Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Rights Management, manchmal als Azure RMS abgekürzt, ist der wichtigste cloudbasierte Verschlüsselungsdienst von Microsoft Purview Information Protection.
Azure Rights Management hilft beim Schutz von Elementen wie Dateien und E-Mails auf mehreren Geräten, einschließlich Smartphones, Tablets und PCs, mithilfe von Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien.
Wenn Mitarbeiter beispielsweise ein Dokument per E-Mail an ein Partnerunternehmen senden oder ein Dokument auf ihrem Cloudlaufwerk speichern, trägt die persistente Verschlüsselung von Azure Rights Management zum Schutz der Daten bei.
Die Verschlüsselungseinstellungen bleiben bei Ihren Daten erhalten, auch wenn sie die Grenzen Ihrer organization verlassen. Dadurch werden Ihre Inhalte sowohl innerhalb als auch außerhalb Ihrer organization geschützt.
Die Verschlüsselung kann für Compliance, gesetzliche Ermittlungsanforderungen oder bewährte Methoden für die Informationsverwaltung gesetzlich vorgeschrieben sein.
Verwenden Sie Azure Rights Management mit Microsoft 365-Abonnements oder -Abonnements für Microsoft Purview Information Protection. Weitere Informationen finden Sie auf der Seite Microsoft 365-Lizenzierungsleitfaden für Sicherheit & Compliance .
Azure Rights Management stellt sicher, dass autorisierte Personen und Dienste, z. B. Suche und Indizierung, die verschlüsselten Daten weiterhin lesen und überprüfen können.
Die Sicherstellung des fortlaufenden Zugriffs für autorisierte Personen und Dienste, auch als "Argumentation über Daten" bezeichnet, ist ein wichtiges Element, um die Kontrolle über die Daten Ihrer organization zu behalten. Diese Funktion ist mit anderen Informationsschutzlösungen, die Peer-to-Peer-Verschlüsselung verwenden, möglicherweise nicht einfach zu erreichen.
Schutzfunktionen
| Feature | Beschreibung |
|---|---|
| Verschlüsseln mehrerer Dateitypen | In frühen Implementierungen von Rights Management konnten nur Office-Dateien mit integriertem Rights Management-Schutz verschlüsselt werden.
Azure Rights Management bietet Unterstützung für zusätzliche Dateitypen. Weitere Informationen finden Sie unter Unterstützte Dateitypen. |
| Dateien überall schützen | Wenn eine Datei verschlüsselt ist, bleibt dieser Schutz bei der Datei erhalten, auch wenn sie in einem Speicher gespeichert oder kopiert wird, der nicht von der IT gesteuert wird, z. B. einem Cloudspeicherdienst. |
Zusammenarbeitsfeatures
| Feature | Beschreibung |
|---|---|
| Sicheres Freigeben von Informationen | Verschlüsselte Dateien können sicher für andere Personen freigegeben werden, z. B. eine Anlage zu einer E-Mail oder einen Link zu einer SharePoint-Website.
Wenn sich die vertraulichen Informationen in einer E-Mail-Nachricht befindet, verschlüsseln Sie die E-Mail, oder verwenden Sie die Option Nicht weiterleiten aus Outlook. |
| Unterstützung für die Business-to-Business-Zusammenarbeit | Da Azure Rights Management ein Clouddienst ist, ist es in der Regel nicht erforderlich, Vertrauensstellungen mit anderen Organisationen explizit zu konfigurieren, bevor Sie verschlüsselte Inhalte für diese freigeben können.
Standardmäßig wird die Zusammenarbeit mit anderen Organisationen, die bereits über ein Microsoft 365- oder Microsoft Entra-Verzeichnis verfügen, automatisch unterstützt. Einige zusätzliche Konfigurationen sind möglicherweise für erweiterte Konfigurationen oder spezielle Szenarien erforderlich. Für Organisationen ohne Microsoft 365 oder ein Microsoft Entra-Verzeichnis können sich Benutzer für das kostenlose RMS for Individuals-Abonnement registrieren oder ein Microsoft-Konto für unterstützte Anwendungen verwenden. |
Tipp
Durch das Anfügen verschlüsselter Dateien, anstatt eine gesamte E-Mail-Nachricht zu verschlüsseln, können Sie den E-Mail-Text unverschlüsselt lassen.
Sie können z. B. Anweisungen für die erstmalige Verwendung einschließen, wenn die E-Mail außerhalb Ihres organization gesendet wird. Wenn Sie eine verschlüsselte Datei anfügen, können die grundlegenden Anweisungen von jedem gelesen werden, aber nur autorisierte Benutzer können das Dokument öffnen, auch wenn die E-Mail oder das Dokument an andere Personen weitergeleitet wird.
Plattformunterstützungsfeatures
Der Azure Rights Management-Dienst unterstützt eine Vielzahl von Plattformen und Anwendungen, einschließlich:
| Feature | Beschreibung |
|---|---|
|
Häufig verwendete Geräte nicht nur Windows-Computer |
Zu den Clientgeräten gehören: - Windows-Computer und -Smartphones - Mac-Computer - iOS-Tablets und -Smartphones - Android-Tablets und -Smartphones |
| Lokale Dienste | Zusätzlich zur nahtlosen Zusammenarbeit mit Microsoft 365 können Sie Azure Rights Management mit den folgenden lokalen Diensten verwenden, wenn Sie den Microsoft Rights Management-Connector bereitstellen: - Exchange Server - SharePoint Server - Windows Server ausführen der Dateiklassifizierungsinfrastruktur |
| Anwendungserweiterbarkeit | Azure Rights Management verfügt über eine enge Integration in Microsoft 365-Anwendungen und -Dienste und erweitert die Unterstützung für andere Anwendungen mithilfe des Microsoft Purview Information Protection-Clients.
Das Microsoft Information Protection SDK bietet Ihren internen Entwicklern und Softwareanbietern APIs zum Schreiben benutzerdefinierter Anwendungen, die den Azure Rights Management-Dienst unterstützen. |
Infrastrukturfeatures
Der Azure Rights Management-Dienst bietet die folgenden Features zur Unterstützung von IT-Abteilungen und Infrastrukturorganisationen:
- Erstellen einfacher und flexibler Richtlinien
- Einfache Aktivierung
- Überwachungs- und Überwachungsdienste
- Möglichkeit zum Skalieren in Ihrem organization
- Behalten der IT-Kontrolle über Daten
Hinweis
Organisationen haben immer die Wahl, den Azure Rights Management-Dienst nicht mehr zu verwenden, ohne den Zugriff auf Inhalte zu verlieren, die zuvor durch Azure Rights Management geschützt wurden.
Weitere Informationen finden Sie unter Außerbetriebnahme und Deaktivieren des Azure Rights Management-Diensts.
Erstellen einfacher und flexibler Richtlinien
Verschlüsselungseinstellungen, die mit Vertraulichkeitsbezeichnungen angewendet werden, bieten Administratoren eine schnelle und einfache Methode zum Anwenden von Informationsschutzrichtlinien und für Benutzer, um bei Bedarf die richtige Schutzebene für jedes Element anzuwenden.
Damit beispielsweise ein unternehmensweites Strategiepapier für alle Mitarbeiter freigegeben wird, wenden Sie eine schreibgeschützte Richtlinie auf alle internen Mitarbeiter an. Bei einem vertraulicheren Dokument, z. B. einem Finanzbericht, schränken Sie den Zugriff nur auf Führungskräfte ein.
Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden der Verschlüsselung.
Einfache Aktivierung
Bei neuen Abonnements erfolgt die Aktivierung automatisch. Für vorhandene Abonnements sind zum Aktivieren des Rights Management-Diensts nur zwei PowerShell-Befehle erforderlich.
Überwachungs- und Überwachungsdienste
Überwachen und überwachen Sie die Nutzung Ihrer verschlüsselten Dateien, auch wenn diese Dateien die Grenzen Ihrer organization verlassen haben.
Wenn beispielsweise ein Mitarbeiter von Contoso, Ltd an einem gemeinsamen Projekt mit drei Personen von Fabrikam, Inc. arbeitet, kann er seinen Fabrikam-Partnern ein verschlüsseltes und schreibgeschütztes Dokument senden.
Die Azure Rights Management-Überwachung kann die folgenden Informationen bereitstellen:
Gibt an, ob und wann die Fabrikam-Partner das Dokument geöffnet haben.
Gibt an, ob andere Personen, die nicht angegeben wurden, versucht haben und nicht versucht haben, das Dokument zu öffnen. Dies kann passieren, wenn die E-Mail weitergeleitet oder an einem freigegebenen Speicherort gespeichert wurde.
Administratoren können die Dokumentnutzung nachverfolgen und den Zugriff auf Office-Dateien widerrufen. Benutzer können den Zugriff für ihre bezeichneten und verschlüsselten Dokumente nach Bedarf widerrufen.
Möglichkeit zum Skalieren in Ihrem organization
Da Azure Rights Management als Clouddienst mit der Azure-Elastizität zum Hoch- und Hochskalieren ausgeführt wird, müssen Sie keine zusätzlichen lokalen Server bereitstellen oder bereitstellen.
Behalten der IT-Kontrolle über Daten
Organisationen können von IT-Steuerungsfeatures profitieren, z. B.:
| Feature | Beschreibung |
|---|---|
| Mandantenschlüsselverwaltung | Verwenden Sie Mandantenschlüsselverwaltungslösungen wie Bring Your Own Key (BYOK) oder Double Key Encryption (DKE). Weitere Informationen finden Sie unter: - Planen und Implementieren Ihres Azure Rights Management-Mandantenschlüssels - Was ist die Double Key Encryption (DKE)? |
| Überwachung und Verwendungsprotokollierung | Verwenden Sie Überwachung und Nutzungsprotokollierung , um geschäftliche Erkenntnisse zu analysieren, auf Missbrauch zu überwachen und forensische Analysen für Informationslecks durchzuführen. |
| Zugriffsdelegierung | Delegieren Sie den Zugriff mit dem Superuser-Feature, um sicherzustellen, dass die IT jederzeit auf verschlüsselte Inhalte zugreifen kann, auch wenn ein Dokument von einem Mitarbeiter verschlüsselt wurde, der dann die organization verlässt.
Im Vergleich dazu besteht bei Peer-to-Peer-Verschlüsselungslösungen das Risiko, dass der Zugriff auf Unternehmensdaten verloren geht. |
| Active Directory-Synchronisierung | Synchronisieren Sie nur die Verzeichnisattribute, die Azure RMS benötigt, um eine gemeinsame Identität für Ihre lokales Active Directory-Konten zu unterstützen, indem Sie eine Hybrididentitätslösung wie Microsoft Entra Connect verwenden. |
| Einmaliges Anmelden | Aktivieren Sie einmaliges Anmelden, ohne Kennwörter in die Cloud zu replizieren, indem Sie AD FS verwenden. |
| Migration von AD RMS | Wenn Sie Active Directory Rights Management Services (AD RMS) bereitgestellt haben, migrieren Sie zum Azure Rights Management-Dienst , ohne den Zugriff auf Daten zu verlieren, die zuvor von AD RMS verschlüsselt wurden. |
Sicherheits-, Compliance- und gesetzliche Anforderungen
Azure Rights Management unterstützt die folgenden Sicherheits-, Compliance- und gesetzlichen Anforderungen:
Verwendung von Kryptografie nach Branchenstandard und Unterstützt FIPS 140-2. Weitere Informationen finden Sie unter Kryptografische Steuerelemente: Algorithmen und Schlüssellängen .
Unterstützung für das nCipher nShield-Hardwaresicherheitsmodul (HSM) zum Speichern Ihres Mandantenschlüssels in Microsoft Azure-Rechenzentren.
Azure Rights Management verwendet separate Sicherheitswelten für seine Rechenzentren in Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien, sodass Ihre Schlüssel nur in Ihrer Region verwendet werden können.
Zertifizierung für die folgenden Standards:
- ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
- SOC 2 SSAE 16/ISAE 3402-Nachweise
- HIPAA BAA
- EU-Modellklausel
- FedRAMP als Teil der Microsoft Entra ID in Office 365 Zertifizierung, ausgestellt FedRAMP Agency Authority to Operate by HHS
- PCI-DSS Level 1
Weitere Informationen zu diesen externen Zertifizierungen finden Sie im Microsoft Trust Center.
Häufig gestellte Fragen
Einige unserer häufig gestellten Fragen zum Azure Rights Management-Verschlüsselungsdienst von Microsoft Purview Information Protection:
Müssen sich Dateien in der Cloud befinden, damit sie vom Azure Rights Management-Dienst verschlüsselt werden können?
Nein, dies ist ein häufiges Missverständnis. Der Azure Rights Management-Dienst (und Microsoft) sehen oder speichern Ihre Daten nicht im Rahmen des Verschlüsselungsprozesses. Informationen, die Sie verschlüsseln, werden niemals an Azure gesendet oder in Azure gespeichert, es sei denn, Sie speichern sie explizit in Azure oder verwenden einen anderen Clouddienst, der sie in Azure speichert.
Weitere Informationen finden Sie unter Funktionsweise des Azure Rights Management-Diensts: Technische Details , um zu verstehen, wie eine lokal erstellte und gespeicherte Geheimnisformel vom Azure Rights Management-Dienst verschlüsselt wird, aber lokal bleibt.
Was ist der Unterschied zwischen Azure Rights Management-Verschlüsselung und -Verschlüsselung in anderen Microsoft-Clouddiensten?
Microsoft bietet mehrere Verschlüsselungstechnologien, mit denen Sie Ihre Daten für verschiedene und häufig ergänzende Szenarien schützen können. Während Beispielsweise Microsoft 365 die Verschlüsselung ruhender Daten bietet, die in Microsoft 365 gespeichert sind, verschlüsselt der Azure Rights Management-Dienst von Microsoft Purview Information Protection Ihre Daten unabhängig voneinander, sodass sie unabhängig davon geschützt werden, wo sie sich befinden oder wie sie übertragen werden.
Diese Verschlüsselungstechnologien ergänzen sich und müssen unabhängig voneinander aktiviert und konfiguriert werden. Wenn Sie dies tun, haben Sie möglicherweise die Möglichkeit, Ihren eigenen Schlüssel für die Verschlüsselung zu verwenden, ein Szenario, das auch als "BYOK" bezeichnet wird. Die Aktivierung von BYOK für eine dieser Technologien hat keine Auswirkungen auf die anderen Technologien. Beispielsweise können Sie BYOK für den Azure Rights Management-Dienst und nicht BYOK für andere Verschlüsselungstechnologien verwenden und umgekehrt. Die von diesen verschiedenen Technologien verwendeten Schlüssel können identisch oder unterschiedlich sein, je nachdem, wie Sie die Verschlüsselungsoptionen für die einzelnen Dienste konfigurieren.
Microsoft Rights Management Services ist als verfügbare Cloud-App für bedingten Zugriff aufgeführt – wie funktioniert dies?
Ja, Sie können Microsoft Entra bedingten Zugriff für den Azure Rights Management-Dienst konfigurieren.
Wenn ein Benutzer ein Dokument öffnet, das vom Azure Rights Management-Dienst verschlüsselt wurde, können Administratoren benutzer in ihrem Mandanten basierend auf den standardmäßigen Steuerungen für bedingten Zugriff den Zugriff blockieren oder gewähren. Das Anfordern der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) ist eine der am häufigsten angeforderten Bedingungen. Eine andere ist, dass Geräte mit Ihren Intune-Richtlinien kompatibel sein müssen, damit beispielsweise mobile Geräte Ihre Kennwortanforderungen und eine Mindestversion des Betriebssystems erfüllen und Computer in die Domäne eingebunden sein müssen.
Weitere Informationen finden Sie unter Richtlinien für bedingten Zugriff und verschlüsselte Dokumente.
Zusätzliche Informationen:
| Thema | Details |
|---|---|
| Auswertungshäufigkeit | Bei Windows-Computern werden die Richtlinien für bedingten Zugriff für den Azure Rights Management-Dienst bei der Initialisierung der Benutzerumgebung (dieser Vorgang wird auch als Bootstrapping bezeichnet) und dann alle 30 Tage ausgewertet. Konfigurieren Sie die Tokenlebensdauer, um zu optimieren, wie oft Ihre Richtlinien für bedingten Zugriff ausgewertet werden. |
| Administratorkonten | Es wird empfohlen, Keine Administratorkonten zu Ihren Richtlinien für bedingten Zugriff hinzuzufügen, da diese Konten nicht auf den Azure Rights Management-Dienst zugreifen können, wenn Sie Verschlüsselungseinstellungen für Vertraulichkeitsbezeichnungen im Microsoft Purview-Portal konfigurieren. |
| MFA und B2B-Zusammenarbeit | Wenn Sie MFA in Ihren Richtlinien für bedingten Zugriff für die Zusammenarbeit mit anderen Organisationen (B2B) verwenden, müssen Sie Microsoft Entra B2B-Zusammenarbeit verwenden und Gastkonten für die Benutzer erstellen, für die Sie in den anderen organization freigeben möchten. |
| Eingabeaufforderungen zu Nutzungsbedingungen | Sie können Benutzer auffordern, nutzungsbedingungen zu akzeptieren , bevor sie ein verschlüsseltes Dokument zum ersten Mal öffnen. |
| Cloud-Apps | Wenn Sie viele Cloud-Apps für den bedingten Zugriff verwenden, werden microsoft Information Protection Sync Service und Microsoft Rights Management Service möglicherweise nicht in der Liste zur Auswahl angezeigt. Verwenden Sie in diesem Fall das Suchfeld am Anfang der Liste. Beginnen Sie mit der Eingabe von "Microsoft Information Protection Sync Service" und "Microsoft Rights Management Service", um die verfügbaren Apps zu filtern. Vorausgesetzt, Dass Sie über ein unterstütztes Abonnement verfügen; Sie sehen dann diese Optionen und können sie auswählen. |
Ich habe ein Dokument verschlüsselt und möchte nun die Nutzungsrechte ändern oder Benutzer hinzufügen – muss ich das Dokument erneut verschlüsseln?
Wenn das Dokument mit einer Vertraulichkeitsbezeichnung oder einer Rights Management-Vorlage verschlüsselt wurde, ist es nicht erforderlich, das Dokument erneut zu verschlüsseln. Ändern Sie die Vertraulichkeitsbezeichnung oder die Rights Management-Vorlage, indem Sie Ihre Änderungen an den Nutzungsrechten vornehmen oder neue Gruppen (oder Benutzer) hinzufügen, und speichern Sie dann diese Änderungen:
Wenn ein Benutzer nicht auf das Dokument zugegriffen hat, bevor Sie die Änderungen vorgenommen haben, werden die Änderungen wirksam, sobald der Benutzer das Dokument öffnet.
Wenn ein Benutzer bereits auf das Dokument zugegriffen hat, werden diese Änderungen wirksam, wenn seine Nutzungslizenz abläuft. Verschlüsseln Sie das Dokument nur dann erneut, wenn Sie nicht warten können, bis die Nutzungslizenz abläuft. Entfernen Sie beispielsweise die Vertraulichkeitsbezeichnung, die die Verschlüsselung angewendet hat, speichern Sie, und wenden Sie die Bezeichnung erneut an. Durch die erneute Verschlüsselung wird eine neue Version des Dokuments und damit eine neue Nutzungslizenz für den Benutzer erstellt.
Wenn Sie bereits eine Gruppe für die erforderlichen Berechtigungen konfiguriert haben, können Sie alternativ die Gruppenmitgliedschaft so ändern, dass Benutzer eingeschlossen oder ausgeschlossen werden, und es ist nicht erforderlich, die Vertraulichkeitsbezeichnung oder die Vorlage für die Rechteverwaltung zu ändern. Es kann eine kleine Verzögerung geben, bevor die Änderungen wirksam werden, da die Gruppenmitgliedschaft vom Azure Rights Management-Dienst zwischengespeichert wird.
Wenn das Dokument mit benutzerdefinierten Berechtigungen verschlüsselt wurde, z . B . mit der Einstellung Benutzern das Zuweisen von Berechtigungen für Vertraulichkeitsbezeichnungen erlauben, können Sie die Berechtigungen für das vorhandene Dokument nicht ändern. Sie müssen das Dokument erneut verschlüsseln und alle Benutzer und alle Nutzungsrechte angeben, die für diese neue Version des Dokuments erforderlich sind. Um ein verschlüsseltes Dokument erneut zu verschlüsseln, müssen Sie über das Vollzugriffsrecht verfügen.
Wenn ich diese Verschlüsselungslösung für meine Produktionsumgebung verwende, ist mein Unternehmen dann an der Lösung gebunden?
Nein, Sie behalten immer die Kontrolle über Ihre Daten und können weiterhin darauf zugreifen, auch wenn Sie den Azure Rights Management-Dienst nicht mehr verwenden möchten. Weitere Informationen finden Sie unter Außerbetriebnahme und Deaktivieren des Azure Rights Management-Diensts.
Kann ich steuern, welcher meiner Benutzer den Azure Rights Management-Dienst zum Verschlüsseln von Inhalten verwenden kann?
Ja, wenn Sie Vertraulichkeitsbezeichnungen zum Verschlüsseln von Inhalten verwenden, definieren Bezeichnungsveröffentlichungsrichtlinien, welche Benutzer die Bezeichnungen in ihren Apps sehen. Wenn Sie nicht möchten, dass einige Benutzer Inhalte verschlüsseln, erstellen Sie eine separate Bezeichnungsveröffentlichungsrichtlinie für sie, und schließen Sie in die Richtlinie nur Bezeichnungen ein, die keine Verschlüsselung anwenden. Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.
Wie wird der Benutzer authentifiziert, wenn ich ein verschlüsseltes Dokument mit jemandem außerhalb meines Unternehmens teile?
Standardmäßig verwendet der Azure Rights Management-Dienst ein Microsoft Entra-Konto und eine zugeordnete E-Mail-Adresse für die Benutzerauthentifizierung, wodurch die Zusammenarbeit zwischen Unternehmen für Administratoren nahtlos ist. Wenn die andere organization Azure-Dienste verwendet, verfügen Benutzer bereits über Konten in Microsoft Entra ID, auch wenn diese Konten lokal erstellt und verwaltet und dann mit Azure synchronisiert werden. Wenn der organization Über Microsoft 365 verfügt, verwendet dieser Dienst auch Microsoft Entra ID für die Benutzerkonten. Wenn die organization des Benutzers nicht über verwaltete Konten in Azure verfügen, können sie mit einem Gastkonto authentifiziert werden. Weitere Informationen finden Sie unter Freigabe verschlüsselter Dokumente für externe Benutzer.
Die Authentifizierungsmethode für diese Konten kann variieren, je nachdem, wie der Administrator in der anderen organization die Microsoft Entra Konten konfiguriert hat. Sie können beispielsweise Kennwörter verwenden, die für diese Konten, den Verbund oder kennwörter erstellt wurden, die in Active Directory Domain Services erstellt und dann mit Microsoft Entra ID synchronisiert wurden.
Andere Authentifizierungsmethoden:
Wenn Sie eine E-Mail mit einer Office-Dokumentanlage an einen Benutzer verschlüsseln, der kein Konto in Microsoft Entra ID hat, ändert sich die Authentifizierungsmethode. Der Azure Rights Management-Dienst ist mit einigen beliebten Identitätsanbietern für soziale Netzwerke verbunden, z. B. Gmail. Wenn der E-Mail-Anbieter des Benutzers unterstützt wird, kann sich der Benutzer bei diesem Dienst anmelden, und sein E-Mail-Anbieter ist für die Authentifizierung verantwortlich. Wenn der E-Mail-Anbieter des Benutzers nicht unterstützt wird oder als Einstellung, kann der Benutzer eine Einmalkennung beantragen, die ihn authentifiziert und die E-Mail mit dem verschlüsselten Dokument in einem Webbrowser anzeigt.
Der Azure Rights Management-Dienst kann Microsoft-Konten für unterstützte Anwendungen verwenden. Allerdings können nicht alle Anwendungen verschlüsselte Inhalte öffnen, wenn ein Microsoft-Konto für die Authentifizierung verwendet wird.
Welche Gruppentypen kann ich mit dem Azure Rights Management-Dienst verwenden?
In den meisten Szenarien können Sie einen beliebigen Gruppentyp in Microsoft Entra ID verwenden, der über eine E-Mail-Adresse verfügt. Diese Faustregel gilt immer, wenn Sie Nutzungsrechte zuweisen, aber es gibt einige Ausnahmen für die Verwaltung des Azure Rights Management-Diensts. Weitere Informationen finden Sie unter Azure Rights Management-Dienstanforderungen für Gruppenkonten.
Gewusst wie eine verschlüsselte E-Mail an ein Gmail- oder Hotmail-Konto senden?
Wenn Sie Exchange Online und den Azure Rights Management-Dienst verwenden, senden Sie die E-Mail einfach als verschlüsselte Nachricht an den Benutzer. Sie können z. B. eine Vertraulichkeitsbezeichnung auswählen, die automatisch "Nicht weiterleiten" für Sie gilt.
Dem Empfänger wird eine Option angezeigt, sich bei ihrem Gmail-, Yahoo- oder Microsoft-Konto anzumelden, und dann kann er die verschlüsselte E-Mail lesen. Alternativ können sie die Option für eine Einmalkennung auswählen, um die E-Mail in einem Browser zu lesen.
Um dieses Szenario zu unterstützen, müssen Exchange Online für den Azure Rights Management-Dienst und Microsoft Purview-Nachrichtenverschlüsselung aktiviert sein.
Weitere Informationen zu den Funktionen, die die Unterstützung aller E-Mail-Konten auf allen Geräten umfassen, finden Sie im folgenden Blogbeitrag: Ankündigung neuer Funktionen, die in Office 365 Message Encryption verfügbar sind.
Welche Dateitypen werden vom Azure Rights Management-Dienst unterstützt?
Der Azure Rights Management-Dienst kann alle Dateitypen unterstützen. Für Text-, Bild-, Microsoft Office-Dateien (Word, Excel, PowerPoint), PDF-Dateien und einige andere Anwendungsdateitypen unterstützt der Azure Rights Management-Dienst die native Verschlüsselung, die die Durchsetzung von Nutzungsrechten (Berechtigungen) umfasst. Für alle anderen Anwendungen und Dateitypen bietet die generische Verschlüsselung Dateikapselung und Authentifizierung, um zu überprüfen, ob ein Benutzer zum Öffnen der Datei autorisiert ist.
Eine Liste der Dateitypen, die für Office-Apps und -Dienste unterstützt werden, finden Sie in der Dokumentation zur Vertraulichkeitsbezeichnung unter Unterstützte Office-Dateitypen .
Eine Liste der zusätzlichen Dateitypen, die vom Microsoft Purview Information Protection Client unterstützt werden, finden Sie unter Unterstützte Dateitypen in der Dokumentation zum Information Protection-Client.
Wenn ich ein Office-Dokument öffne, das vom Azure Rights Management-Dienst verschlüsselt wurde, wird die zugeordnete temporäre Datei dann auch von diesem Dienst verschlüsselt?
Nein In diesem Szenario enthält die zugeordnete temporäre Datei keine Daten aus dem ursprünglichen Dokument, sondern nur das, was der Benutzer eingibt, während die Datei geöffnet ist. Im Gegensatz zur ursprünglichen Datei ist die temporäre Datei offensichtlich nicht für die Freigabe konzipiert und bleibt auf dem Gerät, geschützt durch lokale Sicherheitskontrollen wie BitLocker und EFS.
Wie erhalten wir wieder Zugriff auf Dateien, die von einem Mitarbeiter verschlüsselt wurden, der jetzt die organization verlassen hat?
Verwenden Sie das Superuser-Feature, das autorisierten Benutzern die Vollzugriffsnutzungsrechte für alle Elemente gewährt, die von Ihrem Mandanten verschlüsselt werden. Superuser können diesen verschlüsselten Inhalt jederzeit lesen und bei Bedarf die Verschlüsselung entfernen oder das Element für verschiedene Benutzer erneut verschlüsseln. Mit diesem Feature können autorisierte Dienste Elemente nach Bedarf indizieren und überprüfen.
Wenn Ihre Inhalte in SharePoint oder OneDrive gespeichert sind, können Administratoren das Cmdlet Unlock-SensitivityLabelEncryptedFile ausführen, um sowohl die Vertraulichkeitsbezeichnung als auch die Verschlüsselung zu entfernen. Weitere Informationen finden Sie unter Entfernen der Verschlüsselung für ein bezeichnetes Dokument.
Kann Rights Management Bildschirmaufnahmen verhindern?
Durch die Nichterteilung des Kopiernutzungsrechts kann Rights Management Bildschirmaufnahmen von vielen der häufig verwendeten Bildschirmaufnahmetools auf Windows-Plattformen verhindern. In Office für Mac können Bildschirmaufnahmen auf ähnliche Weise in Office für Mac für Word, Excel und PowerPoint, aber nicht in Outlook verhindert werden.
Für andere Apps unter iOS und Android lassen diese Betriebssysteme jedoch nicht zu, dass Apps Bildschirmaufnahmen verhindern. Darüber hinaus können andere Browser als Edge Bildschirmaufnahmen nicht verhindern. Die Browsernutzung umfasst Outlook im Web und Office für das Web.
Die Verhinderung von Bildschirmaufnahmen kann dazu beitragen, die versehentliche oder nachlässige Offenlegung vertraulicher oder vertraulicher Informationen zu vermeiden. Es gibt jedoch viele Möglichkeiten, wie ein Benutzer Daten freigeben kann, die auf einem Bildschirm angezeigt werden, und das Erstellen eines Screenshots ist nur eine Methode. Beispielsweise kann ein Benutzer, der angezeigte Informationen freigeben möchte, mit dem Kameratelefon ein Bild davon machen, die Daten erneut einzugeben oder sie einfach mündlich an jemanden weiterzubilden.
Wie diese Beispiele zeigen, kann technologie allein nicht immer verhindern, dass Benutzer Daten freigeben, die nicht verwendet werden sollten, selbst wenn alle Plattformen und alle Software die Rights Management-APIs zum Blockieren von Bildschirmaufnahmen unterstützt haben. Rights Management kann dazu beitragen, Ihre wichtigen Daten mithilfe von Autorisierungs- und Nutzungsrichtlinien zu schützen, aber diese Lösung für die Rechteverwaltung für Unternehmen sollte mit anderen Steuerelementen verwendet werden. Implementieren Sie beispielsweise physische Sicherheit, überprüfen und überwachen Sie Personen, die den Zugriff auf die Daten Ihrer organization autorisiert haben, und investieren Sie in die Schulung von Benutzern, damit Benutzer verstehen, welche Daten nicht freigegeben werden sollten.
Was ist der Unterschied zwischen einem Benutzer, der eine E-Mail mit Nicht weiterleiten verschlüsselt, und Nutzungsrechten, die nicht das Recht Weiterleiten enthalten?
Trotz seines Namens ist "Nicht weiterleiten " nicht das Gegenteil des Forward-Nutzungsrechts oder einer Vorlage. Es handelt sich tatsächlich um eine Reihe von Rechten, die das Einschränken des Kopierens, Druckens und Speicherns der E-Mail außerhalb des Postfachs sowie die Einschränkung der Weiterleitung von E-Mails umfassen. Die Rechte werden dynamisch über die ausgewählten Empfänger auf Benutzer angewendet und nicht statisch vom Administrator zugewiesen. Weitere Informationen finden Sie im Abschnitt Option "Nicht weiterleiten" für E-Mails unter Konfigurieren von Nutzungsrechten für den Azure Rights Management-Dienst.
Nächste Schritte
Weitere technische Informationen zur Funktionsweise des Azure Rights Management-Diensts finden Sie unter Funktionsweise des Azure Rights Management-Diensts: Technische Details.
Wenn Sie bereit sind, die Azure Rights Management-Verschlüsselung zu einem integrierten Bestandteil Ihrer Information Protection-Lösung zu machen, lesen Sie Bereitstellen einer Informationsschutzlösung mit Microsoft Purview.