Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Nutzungsrechte beschrieben, die Sie so konfigurieren können, dass sie automatisch angewendet werden, wenn eine Vertraulichkeitsbezeichnung aus Microsoft Purview Information Protection von Benutzern, Administratoren oder konfigurierten Diensten ausgewählt wird.
Nutzungsrechte werden ausgewählt, wenn Sie Vertraulichkeitsbezeichnungen oder Rights Management-Vorlagen für die Verschlüsselung konfigurieren. Beispielsweise können Sie Rollen auswählen, die eine logische Gruppierung von Nutzungsrechten konfigurieren, oder die einzelnen Rechte separat konfigurieren. Alternativ können Benutzer die Nutzungsrechte selbst auswählen und anwenden.
Wichtig
In diesem Artikel erfahren Sie, wie Nutzungsrechte so konzipiert sind, dass sie von Anwendungen interpretiert werden.
Anwendungen können je nach Implementierung von Nutzungsrechten variieren. Wir empfehlen Ihnen, die Dokumentation Ihrer Anwendung zu lesen und eigene Tests durchzuführen, um das Anwendungsverhalten zu überprüfen, bevor Sie die Bereitstellung in der Produktion durchführen.
Nutzungsrechte und Beschreibungen
In der folgenden Tabelle werden die von Rights Management unterstützten Nutzungsrechte sowie deren Verwendung und Interpretation beschrieben. Sie werden nach ihrem allgemeinen Namen aufgelistet, was in der Regel der Fall ist, wie das Nutzungsrecht angezeigt oder referenziert wird, als eine benutzerfreundlichere Version des einzelwortigen Werts, der im Code verwendet wird (der Wert der Codierung in der Richtlinie ).
In dieser Tabelle:
Die API-Konstante oder der -Wert ist der SDK-Name für einen MSIPC- oder Microsoft Information Protection SDK-API-Aufruf, der verwendet wird, wenn Sie eine Anwendung schreiben, die nach einem Nutzungsrecht sucht oder einer Richtlinie ein Nutzungsrecht hinzufügt.
Die Namen aus AD RMS-Vorlagen sind für Kunden in der lokalen Rights Management-Lösung Active Rights Management Services enthalten oder von dieser migrieren.
| Nutzungsrecht | Beschreibung | Implementierung |
|---|---|---|
| Allgemeiner Name: Inhalt bearbeiten, Bearbeiten Codierung in Richtlinie: DOCEDIT |
Ermöglicht dem Benutzer das Ändern, Neuordnen, Formatieren oder Sortieren des Inhalts innerhalb der Anwendung, einschließlich Office im Web. Es gewährt nicht das Recht, die bearbeitete Kopie zu speichern. | Benutzerdefinierte Office-Rechte: Im Rahmen der Optionen Ändern und Vollzugriff . Name im Microsoft Purview-Portal: Inhalt bearbeiten, Bearbeiten (DOCEDIT) Name in AD RMS-Vorlagen: Bearbeiten API-Konstante oder -Wert: MSIPC: Nicht zutreffend. MIP SDK: DOCEDIT |
| Allgemeiner Name: Speichern Codierung in Richtlinie: EDIT |
Ermöglicht dem Benutzer, das Element am aktuellen Speicherort zu speichern. In Office im Web ermöglicht es dem Benutzer auch, den Inhalt zu bearbeiten. In Office-Anwendungen ermöglicht dieses Recht dem Benutzer, den Inhalt der Datei an einem neuen Speicherort und unter einem neuen Namen zu speichern, wenn das ausgewählte Dateiformat über integrierte Unterstützung für Rights Management verfügt. Die Liste der verfügbaren Dateiformate ist auf die Formate beschränkt, die Rights Management unterstützen. Diese Einschränkung stellt sicher, dass die ursprüngliche Verschlüsselung nicht aus der Datei entfernt werden kann. |
Benutzerdefinierte Office-Rechte: Im Rahmen der Optionen Ändern und Vollzugriff . Name im Microsoft Purview-Portal: Speichern (BEARBEITEN) Name in AD RMS-Vorlagen: Speichern API-Konstante oder -Wert: MSIPC: IPC_GENERIC_WRITE L"EDIT"MIP SDK: EDIT |
| Allgemeiner Name: Kommentar Codierung in Richtlinie: COMMENT |
Aktiviert die Option zum Hinzufügen von Anmerkungen oder Kommentaren zum Inhalt. Dieses Recht ist im SDK verfügbar, ist als Ad-hoc-Richtlinie im PurviewInformationProtection PowerShell-Modul verfügbar und wurde in einigen Anwendungen von Softwareanbietern implementiert. Es wird jedoch nicht häufig verwendet und von Office-Anwendungen nicht unterstützt. |
Benutzerdefinierte Office-Rechte: Nicht implementiert. Name im Microsoft Purview-Portal: Nicht implementiert. Name in AD RMS-Vorlagen: Nicht implementiert. API-Konstante oder -Wert: MSIPC: IPC_GENERIC_COMMENT L"COMMENTMIP SDK: COMMENT |
| Allgemeiner Name: Speichern unter, Exportieren Codierung in Richtlinie: EXPORT |
Aktiviert die Option zum Speichern des Inhalts unter einem anderen Dateinamen (Speichern unter). Mit diesem Recht kann der Benutzer auch andere Exportoptionen in Anwendungen ausführen, z. B. An OneNote senden. |
Benutzerdefinierte Office-Rechte: Als Teil der Option Vollzugriff . Name im Microsoft Purview-Portal: Speichern unter, Exportieren (EXPORT) Name in AD RMS-Vorlagen: Exportieren (Speichern unter) API-Konstante oder -Wert: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"MIP SDK: EXPORT |
| Allgemeiner Name: Forward Codierung in Richtlinie: FORWARD |
Aktiviert die Option zum Weiterleiten einer E-Mail-Nachricht und zum Hinzufügen von Empfängern zu den Zeilen An und Cc . Dieses Recht gilt nicht für Dokumente; nur E-Mail-Nachrichten. Ermöglicht es der Weiterleitung nicht, anderen Benutzern im Rahmen der Weiterleitungsaktion Rechte zu gewähren. Wenn Sie dieses Recht gewähren, gewähren Sie auch die Rechte Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und zusätzlich das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die verschlüsselte E-Mail-Nachricht nicht als Anlage zugestellt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere organization senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Oder für Benutzer in Ihrem organization, die von der Verwendung der Rights Management-Verschlüsselung ausgenommen sind, da Sie Onboarding-Steuerelemente implementiert haben. |
Benutzerdefinierte Office-Rechte: Verweigert, wenn die Standardrichtlinie Nicht weiterleiten verwendet wird. Name im Microsoft Purview-Portal: Forward (FORWARD) Name in AD RMS-Vorlagen: Weiterleiten API-Konstante oder -Wert: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"MIP SDK: FORWARD |
| Allgemeiner Name: Vollzugriff Codierung in Richtlinie: OWNER |
Gewährt alle Rechte für das Element, und alle verfügbaren Aktionen können ausgeführt werden. Umfasst die Möglichkeit, die Verschlüsselung zu entfernen und ein Dokument erneut zu verschlüsseln. Beachten Sie, dass dieses Nutzungsrecht nicht mit dem Rights Management-Besitzer identisch ist. | Benutzerdefinierte Office-Rechte: Als benutzerdefinierte Option "Vollzugriff ". Name im Microsoft Purview-Portal: Vollzugriff (BESITZER) Name in AD RMS-Vorlagen: Vollzugriff API-Konstante oder -Wert: MSIPC: IPC_GENERIC_ALL L"OWNER"MIP SDK: OWNER |
| Allgemeiner Name: Drucken Codierung in Richtlinie: PRINT |
Aktiviert die Optionen zum Drucken des Inhalts. | Benutzerdefinierte Office-Rechte: Als Option "Inhalt drucken " in benutzerdefinierten Berechtigungen. Keine Einstellung pro Empfänger. Name im Microsoft Purview-Portal: Drucken (PRINT) Name in AD RMS-Vorlagen: Drucken API-Konstante oder -Wert: MSIPC: IPC_GENERIC_PRINT L"PRINT"MIP SDK: PRINT |
| Allgemeiner Name: Antworten Codierung in Richtlinie: REPLY |
Aktiviert die Option Antworten in einem E-Mail-Client, ohne Änderungen in den Zeilen An oder Cc zuzulassen. Wenn Sie dieses Recht gewähren, gewähren Sie auch die Rechte Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und zusätzlich das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die verschlüsselte E-Mail-Nachricht nicht als Anlage zugestellt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere organization senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Oder für Benutzer in Ihrem organization, die von der Verwendung des Rights Management-Schutzes ausgenommen sind, da Sie Onboarding-Steuerelemente implementiert haben. | Benutzerdefinierte Office-Rechte: Nicht zutreffend. Name in AD RMS-Vorlagen: Antwort API-Konstante oder -Wert: MSIPC: IPC_EMAIL_REPLYMIP SDK: REPLY |
| Allgemeiner Name: Allen antworten Codierung in Richtlinie: REPLYALL |
Aktiviert die Option Allen antworten in einem E-Mail-Client, erlaubt es dem Benutzer jedoch nicht, Empfänger zu den Zeilen An oder Cc hinzuzufügen. Wenn Sie dieses Recht gewähren, gewähren Sie auch die Rechte Inhalt bearbeiten, Bearbeiten (allgemeiner Name) und zusätzlich das Recht Speichern (allgemeiner Name), um sicherzustellen, dass die verschlüsselte E-Mail-Nachricht nicht als Anlage zugestellt wird. Geben Sie diese Rechte auch an, wenn Sie eine E-Mail an eine andere organization senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Oder für Benutzer in Ihrem organization, die von der Verwendung des Azure Rights Management-Diensts ausgenommen sind, da Sie Onboarding-Steuerelemente implementiert haben. | Benutzerdefinierte Office-Rechte: Nicht zutreffend. Name im Microsoft Purview-Portal: Allen antworten (ALLEN ANTWORTEN) Name in AD RMS-Vorlagen: Allen antworten API-Konstante oder -Wert: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"MIP SDK: REPLYALL |
| Allgemeiner Name: View, Open, Read Codierung in Richtlinie: VIEW |
Ermöglicht dem Benutzer, das Dokument zu öffnen und den Inhalt anzuzeigen. Außerdem: – In Microsoft 365 Copilot und anderen KI-Apps ermöglicht es dem LLM, mit einem Link auf das Element zu verweisen, ohne den Inhalt zusammenzufassen, sodass der Benutzer den Inhalt dann außerhalb der KI-App öffnen und anzeigen kann. In Excel reicht dieses Recht nicht aus, um Daten zu sortieren. Hierfür ist folgendes Recht erforderlich: Inhalt bearbeiten, Bearbeiten. Zum Filtern von Daten in Excel benötigen Sie die folgenden beiden Rechte: Inhalt bearbeiten, Bearbeiten und Kopieren. |
Benutzerdefinierte Office-Rechte: Als benutzerdefinierte Richtlinie lesen , Option "Ansicht ". Name im Microsoft Purview-Portal: View, Open, Read (VIEW) Name in AD RMS-Vorlagen: Lesen API-Konstante oder -Wert: MSIPC: IPC_GENERIC_READ L"VIEW"MIP SDK: VIEW |
| Allgemeiner Name: Kopieren Codierung in Richtlinie: EXTRACT |
Ermöglicht Optionen zum Kopieren von Daten (einschließlich Bildschirmaufnahmen) aus dem Element in dasselbe oder ein anderes Element. Außerdem: – In Microsoft 365 Copilot und anderen KI-Apps ermöglicht es dem LLM, auf die Inhalte für den anfordernden Benutzer zuzugreifen und diese zusammenzufassen. - In einigen Anwendungen ermöglicht dieses Recht auch, dass das gesamte Dokument unverschlüsselt gespeichert wird. In Microsoft Teams und ähnlichen Bildschirmfreigabeanwendungen muss der Referent über dieses Recht verfügen, um ein verschlüsseltes Dokument erfolgreich präsentieren zu können. Wenn der Referent dieses Recht nicht hat, können die Teilnehmer das Dokument nicht anzeigen, und es wird für sie als abgeschwärzt angezeigt. |
Benutzerdefinierte Office-Rechte: Als benutzerdefinierte Richtlinienoption Benutzern mit Lesezugriff das Kopieren von Inhalten gestatten . Name im Microsoft Purview-Portal: Kopieren (EXTRACT) Name in AD RMS-Vorlagen: Extrahieren API-Konstante oder -Wert: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"MIP SDK: EXTRACT |
| Allgemeiner Name: Rechte anzeigen Codierung in Richtlinie: VIEWRIGHTSDATA |
Ermöglicht dem Benutzer, die Richtlinie anzuzeigen, die auf das Dokument angewendet wird. Wird nicht von Office-Apps oder vom Microsoft Purview Information Protection-Client unterstützt. | Benutzerdefinierte Office-Rechte: Nicht implementiert. Name im Microsoft Purview-Portal: View Rights (VIEWRIGHTSDATA). Name in AD RMS-Vorlagen: Rechte anzeigen API-Konstante oder -Wert: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"MIP SDK: VIEWRIGHTSDATA |
| Allgemeiner Name: Rechte ändern Codierung in Richtlinie: EDITRIGHTSDATA |
Ermöglicht dem Benutzer, die Richtlinie zu ändern, die auf das Dokument angewendet wird. Schließt das Entfernen der Verschlüsselung ein. Wird von Office-Apps oder dem Microsoft Purview Information Protection-Client nicht unterstützt. | Benutzerdefinierte Office-Rechte: Nicht implementiert. Name im Microsoft Purview-Portal: Rechte bearbeiten (EDITRIGHTSDATA). Name in AD RMS-Vorlagen: Rechte bearbeiten API-Konstante oder -Wert: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"MIP SDK: EDITRIGHTSDATA |
| Allgemeiner Name: Makros zulassen Codierung in Richtlinie: OBJMODEL |
Aktiviert die Option zum Ausführen von Makros oder zum Ausführen eines anderen programmgesteuerten oder Remotezugriffs auf den Inhalt in einem Dokument. | Benutzerdefinierte Office-Rechte: Als benutzerdefinierte Richtlinienoption Programmgesteuerten Zugriff zulassen . Keine Einstellung pro Empfänger. Name im Microsoft Purview-Portal: Makros zulassen (OBJMODEL) Name in AD RMS-Vorlagen: Makros zulassen API-Konstante oder -Wert: MSIPC: Nicht implementiert. MIP SDK: OBJMODEL |
In Berechtigungsstufen enthaltene Rechte
Einige Anwendungen gruppieren Nutzungsrechte in Berechtigungsstufen, um die Auswahl von Nutzungsrechten zu erleichtern, die in der Regel zusammen verwendet werden. Diese Berechtigungsstufen helfen dabei, ein Maß an Komplexität von Benutzern zu abstrahieren, sodass sie rollenbasierte Optionen auswählen können. Beispiel: Viewer und Restricted Editor. Obwohl diese Optionen Benutzern häufig eine Zusammenfassung der Rechte anzeigen, enthalten sie möglicherweise nicht jedes Recht, das in der vorherigen Tabelle aufgeführt ist.
In der folgenden Tabelle finden Sie eine Liste dieser Berechtigungsstufen und eine vollständige Liste der darin enthaltenen Nutzungsrechte. Die Nutzungsrechte werden nach ihrem allgemeinen Namen aufgeführt.
| Berechtigungsstufe | Anwendungen | Nutzungsrechte enthalten |
|---|---|---|
| Viewer | Microsoft Purview-Portal Microsoft Purview Information Protection Client |
Anzeigen, Öffnen, Lesen; Rechte anzeigen; Antwort [1]; Allen antworten [1]; Makros zulassen [2] Hinweis: Verwenden Sie für E-Mails reviewer anstelle dieser Berechtigungsstufe, um sicherzustellen, dass eine E-Mail-Antwort als E-Mail-Nachricht und nicht als Anlage empfangen wird. Prüfer ist auch erforderlich, wenn Sie eine E-Mail an eine andere organization senden, die den Outlook-Client oder die Outlook-Web-App verwendet. Oder für Benutzer in Ihrem organization, die von der Verwendung des Azure Rights Management-Diensts ausgenommen sind, da Sie Onboarding-Steuerelemente implementiert haben. |
|
Eingeschränkte Editor (Zuvor Reviewer[3]) |
Microsoft Purview-Portal Microsoft Purview Information Protection Client |
Anzeigen, Öffnen, Lesen; Retten; Inhalt bearbeiten, Bearbeiten; Rechte anzeigen; Antwort: Allen antworten; Vorwärts; Makros zulassen [2] |
|
Editor (Zuvor Mitautor[3]) |
Microsoft Purview-Portal Microsoft Purview Information Protection Client |
Anzeigen, Öffnen, Lesen; Retten; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Makros zulassen [2]; Speichern unter, Exportieren [4]; Drucken; Antwort; Allen antworten; Vorwärts |
|
Owner (zuvor Mitbesitzer[3]) |
Microsoft Purview-Portal Microsoft Purview Information Protection Client |
Anzeigen, Öffnen, Lesen; Retten; Inhalt bearbeiten, Bearbeiten; Kopieren; Rechte anzeigen; Rechte ändern; Makros zulassen; Speichern unter, Exportieren; Drucken; Antwort; Allen antworten; Vorwärts; Vollzugriff |
Fußnote 1
Nicht im Microsoft Purview-Portal enthalten.
Fußnote 2
Nicht im Dialogfeld für benutzerdefinierte Berechtigungen in Word, Excel und PowerPoint für Windows (Version 2408 und höher) enthalten.
Fußnote 3
Das Microsoft Purview-Portal und das Dialogfeld für benutzerdefinierte Berechtigungen in Word, Excel und PowerPoint für Windows (Version 2411 und höher) verfügen über eine aktualisierte Benennung der Berechtigungsebene. Reviewer heißt jetzt Restricted Editor, Co-Author heißt jetzt Editor und Co-Owner heißt jetzt Besitzer. Andere Anwendungen verwenden weiterhin die ursprüngliche Benennung der Berechtigungsstufe.
Fußnote 4
Nicht im Microsoft Purview-Portal enthalten.
Option „Nicht weiterleiten“ für E-Mails
Exchange-Clients und -Dienste (z. B. outlook-Client, Outlook im Web, Exchange-Nachrichtenflussregeln und DLP-Aktionen für Exchange) verfügen über eine zusätzliche Option zum Schutz von Informationsrechten für E-Mails: Nicht weiterleiten.
Obwohl diese Option für Benutzer (und Exchange-Administratoren) so aussieht, als ob es sich um eine Rights Management-Standardvorlage handelt, die sie auswählen können, ist "Nicht weiterleiten " keine Vorlage. Stattdessen besteht die Option Nicht weiterleiten aus einer Reihe von Nutzungsrechten, die von Benutzern dynamisch auf ihre E-Mail-Empfänger angewendet werden.
Wenn die Option Nicht weiterleiten auf eine E-Mail angewendet wird, wird die E-Mail verschlüsselt, und die Empfänger müssen authentifiziert werden. Dann können die Empfänger es nicht weiterleiten, drucken oder kopieren. Im Outlook-Client ist beispielsweise die Schaltfläche Weiterleiten nicht verfügbar, die Menüoptionen Speichern unter und Drucken sind nicht verfügbar, und Sie können in den Feldern An, Cc oder Bcc keine Empfänger hinzufügen oder ändern.
Unverschlüsselte Office-Dokumente , die an die E-Mail angefügt sind, erben automatisch die gleichen Einschränkungen. Die auf diese Dokumente angewendeten Nutzungsrechte sind Inhalte bearbeiten, Bearbeiten; Speichern;Anzeigen, Öffnen, Lesen; und Makros zulassen. Wenn Sie unterschiedliche Nutzungsrechte für eine Anlage wünschen oder ihre Anlage kein Office-Dokument ist, das diese geerbte Verschlüsselung unterstützt, verschlüsseln Sie die Datei, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.
Unterschied zwischen Nicht weiterleiten und Nichtgewährung des Forward-Nutzungsrechts
Es gibt einen wichtigen Unterschied zwischen dem Anwenden der Option "Nicht weiterleiten " und dem Anwenden einer Rights Management-Vorlage, die keine Weiterleitungsberechtigung für eine E-Mail gewährt: Die Option Nicht weiterleiten verwendet eine dynamische Liste autorisierter Benutzer, die auf den vom Benutzer ausgewählten Empfängern der ursprünglichen E-Mail basiert. während die Rechte in der Vorlage eine statische Liste autorisierter Benutzer enthalten, die der Administrator zuvor angegeben hat. Worin liegt der Unterschied? Nehmen wir ein Beispiel:
Ein Benutzer möchte einige Informationen per E-Mail an bestimmte Personen in der Marketingabteilung senden, die nicht für andere Personen freigegeben werden sollten. Sollten sie die E-Mail mit einer Rights Management-Vorlage schützen, die Rechte (Anzeigen, Antworten und Speichern) auf die Marketingabteilung einschränkt? Oder sollten sie die Option Nicht weiterleiten auswählen? Beide Optionen würden dazu führen, dass die Empfänger die E-Mail nicht weiterleiten können.
Wenn sie die Vorlage angewendet haben, können die Empfänger die Informationen trotzdem mit anderen in der Marketingabteilung teilen. Beispielsweise kann ein Empfänger Explorer verwenden, um die E-Mail an einen freigegebenen Speicherort oder ein USB-Laufwerk zu ziehen und zu ablegen. Jetzt kann jeder aus der Marketingabteilung (und dem E-Mail-Besitzer), der Zugriff auf diesen Speicherort hat, die Informationen in der E-Mail anzeigen.
Wenn sie die Option Nicht weiterleiten angewendet haben, können die Empfänger die Informationen nicht an andere Personen in der Marketingabteilung weitergeben, indem sie die E-Mail an einen anderen Ort verschieben. In diesem Szenario können nur die ursprünglichen Empfänger (und der E-Mail-Besitzer) die Informationen in der E-Mail anzeigen.
Hinweis
Verwenden Sie Do Not Forward (Nicht weiterleiten ), wenn es wichtig ist, dass nur die vom Absender ausgewählten Empfänger die Informationen in der E-Mail sehen sollen. Verwenden Sie eine Vorlage für E-Mails, um Die Rechte auf eine Gruppe von Personen einzuschränken, die der Administrator im Voraus angibt, unabhängig von den vom Absender ausgewählten Empfängern.
Option "Nur verschlüsseln" für E-Mails
Wenn Exchange Online Microsoft Purview-Nachrichtenverschlüsselung verwendet, wird eine neue Option E-Mail verschlüsseln verfügbar, um die Daten ohne zusätzliche Einschränkungen zu verschlüsseln.
Diese Option ist für Mandanten verfügbar, die Exchange Online verwenden, und kann wie folgt ausgewählt werden:
- In Outlook im Web mit der Option Verschlüsseln oder einer Vertraulichkeitsbezeichnung, die für Benutzer zuweisen von Berechtigungen zulassen und der Option Nur verschlüsseln konfiguriert ist
- Als weitere Rechteschutzoption für eine Nachrichtenflussregel
- Als Microsoft Purview DLP-Aktion
-
In der Outlook-App für Desktops und mobile Geräte:
- Mit einer Vertraulichkeitsbezeichnung, die für Benutzer das Zuweisen von Berechtigungen erlauben konfiguriert ist, und der Option Nur verschlüsseln für Windows, macOS, iOS und Android, wenn Sie Vertraulichkeitsbezeichnungen mit den mindestversionen verwenden, die in der Tabelle für Vertraulichkeitsbezeichnungsfunktionen in Outlook aufgeführt sind.
- Mit der Option Verschlüsseln unter Windows und macOS für die Versionen, die in der Tabelle der unterstützten Versionen für Microsoft 365 Apps nach Updatekanal aufgeführt sind.
Weitere Informationen zur Option "Nur verschlüsseln" finden Sie im folgenden Blogbeitrag, als sie vom Office-Team zum ersten Mal angekündigt wurde: Nur Verschlüsseln in Office 365 Nachrichtenverschlüsselung.
Wenn diese Option ausgewählt ist, wird die E-Mail verschlüsselt, und die Empfänger müssen authentifiziert werden. Dann verfügen die Empfänger über alle Nutzungsrechte mit Ausnahme von Speichern unter, Exportieren und Vollzugriff. Diese Kombination von Nutzungsrechten bedeutet, dass die Empfänger keine Einschränkungen haben, außer dass sie die Verschlüsselung nicht entfernen können. Ein Empfänger kann z. B. eine Kopie der E-Mail erstellen, diese ausdrucken und weiterleiten.
Ebenso erben unverschlüsselte Office-Dokumente , die an die E-Mail angefügt sind, standardmäßig die gleichen Berechtigungen. Diese Dokumente werden automatisch verschlüsselt, und wenn sie heruntergeladen werden, können sie von den Empfängern gespeichert, bearbeitet, kopiert und aus Office-Anwendungen gedruckt werden. Wenn das Dokument von einem Empfänger gespeichert wird, kann es unter einem neuen Namen und sogar in einem anderen Format gespeichert werden. Es sind jedoch nur Dateiformate verfügbar, die die Rights Management-Verschlüsselung unterstützen, sodass das Dokument nicht ohne die ursprüngliche Verschlüsselung gespeichert werden kann. Wenn Sie unterschiedliche Nutzungsrechte für eine Anlage wünschen oder ihre Anlage kein Office-Dokument ist, das diese geerbte Verschlüsselung unterstützt, verschlüsseln Sie die Datei, bevor Sie sie an die E-Mail anfügen. Anschließend können Sie die spezifischen Nutzungsrechte zuweisen, die Sie für die Datei benötigen.
Alternativ können Sie diese Verschlüsselungsvererbung von Dokumenten ändern, indem Sie mit Exchange Online PowerShell angebenSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true. Verwenden Sie diese Konfiguration, wenn Sie die ursprüngliche Verschlüsselung für das Dokument nicht beibehalten müssen, nachdem der Benutzer authentifiziert wurde. Wenn Empfänger die E-Mail-Nachricht öffnen, wird das Dokument nicht verschlüsselt.
Hinweis
Wenn Verweise auf DecryptAttachmentFromPortal angezeigt werden, ist dieser Parameter jetzt für Set-IRMConfiguration veraltet. Sofern Sie diesen Parameter nicht zuvor festgelegt haben, ist er nicht verfügbar.
Automatisches Verschlüsseln von PDF-Dokumenten mit Exchange Online
Wenn Exchange Online Microsoft Purview-Nachrichtenverschlüsselung verwendet, können Sie PDF-Dokumente automatisch verschlüsseln, wenn sie an eine verschlüsselte E-Mail angefügt werden. Das Dokument erbt die gleichen Berechtigungen wie für die E-Mail-Nachricht. Um diese Konfiguration zu aktivieren, legen Sie EnablePdfEncryption $True mit Set-IRMConfiguration fest.
Empfänger können Microsoft Edge verwenden, um das verschlüsselte PDF-Dokument anzuzeigen. Alternativ können Empfänger das verschlüsselte PDF-Dokument im OME-Portal lesen.
Rights Management-Aussteller und Rights Management-Besitzer
Wenn ein Element mithilfe des Azure Rights Management-Diensts verschlüsselt wird, wird das Konto, das diesen Inhalt verschlüsselt, automatisch zum Rights Management-Aussteller für diesen Inhalt. Dieses Konto wird als Ausstellerfeld in den Nutzungsprotokollen protokolliert.
Dem Rights Management-Aussteller wird immer das Vollzugriffsrecht für das Element gewährt, und zusätzlich:
Wenn die Verschlüsselungseinstellungen ein Ablaufdatum enthalten, kann der Rights Management-Aussteller das Dokument oder die E-Mail auch nach diesem Datum öffnen und bearbeiten.
Der Rights Management-Aussteller kann immer offline auf das Dokument oder die E-Mail zugreifen.
Der Rights Management-Aussteller kann ein Dokument weiterhin öffnen, nachdem es zurückgezogen wurde.
Standardmäßig ist dieses Konto auch der Rights Management-Besitzer für diesen Inhalt. Dies ist der Fall, wenn ein Benutzer, der das Element erstellt hat, die Verschlüsselung initiiert. Es gibt jedoch einige Szenarien, in denen ein Administrator oder Dienst Inhalte im Namen von Benutzern verschlüsseln kann. Zum Beispiel:
Ein Administrator verschlüsselt Dateien in einer Dateifreigabe massenhaft: Das Administratorkonto in Microsoft Entra ID verschlüsselt die Dokumente für die Benutzer.
Der Rights Management-Connector verschlüsselt Office-Dokumente in einem Windows Server Ordner: Das Dienstprinzipalkonto in Microsoft Entra ID, das für den Rights Management-Connector erstellt wird, verschlüsselt die Dokumente für die Benutzer.
In diesen Szenarien kann der Rights Management-Aussteller den Rights Management-Besitzer einem anderen Konto zuweisen, indem er die Microsoft Information Protection SDKs oder PowerShell verwendet. Wenn Sie beispielsweise das PowerShell-Cmdlet Set-LabelFile mit dem Microsoft Purview Information Protection-Client verwenden, können Sie den Parameter Owner angeben, um den Rights Management-Besitzer einem anderen Konto zuzuweisen.
Wenn der Rights Management-Aussteller im Namen von Benutzern verschlüsselt, stellt die Zuweisung des Rights Management-Besitzers sicher, dass der ursprüngliche Elementbesitzer die gleiche Kontrolle über seine verschlüsselten Inhalte hat, als ob er die Verschlüsselung selbst initiiert hätte.
Der Benutzer, der das Dokument erstellt hat, kann es beispielsweise drucken, obwohl es jetzt mit Verschlüsselungseinstellungen gekennzeichnet ist, die das Drucknutzungsrecht nicht enthalten. Derselbe Benutzer kann immer auf sein Dokument zugreifen, unabhängig von der Offlinezugriffseinstellung oder dem Ablaufdatum, die möglicherweise in den Verschlüsselungseinstellungen konfiguriert wurden. Da der Rights Management-Besitzer über das Nutzungsrecht "Vollzugriff" verfügt, kann dieser Benutzer das Dokument auch erneut verschlüsseln, um zusätzlichen Benutzern Zugriff zu gewähren (an diesem Punkt wird der Benutzer dann sowohl zum Rights Management-Aussteller als auch zum Rights Management-Besitzer), und dieser Benutzer kann sogar die Verschlüsselung entfernen. Allerdings kann nur der Rights Management-Aussteller ein Dokument nachverfolgen und widerrufen.
Der Rights Management-Besitzer für ein Element wird in den Nutzungsprotokollen als Feld besitzer-E-Mail protokolliert.
Hinweis
Der Rights Management-Besitzer ist unabhängig vom Besitzer des Windows-Dateisystems. Sie sind oft identisch, können aber unterschiedlich sein, auch wenn Sie die SDKs oder PowerShell nicht verwenden.
Rights Management-Nutzungslizenz
Wenn ein Benutzer ein Element öffnet, das vom Azure Rights Management-Dienst verschlüsselt wurde, wird dem Benutzer eine Rights Management-Nutzungslizenz für diesen Inhalt gewährt. Diese Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte des Benutzers für das Element und den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln des Inhalts verwendet wurde. Die Nutzungslizenz enthält auch ein Ablaufdatum, wenn dieses festgelegt wurde und wie lange die Nutzungslizenz gültig ist.
Ein Benutzer muss über eine gültige Nutzungslizenz verfügen, um den Inhalt zusätzlich zu seinem Rechtekontozertifikat (Rights Account Certificate, RAC) zu öffnen. Dies ist ein Zertifikat, das gewährt wird, wenn die Benutzerumgebung initialisiert und dann alle 31 Tage erneuert wird.
Für die Dauer der Nutzungslizenz wird der Benutzer für den Inhalt nicht erneut authentifiziert oder erneut authentifiziert. Dadurch kann der Benutzer das verschlüsselte Element weiterhin ohne Internetverbindung öffnen. Wenn die Gültigkeitsdauer der Nutzungslizenz abläuft, muss der Benutzer beim nächsten Zugriff auf das verschlüsselte Element erneut authentifiziert und erneut authentifiziert werden.
Wenn Elemente mit einer Vertraulichkeitsbezeichnung verschlüsselt werden, die die Verschlüsselungseinstellungen definiert, können Sie diese Einstellungen in Ihrer Vertraulichkeitsbezeichnung ändern, ohne den Inhalt erneut verschlüsseln zu müssen. Wenn der Benutzer bereits auf den Inhalt zugegriffen hat, werden die Änderungen wirksam, nachdem seine Nutzungslizenz abgelaufen ist. Wenn Benutzer jedoch selbst Berechtigungen anwenden (auch als benutzerdefinierte Berechtigungen, benutzerdefinierte Berechtigungen oder eine Ad-hoc-Rechterichtlinie bezeichnet) und diese Berechtigungen geändert werden müssen, nachdem das Element verschlüsselt wurde, müssen diese Inhalte erneut mit den neuen Berechtigungen verschlüsselt werden. Benutzerdefinierte Berechtigungen für eine E-Mail-Nachricht werden mit der Option Nicht weiterleiten implementiert.
Die Standardgültigkeitsdauer der Nutzungslizenz für einen Mandanten beträgt 30 Tage, und Sie können diesen Wert mithilfe des PowerShell-Cmdlets Set-AipServiceMaxUseLicenseValidityTime konfigurieren. Sie können eine restriktivere Einstellung für die Anwendung der Verschlüsselung konfigurieren, indem Sie eine Vertraulichkeitsbezeichnung verwenden, die jetzt für die Zuweisung von Berechtigungen konfiguriert ist, oder eine Rights Management-Vorlage:
Wenn Sie eine Vertraulichkeitsbezeichnung konfigurieren, übernimmt der Gültigkeitszeitraum der Nutzungslizenz seinen Wert aus der Einstellung Offlinezugriff zulassen .
Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung für eine Vertraulichkeitsbezeichnung finden Sie in der Empfehlungstabelle der Anweisungen zum konfigurieren von Berechtigungen für eine Vertraulichkeitsbezeichnung.
Wenn Sie eine Rights Management-Vorlage mithilfe von PowerShell konfigurieren, übernimmt der Gültigkeitszeitraum der Nutzungslizenz seinen Wert aus dem Parameter LicenseValidityDuration in den Cmdlets Set-AipServiceTemplateProperty und Add-AipServiceTemplate .
Weitere Informationen und Anleitungen zum Konfigurieren dieser Einstellung mithilfe von PowerShell finden Sie in der Hilfe zu den einzelnen Cmdlets.