenverschlüsselung geschützten Nachrichten sind auffindbar. Microsoft Purview-Nachrichtenverschlüsselung geschützte E-Mail, die Sie von einer anderen Microsoft 365-Organisation erhalten, auf die benutzerdefiniertes Branding über eine Nachrichtenflussregel angewendet wurde, kann von Ihrem eDiscovery-Dienst nicht wiederhergestellt werden. Mit anderen Worten: Wenn auf die E-Mails nicht über das Postfach des Benutzers zugegriffen werden kann, sondern nur über einen Link zum OME-Portal angezeigt wird, ist die E-Mail nicht durchsuchbar. Ausführliche Informationen finden Sie unter eDiscovery-Aktivitäten, die verschlüsselte Elemente unterstützen .

Kann ich die Verschlüsselung aus E-Mails entfernen?

Administratoren können eine Nachrichtenflussregel einrichten, um die Verschlüsselung zu entfernen. Sie können die Verschlüsselung nicht mithilfe einer Nachrichtenflussregel aus E-Mails entfernen, die von einer anderen Organisation angewendet wird.

Kann ich als freigegebenes Postfach senden und E-Mails verschlüsseln?

Wenn jemand eine E-Mail-Nachricht sendet, die einer Verschlüsselungs-E-Mail-Flussregel entspricht, wird die Nachricht vor dem Senden verschlüsselt.

Kann ich verschlüsselte Nachrichten öffnen, die an ein freigegebenes Postfach gesendet wurden?

Ja! Sie können verschlüsselte Nachrichten für ein freigegebenes Postfach öffnen, wenn Sie bei einem unterstützten Outlook-Client angemeldet sind.

  • Benutzer können geschützte E-Mails in einem freigegebenen Postfach öffnen, in dem das freigegebene Postfach als Teil einer Verteilergruppe eine geschützte E-Mail erhalten hat.

  • Benutzer können Anlagen anzeigen, die den Schutz von E-Mails erben, wenn sie Outlook für Windows, Outlook für Mac, Outlook für Android, Outlook für iOS und Outlook im Web verwenden.

In der folgenden Tabelle sind die unterstützten Clients für freigegebene Postfächer aufgeführt.

Plattform E-Mail lesen Anzeigen von E-Mail-Anlagen
Outlook im Web Ja Ja
Outlook für Windows Ja Ja
Outlook für Mac Ja Ja
Outlook für Android Ja Ja
Outlook für iOS Ja Ja

Hinweis

Android und iOS würden die mobile Office-App verwenden, um die verschlüsselten Anlagen und nicht direkt in Outlook Mobile anzuzeigen.

Derzeit gibt es zwei bekannte Einschränkungen:

  • Anlagen für E-Mails, die Sie auf mobilen Geräten erhalten, können nicht mithilfe von Outlook Mobile geöffnet werden.

  • In Outlook Win32 wird benutzern, die einem freigegebenen Postfach über eine E-Mail-aktivierte Sicherheitsgruppe zugewiesen sind, eine Benachrichtigungs-E-Mail angezeigt, um die verschlüsselten E-Mails über einen Webbrowser anzuzeigen. Um die verschlüsselten E-Mails direkt in Outlook Win32 anzuzeigen, müssen Outlook und Azure Information Protection Clients mit einheitlichen Bezeichnungen dem Benutzer direkt dem freigegebenen Postfach mit vollzugriffsberechtigungen und aktivierter automatischer Zuordnung zugewiesen werden. Die automatische Zuordnung ist standardmäßig für Exchange Online aktiviert.

So weisen Sie dem freigegebenen Postfach einen Benutzer zu

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell.aspx) her.

  2. Führen Sie das cmdlet Add-MailboxPermission mit dem Parameter "AutoMapping" aus. In diesem Beispiel wird Ayla vollzugriffsberechtigungen für ein Supportpostfach erteilt.

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
    

Wird der delegierte Zugriff beim Öffnen verschlüsselter Nachrichten unterstützt? Auch wenn eine Stellvertretung Vollzugriff auf das Postfach eines anderen Benutzers hat?

Der delegierte Zugriff auf verschlüsselte E-Mails wird in Outlook im Web, Outlook für Mac, Outlook für iOS und Outlook für Android unterstützt. Outlook für Windows unterstützt keinen delegierten Zugriff.

Wie lange habe ich Zugriff auf die E-Mails im OME-Portal?

Sie können sich beim OME-Portal anmelden, um E-Mails abzurufen, solange die Organisation des Absenders aktiv ist und die E-Mail nicht so konfiguriert ist, dass sie abläuft.

Was kann ich tun, wenn ich den einmal bestandenen Code nicht erhalte, nachdem ich ihn angefordert habe?

Überprüfen Sie zuerst den Junk- oder Spamordner in Ihrem E-Mail-Client. DKIM- und DMARC-Einstellungen für Ihre Organisation können dazu führen, dass diese E-Mails als Spam gefiltert werden.

Überprüfen Sie als Nächstes die Quarantäne im Security & Compliance Center. Häufig befinden sich Nachrichten, die einen einmal bestandenen Code enthalten, insbesondere die ersten, die Ihre Organisation empfängt, in Quarantäne.