AIP-Einführungsplan für Klassifizierung, Bezeichnung und Schutz
Hinweis
Suchen Sie nach Microsoft Purview Information Protection, ehemals Microsoft Information Protection (MIP)?
Das Azure Information Protection-Add-In wird eingestellt und durch Bezeichnungen ersetzt, die in Ihre Microsoft 365-Apps und -Dienste integriert sind. Erfahren Sie mehr über den Supportstatus anderer Azure Information Protection-Komponenten.
Der neue Microsoft Information Protection-Client (ohne das Add-In) befindet sich derzeit in der Vorschau und ist für die allgemeine Verfügbarkeit geplant.
Verwenden Sie die folgenden Schritte als Empfehlungen, um Sie bei der Vorbereitung, Implementierung und Verwaltung von Azure Information Protection für Ihre Organisation zu unterstützen, wenn Sie Ihre Daten klassifizieren, bezeichnen und schützen möchten.
Diese Roadmap wird für alle Kunden mit einem Unterstützenden Abonnement empfohlen. Zusätzliche Funktionen umfassen sowohl das Ermitteln vertraulicher Informationen als auch das Bezeichnen von Dokumenten und E-Mails für die Klassifizierung.
Bezeichnungen können auch Schutz anwenden und diesen Schritt für Ihre Benutzer vereinfachen.
Tipp
Alternativ können Sie nach einem der folgenden Artikel suchen:
Bereitstellungsprozess
Führen Sie die folgenden Schritte durch:
- Bestätigen Ihres Abonnements und Zuweisen von Benutzerlizenzen
- Vorbereiten Ihres Mandanten auf den Einsatz von Azure Information Protection
- Konfigurieren und Bereitstellen von Klassifizierungen und Bezeichnungen
- Vorbereiten auf den Datenschutz
- Konfigurieren Sie Labels und Einstellungen, Anwendungen und Dienste für den Datenschutz
- Verwenden und Überwachen der Datenschutzlösungen
- Verwalten des Schutzdiensts für Ihr Mandantenkonto nach Bedarf
Tipp
Nutzen Sie bereits die Schutzfunktionen von Azure Information Protection? Sie können viele dieser Schritte auslassen und sich auf die Schritte 3 und 5.1 konzentrieren.
Bestätigen Ihres Abonnements und Zuweisen von Benutzerlizenzen
Vergewissern Sie sich, dass Ihr Unternehmen über ein Abonnement verfügt, das die von Ihnen erwarteten Funktionen und Merkmale enthält. Weitere Informationen finden Sie auf der Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance .
Weisen Sie dann jedem Benutzer in Ihrem Unternehmen, der Dokumente und E-Mails klassifizieren, bezeichnen und schützen soll, Lizenzen aus diesem Abonnement zu.
Wichtig
Weisen Sie Benutzerlizenzen aus dem kostenlosen Abonnement für RMS für Einzelpersonen nicht manuell zu und verwenden Sie diese Lizenz nicht zur Verwaltung des Azure Rights Management-Dienstes für Ihre Organisation.
Diese Lizenzen werden im Microsoft 365 Admin Center als Rights Management Adhoc angezeigt und bei Ausführung des Azure AD PowerShell-Cmdlet Get-MsolAccountSku als RIGHTSMANAGEMENT_ADHOC.
Weitere Informationen finden Sie unter RMS für Einzelpersonen und Azure Information Protection.
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.
Vorbereiten Ihres Mandanten auf den Einsatz von Azure Information Protection
Bevor Sie mit der Verwendung von Azure Information Protection beginnen, müssen Sie sicherstellen, dass Sie über Benutzerkonten und Gruppen in Microsoft 365 oder Microsoft Entra ID verfügen, die AIP zum Authentifizieren und Autorisieren Ihrer Benutzer verwenden kann.
Erstellen Sie bei Bedarf diese Konten und Gruppen oder synchronisieren Sie sie mit Ihrem lokalen Verzeichnis.
Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.
Konfigurieren und Bereitstellen von Klassifizierungen und Bezeichnungen
Führen Sie die folgenden Schritte durch:
Scannen Sie Ihre Dateien (optional, aber empfohlen)
Stellen Sie den Azure Information Protection-Client bereit, und installieren Sie dann den Scanner und führen Sie ihn aus, um die sensiblen Informationen zu ermitteln, die sich auf Ihren lokalen Datenspeichern befinden.
Die vom Scanner gefundenen Informationen können Ihnen bei der Klassifizierungstaxonomie helfen und wertvolle Informationen dazu liefern, welche Bezeichnungen sie brauchen und welche Dateien geschützt werden müssen.
Der Scannermodus Discovery erfordert keine Etikettenkonfiguration oder Taxonomie und eignet sich daher in diesem frühen Stadium Ihrer Bereitstellung. Sie können diese Scannerkonfiguration auch parallel zu den folgenden Bereitstellungsschritten verwenden, bis Sie die empfohlene oder automatische Beschriftung konfigurieren.
Anpassen der Standard-AIP-Richtlinie.
Wenn Sie noch keine Klassifizierungsstrategie haben, verwenden Sie eine Standardrichtlinie als Grundlage, um zu bestimmen, welche Bezeichnungen Sie für Ihre Daten benötigen. Passen Sie diese Bezeichnungen nach Bedarf an, um Ihren Anforderungen gerecht zu werden.
Sie können ihre Bezeichnungen beispielsweise mit den folgenden Details neu konfigurieren:
- Stellen Sie sicher, dass Ihre Bezeichnungen Ihre Klassifizierungsentscheidungen unterstützen.
- Konfigurieren von Richtlinien für die manuelle Bezeichnung durch Benutzer
- Schreiben Sie Benutzeranleitungen, um zu erläutern, welche Bezeichnung in jedem Szenario angewendet werden soll.
- Wenn Ihre Standardrichtlinie mit Etiketten erstellt wurde, die automatisch einen Schutz anwenden, sollten Sie die Schutzeinstellungen vorübergehend entfernen oder das Etikett deaktivieren, während Sie Ihre Einstellungen testen.
Vertraulichkeitsbezeichnungen und Bezeichnungsrichtlinien für den Unified Labeling-Client werden im Microsoft Purview-Complianceportal konfiguriert. Weitere Informationen finden Sie unter Informationen zu Sensitivitätskennzeichnungen.
Bereitstellen des Clients für Ihre Nutzer
Nachdem Sie eine Richtlinie konfiguriert haben, stellen Sie den Azure Information Protection-Client für Ihre Benutzer bereit. Geben Sie Benutzerschulungen und bestimmte Anweisungen an, wenn Sie die Bezeichnungen auswählen möchten.
Weitere Informationen finden Sie im unified labeling client administrator guide.
Einführung fortgeschrittener Konfigurationen
Warten Sie, bis Ihre Benutzer mit Bezeichnungen auf ihren Dokumenten und E-Mails vertrauter werden. Wenn Sie bereit sind, führen Sie erweiterte Konfigurationen ein, z. B.:
- Anwenden von Standardbezeichnungen
- Aufforderung an die Benutzer, sich zu rechtfertigen, wenn sie ein Etikett mit einer niedrigeren Klassifizierungsstufe wählen oder ein Etikett entfernen
- Vorschrift, dass alle Dokumente und E-Mails mit einem Etikett versehen werden müssen
- Anpassen von Kopf- und Fußzeilen oder Wasserzeichen
- Empfohlene und automatische Bezeichnung
Weitere Informationen finden Sie im Admin-Handbuch: Benutzerdefinierte Konfigurationen.
Tipp
Wenn Sie Labels für die automatische Bezeichnung konfiguriert haben, führen Sie den Azure Information Protection-Scanner erneut auf Ihren lokalen Datenspeichern im Erkennungsmodus aus, um Ihre Richtlinie anzupassen.
Wenn Sie den Scanner im Ermittlungsmodus ausführen, werden Sie informiert, welche Bezeichnungen auf Dateien angewendet werden sollen, wodurch Sie die Bezeichnungskonfiguration optimieren und sie für die Klassifizierung und den Schutz von Dateien in Massen vorbereiten.
Vorbereiten auf den Datenschutz
Stellen Sie den Datenschutz für Ihre vertraulichsten Daten vor, sobald Benutzer sich mit der Beschriftung von Dokumenten und E-Mails vertraut machen.
Führen Sie die folgenden Schritte durch, um die Datensicherung vorzubereiten:
Bestimmen Sie, wie Sie Ihren Mieterschlüssel verwalten wollen.
Entscheiden Sie, ob Microsoft Ihren Mandantenschlüssel verwalten soll (Standardeinstellung), oder ob Sie Ihren Mandantenschlüssel selbst generieren und verwalten möchten (auch bekannt als Bring Your Own Key oder BYOK).
Weitere Informationen und Optionen für zusätzlichen, lokalen Schutz finden Sie unter Planung und Implementierung Ihres Azure Information Protection Mandant Key.
Installieren Sie PowerShell für AIP.
Installieren Sie das PowerShell-Modul für AIPService auf mindestens einem Computer mit Internetzugang. Sie können diesen Schritt jetzt oder später ausführen.
Weitere Informationen finden Sie unter Installieren des AIPService PowerShell-Moduls.
Nur AD RMS: Migrieren Sie Ihre Schlüssel, Vorlagen und URLs in die Cloud.
Wenn Sie derzeit AD RMS verwenden, führen Sie eine Migration durch, um die Schlüssel, Vorlagen und URLs in die Cloud zu verschieben.
Weitere Informationen finden Sie unter Migrieren von AD RMS zu Information Protection.
Schutz aktivieren.
Stellen Sie sicher, dass der Schutzdienst aktiviert ist, damit Sie mit dem Schutz von Dokumenten und E-Mails beginnen können. Wenn Sie in mehreren Phasen bereitstellen, konfigurieren Sie Benutzer-Onboarding-Steuerelemente, um die Möglichkeit der Benutzer zum Anwenden des Schutzes einzuschränken.
Weitere Informationen finden Sie unter Aktivieren des Schutzdiensts von Azure Information Protection.
Nutzungsprotokollierung berücksichtigen (optional).
Erwägen Sie eine Nutzungsprotokollierung, um zu überwachen, wie Ihr Unternehmen den Schutzdienst nutzt. Sie können diesen Schritt jetzt oder später ausführen.
Weitere Informationen finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.
Konfigurieren Sie Labels und Einstellungen, Anwendungen und Dienste für den Datenschutz
Führen Sie die folgenden Schritte durch:
Aktualisieren Sie Ihre Etiketten, um den Schutz anzuwenden
Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zur Verschlüsselung.
Wichtig
Benutzer können in Outlook Bezeichnungen anwenden, die den Rights Management-Schutz anwenden, auch wenn Exchange nicht für Information Rights Management (IRM) konfiguriert ist.
Solange Exchange jedoch nicht für IRM oder Microsoft 365 Message Encryption mit neuen Funktionen konfiguriert ist, wird Ihre Organisation nicht die volle Funktionalität des Azure Rights Management-Schutzes mit Exchange nutzen können. Diese zusätzliche Konfiguration ist in der folgenden Liste enthalten (2 für Exchange Online und 5 für Exchange lokal).
Konfigurieren von Office-Anwendungen und -Diensten
Konfigurieren Sie Office-Anwendungen und -Dienste für die IRM-Funktionen (Information Rights Management) in Microsoft SharePoint oder Exchange Online.
Weitere Informationen finden Sie unter Konfiguration von Anwendungen für Azure Rights Management.
Konfigurieren des Features Superbenutzer für die Datenwiederherstellung
Wenn Sie über vorhandene IT-Dienste verfügen, welche die von Azure Information Protection geschützten Dateien prüfen müssen – z. B. Lösungen zum Verhindern von Datenlecks (DLP), Gateways zur Inhaltsverschlüsselung (CEG) und Antischadsoftwareprodukte – können Sie die Dienstkonten als Superbenutzer für Azure Rights Management konfigurieren.
Weitere Informationen finden Sie im Artikel zum Konfigurieren von Administratoren für Azure Information Protection und Ermittlungsdienste oder die Datenwiederherstellung.
Klassifizieren und Schützen vorhandener Dateien in Massenvorgängen
Für Ihre lokalen Datenspeicher können Sie jetzt den Azure Information Protection-Scanner im Erzwingungsmodus ausführen, damit Dateien automatisch bezeichnet werden.
Für Dateien auf PCs können Sie PowerShell-Cmdlets verwenden, um Dateien zu klassifizieren und zu schützen. Weitere Informationen finden Sie unter Verwenden von PowerShell mit dem Azure Information Protection Unified Labeling Client.
Für Cloud-basierte Datenspeicher verwenden Sie Microsoft Defender for Cloud Apps.
Tipp
Obwohl die Klassifizierung und der Schutz vorhandener Dateien in Massenvorgängen nicht zu den Hauptanwendungsfällen für Defender for Cloud-Apps gehört, können dokumentierte Problemumgehungen die Klassifizierung und den Schutz Ihrer Dateien erleichtern.
Bereitstellen des Connectors für IRM-geschützte Bibliotheken in SharePoint Server und IRM-geschützte E-Mails für Exchange lokal
Wenn Sie über SharePoint und Exchange lokal verfügen und ihre entsprechenden Features des Information Rights Management (IRM) verwenden möchten, müssen Sie den Rights Management-Connector installieren und konfigurieren.
Weitere Informationen finden Sie unter Bereitstellung des Microsoft Rights Management-Connectors.
Verwenden und Überwachen der Datenschutzlösungen
Jetzt können Sie überwachen, wie Ihr Unternehmen die von Ihnen konfigurierten Bezeichnungen verwendet, und sich vergewissern, dass Sie vertrauliche Informationen schützen.
Weitere Informationen finden Sie auf den folgenden Seiten:
- Zentrale Berichterstattung für Azure Information Protection - derzeit in der Vorschau
- Protokollierung und Analyse der Schutznutzung von Azure Information Protection
Verwalten des Schutzdiensts für Ihr Mandantenkonto nach Bedarf
Zu Beginn der Anwendung des Schutzdiensts könnte PowerShell hilfreich sein für Skripts oder zur Automatisierung administrativer Änderungen. PowerShell könnte auch für einige der erweiterten Konfigurationen erforderlich sein.
Weitere Informationen finden Sie unter Verwalten des Schutzes von Azure Information Protection mithilfe von PowerShell.
Nächste Schritte
Bei der Bereitstellung von Azure Information Protection können Sie auf den Seiten Häufig gestellte Fragen, Bekannte Probleme und Informationen und Support weitere Ressourcen finden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für