Vorbereiten von Benutzern und Gruppen für Azure Information Protection

Bevor Sie Azure Information Protection für Ihre Organisation bereitstellen, vergewissern Sie sich, dass Sie in Microsoft Entra ID über Benutzer und Gruppenkonten für den Mandanten Ihrer Organisation verfügen.

Es gibt verschiedene Verfahren zum Erstellen dieser Konten für Benutzer und Gruppen:

• Sie erstellen die Benutzer im Office 365 Admin Center und die Gruppen im Exchange Online Admin Center.

• Sie erstellen die Benutzer und Gruppen im Azure-Portal.

• Sie erstellen die Benutzer und Gruppen mithilfe von Azure AD PowerShell- und Exchange Online-Cmdlets.

• Sie erstellen die Benutzer und Gruppen in Ihrer lokalen Active Directory-Instanz und synchronisieren sie mit Microsoft Entra ID.

• Sie erstellen die Benutzer und Gruppen in einem anderen Verzeichnis und synchronisieren sie mit Microsoft Entra ID.

Wenn Sie Benutzer und Gruppen mit den ersten drei Methoden aus dieser Liste erstellen, werden sie automatisch in Microsoft Entra ID erstellt und können von Azure Information Protection direkt verwendet werden. Allerdings werden Benutzer und Gruppen in vielen Unternehmensnetzwerke in einem lokalen Verzeichnis erstellt und verwaltet. Diese Konten können von Azure Information Protection nicht direkt verwendet werden, sondern müssen erst mit Microsoft Entra ID synchronisiert werden.

Die Ausnahme im vorherigen Absatz ist dynamische Verteilerlisten, die Sie für Exchange Online erstellen können. Im Gegensatz zu statischen Verteilerlisten werden diese Gruppen nicht in die Microsoft Entra-ID repliziert und können daher nicht von Azure Information Protection verwendet werden.

Verwenden von Benutzern und Gruppen durch Azure Information Protection

Es gibt drei Szenarien für die Verwendung von Benutzern und Gruppen mit Azure Information Protection:

Zum Zuweisen von Bezeichnungen für Benutzer beim Konfigurieren der Azure Information Protection-Richtlinie, damit Bezeichnungen auf Dokumente und E-Mails angewendet werden können. Nur Administratoren können diese Benutzer und Gruppen auswählen:

• Die Azure Information Protection-Standardrichtlinie wird automatisch allen Benutzern in der Microsoft Entra ID-Instanz Ihres Mandanten zugewiesen. Allerdings können Sie einzelnen Benutzern oder Gruppen mithilfe von bereichsbezogenen Richtlinien auch zusätzliche Bezeichnungen zuweisen.

Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen, wenn Sie Dokumente und E-Mails mithilfe des Azure Rights Management-Diensts schützen. Administratoren und Benutzer können diese Benutzer und Gruppen auswählen:

• Nutzungsrechte bestimmen, ob ein Benutzer ein Dokument oder eine E-Mail öffnen kann und wie er das Dokument oder die E-Mail verwenden darf. Sie definieren beispielsweise, ob er das Dokument oder die E-Mail nur lesen oder lesen und drucken oder lesen und bearbeiten darf.

• Zugriffssteuerungen umfassen ein Ablaufdatum und geben an, ob für den Zugriff eine Verbindung mit dem Internet erforderlich ist.

Zum Konfigurieren des Azure Rights Management-Diensts, um bestimmte Szenarien zu unterstützen. Daher werden diese Gruppen nur von Administratoren ausgewählt. Beispiele umfassen die Konfiguration folgender Elemente:

• Administratoren, damit bestimmte Dienste oder Personen verschlüsselte Inhalte öffnen können, wenn dies für eDiscovery oder die Wiederherstellung von Daten erforderlich ist

• Delegierte Administration des Azure Rights Management-Diensts

• Onboarding-Steuerelemente zur Unterstützung einer stufenweisen Bereitstellung

Azure Information Protection-Anforderungen für Benutzerkonten

Zum Zuweisen von Bezeichnungen:

• Alle Benutzerkonten in Microsoft Entra ID können zum Konfigurieren bereichsbezogener Richtlinien verwendet werden, die Benutzern zusätzliche Bezeichnungen zuweisen.

Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen sowie zum Konfigurieren des Azure Rights Management-Diensts:

• Für die Autorisierung von Benutzern werden in Microsoft Entra ID zwei Attribute verwendet: proxyAddresses und userPrincipalName.

• Das Attribut Microsoft Entra ID proxyAddresses speichert alle E-Mail-Adressen für ein Konto und kann auf unterschiedliche Weise aufgefüllt werden. Ein Benutzer in Microsoft 365, der über ein Exchange Online-Postfach verfügt, erhält beispielsweise automatisch eine E-Mail-Adresse, die in diesem Attribut gespeichert ist. Wenn Sie einem Microsoft 365-Benutzer eine alternative E-Mail-Adresse zuweisen, wird diese ebenfalls in diesem Attribut gespeichert. Das Attribut kann auch durch Synchronisierung mit den E-Mail-Adressen lokaler Konten aufgefüllt werden.

  Azure Information Protection kann beliebige Werte im Attribut Microsoft Entra ID proxyAddresses verwenden, vorausgesetzt die Domäne wurde Ihrem Mandanten hinzugefügt („überprüfte Domäne“). Weitere Informationen zum Überprüfen von Domänen finden Sie in folgenden Artikeln:

  • Für Microsoft Entra ID: Hinzufügen eines benutzerdefinierten Do Standard Namens zu Microsoft Entra ID

  • Für Office 365: Hinzufügen einer Domäne zu Office 365

• Das Attribut Microsoft Entra ID userPrincipalName wird nur verwendet, wenn ein Konto in Ihrem Mandanten im Microsoft Entra ID-Attribut proxyAddresses keine Werte aufweist. Dies ist beispielsweise der Fall, wenn Sie einen Benutzer im Azure-Portal erstellen oder einen Benutzer für Microsoft 365 erstellen, der kein Postfach besitzt.

Zuweisen von Nutzungsrechten und Zugriffssteuerungen für externe Benutzer

Azure Information Protection verwendet die Attribute Microsoft Entra proxyAddresses und Microsoft Entra ID userPrincipalName nicht nur für Benutzer in Ihrem Mandanten, sondern auch in gleicher Weise zum Autorisieren von Benutzern aus einem anderen Mandanten.

Weitere Automatisierungsmethoden

• Bei E-Mail-Adressen, die sich nicht in der Microsoft Entra-ID befinden, kann Azure Information Protection diese autorisieren, wenn sie mit einem Microsoft-Konto authentifiziert werden. Nicht alle Anwendungen können geschützte Inhalte öffnen, wenn ein Microsoft-Konto zur Authentifizierung verwendet wird. Weitere Informationen

• Wenn eine E-Mail mit der Office 365-Nachrichtenverschlüsselung und deren neuen Funktionen an einen Benutzer gesendet wird, der kein Microsoft Entra ID-Konto besitzt, wird dieser Benutzer zunächst authentifiziert, indem ein Verbund mit einem sozialen Netzwerk als Identitätsanbieter hergestellt oder eine Einmalkennung verwendet wird. Anschließend wird die in der geschützten E-Mail angegebene E-Mail-Adresse verwendet, um den Benutzer zu autorisieren.

Azure Information Protection-Anforderungen für Gruppenkonten

Zum Zuweisen von Bezeichnungen:

• Um bereichsbezogene Richtlinien zu konfigurieren, die Gruppenmitgliedern zusätzliche Bezeichnungen zuweisen, können Sie alle Arten von Gruppen in Microsoft Entra ID verwenden, die über eine E-Mail-Adresse einer überprüften Domäne für den Mandanten des Benutzers verfügen. Eine Gruppe mit einer E-Mail-Adresse wird häufig als E-Mail-aktivierte Gruppe bezeichnet.

  Sie können beispielsweise eine E-Mail-aktivierte Sicherheitsgruppe, eine statische Verteilergruppe und eine Microsoft 365-Gruppe verwenden. Sie können keine Sicherheitsgruppe (dynamisch oder statisch) verwenden, da dieser Gruppentyp keine E-Mail-Adresse besitzt. Sie können auch keine dynamische Verteilerliste aus Exchange Online verwenden, da diese Gruppe nicht in Die Microsoft Entra-ID repliziert wird.

Zum Zuweisen von Nutzungsrechten und Zugriffssteuerungen:

• Sie können alle Arten von Gruppen in Microsoft Entra ID verwenden, die über eine E-Mail-Adresse einer überprüften Domäne für den Mandanten des Benutzers verfügen. Eine Gruppe mit einer E-Mail-Adresse wird häufig als E-Mail-aktivierte Gruppe bezeichnet.

Zum Konfigurieren des Azure Rights Management-Diensts:

• Sie können alle Arten von Gruppen in Microsoft Entra ID verwenden, die über eine E-Mail-Adresse einer überprüften Domäne für den Mandanten des Benutzers verfügen. Dabei gilt eine Ausnahme: Sie konfigurieren Onboarding-Steuerelemente für die Verwendung einer Gruppe, die in Microsoft Entra ID eine Sicherheitsgruppe für Ihren Mandanten sein muss.

• Sie können alle Gruppen in Microsoft Entra ID (mit oder ohne E-Mail-Adresse) aus einer überprüften Domäne in Ihrem Mandanten für die delegierte Administration des Azure Rights Management-Dienstes verwenden.

Zuweisen von Nutzungsrechten und Zugriffssteuerungen für externe Gruppen

Azure Information Protection verwendet das Attribut Microsoft Entra proxyAddresses nicht nur für Gruppen in Ihrem Mandanten, sondern auch in gleicher Weise zum Autorisieren von Gruppen aus einem anderen Mandanten.

Verwenden lokaler Konten aus Active Directory für Azure Information Protection

Wenn Sie über lokal verwaltete Konten verfügen, die Sie mit Azure Information Protection verwenden möchten, müssen Sie diese mit Microsoft Entra ID synchronisieren. Zur einfacheren Bereitstellung empfehlen wir die Verwendung von Microsoft Entra ID Connect. Sie können jedoch jede Verzeichnissynchronisierungsmethode verwenden, die das gleiche Ergebnis erzielt.

Wenn Sie Ihre Konten synchronisieren, brauchen Sie nicht alle Attribute zu synchronisieren. Eine Liste mit den Attributen, die synchronisiert werden müssen, finden Sie im Abschnitt zu Azure RMS in der Azure Active Directory-Dokumentation.

Anhand der Liste der Attribute für Azure Rights Management erkennen Sie, dass für Benutzer die lokalen AD-Attribute mail, proxyAddresses und userPrincipalName für die Synchronisierung erforderlich sind. Werte für mail und proxyAddresses werden mit dem Attribut Microsoft Entra proxyAddresses synchronisiert. Weitere Informationen finden Sie unter Auffüllen des Attributs proxyAddresses in Microsoft Entra ID

Bestätigen, dass Ihre Benutzer und Gruppen für Azure Information Protection vorbereitet sind

Sie können mithilfe von Azure AD PowerShell überprüfen, ob Benutzer und Gruppen mit Azure Information Protection verwendet werden können. Mit PowerShell können Sie auch die Werte bestätigen, die für deren Autorisierung verwendet werden können.

Stellen Sie beispielsweise mithilfe des V1-PowerShell-Moduls für Azure Active Directory (MSOnline) in einer PowerShell-Sitzung zunächst eine Verbindung mit dem Dienst her, und geben Sie Ihre globalen Administratoranmeldeinformationen an:

Connect-MsolService

Hinweis: Wenn dieser Befehl nicht funktioniert, können Sie Install-Module MSOnline ausführen, um das MSOnline-Modul zu installieren.

Konfigurieren Sie anschließend die PowerShell-Sitzung so, dass die Werte nicht abgeschnitten werden:

$Formatenumerationlimit =-1

Bestätigen, dass Benutzerkonten für Azure Information Protection bereit sind

Um die Benutzerkonten zu bestätigen, führen Sie den folgenden Befehl aus:

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

Ihre erste Überprüfung besteht jetzt darin, sicherzustellen, dass die Benutzer, die Sie mit Azure Information Protection verwenden möchten, angezeigt werden.

Überprüfen Sie anschließend, ob die Spalte ProxyAddresses aufgefüllt wurde. Wenn dies der Fall ist, können die E-Mail-Werte in dieser Spalte zur Autorisierung des Benutzers für Azure Information Protection genutzt werden.

Wenn die Spalte ProxyAddresses nicht aufgefüllt wurde, wird der Wert von UserPrincipalName verwendet, um den Benutzer für den Azure Rights Management-Dienst zu autorisieren.

Zum Beispiel:

In diesem Beispiel:

• Das Benutzerkonto für Jagannath Reddy wird mit jagannathreddy@contoso.com autorisiert.

• Das Benutzerkonto für Ankur Roy kann mit ankur.roy@contoso.com und ankur.roy@onmicrosoft.contoso.com, aber nicht mit ankurroy@contoso.com autorisiert werden.

In den meisten Fällen entspricht der Wert für „UserPrincipalName“ einem der Werte im Feld „ProxyAddresses“. Dies ist die empfohlene Konfiguration, aber wenn Sie Ihren UPN nicht entsprechend der E-Mail-Adresse ändern können, müssen Sie die folgenden Schritte ausführen:

1. Wenn der Domänenname im UPN-Wert eine überprüfte Domäne für Ihren Microsoft Entra ID-Mandanten ist, fügen Sie den UPN-Wert als weitere E-Mail-Adresse in Microsoft Entra ID hinzu, sodass der UPN-Wert nun verwendet werden kann, um das Benutzerkonto für Azure Information Protection zu autorisieren.

   Ist der Domänenname im UPN-Wert keine überprüfte Domäne für Ihren Mandanten, kann er nicht mit Azure Information Protection verwendet werden. Allerdings kann der Benutzer weiterhin als Mitglied einer Gruppe autorisiert werden, wenn die E-Mail-Adresse der Gruppe den Namen einer überprüften Domäne verwendet.

2. Wenn der UPN nicht geroutet werden kann (z.B. ankurroy@contoso.local), konfigurieren Sie alternative Anmelde-IDs für Benutzer, und erläutern Sie den Benutzern, wie sie sich mit dieser alternativen Anmelde-ID bei Office anmelden. Sie müssen außerdem einen Registrierungsschlüssel für Office festlegen.

   Bei UPN-Änderungen für Benutzer kommt es zu einem Verlust der Geschäftskontinuität für mindestens 24 Stunden oder bis sich die UPN-Änderungen ordnungsgemäß im System widerspiegeln.

   Weitere Informationen finden Sie unter Configuring Alternate Login ID (Konfigurieren einer alternativen Anmelde-ID) und Office applications periodically prompt for credentials to SharePoint, OneDrive, and Lync Online (Office-Anwendungen fordern regelmäßig Anmeldeinformationen für SharePoint, OneDrive und Lync Online an).

Bestätigen, dass Gruppenkonten für Azure Information Protection bereit sind

Verwenden Sie den folgenden Befehl, um Gruppenkonten zu bestätigen:

Get-MsolGroup | select DisplayName, ProxyAddresses

Stellen Sie sicher, dass die Gruppen, die Sie mit Azure Information Protection verwenden möchten, angezeigt werden. Die Gruppenmitglieder der angezeigten Gruppen können mithilfe der E-Mail-Adressen in der Spalte ProxyAddresses für den Azure Rights Management-Dienst autorisiert werden.

Überprüfen Sie anschließend, ob die Gruppen die gewünschten Benutzer (oder andere Gruppen) enthalten, die Sie für Azure Information Protection verwenden möchten. Sie können dazu PowerShell (z.B. Get-MsolGroupMember) oder das Verwaltungsportal verwenden.

In den beiden Konfigurationsszenarien des Azure Rights Management-Diensts, in denen Sicherheitsgruppen verwendet werden, können Sie mit dem folgenden PowerShell-Befehl die Objekt-ID und den Anzeigenamen suchen, die zum Identifizieren dieser Gruppen verwendet werden können. Sie können diese Gruppen auch im Azure-Portal suchen und die Werte für Objekt-ID und Anzeigenamen kopieren:

Get-MsolGroup | where {$_.GroupType -eq "Security"}

Überlegungen für Azure Information Protection bei E-Mail-Adressänderungen

Wenn Sie die E-Mail-Adresse eines Benutzers oder einer Gruppe ändern, wird empfohlen, die alte E-Mail-Adresse als zweite E-Mail-Adresse (auch als Proxyadresse, Alias oder alternative E-Mail-Adresse bezeichnet) für den Benutzer oder die Gruppe hinzuzufügen. Dadurch wird die alte E-Mail-Adresse zum Attribut Microsoft Entra ID proxyAddresses hinzugefügt. Durch dieses Vorgehen wird die Geschäftskontinuität für alle Nutzungsrechte oder anderen Konfigurationen gewährleistet, die gespeichert wurden, als noch die alte E-Mail-Adresse verwendet wurde.

Ist dies nicht möglich, riskiert der Benutzer oder die Gruppe mit der neuen E-Mail-Adresse, dass ihm bzw. ihr der Zugriff auf Dokumente und E-Mails verweigert wird, die zuvor mit der alten E-Mail-Adresse geschützt waren. In diesem Fall müssen Sie die Schutzkonfiguration wiederholen, um die neue E-Mail-Adresse zu speichern. Wenn dem Benutzer oder der Gruppe beispielsweise Nutzungsrechte in Vorlagen oder Bezeichnungen erteilt wurden, bearbeiten Sie diese Vorlagen oder Bezeichnungen, und geben Sie die neue E-Mail-Adresse mit den gleichen Nutzungsrechten an, die Sie der alten E-Mail-Adresse erteilt hatten.

Beachten Sie, dass Gruppen nur selten ihre E-Mail-Adresse ändern, und wenn Sie Nutzungsrechte einer Gruppe und nicht einzelnen Benutzer zuweisen, ist es unerheblich, ob sich E-Mail-Adressen von Benutzern ändern. Die Nutzungsrechte werden in diesem Szenario der Gruppen-E-Mail-Adresse und nicht den einzelnen Benutzer-E-Mail-Adressen zugewiesen. Dies ist die wahrscheinlichste (und empfohlene) Methode, wie ein Administrator Nutzungsrechte zum Schutz von Dokumenten und E-Mails konfiguriert. Allerdings ist es nicht unüblich, dass Benutzer einzelnen Benutzern benutzerdefinierte Berechtigungen zuweisen. Da Sie nicht immer wissen, ob der Zugriff einem Benutzerkonto oder einer Gruppe gewährt wurde, ist es am sichersten, die alte E-Mail-Adresse immer als zweite E-Mail-Adresse hinzuzufügen.

Zwischenspeichern von Gruppenmitgliedschaften durch Azure Rights Management

Aus Leistungsgründen wird die Gruppenmitgliedschaft vom Azure Rights Management-Dienst zwischengespeichert. Das bedeutet, dass es bis zu drei Stunden dauern kann, bis Änderungen an der Gruppenmitgliedschaft in Microsoft Entra ID wirksam sind, wenn diese Gruppen von Azure Rights Management verwendet werden. Änderungen dieses Zeitraums sind vorbehalten.

Berücksichtigen Sie diese Verzögerung bei Änderungen oder Tests, wenn Sie Gruppen verwenden, um Nutzungsrechte zuzuweisen oder den Azure Rights Management-Dienst zu konfigurieren, oder wenn Sie bereichsbezogene Richtlinien konfigurieren.

Nächste Schritte

Wenn Sie sich vergewissert haben, dass Ihre Benutzer und Gruppen mit Azure Information Protection verwendet werden können und bereit sind, mit dem Schutz von Dokumenten und E-Mails zu beginnen, aktivieren Sie den Rights Management-Dienst als Datenschutzdienst. Dieser Dienst muss aktiviert werden, bevor Sie die Dokumente und E-Mails Ihrer Organisation schützen können:

• Wenn Ihr Abonnement, das Azure Rights Management oder Azure Information Protection umfasst, gegen Ende Februar 2018 oder später abgeschlossen wurde: Der Dienst wird automatisch für Sie aktiviert.

• Wenn Ihr Abonnement vor Februar 2018 erworben wurde: Sie müssen den Dienst selbst aktivieren.

Weitere Informationen, einschließlich zur Überprüfung des Aktivierungsstatus, finden Sie unter Aktivieren des Schutzdiensts von Azure Information Protection.