Konfigurieren der Azure Information Protection-Richtlinie

Um Klassifizierung, Bezeichnung und Schutz für den klassischen Client zu konfigurieren, müssen Sie die Azure Information Protection-Richtlinie konfigurieren. Diese Richtlinie wird dann auf Computer heruntergeladen, auf denen der Azure Information Protection-Client installiert ist.

Die Richtlinie enthält Bezeichnungen und Einstellungen:

• Durch Bezeichnungen erhalten Dokumente und E-Mails einen Klassifizierungswert: Diese Inhalte können optional durch Bezeichnungen geschützt werden. Der Azure Information Protection-Client zeigt diese Bezeichnungen für Ihre Benutzer in Office-Apps, und wenn Benutzer im Datei-Explorer mit der rechten Maustaste klicken, an. Diese Bezeichnungen können auch mithilfe von PowerShell und der Azure Information Protection-Überprüfung angewendet werden.

• Diese Einstellungen ändern das Standardverhalten des Azure Information Protection-Clients. Sie können beispielsweise eine Standardbezeichnung auswählen, die angibt, ob alle Dokumente und E-Mails über eine Bezeichnung verfügen müssen, und ob die Azure Information Protection-Leiste in Office-Apps angezeigt wird.

Abonnementsupport

Azure Information Protection unterstützt verschiedene Abonnementebenen:

• Azure Information Protection P2: Unterstützung für alle Klassifizierungs-, Bezeichnungs- und Schutzfunktionen

• Azure Information Protection P1: Unterstützung für die meisten Klassifizierungs-, Bezeichnungs- und Schutzfunktionen, jedoch keine automatische Klassifizierung oder HYOK

• Microsoft 365, das den Azure Rights Management-Dienst umfasst: Unterstützung für Schutz, aber nicht für Klassifizierung und Bezeichnung.

Optionen, die ein Azure Information Protection P2-Abonnement erfordern, werden im Portal identifiziert.

Wenn in Ihrer Organisation eine Kombination aus verschiedenen Abonnements vorhanden ist, liegt es in Ihrer Verantwortung, sicherzustellen, dass Benutzer keine Features verwenden, für die ihr Konto nicht lizenziert ist. Der Azure Information Protection-Client ist nicht für die Überprüfung und Erzwingung von Lizenzen zuständig. Wenn Sie Optionen konfigurieren, für die nicht alle Benutzer eine Lizenz besitzen, verwenden Sie bereichsbezogene Richtlinien oder eine Registrierungseinstellung, um sicherzustellen, dass Ihre Organisation die Lizenzbestimmungen einhält:

• In Ihrer Organisation ist eine Kombination aus Azure Information Protection P1- und Azure Information Protection P2-Lizenzen vorhanden: Erstellen und verwenden Sie mindestens eine bereichsbezogene Richtlinie für Benutzer mit einer P2-Lizenz, wenn Sie Optionen konfigurieren, die eine Azure Information Protection P2-Lizenz erfordern. Stellen Sie sicher, dass Ihre globale Richtlinie keine Optionen umfasst, die eine Azure Information Protection P2-Lizenz erfordern.

• Wenn Ihre Organisation ein Abonnement für Azure Information Protection hat, aber einige Benutzer nur eine Lizenz für Microsoft 365 haben, die den Azure Rights Management-Dienst enthält: Für die Benutzer, die keine Lizenz für Azure Information Protection haben, bearbeiten Sie die Registrierung auf ihren Computern so, dass sie die Azure Information Protection-Richtlinie nicht herunterladen. Anweisungen dazu finden Sie im Administratorhandbuch für die folgende Anpassung: Erzwingen des reinen Schutzmodus, wenn die Organisation über eine Kombination verschiedener Lizenzen verfügt.

Weitere Informationen zu Abonnements finden Sie unter Welches Abonnement benötige ich für Azure Information Protection, und welche Features sind enthalten?

Anmelden beim Azure-Portal

So melden Sie sich beim Azure-Portal an, um Azure Information Protection zu konfigurieren und zu verwalten:

• Verwenden Sie den folgenden Link: https://portal.azure.com

• Verwenden Sie ein Azure AD-Konto, das eine der folgenden Administratorrollen hat:

  • Azure Information Protection-Administrator

  • Complianceadministrator

  • Compliancedatenadministrator

  • Sicherheitsadministrator

    Sicherheitsleseberechtigter - nur Azure Information Protection-Analyse

    Globaler Leseberechtigter - nur Azure Information Protection-Analyse

  • Globaler Administrator

    Hinweis

    Wenn Ihr Mandant auf der Unified Labeling Platform ist, wird die Rolle „Azure Information Protection-Administrator“ (früher „Information Protection-Administrator“) für das Azure-Portal nicht unterstützt. Weitere Informationen

    Microsoft-Konten können Azure Information Protection nicht verwalten.

Für den erstmaligen Zugriff auf den Fensterbereich „Azure Information Protection“:

1. Melden Sie sich beim Azure-Portal an.

2. Klicken Sie auf die Option + Ressource erstellen, und geben Sie dann im Suchfeld für den Marketplace Azure Information Protection ein.

3. Wählen Sie aus den Ergebnisliste Azure Information Protection aus. Klicken Sie anschließend im Fensterbereich Azure Information Protection auf Erstellen.

   Tipp

   Wählen Sie optional An Dashboard anheften aus, um eine Azure Information Protection-Kachel auf Ihrem Dashboard zu erstellen, damit Sie bei der nächsten Anmeldung beim Portal nicht erneut nach dem Dienst suchen müssen können.

   Klicken Sie erneut auf Erstellen.

4. Beachten Sie die Seite Schnellstart, die automatisch geöffnet wird, wenn Sie zum ersten Mal eine Verbindung mit dem Dienst herstellen. Durchsuchen Sie die empfohlenen Ressourcen, oder verwenden Sie andere Menüoptionen. Verwenden Sie das folgende Verfahren, um Bezeichnungen, die Benutzer auswählen können, zu konfigurieren.

Wenn Sie das nächste Mal auf den Fensterbereich Azure Information Protection zugreifen, wird automatisch die Option Bezeichnungen ausgewählt, sodass Sie Bezeichnungen für alle Benutzer anzeigen und konfigurieren können. Sie können zur Seite Schnellstart zurückkehren, indem Sie sie aus dem Menü Allgemein auswählen.

Informationen zum Konfigurieren der Azure Information Protection-Richtlinie

1. Stellen Sie sicher, dass Sie im Azure-Portal mit einer der folgenden administrativen Rollen angemeldet sind: Azure Information Protection-Administrator, Sicherheitsadministrator oder Globaler Administrator. Im vorherigen Abschnitt finden Sie weitere Informationen zu diesen Administratorrollen.

2. Gehen Sie zum Fensterbereich Azure Information Protection: Klicken Sie beispielsweise im Hub-Menü auf Alle Dienste, und beginnen Sie damit, im Feld „Filter“ Information Protection einzugeben. Wählen Sie aus den Ergebnissen Azure Information Protection aus.

   Der Fensterbereich Azure Information Protection – Bezeichnungen wird automatisch geöffnet, damit Sie die verfügbaren Bezeichnungen anzeigen und bearbeiten können. Die Bezeichnungen können allen Benutzern, ausgewählten Benutzern oder keinem Benutzer zur Verfügung gestellt werden, indem diese zu einer Richtlinie hinzugefügt oder daraus entfernt werden.

3. Wählen Sie aus den Menüoptionen die Option Richtlinien aus, um die Richtlinien anzuzeigen und zu bearbeiten. Wählen Sie die Richtlinie Global aus, um die Richtlinie anzuzeigen und zu bearbeiten, die von sämtlichen Benutzern abgerufen werden kann. Klicken Sie auf Neue Richtlinie hinzufügen, um eine benutzerdefinierte Richtlinie für ausgewählte Benutzer zu erstellen.

Vornehmen von Änderungen an der Richtlinie

Sie können eine beliebige Anzahl von Bezeichnungen erstellen. Wenn jedoch so viele Bezeichnungen vorhanden sind, dass Benutzer nur schwer die richtige auswählen können, sollten Sie bereichsbezogene Richtlinien erstellen, damit Benutzern nur relevante Bezeichnungen angezeigt werden. Die Höchstgrenze für Bezeichnungen, die Schutz anwenden, beträgt 500.

Wenn Sie wie in einem Azure Information Protection-Fensterbereich Änderungen vorgenommen haben, klicken Sie auf Speichern, um die Änderungen zu speichern, oder auf Verwerfen, um die zuletzt gespeicherten Einstellungen wiederherzustellen. Wenn Sie Änderungen in einer Richtlinie speichern oder Änderungen an Bezeichnungen vornehmen, die zu Richtlinien hinzugefügt wurden, werden diese Änderungen automatisch veröffentlicht. Es gibt keine gesonderte Veröffentlichungsoption.

Beim Start einer unterstützten Office-Anwendung prüft der Azure Information Protection-Client, ob Änderungen vorgenommen wurden. Gegebenenfalls lädt der Client diese Änderungen dann als neueste Azure Information Protection-Richtlinie herunter. Folgende zusätzliche Trigger aktualisieren die Richtlinie im Client ebenfalls:

• Klicken mit der rechten Maustaste, um eine Datei oder einen Ordner zu klassifizieren und zu schützen.

• Ausführen der PowerShell-Cmdlets zur Bezeichnung und zum Schutz (Get-AIPFileStatus, Set-AIPFileClassification und Set-AIPFileLabel).

• Alle 24 Stunden

• Für die Azure Information Protection-Überprüfung: Wenn der Dienst gestartet wird (wenn die Richtlinie älter als eine Stunde ist) und jede Stunde während des Vorgangs.

Hinweis

Wenn der Client die Richtlinie herunterlädt, sollten Sie mit einigen Minuten Wartezeit rechnen, bevor sie vollständig einsatzbereit ist. Die tatsächliche Zeit hängt von Faktoren wie der Größe und Komplexität der Richtlinienkonfiguration und der Netzwerkkonnektivität ab. Wenn die resultierende Aktion Ihrer Bezeichnungen nicht mit Ihren letzten Änderungen übereinstimmt, sollten Sie bis zu 15 Minuten warten und es dann erneut versuchen.

Konfigurieren der Richtlinie Ihrer Organisation

Über die folgenden Links können Sie auf Informationen zum Konfigurieren der Azure Information Protection-Richtlinie zugreifen:

• Die Azure Information Protection-Standardrichtlinie

• Konfigurieren der Richtlinieneinstellungen

• Erstellen einer neuen Bezeichnung für Azure Information Protection

• Hinzufügen oder Entfernen einer Bezeichnung

• Löschen oder Ändern der Position einer Bezeichnung für Azure Information Protection

• Ändern oder Anpassen einer vorhandenen Bezeichnung für Azure Information Protection

• Konfigurieren einer Bezeichnung zum Schutz

• Konfigurieren einer Bezeichnung für visuelle Kennzeichnungen für Azure Information Protection

• Konfigurieren von Bedingungen für die automatische und die empfohlene Klassifizierung für Azure Information Protection

• Konfigurieren der Richtlinie für bestimmte Benutzer mithilfe bereichsbezogener Richtlinien

• Informationen zum Konfigurieren und Verwalten von Vorlagen

• Informationen zum Konfigurieren von Bezeichnungen für verschiedene Sprachen

• Gewusst wie: Migrieren von Azure Information Protection-Bezeichnungen zu Microsoft 365

In E-Mails und Dokumenten gespeicherte Bezeichnungsinformationen

Wenn eine Bezeichnung auf ein Dokument oder eine E-Mail angewendet wird, wird die Bezeichnung hinter den Kulissen in den Metadaten gespeichert, so dass Anwendungen und Dienste die Bezeichnung lesen können:

• In E-Mails wird diese Information in der x-Kopfzeile gespeichert: msip_labels: MSIP_Label_<GUID>_Enabled=True

• Bei Word-Dokumenten (.doc und .docx), Excel-Tabellen (.xls und .xlsx), PowerPoint-Präsentationen (.ppt und .pptx) und PDF-Dokumenten werden diese Metadaten in der folgenden benutzerdefinierten Eigenschaft gespeichert: MSIP_Label_<GUID>_Enabled=True

Bei E-Mails werden die Bezeichnungsinformationen gespeichert, wenn die E-Mail gesendet wird. Bei Dokumenten werden die Bezeichnungsinformationen gespeichert, wenn die Datei gespeichert wird.

Um die GUID für eine Bezeichnung zu identifizieren, suchen Sie den Wert für die Bezeichnungs-ID im Fensterbereich Bezeichnung im Azure-Portal, wenn Sie die Azure Information Protection-Richtlinie anzeigen oder konfigurieren. Bei Dateien, auf die Bezeichnungen angewendet wurden, können Sie auch das PowerShell-Cmdlet Get-AIPFileStatus ausführen, um die GUID (MainLabelId oder SubLabelId) zu identifizieren. Wenn eine Bezeichnung über untergeordnete Bezeichnungen verfügt, geben Sie immer die GUID einer untergeordneten Bezeichnung an, nicht die der übergeordneten Bezeichnung.

Nächste Schritte

Beispiele zum Anpassen der Azure Information Protection-Richtlinie und das resultierende Verhalten für Benutzer finden Sie in den folgenden Tutorials:

• Bearbeiten der Azure Information Protection-Richtlinie und Erstellen einer neuen Bezeichnung

• Konfigurieren von Azure Information Protection-Richtlinieneinstellungen, die nahtlos funktionieren