Verwalten von Vertraulichkeitsbezeichnungen in Office-Apps

Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Hinweis

Microsoft 365 Compliance wird jetzt Microsoft Purview genannt, und die Lösungen im Compliancebereich wurden umbenannt. Weitere Informationen zu Microsoft Purview finden Sie in der Blogankündigung und im Artikel "Was ist Microsoft Purview?" .

Wenn Sie Vertraulichkeitsbezeichnungen über das Microsoft Purview Compliance Portal veröffentlicht haben, werden sie in Office-Apps angezeigt, damit die Benutzer Daten bei der Erstellung oder Bearbeitung klassifizieren und schützen können.

Verwenden Sie die Informationen in diesem Artikel, um Vertraulichkeitsbezeichnungen in Office-Apps erfolgreich zu verwalten. Identifizieren Sie beispielsweise die Mindestversionen von Apps, die Sie für Features benötigen, die für integrierte Bezeichnungen spezifisch sind, sowie zusätzliche Konfigurationsinformationen für diese Features, und verstehen Sie Interaktionen mit dem Azure Information Protection Client für einheitliche Bezeichnungen und anderen Apps und Diensten.

Bezeichnungs-Assistent für Desktop-Anwendungen

Um die in den Office-Desktop-Apps für Windows und Mac integrierten Vertraulichkeitsbezeichnungen zu verwenden, müssen Sie eine Abonnement-Edition von Office verwenden. Dieser Bezeichnungsclient unterstützt keine eigenständigen Editionen von Office, manchmal auch als „Office Perpetual“ bezeichnet.

Wenn Sie für die Abonnementversionen von Office kein Upgrade auf Microsoft 365 Apps for Enterprise durchführen können, können Sie nur für Windows-Computer den AIP-Client (Azure Information Protection) für einheitliche Bezeichnungenverwenden. Dieser Client befindet sich jetzt jedoch im Wartungsmodus, und es wird nicht empfohlen, das AIP-Add-In für Office Apps zu verwenden, es sei denn, Sie müssen. Weitere Informationen finden Sie unter Warum integrierte Bezeichnungen anstatt dem AIP-Add-In für Office-Appsauswählen.

Unterstützung für Vertraulichkeitsbezeichnungen in Apps

In den folgenden Tabellen ist die Office-Mindestversion aufgeführt, die bestimmte Funktionen für Vertraulichkeitsbezeichnungen eingeführt hat, die in Office-Apps integriert sind. Oder, wenn die Bezeichnungsfunktion in der öffentlichen Vorschau ist oder für eine zukünftige Version geprüft wird. Verwenden Sie die Microsoft 365 Roadmap, um Details zu neuen Funktionen zu erhalten, die für zukünftige Releases geplant sind.

Neue Versionen von Office-Apps werden zu unterschiedlichen Zeiten für verschiedene Updatekanäle zur Verfügung gestellt. Wenn Sie sich im aktuellen Kanal oder im monatlichen Enterprise-Kanal befinden, anstatt im halbjährlichen Enterprise-Kanal, erhalten Sie die neuen Funktionen für Windows früher. Die Mindestversionsnummern können sich auch von einem Updatekanal zum nächsten unterscheiden. Weitere Informationen finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps und Updateverlauf für Microsoft 365 Apps.

Neue Funktionen, die sich in der privaten Vorschau befinden, sind in der Tabelle nicht enthalten, aber Sie können möglicherweise an diesen Vorschauen teilnehmen, indem Sie Ihre Organisation für das private Vorschau-Programm von Microsoft Information Protection nominieren.

Office für iOS und Office für Android: Vertraulichkeitsbezeichnungen sind in die Office-App integriert.

Tipp

Wenn Sie die Mindestversionen in den Tabellen mit den Versionen vergleichen, die Sie haben, denken Sie daran, dass Releaseversionen häufig führende Nullen weglassen.

Sie verfügen beispielsweise über die Version 4.2128.0 und lesen, dass 4.7.1 und höher die Mindestversion ist. Lesen Sie zum einfacheren Vergleich 4.7.1 (keine führenden Nullen) als 4.0007.1 (und nicht als 4.7000.1). Ihre Version von 4.2128.0 ist höher als 4.0007.1, daher wird Ihre Version unterstützt.

Funktionen für Vertraulichkeitsbezeichnungen in Word, Excel und PowerPoint

Die aufgeführten Zahlen sind die mindestens erforderlichen Office-Anwendungsversionen für jede Funktion.

Hinweis

Für Windows und den halbjährlichen Enterprise-Kanal werden die unterstützten Mindestversionsnummern möglicherweise noch nicht veröffentlicht. Weitere Informationen

Funktion Windows Mac iOS Android Netz
Manuelles Anwenden, Ändern oder Entfernen einer Bezeichnung Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Unterstützung mehrerer Sprachen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Wird überprüft
Anwenden einer Standardbezeichnung auf neue Dokumente Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Anwenden einer Standardbezeichnung auf vorhandene Dokumente Vorschau: Rollout auf Betakanal Vorschau: Rollout zum aktuellen Kanal (Vorschau) Wird überprüft Wird überprüft Ja – teilnehmen
Eine Begründung für die Änderung einer Beschriftung verlangen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Link zu einer benutzerdefinierten Hilfeseite bereitstellen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Inhalt markieren Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Dynamische Markierungen mit Variablen Aktueller Kanal: 2010+

Monatlicher Enterprise-Kanal: 2010+

Halbjährlicher Enterprise-Kanal: 2102+
16.42+ 2.42+ 16.0.13328+ Ja – teilnehmen
Berechtigungen sofort zuweisen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 2.21+ 16.0.11231+ Ja – teilnehmen
Benutzern das Zuweisen von Berechtigungen gestatten:
– Benutzer auffordern
Aktueller Kanal: 2004+

Monatlicher Enterprise-Kanal: 2004+

Halbjährlicher Enterprise-Kanal: 2008+
16.35+ Wird überprüft Wird überprüft Wird überprüft
Überwachung bezeichnungsbezogener Benutzeraktivitäten Aktueller Kanal: 2011+

Monatlicher Enterprise-Kanal: 2011+

Halbjährlicher Enterprise-Kanal: 2108+
16.43+ 2.46+ 16.0.13628+ Ja
Von Benutzern fordern, dass sie eine Bezeichnung auf ihre E-Mails und Dokumente anwenden Aktueller Kanal: 2101+

Monatlicher Enterprise-Kanal: 2101+

Halbjährlicher Enterprise-Kanal: 2108+
16.45+ 2.47+ 16.0.13628+ Ja – teilnehmen
Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
– Verwenden vertraulicher Informationstypen
Aktueller Kanal: 2009+

Monatlicher Enterprise-Kanal: 2009+

Halbjährlicher Enterprise-Kanal: 2102+
16.44+ Wird überprüft Wird überprüft Ja – teilnehmen
Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
– Verwenden trainierbarer Klassifizierer
Aktueller Kanal: 2105+

Monatlicher Enterprise-Kanal: 2105+

Halbjährlicher Enterprise-Kanal: 2108+
16.49+ Wird überprüft Wird überprüft Ja – teilnehmen
Unterstützung von gemeinsame Erstellung und AutoSpeichern für beschriftete und verschlüsselte Dokumente Aktueller Kanal: 2107+

Monatlicher Enterprise-Kanal: 2107+

Halbjährlicher Enterprise-Kanal: 2202+
16.51+ Vorschau: 2.58+ bei der Anmeldung Vorschau: 16.0.14931+ bei der Anmeldung Ja – teilnehmen
PDF-Unterstützung Vorschau: Rollout auf Betakanal Wird überprüft Wird überprüft Wird überprüft Wird überprüft

Funktionen der Vertraulichkeitsbezeichnungen in Outlook

Die aufgeführten Zahlen sind die mindestens erforderlichen Office-Anwendungsversionen für jede Funktion.

Hinweis

Für Windows und den halbjährlichen Enterprise-Kanal werden die unterstützten Mindestversionsnummern möglicherweise noch nicht veröffentlicht. Weitere Informationen

Funktion Outlook für Windows Outlook für Mac Outlook unter iOS Outlook unter Android Outlook im Web
Manuelles Anwenden, Ändern oder Entfernen einer Bezeichnung Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Unterstützung mehrerer Sprachen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Anwenden einer Standardbezeichnung Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Eine Begründung für die Änderung einer Beschriftung verlangen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Link zu einer benutzerdefinierten Hilfeseite bereitstellen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Inhalt markieren Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Dynamische Markierungen mit Variablen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Berechtigungen sofort zuweisen Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Benutzern das Zuweisen von Berechtigungen gestatten:
– Nicht weiterleiten
Aktueller Kanal: 1910+

Monatlicher Enterprise-Kanal: 1910+

Halbjährlicher Enterprise-Kanal: 2002+
16.21+ 4.7.1+ 4.0.39+ Ja
Benutzern das Zuweisen von Berechtigungen gestatten:
– Nur verschlüsseln
Aktueller Kanal: 2011+

Monatlicher Enterprise-Kanal: 2011+

Halbjährlicher Enterprise-Kanal: 2108+
16.48+ * 4.2112.0+ 4.2112.0+ Ja
Von Benutzern fordern, dass sie eine Bezeichnung auf ihre E-Mails und Dokumente anwenden Aktueller Kanal: 2101+

Monatlicher Enterprise-Kanal: 2101+

Halbjährlicher Enterprise-Kanal: 2108+
16.43+ * 4.2111+ 4.2111+ Ja
Überwachung bezeichnungsbezogener Benutzeraktivitäten Aktueller Kanal: 2011+

Monatlicher Enterprise-Kanal: 2011+

Halbjährlicher Enterprise-Kanal: 2108+
16.51+ * 4.2126+ 4.2126+ Ja
Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
– Verwenden vertraulicher Informationstypen
Aktueller Kanal: 2009+

Monatlicher Enterprise-Kanal: 2009+

Halbjährlicher Enterprise-Kanal: 2102+
16.44+ * Wird überprüft Wird überprüft Ja
Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte
– Verwenden trainierbarer Klassifizierer
Aktueller Kanal: 2105+

Monatlicher Enterprise-Kanal: 2105+

Halbjährlicher Enterprise-Kanal: 2108+
16.49+ Wird überprüft Wird überprüft Ja
Verschiedene Einstellungen für Standardbezeichnungen und obligatorische Bezeichnungen Aktueller Kanal: 2105+

Monatlicher Enterprise-Kanal: 2105+

Halbjährlicher Enterprise-Kanal: 2108+
16.43+ * 4.2111+ 4.2111+ Ja
PDF-Unterstützung Wird überprüft Wird überprüft Wird überprüft Wird überprüft Wird überprüft
Anwenden des S/MIME-Schutzes Wird überprüft Rollout: 16,61 + * Rollout: 4.2208+ Rollout: 4.2203+ Wird überprüft

Fußnoten:

* Erfordert das neue Outlook für Mac

Office integrierter Bezeichnungs-Assistent und der Azure Information Protection-Client

Wenn Benutzer den Azure Information Protection-Client (AIP) auf ihren Windows-Computern installiert haben, sind integrierte Bezeichnungen in Windows Office-Apps, die sie unterstützen standardmäßig deaktiviert. Da integrierte Bezeichnungen kein Office-Add-In verwenden, wie es vom AIP-Client verwendet wird, haben diese den Vorteil von höherer Stabilität und besserer Leistung. Sie unterstützen auch die neuesten Features, z. B. erweiterte Klassifizierer.

Hinweis

Wenn die von Ihnen erwarteten Bezeichnungsfeatures auf Windows Computern nicht angezeigt werden, kann es sein, dass Sie das AIP-Add-In deaktivieren müssen, obwohl Sie die mindestens unterstützten Versionen für Ihren Office Updatekanal bestätigt haben.

Weitere Informationen zur Unterstützung mit Bezeichnungen durch den AIP-Client und wie sich dieser Client nur in Office-Apps deaktivieren lässt, finden Sie unter Warum integrierte Bezeichnungen anstatt dem AIP-Add-In für Office-Apps auswählen.

Wenn Sie die integrierte Bezeichnung in Office Apps auf Windows ausschalten müssen

Der in Office integrierte Bezeichnungsclient lädt Vertraulichkeitsbezeichnungen und Richtlinieneinstellungen für Vertraulichkeitsbezeichnungen aus dem Microsoft Purview-Complianceportal herunter.

Um den integrierten Office-Bezeichnungsclient verwenden zu können, benötigen Sie die Verfügung über eine oder mehrere Bezeichnungsrichtlinien, die veröffentlicht werden für Benutzer über das Microsoft Purview-Complianceportal, sowie eine unterstützte Version von Office.

Wenn beide Bedingungen erfüllt sind, Sie aber den in Windows Office-Apps integrierten Bezeichnungen deaktivieren müssen, verwenden Sie die folgende Gruppenrichtlinieneinstellung:

  1. Navigieren Sie zu Benutzerkonfiguration/Administrative Vorlagen/Microsoft Office 2016/Sicherheitseinstellungen.

  2. Stellen Sie Verwenden Sie die Vertraulichkeitsfunktion in Office, um Vertraulichkeitsbezeichnungen anzuwenden und anzuzeigen, auf 0 ein.

Wenn Sie diese Konfiguration später wiederherstellen müssen, ändern Sie den Wert in 1. Möglicherweise müssen Sie diesen Wert auch in 1 ändern, wenn die Vertraulichkeits-Schaltfläche nicht wie erwartet im Menüband angezeigt wird. Beispielsweise hat ein vorheriger Administrator diese Bezeichnungseinstellung deaktiviert.

Stellen Sie diese Einstellung mithilfe der Gruppenrichtlinie oder des Office-Cloudrichtliniendienstes bereit. Die Einstellung wird beim Neustart dieser Office-Apps wirksam.

Da diese Einstellung für Windows Office-Apps spezifisch ist, hat sie keine Auswirkungen auf andere Apps unter Windows, die Vertraulichkeitsbezeichnungen unterstützen (z. B. Power BI) oder andere Plattformen (z. B. macOS, mobile Geräte und Office für das Web). Wenn Sie nicht möchten, dass bestimmte oder alle Benutzer Vertraulichkeitsbezeichnungen für alle Apps und Plattformen ansehen und verwenden können, weisen Sie diesen Benutzern keine Vertraulichkeitsbezeichnungsrichtlinie zu.

Unterstützte Office-Dateitypen

Office-Anwendungen mit integrierter Bezeichnung für Word-, Excel- und PowerPoint-Dateien unterstützen das Open XML-Format (z. B. .docx und .xlsx), nicht aber das Microsoft Office 97-2003-Format (z. B. .doc und .xls), das Open Document-Format (z. B. .odt und .ods) oder andere Formate. Wenn ein Dateityp für die integrierte Bezeichnung nicht unterstützt wird, ist die Schaltfläche Vertraulichkeit in der Office-App nicht verfügbar.

Der Bezeichnungs-Assistent von Azure Information Protection unterstützt sowohl das Open XML-Format als auch das Microsoft Office 97-2003-Format. Weitere Informationen finden Sie unter Dateitypen, die vom Bezeichnungs-Assistent von Azure Information Protection unterstützt werden, im Administrationshandbuch des Clients.

Bei anderen Bezeichnungslösungen prüfen Sie deren Dokumentation auf unterstützte Dateitypen.

Schutzvorlagen und Vertraulichkeitsbezeichnungen

Administratordefinierte Schutzvorlagen, wie die, die Sie für Office 365-Nachrichtenverschlüsselung definieren, sind in Office-Apps nicht sichtbar, wenn Sie die integrierte Bezeichnung verwenden. Diese Vereinfachung spiegelt wider, dass es nicht notwendig ist, eine Schutzvorlage auszuwählen, da die gleichen Einstellungen bei Vertraulichkeitsbezeichnungen mit aktivierter Verschlüsselung enthalten sind.

Sie können eine vorhandene Vorlage in eine Vertraulichkeitsbezeichnung konvertieren, wenn Sie den „cmdlet“-Befehl New-Label mit dem Parameter EncryptionTemplateId verwenden.

Information Rights Management (IRM)-Optionen und Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen, die Sie für die Anwendung der Verschlüsselung konfigurieren, nehmen dem Benutzer die Komplexität, seine eigenen Verschlüsselungseinstellungen festzulegen. In vielen Office-Apps können diese individuellen Verschlüsselungseinstellungen von den Anwendern noch manuell über die Optionen des Information Rights Management (IRM) konfiguriert werden. Zum Beispiel für Windows-Apps:

  • Für ein Dokument: Datei > -Info > Dokument schützen > Zugriff einschränken
  • für eine E-Mail: Auf der Registerkarte Optionen > Verschlüsseln

Wenn Benutzer ein Dokument oder eine E-Mail zum ersten Mal mit einer Bezeichnung versehen, können sie Ihre Konfigurationseinstellungen für die Bezeichnung mit ihren eigenen Verschlüsselungseinstellungen überschreiben. Zum Beispiel:

  • Ein Benutzer wendet die Bezeichnung Vertraulich \ Alle Mitarbeiter auf ein Dokument an und diese Bezeichnung ist so konfiguriert, dass die Verschlüsselungseinstellungen für alle Benutzer in der Organisation gelten. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf einen Benutzer außerhalb Ihrer Organisation zu beschränken. Das Endergebnis ist ein Dokument, das als Vertraulich \ für alle Mitarbeiter gekennzeichnet und verschlüsselt ist, aber die Benutzer in Ihrer Organisation können es nicht wie erwartet öffnen.

  • Ein Benutzer versieht eine E-Mail mit der Bezeichnung Vertraulich\ Nur Empfänger und diese E-Mail ist so konfiguriert, dass die Verschlüsselungseinstellung Nicht weiterleiten gilt. In der Outlook-App wählt dieser Benutzer dann manuell die IRM-Einstellung für "Nur Verschlüsseln". Das Endergebnis ist, dass die E-Mail zwar verschlüsselt bleibt, aber von den Empfängern weitergeleitet werden kann, obwohl sie die Bezeichnung Vertraulich \ Nur Empfänger trägt.

    Ausnahmsweise stehen Benutzern bei Outlook im Web die Optionen aus dem Menü Verschlüsseln nicht zur Auswahl, wenn die aktuell ausgewählte Bezeichnung Verschlüsselung anwendet.

  • Ein Benutzer wendet das Etikett Allgemein auf ein Dokument an, und diese Bezeichnung ist nicht für die Anwendung von Verschlüsselung konfiguriert. Dieser Benutzer konfiguriert dann manuell die IRM-Einstellungen, um den Zugriff auf das Dokument zu beschränken. Das Endergebnis ist ein Dokument, das als Allgemein bezeichnet ist, aber auch verschlüsselt wird, so dass einige Benutzer es nicht wie erwartet öffnen können.

Wenn das Dokument oder die E-Mail bereits bezeichnet ist, kann ein Benutzer jede dieser Aktionen durchführen, wenn der Inhalt nicht bereits verschlüsselt ist oder er das Nutzungsrecht Export oder Vollzugriff hat.

Um eine einheitlichere Bezeichnung mit aussagekräftigen Berichten zu erreichen, sollten Sie geeignete Bezeichnungen und Anleitungen für Benutzer bereitstellen, damit diese nur Bezeichnungen zum Schutz von Dokumenten und E-Mails anwenden. Zum Beispiel:

  • Für Ausnahmefälle, in denen Benutzer ihre eigenen Berechtigungen zuweisen müssen, stellen Sie Bezeichnungen bereit, mit denen Benutzer ihre eigenen Berechtigungen zuweisen können.

  • Anstatt dass Benutzer die Verschlüsselung manuell entfernen, nachdem sie eine Bezeichnung ausgewählt haben, das die Verschlüsselung anwendet, bieten Sie eine Alternative für untergeordnete Bezeichnungen an, wenn Benutzer eine Bezeichnung mit der gleichen Klassifizierung, aber ohne Verschlüsselung benötigen. Zum Beispiel:

    • Vertraulich \ Alle Mitarbeiter
    • Vertraulich \ Jeder (keine Verschlüsselung)
  • Erwägen Sie, die IRM-Einstellungen zu deaktivieren, um zu verhindern, dass Benutzer sie auswählen:

    • Outlook für Windows:
      • Registrierungsschlüssel DWORD:00000001 DisableDNF und DisableEO von HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
      • Stellen Sie sicher, dass die Gruppenrichtlinieneinstellung Standardverschlüsselungsoption für die Schaltfläche Verschlüsseln konfigurieren nicht konfiguriert ist
    • Outlook für Mac:
    • Outlook im Web:
      • Parameter SimplifiedClientAccessDoNotForwardDisabled und SimplifiedClientAccessEncryptOnlyDisabled für Set-IRMConfiguration dokumentiert
    • Outlook für iOS und Android: Diese Apps unterstützen nicht die Verwendung von Verschlüsselung ohne Bezeichnungen, also nichts zum Deaktivieren.

Hinweis

Wenn Benutzer die Verschlüsselung eines mit einer Bezeichnung versehenen Dokuments, das in SharePoint oder OneDrive gespeichert ist, manuell entfernen und Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben, wird die Bezeichnungsverschlüsselung automatisch wiederhergestellt, wenn das Dokument das nächste Mal aufgerufen oder heruntergeladen wird.

Anwenden von Vertraulichkeitsbezeichnungen auf Dateien, E-Mails und Anhänge

Benutzer können für jedes Dokument oder jede E-Mail jeweils nur eine Bezeichnung anwenden.

Wenn Sie eine E-Mail-Nachricht mit Anlagen bezeichnen, erben die Anlagen die Bezeichnung nur, wenn die Bezeichnung, die Sie auf die E-Mail-Nachricht anwenden, Verschlüsselung anwendet und die Anlage ein Office-Dokument ist, das nicht bereits verschlüsselt ist. Da die geerbte Bezeichnung die Verschlüsselung anwendet, wird der Anhang neu verschlüsselt.

Ein Anhang erbt nicht die Bezeichnung aus der E-Mail-Nachricht, wenn die auf die E-Mail-Nachricht angewendete Bezeichnung keine Verschlüsselung vorsieht oder der Anhang bereits verschlüsselt ist.

Beispiele für die Vererbung von Bezeichnungen, wobei die Bezeichnung Vertraulich die Verschlüsselung anwendet und die Bezeichnung Allgemein die Verschlüsselung nicht anwendet:

  • Ein Benutzer erstellt eine neue E-Mail-Nachricht und versieht diese mit der Bezeichnung Vertraulich. Sie fügen dann ein Word-Dokument hinzu, das nicht bezeichnet oder verschlüsselt ist. Als Ergebnis der Vererbung wird das Dokument neu als Vertraulich bezeichnet und hat nun eine Verschlüsselung, die von dieser Bezeichnung ausgeht.

  • Ein Benutzer erstellt eine neue E-Mail-Nachricht und versieht diese mit der Bezeichnung Vertraulich. Sie fügen dann ein Word-Dokument hinzu, das mit Allgemein bezeichnet ist, und diese Datei ist nicht verschlüsselt. Als Ergebnis der Vererbung wird das Dokument nochmal als Vertraulich bezeichnet und hat nun eine Verschlüsselung, die von dieser Bezeichnung ausgeht.

Kompatibilität des Vertraulichkeitsbezeichnungen

Mit RMS-erweiterten Anwendungen: Wenn Sie ein bezeichnetes und verschlüsseltes Dokument oder eine E-Mail in einer RMS-erweiterten Anwendung öffnen, die keine Vertraulichkeitsbezeichnungen unterstützt, erzwingt die Anwendung dennoch die Verschlüsselung und Rechteverwaltung.

Mit dem Azure Information Protection-Client: Können Sie Vertraulichkeitsbezeichnungen, die Sie mit dem in Office integrierten Bezeichnungs-Assistent auf Dokumente und E-Mails anwenden, mit dem Azure Information Protection-Client anzeigen und ändern und umgekehrt.

Mit anderen Versionen von Office: Jeder berechtigte Benutzer kann bezeichnete Dokumente und E-Mails in anderen Versionen von Office öffnen. Sie können die Bezeichnung jedoch nur in unterstützten Office-Versionen oder mit dem Azure Information Protection-Client anzeigen oder ändern. Die unterstützten Office-App-Versionen sind im vorherigen Abschnitt aufgeführt.

Unterstützung für SharePoint- und OneDrive-Dateien, die durch Vertraulichkeitsbezeichnungen geschützt sind

Um den in Office integrierten Bezeichnungs-Assistent mit Office im Web für Dokumente in SharePoint oder OneDrive zu verwenden, stellen Sie sicher, dass Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben.

Unterstützung für externe Benutzer und bezeichnete Inhalte

Wenn Sie ein Dokument oder eine E-Mail bezeichnen, wird die Bezeichnung als Metadaten gespeichert, die Ihren Mandanten und eine Bezeichnungs-GUID enthalten. Wenn ein bezeichnetes Dokument oder eine E-Mail von einer Office-App geöffnet wird, die Vertraulichkeitsbezeichnungen unterstützt, werden diese Metadaten ausgelesen, und nur wenn der Benutzer demselben Mandanten angehört, wird die Bezeichnung in dessen App angezeigt. Bei den integrierten Bezeichnungen für Word, PowerPoint und Excel wird der Bezeichnungsname beispielsweise in der Statusleiste angezeigt.

Das bedeutet, dass, wenn Sie Dokumente mit einer anderen Organisation teilen, die andere Bezeichnungsnamen verwendet, jede Organisation ihre eigene Bezeichnung auf das Dokument anwenden und sehen kann. Die folgenden Elemente einer angelegten Bezeichnung sind jedoch für Benutzer außerhalb Ihrer Organisation sichtbar:

  • Inhaltliche Markierungen. Wenn eine Bezeichnung eine Kopf- oder Fußzeile oder ein Wasserzeichen anlegt, werden diese direkt zum Inhalt hinzugefügt und bleiben sichtbar, bis jemand sie ändert oder löscht.

  • Der Name und die Beschreibung der zugrundeliegenden Schutzvorlage aus einer Bezeichnung, das die Verschlüsselung angewendet hat. Diese Informationen werden in einer Meldungsleiste am oberen Rand des Dokuments angezeigt, um Auskunft darüber zu geben, wer berechtigt ist, das Dokument zu öffnen, und welche Nutzungsrechte er für dieses Dokument hat.

Teilen verschlüsselter Dokumente mit externen Benutzern

Zusätzlich zur Beschränkung des Zugriffs auf Benutzer in Ihrer eigenen Organisation können Sie den Zugriff auf jeden anderen Benutzer erweitern, der ein Konto in Azure Active Directory hat. Wenn Ihr Unternehmen jedoch Richtlinien für bedingten Zugriff verwendet, finden Sie im nächsten Abschnitt zusätzliche Überlegungen.

Alle Office-Apps und andere RMS-erweiterte Anwendungen können verschlüsselte Dokumente öffnen, nachdem sich der Benutzer erfolgreich authentifiziert hat.

Wenn externe Benutzer nicht über ein Konto in Azure Active Directory verfügen, können sie sich über Gastkonten in Ihrem Mandanten authentifizieren. Diese Gastkonten können auch verwendet werden, um auf freigegebene Dokumente in SharePoint oder OneDrive zuzugreifen, wenn Sie Vertraulichkeitsbezeichnungen für Office-Dateien in SharePoint und OneDrive aktiviert haben:

  • Eine Möglichkeit ist, diese Gastkonten selbst zu erstellen. Sie können eine beliebige E-Mail-Adresse angeben, die diese Benutzer bereits verwenden. Zum Beispiel ihre Gmail-Adresse.

    Der Vorteil dieser Option ist, dass Sie den Zugriff und die Rechte auf bestimmte Benutzer beschränken können, indem Sie deren E-Mail-Adresse in den Verschlüsselungseinstellungen angeben. Der Nachteil ist der Verwaltungsaufwand für die Kontoerstellung und die Koordination mit der Bezeichnungskonfiguration.

  • Eine weitere Möglichkeit ist die SharePoint- und OneDrive-Integration mit Azure AD B2B, so dass Gastkonten automatisch erstellt werden, wenn Ihre Benutzer Links teilen.

    Der Vorteil dieser Option ist ein minimaler Verwaltungsaufwand, da die Konten automatisch erstellt werden, und eine einfachere Bezeichnungskonfiguration. Für dieses Szenario müssen Sie die Verschlüsselungsoption Jeden authentifizierten Benutzer hinzufügen auswählen, da Sie die E-Mail-Adressen nicht im Voraus kennen. Der Nachteil ist, dass Sie mit dieser Einstellung die Zugriffs- und Nutzungsrechte nicht auf bestimmte Benutzer beschränken können.

Externe Benutzer können auch ein Microsoft-Konto verwenden, um verschlüsselte Dokumente zu öffnen, wenn sie Windows und Microsoft 365 Apps (früher Office 365 Apps) oder die eigenständige Edition von Office 2019 verwenden. Seit kurzem werden Microsoft-Konten auch für andere Plattformen unterstützt, um verschlüsselte Dokumente auf macOS (Microsoft 365 Apps, Version 16.42+), Android (Version 16.0.13029+) und iOS (Version 2.42+) zu öffnen. Beispiel: Ein Benutzer in Ihrer Organisation gibt ein verschlüsseltes Dokument für einen Benutzer außerhalb Ihrer Organisation frei, und in den Verschlüsselungseinstellungen ist eine Gmail-E-Mail-Adresse für den externen Benutzer angegeben. Dieser externe Benutzer kann sein eigenes Microsoft-Konto erstellen, das seine Gmail-E-Mail-Adresse verwendet. Nachdem sie sich mit diesem Konto angemeldet haben, können sie das Dokument öffnen und bearbeiten, entsprechend den für sie festgelegten Nutzungsbeschränkungen. Ein ausführliches Beispiel für dieses Szenario finden Sie unter Öffnen und Bearbeiten des geschützten Dokuments.

Hinweis

Die E-Mail-Adresse für das Microsoft-Konto muss mit der E-Mail-Adresse übereinstimmen, die zur Zugriffsbeschränkung für die Verschlüsselungseinstellungen angegeben ist.

Wenn ein Benutzer mit einem Microsoft-Konto ein verschlüsseltes Dokument auf diese Weise öffnet, wird automatisch ein Gastkonto für den Mandanten erstellt, wenn nicht bereits ein Gastkonto mit demselben Namen existiert. Wenn das Gastkonto existiert, kann es dann verwendet werden, um Dokumente in SharePoint und OneDrive zu öffnen, indem Office im Web verwendet wird, zusätzlich zum Öffnen verschlüsselter Dokumente aus den unterstützten Desktop- und mobilen Office-Apps.

Allerdings wird das automatische Gastkonto in diesem Szenario aufgrund der Replikationslatenz nicht sofort erstellt. Wenn Sie persönliche E-Mail-Adressen als Teil Ihrer Verschlüsselungseinstellungen für Bezeichnungen angeben, empfehlen wir, dass Sie entsprechende Gastkonten in Azure Active Directory erstellen. Teilen Sie diesen Benutzern dann mit, dass sie dieses Konto verwenden müssen, um ein verschlüsseltes Dokument Ihrer Organisation zu öffnen.

Tipp

Da Sie nicht sicher sein können, dass externe Benutzer eine unterstützte Office-Clientanwendung verwenden, ist die Freigabe von Links aus SharePoint und OneDrive nach dem Erstellen von Gastkonten (für bestimmte Benutzer) oder bei Verwendung der SharePoint- und OneDrive-Integration mit Azure AD B2B (für jeden authentifizierten Benutzer) eine zuverlässigere Methode zur Unterstützung der sicheren Zusammenarbeit mit externen Benutzern.

Richtlinien für bedingten Zugriff

Wenn die Richtlinien Microsoft Azure Information Protection umfassen und sich die Richtlinie auf externe Benutzer erstreckt, müssen diese externen Benutzer ein Gastkonto in Ihrem Mandanten haben, auch wenn sie ein Azure AD-Konto in ihrem eigenen Mandanten haben. Wenn Ihr Unternehmen Richtlinien für den bedingten Zugriff in Azure Active Directory implementiert hat, überprüfen Sie die Konfiguration dieser Richtlinien.

Ohne dieses Gastkonto können sie das verschlüsselte Dokument nicht öffnen und sehen eine Fehlermeldung. Der Nachrichtentext informiert sie möglicherweise darüber, dass ihr Konto als externer Benutzer im Mandanten hinzugefügt werden muss, mit der für dieses Szenario falschen Anweisung, sich Abzumelden und mit einem anderen Azure Active Directory-Benutzerkonto erneut anzumelden.

Wenn Sie in Ihrem Mandanten keine Gastkonten für externe Benutzer erstellen und konfigurieren können, die Dokumente öffnen müssen, die von Ihren Bezeichnungen verschlüsselt werden, müssen Sie entweder Azure Information Protection aus den Richtlinien für bedingten Zugriff entfernen oder externe Benutzer von den Richtlinien ausschließen.

Weitere Informationen zu bedingter Zugriff und Azure Information Protection, dem von Vertraulichkeitsbezeichnungen verwendeten Verschlüsselungsdienst, finden Sie in der häufig gestellten Frage Ich sehe, dass Azure Information Protection als verfügbare Cloud-App für bedingten Zugriff aufgeführt ist – wie funktioniert das?

Wenn Office-Apps Markierungen und Verschlüsselungen auf Inhalte anwenden.

Office-Apps wenden die Inhaltsmarkierung und die Verschlüsselung mit einem Vertraulichkeitsbezeichnungen je nach App unterschiedlich an.

App Inhaltskennzeichnung Verschlüsselung
Word, Excel, PowerPoint auf allen Plattformen Sofort Sofort
Outlook für PC und Mac Nachdem Exchange Online die E-Mail gesendet hat Sofort
Outlook im Web, für iOS und Android Nachdem Exchange Online die E-Mail gesendet hat Nachdem Exchange Online die E-Mail gesendet hat

Lösungen, die Vertraulichkeitsbezeichnungen auf Dateien außerhalb von Office-Anwendungen anwenden, tun dies, indem sie Bezeichnungsmetadaten auf die Datei anwenden. In diesem Szenario wird die Inhaltsmarkierung aus der Konfiguration der Bezeichnung nicht in die Datei eingefügt, sondern die Verschlüsselung wird angewendet.

Werden diese Dateien in einer Office-Desktop-App geöffnet, werden die Inhaltsmarkierungen automatisch durch den Azure Information Protection-Client für einheitliche Bezeichnungen angewendet, wenn die Datei zum ersten Mal gespeichert wird. Die Inhaltsmarkierungen werden nicht automatisch angewendet, wenn Sie die integrierte Bezeichnung für Desktop-, Mobil- oder Web-Apps verwenden.

Zu den Szenarien, die das Anwenden einer Vertraulichkeitsbezeichnungen außerhalb von Office-Apps beinhalten, gehören:

  • Der Scanner, Datei-Explorer und PowerShell vom einheitlichen Bezeichnungs-Assistent von Azure Information Protection

  • Auto-Bezeichnungsrichtlinien für SharePoint und OneDrive

  • Exportierte bezeichnete und verschlüsselte Daten aus Power BI

  • Microsoft Defender for Cloud Apps

Für diese Szenarien kann ein Benutzer mit seinen Office-Apps die Inhaltsmarkierungen der Bezeichnung anwenden, indem er die aktuelle Bezeichnung vorübergehend entfernt oder ersetzt und dann die ursprüngliche Bezeichnung wieder anbringt.

Weitere Informationen finden Sie unter Dynamische Markierungen mit Variablen.

Wichtig

Wenn Ihre Office-Apps diese Funktionalität nicht unterstützen, wenden sie die Markierungen als den in der Bezeichnungskonfiguration angegebenen Originaltext an, anstatt die Variablen aufzulösen.

Der einheitliche Bezeichnungs-Assistent von Azure Information Protection unterstützt dynamische Markierungen. Für die in Office integrierten Bezeichnungen finden Sie in den Tabellen im Abschnitt Funktionen auf dieser Seite Informationen zu den unterstützten Mindestversionen.

Wenn Sie eine Vertraulichkeitsbezeichnungen für Inhaltsmarkierungen konfigurieren, können Sie die folgenden Variablen in der Textzeichenfolge für Ihre Kopf- und Fußzeile oder Ihr Wasserzeichen verwenden:

Variable Beschreibung Beispiel beim Aufbringen der Bezeichnung
${Item.Label} Bezeichnungs-Anzeigename der angewendeten Bezeichnung Allgemein
${Item.Name} Dateiname oder E-Mail-Betreff des zu bezeichnenden Inhalts Sales.docx
${Item.Location} Pfad und Dateiname des zu bezeichnenden Dokuments bzw. der E-Mail-Betreff für eine zu bezeichnenden E-Mail \\Sales\2020\Q3\Report.docx
${User.Name} Anzeigename des Benutzers, der die Bezeichnung anbringt Richard Simone
${User.PrincipalName} Azure AD-Benutzerprinzipalname (UPN) des Benutzers, der die Bezeichnung anwendet rsimone@contoso.com
${Event.DateTime} Datum und Uhrzeit der Bezeichnung des Inhalts in der lokalen Zeitzone des Benutzers, der die Bezeichnung in Microsoft 365-Apps anwendet, oder UTC (koordinierte Weltzeit) für Office-Onlinerichtlinien und Richtlinien für automatische Bezeichnungen 10.08.2020 13:30 UHR

Hinweis

Bei der Syntax für diese Variablen wird zwischen Groß- und Kleinschreibung unterschieden.

Setzen unterschiedlicher visueller Markierungen für Word, Excel, PowerPoint und Outlook

Als zusätzliche Variable können Sie visuelle Markierungen pro Office-Anwendungstyp konfigurieren, indem Sie eine "If.App"-Variablenanweisung in der Textzeichenfolge verwenden und den Anwendungstyp durch die Werte Word, Excel, PowerPoint oder Outlook identifizieren. Sie können diese Werte auch abkürzen, was notwendig ist, wenn Sie mehrere Werte in derselben If.App-Anweisung angeben möchten.

Verwenden Sie die folgende Syntax:

${If.App.<application type>}<your visual markings text> ${If.End}

Wie bei den anderen dynamischen visuellen Markierungen muss bei der Syntax die Groß-/Kleinschreibung beachtet werden. Dies gilt auch für die Abkürzungen für die einzelnen Anwendungstypen (WEPO).

Beispiele:

  • Kopfzeilentext nur für Word-Dokumente einstellen:

    ${If.App.Word}This Word document is sensitive ${If.End}

    Nur in Word-Dokumentenkopfzeilen übernimmt die Bezeichnung den Kopfzeilentext "Dieses Word-Dokument ist vertraulich". Für andere Office-Anwendungen wird kein Kopfzeilentext übernommen.

  • Legen Sie Fußzeilentext für Word, Excel und Outlook und einen anderen Fußzeilentext für PowerPoint fest:

    ${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}

    In Word, Excel und Outlook übernimmt die Bezeichnung den Fußtext "Dieser Inhalt ist vertraulich". In PowerPoint wendet die Bezeichnung den Fußzeilentext "Diese Präsentation ist vertraulich" an.

  • Legen Sie einen bestimmten Wasserzeichentext für Word und PowerPoint fest, und dann einen Wasserzeichentext für Word, Excel und PowerPoint:

    ${If.App.WP}This content is ${If.End}Confidential

    In Word und PowerPoint wird die Bezeichnung mit dem Wasserzeichentext "Dieser Inhalt ist vertraulich" versehen. In Excel wird die Bezeichnung mit dem Wasserzeichentext "Vertraulich" versehen. In Outlook trägt die Bezeichnung keinen Wasserzeichentext auf, da Wasserzeichen als visuelle Markierungen für Outlook nicht unterstützt werden.

Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden

Wichtig

Der einheitliche Bezeichnungs-Assistent von Azure Information Protection unterstützt die obligatorische Bezeichnung und die in Office-Apps integrierte Bezeichnung, siehe die Tabellen im Abschnitt Fähigkeiten auf dieser Seite.

Wenn Sie obligatorische Bezeichnungen für Dokumente, aber nicht für E-Mails verwenden möchten, lesen Sie die Anweisungen im nächsten Abschnitt, in dem erklärt wird, wie Sie Outlook-spezifische Optionen konfigurieren.

Um die obligatorische Bezeichnung für Power BI zu verwenden, lesen Sie Obligatorische Bezeichnungsrichtlinie für Power BI.

Wenn die Richtlinieneinstellung Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden ausgewählt ist, müssen Benutzer, denen die Richtlinie zugewiesen ist, in den folgenden Szenarien eine Vertraulichkeitsbezeichnungen auswählen und anwenden:

  • Für den einheitlichen Bezeichnungs-Assistent von Azure Information Protection:

    • Für Dokumente (Word, Excel, PowerPoint): Wenn ein nicht bezeichnetes Dokument gespeichert wird oder Benutzer das Dokument schließen.
    • Für Emails (Outlook): Zu dem Zeitpunkt, an dem Benutzer eine nicht bezeichnete Nachricht senden.
  • Für die in Office-Apps integrierte Bezeichnung:

    • Für Dokumente (Word, Excel, PowerPoint): Wenn ein nicht bezeichnetes Dokument geöffnet oder gespeichert wird.
    • Für E-Mails (Outlook): Zu dem Zeitpunkt, an dem Benutzer eine nicht bezeichnete E-Mail-Nachricht senden.

Zusätzliche Informationen für die integrierte Bezeichnung:

  • Wenn Benutzer aufgefordert werden, eine Vertraulichkeitsbezeichnungen hinzuzufügen, weil sie ein nicht bezeichnetes Dokument öffnen, können sie eine Bezeichnung hinzufügen oder wählen, dass das Dokument im schreibgeschützten Modus geöffnet wird.

  • Wenn die Bezeichnungspflicht in Kraft ist, können Benutzer keine Vertraulichkeitsbezeichnungen von Dokumenten entfernen, aber eine vorhandene Bezeichnung ändern.

  • Wenn die obligatorische Bezeichnung aktiviert ist, ist die Option „Als PDF drucken“ nicht verfügbar, wenn ein Dokument mit einer Bezeichnung versehen oder verschlüsselt ist. Weitere Informationen finden Sie auf dieser Seite im Abschnitt PDF-Unterstützung.

Eine Anleitung, wann diese Einstellung verwendet werden sollte, finden Sie in den Informationen zu Richtlinieneinstellungen.

Hinweis

Wenn Sie die standardmäßige Richtlinieneinstellung für Bezeichnungen für Dokumente und E-Mails zusätzlich zur obligatorischen Bezeichnung verwenden:

Die Standardbezeichnung hat immer Vorrang vor der obligatorischen Bezeichnung. Bei Dokumenten wendet der Assistent für einheitliche Bezeichnungen von Azure Information Protection die Standardbezeichnung jedoch auf alle Dokumente ohne Bezeichnung an, während die integrierte Bezeichnung die Standardbezeichnung auf neue Dokumente und nicht auf vorhandene Dokumente ohne Bezeichnung anwendet. Dieser Unterschied im Verhalten bedeutet, dass Benutzer, wenn Sie obligatorische Bezeichnungen mit der Standardbezeichnungseinstellung verwenden, wahrscheinlich häufiger aufgefordert werden, eine Vertraulichkeitsbezeichnung anzuwenden, wenn sie integrierte Bezeichnungen verwenden, als wenn sie den Azure Information Protection-Client für einheitliche Bezeichnungen verwenden.

Wird jetzt eingeführt: Office-Apps, die integrierte Bezeichnungen verwenden und eine Standardbezeichnung für vorhandene Dokumente unterstützen. Weitere Informationen finden Sie in der Tabelle „Funktionen“ für Word, Excel und PowerPoint.

Outlook-spezifische Optionen für Standardbezeichnungen und obligatorische Bezeichnungen

Für integrierte Bezeichnungen ermitteln Sie die Mindestversionen von Outlook, die diese Features unterstützen, anhand der Funktionstabelle für Outlook auf dieser Seite und der Zeile Verschiedene Einstellungen für Standardbezeichnungen und obligatorische Bezeichnungen. Alle Versionen des Bezeichnungs-Assistenten von Azure Information Protection unterstützen diese für Outlook spezifischen Optionen.

Wenn die Outlook-App eine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet:

  • In der Bezeichnungsrichtlinienkonfiguration aus dem Microsoft Purview Complianceportal auf der Seite Standardbezeichnung auf E-Mails anwenden: Sie können Ihre gewünschte Vertraulichkeitsbezeichnung angeben, die auf alle nicht bezeichneten E-Mails oder keine Standardbezeichnung angewendet wird. Diese Einstellung ist unabhängig von der Bezeichnung standardmäßig auf Dokumente anwenden -Einstellung auf der vorherigen Richtlinieneinstellungen für Dokumente -Seite der Konfiguration.

Wenn die Outlook App keine Standardbezeichnungseinstellung unterstützt, die sich von der Standardbezeichnungseinstellung für Dokumente unterscheidet: Outlook verwendet immer den Wert, den Sie für Diese Bezeichnung standardmäßig auf Dokumente anwenden auf der Richtlinieneinstellungen für Dokumente -Seite der Bezeichnungsrichtlinienkonfiguration angeben.

Wenn die Outlook-App das Deaktivieren von obligatorischen Bezeichnungen unterstützt:

  • Wählen Sie in der Bezeichnungsrichtlinienkonfiguration im Microsoft Purview-Complianceportal auf der Seite Richtlinieneinstellungen aus: Wählen Sie Benutzer müssen eine Bezeichnung auf ihre E-Mails oder Dokumente anwenden. Wählen Sie dann Weiter > Weiter aus und deaktivieren Sie das Kontrollkästchen Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden. Lassen Sie das Kontrollkästchen aktiviert, wenn die obligatorische Bezeichnung für E-Mails und Dokumente gelten soll.

Wenn die Outlook-App das Deaktivieren der obligatorischen Bezeichnung nicht unterstützt: Wenn Sie Benutzer müssen eine Bezeichnung auf ihre E-Mails und Dokumente anwenden als Richtlinieneinstellung anwenden müssen, fordert Outlook Benutzer immer auf, eine Bezeichnung für nicht gekennzeichnete E-Mails auszuwählen.

Hinweis

Wenn Sie die erweiterten PowerShell-Einstellungen OutlookDefaultDomain und DisableButoryInOutlook mithilfe der Cmdlets Set-LabelPolicy oder New-LabelPolicy konfiguriert haben:

Ihre ausgewählten Werte für diese PowerShell-Einstellungen werden in der Bezeichnungsrichtlinienkonfiguration im Microsoft Purview-Complianceportal widergespiegelt und funktionieren automatisch für Outlook-Apps, die diese Einstellungen unterstützen. Die anderen erweiterten PowerShell-Einstellungen werden nur für den Bezeichnungs-Assistent von Azure Information Protection unterstützt.

Konfigurieren einer Bezeichnung zum Anwenden des S/MIME-Schutzes in Outlook

Hinweis

Diese Funktion wird derzeit für integrierte Bezeichnungen eingeführt. Identifizieren Sie die Mindestversionen von Outlook, die dieses Feature unterstützen, mithilfe der Funktionstabelle für Outlook auf dieser Seite, und die Zeile S/MIME-Schutz anwenden.

Wenn Sie eine Bezeichnung so konfigurieren, dass S/MIME-Schutz angewendet wird, die Outlook-App sie aber noch nicht unterstützt, wird die Bezeichnung weiterhin in Outlook angezeigt und kann angewendet werden, die S/MIME-Einstellungen werden jedoch ignoriert. Sie können diese Bezeichnung für Exchange-Richtlinien für automatische Bezeichnungen nicht auswählen.

Diese Konfiguration ist im Microsoft Purview Compliance Center nicht verfügbar. Sie müssen erweiterte PowerShell-Einstellungen mit dem Cmd Set-Label oder New-Label verwenden, nachdem Sie eine Verbindung mit Office 365 Security & Compliance Center PowerShell hergestellt haben.

Verwenden Sie diese Einstellungen nur, wenn Sie über eine funktionierende S/MIME-Bereitstellung verfügen und möchten, dass eine Bezeichnung diese Schutzmethode automatisch für E-Mails anwendet, anstatt den Standardschutz, der die Rights Management-Verschlüsselung von Azure Information Protection verwendet. Der resultierende Schutz entspricht dem, der ausgeführt wird, wenn ein Benutzer manuell S/MIME-Optionen aus Outlook auswählt.

Konfiguration Schlüssel/Wert der erweiterten Einstellung
Digitale S/MIME-Signatur SMimeSign="True"
S/MIME-Verschlüsselung SMimeEncrypt="True"

Die Bezeichnung, die Sie für diese Einstellungen konfigurieren, muss nicht für die Verschlüsselung im Complianceportal konfiguriert werden. Wenn dem jedoch so ist, ersetzt der S/MIME-Schutz die Rights Management-Verschlüsselung nur in Outlook. Bei anderen Apps wendet die Bezeichnung die im Microsoft Purview-Complianceportal angegebenen Verschlüsselungseinstellungen an.

PowerShell-Beispielbefehle, bei denen die GUID der Vertraulichkeitsbezeichnung 8faca7b8-8d20-48a3-8ea2-0f96310a848e ist:

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "8faca7b8-8d20-48a3-8ea2-0f96310a848e" -AdvancedSettings @{SMimeEncrypt="True"}

Weitere Hilfe zum Festlegen erweiterter PowerShell-Einstellungen finden Sie unter PowerShell-Tipps zum Festlegen der erweiterten Einstellungen.

PDF-Unterstützung

Verwenden Sie für die integrierte Bezeichnung die Tabellen im Abschnitt Funktionen auf dieser Seite, um die unterstützten Mindestversionen zu identifizieren. Der Azure Information Protection-Client für einheitliche Bezeichnungen unterstützt PDF in Office Apps nicht.

Word, Excel und PowerPoint unterstützen die folgenden Methoden zum Konvertieren eines Office-Dokuments in ein PDF-Dokument:

  • Datei > Speichern als > PDF
  • Datei > Exportieren > PDF
  • Freigeben > Kopie senden > PDF

Diese Aktion wird mit dem Audit-Ereignis Umbenannte Datei der Audit-Gruppe Datei- und Seitenaktivitäten protokolliert. In den Ergebnissen der Überwachungssuchergebnisse im Complianceportal werden die Details dieses Überwachungsereignisses angezeigt, die SensitivityLabeledFileLabelmed für das Feld Aktivität anzeigen.

Wenn die PDF-Datei erstellt wird, erbt sie die Bezeichnung mit allen Inhaltsmarkierungen und Verschlüsselungen. Verschlüsselte PDFs können mit Microsoft Edge unter Windows oder Mac geöffnet werden. Weitere Informationen und alternative Reader finden Sie unter Welche PDF-Reader werden bei geschützten PDFs unterstützt?

PDF-Szenarien, die nicht unterstützt werden:

  • Als PDF drucken

    Wenn Benutzer diese Option auswählen, werden sie gewarnt, dass das Dokument den Schutz der Bezeichnung und die Verschlüsselung (falls angewendet) verliert, und müssen bestätigen, um den Vorgang fortzusetzen. Wenn Ihre Richtlinie für Vertraulichkeitsbezeichnungen eine Begründung erfordert, um eine Bezeichnung zu entfernen oder ihre Klassifizierung zu verringern, wird diese Aufforderung angezeigt.

    Da diese Option die Vertraulichkeitsbezeichnung entfernt, ist diese Option für Benutzer nicht verfügbar, wenn Sie obligatorische Bezeichnungen verwenden. Diese Konfiguration bezieht sich auf die Richtlinieneinstellung für Vertraulichkeitsbezeichnungen, die erfordert, dass Benutzer eine Bezeichnung auf ihre E-Mails und Dokumente anwenden.

  • PDF/A-Format und Verschlüsselung

    Dieses PDF-Format, das für die langfristige Archivierung entwickelt wurde, wird nicht unterstützt, wenn die Bezeichnung eine Verschlüsselung anwendet, und verhindert, dass Benutzer Office-Dokumente in PDF konvertieren. Konfigurationsinformationen finden Sie in der Gruppenrichtliniendokumentation zum Erzwingen der PDF-Compliance mit ISO 19005-1 (PDF/A).

  • Kennwortschutz und Verschlüsselung

    Die Option Datei > Informationen > Dokument schützen > Mit Kennwort verschlüsseln wird nicht unterstützt, wenn die Bezeichnung des Dokuments Verschlüsselung anwendet. In diesem Szenario ist die Option „Mit Kennwort verschlüsseln“ für Benutzer nicht mehr verfügbar.

Weitere Informationen zu dieser Funktion finden Sie in der Ankündigung Anwenden von Vertraulichkeitsbezeichnungen auf PDFs, die mit Office-Apps erstellt wurden.

Überwachen von Bezeichnungsaktivitäten

Informationen zu den Überwachungsereignissen, die von Vertraulichkeitsbezeichnungsaktivitäten generiert werden, finden Sie im Abschnitt Vertraulichkeitsbezeichnungsaktivitäten unter Durchsuchen des Überwachungsprotokolls im Microsoft Purview-Complianceportal.

Diese Überwachungsinformationen werden im Inhalts-Explorer und imAktivitäten-Explorer visuell dargestellt, damit Sie besser verstehen können, wie Ihre Vertraulichkeitsbezeichnungen verwendet werden und wo sich diese gekennzeichneten Inhalte befinden.

Sie können auch benutzerdefinierte Berichte mit der SIEM-Software (Security Information and Event Management) Ihrer Wahl erstellen, wenn Sie die Überwachungsprotokolldatensätze exportieren und konfigurieren. Umfangreichere Berichterstellungslösungen finden Sie in der Referenz zur Office 365-Verwaltungsaktivitäts-API.

Dokumentation für Endbenutzer