Microsoft 365 Business: So konfigurieren Sie Azure Information Protection

Der Begriff Informationsschutz oder IP wird im Allgemeinen verwendet, um Industriestandards und Best Practices zum Schutz von Informationen vor unbefugtem Zugriff zu umfassen. Im Microsoft-Ökosystem ist Azure Information Protection ein Clouddienst, der es Unternehmen ermöglicht, Daten mit Bezeichnungen zu klassifizieren, um den Zugriff zu kontrollieren. Azure Information Protection kann als eigenständige Lizenz erworben oder in eine Lösung wie Microsoft 365 Business gebündelt werden.

Im Folgenden finden Sie eine Aufschlüsselung der Funktionen, die in jeder der vier Versionen von Azure Information Protection enthalten sind . Die AIP Premium P1-Lizenz ist in Microsoft 365 Business enthalten.

Die Entwicklung von Azure Information Protection

Azure Information Protection hat in den letzten Jahren eine Weiterentwicklung durchlaufen, und Sie haben diese Technologie möglicherweise unter einem anderen Namen kennengelernt. Einige der alten Namen der Technologie sind Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Managements, Information Rights Management (IRM) oder einfach „The New Microsoft RMS. ” Sie tun sich und Microsoft einen großen Gefallen, indem Sie all diese alten Namen vergessen und einfach bei Azure Information Protection bleiben .

Die neueste Version dieser Cloud-Technologie bietet jetzt Klassifizierungs- und Kennzeichnungsfunktionen, die wiederum Rechteverwaltung zum Schutz von Dateien anwenden können. Auf hoher Ebene schützt Azure Information Protection Ihre Daten in drei wichtigen Schritten:

Zuerst werden die Daten klassifiziert und gekennzeichnet . Wenn ein Dokument beispielsweise als vertraulich eingestuft wird und nur den Empfängern der E-Mail zur Verfügung stehen soll, könnte das Label Vertraulich – Nur Empfänger sein.“

Als nächstes werden die Daten durch Verschlüsselung, Zugriffskontrolle und Richtlinien basierend auf dem Label geschützt. Um mit dem vorherigen Beispiel fortzufahren, wird ein Dokument, das mit dem Label Vertraulich – Nur Empfänger gekennzeichnet ist, verschlüsselt, sodass nur die Empfänger es lesen können.

Schließlich können Dokumente nachverfolgt und der Zugriff bei Bedarf widerrufen werden. Aus dem vorherigen Beispiel kann der Absender der E-Mail entscheiden, dass einer der Empfänger keinen Zugriff mehr auf das Dokument haben soll. In diesem Fall kann der Absender einem bestimmten Benutzer den Zugriff entziehen.

Office 365 Message Encryption oder OME ist eines der Features in Azure Information Protection. Wenn Sie über die AIP Premium P2-Lizenz verfügen, können Sie zusätzliche Funktionalitäten wie die automatische Klassifizierung für Cloud- und On-Premise-Daten nutzen. Hier entdecken Sie die Funktionen der AIP Premium P1-Lizenz.

Aktivieren von Azure Information Protection

Um mit der Verwendung von Azure Information Protection zu beginnen, müssen Sie als IT-Administrator zunächst den Dienst in Ihrem Microsoft 365 Business- Mandanten aktivieren . Auch wenn Sie der Meinung sind, dass der Dienst bereits aktiviert ist, schadet es nicht, dies zu überprüfen. Hier ist wie:

Melden Sie sich mit Ihren globalen Administratoranmeldeinformationen beim Admin-Portal von Microsoft an .

Klicken Sie in der linken Navigation unter der Gruppe Einstellungen auf Dienste und Add-In.

Die Seite Dienste & Add-Ins wird angezeigt.

Navigieren zu den Microsoft Azure Information Protection-Einstellungen.

Wählen Sie Microsoft Azure-Informationsschutz

Das Fenster Microsoft Azure Information Protection wird rechts angezeigt.

Klicken Sie im Fenster Microsoft Azure Information Protection auf Microsoft Azure Information Protection-Einstellungen verwalten.

Bestätigen Sie, dass die Rechteverwaltung aktiviert ist. Ist dies nicht der Fall, klicken Sie auf die Schaltfläche Aktivieren

In diesem Beispiel ist der Mandant bereits für Azure Information Protection aktiviert.

Ein Mandant mit aktivierter Rechteverwaltung.

Nachdem Sie den Status Ihrer Azure Information Protection-Einstellungen bestätigt haben, können Sie das Browserfenster sicher schließen oder vom App-Startprogramm aus zurück zu Microsoft 365 Admin Center navigieren.

Kennenlernen von Azure Information Protection-Bezeichnungen

Azure Information Protection ist mit Standardrichtlinien und -bezeichnungen vorkonfiguriert, die für die meisten Organisationen, einschließlich kleiner Unternehmen, gelten. Bevor Sie über die Konfiguration benutzerdefinierter Bezeichnungen und Richtlinien für Ihre Organisation nachdenken, sollten Sie sich mit den Standardeinstellungen von Azure Information Protection vertraut machen. Sie können sich viel Arbeit beim Erstellen und Testen benutzerdefinierter Richtlinien ersparen.

Wenn Ihr Office 365- Mandant nach Februar 2018 mit Azure Information Protection bereitgestellt wurde, sind die folgenden Bezeichnungen und entsprechenden Beschreibungen bereits verfügbar:

• Persönlich: Nicht geschäftliche Daten, nur für den persönlichen Gebrauch.
• Öffentlich: Geschäftsdaten, die speziell für den öffentlichen Gebrauch aufbereitet und freigegeben sind.
• Allgemein: Geschäftsdaten, die nicht für den öffentlichen Gebrauch bestimmt sind, aber bei Bedarf mit externen Partnern geteilt werden können. Beispiele hierfür sind ein unternehmensinternes Telefonverzeichnis, Organigramme, interne Standards und die meisten internen Kommunikationsmittel.
• Vertraulich: Sensible Geschäftsdaten, die dem Unternehmen schaden können, wenn sie an nicht autorisierte Personen weitergegeben werden. Beispiele hierfür sind Verträge, Sicherheitsberichte, Prognosezusammenfassungen und Verkaufskontodaten. Das Vertraulich-Label ist weiter in zwei Unter-Label unterteilt:
  • Nur Empfänger: Vertrauliche Daten, die geschützt werden müssen und nur von den Empfängern eingesehen werden können. Diese Bezeichnung wird nur in Outlook angezeigt und wendet die Richtlinie „Nicht weiterleiten“ an.
  • Alle Mitarbeiter: Vertrauliche Daten, die einen Schutz erfordern, der allen Mitarbeitern volle Berechtigungen gewährt. Dateneigentümer können Inhalte verfolgen und widerrufen.
  • Jeder (nicht geschützt): Daten, die keinen Schutz benötigen. Verwenden Sie diese Option mit Bedacht und mit angemessener geschäftlicher Begründung.
• Höchst Vertraulich. Sehr sensible Geschäftsdaten, die dem Unternehmen Schaden zufügen würden, wenn sie an Unbefugte weitergegeben würden. Beispiele sind Mitarbeiter- und Kundeninformationen, Passwörter, Quellcode und vorab angekündigte Finanzberichte. Das Label „Highly Confidential“ ist weiter in drei Unterlabels unterteilt:
  • Recipients Only: Highly confidential data that requires protection and that can be viewed only by the recipients. This label will only appear in Outlook and will apply the Do Not Forward policy.
  • All Employees: Highly confidential data that allows all employees to view, edit, and reply permissions to this content. Data owners can track and revoke content.
  • Anyone (not protected): Data that does not require protection. Use this option with care and with appropriate business justification.

If your Office 365 tenant was provisioned before March 21, 2017, you’ll find that the General and Highly Confidential labels are missing. Their equivalent in the older tenants are Internal and Secret, respectively.

To further explore these labels and corresponding policies, you need to navigate to the Azure portal and access the Azure Information Protection service settings. Here’s how:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

Azure Information Protection — Labels page in Azure.

The Confidential and Highly Confidential labels are collapsed by default. To view their sublabels, click the arrow to the left of the label to expand the selection.

A few words about Azure Information Protection policies

On the Azure Information Protection — Labels page, note that the labels all have Global under the Policy column. By default, Azure Information Protection comes with a Global policy that is applied to all users in the tenant. You can edit this policy, but you can’t delete it. You can also create new policies and configure them to your heart’s content, but the Global policy will always be there.

To view the details of the Azure Information Protection Global policy, follow these steps:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

In the left menu, under the Classifications group, click Policies.

On the right, the Configure Administrative Name and Description for Each Policy blade is displayed.The Policy: Global blade is displayed.

The Policy: Global blade in Azure Information Protection.

Be careful about changing the default settings in the Global policy because it is applicable to everyone in your organization. You might want to create another policy first and test it out. If you decide to change the Global policy, make sure to save your changes. (If you forget and simply close the blade, the system will prompt you to save your changes.)

Putting Azure Information Protection Into Action

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

The installation window disappears, and you’re now ready to check that the Azure Information Protection client was successfully installed.To verify the installation, open a blank document in Word. You see the labels below the ribbon.

Azure Information Protection labels displayed in Word.

Applying a label to a document

Now that the Azure Information Protection client is installed, and the labels are displayed in the Office applications, it’s time to put it to the test.

Create a Word document and pretend that it’s highly confidential.

On the Sensitivity bar, click Highly Confidential and select All Employees.

Applying the Highly Confidential/All Employees label.

The label is applied, and the other labels will disappear.

Run Outlook, start a new email, and attach the Word document.

Beachten Sie, dass Outlook die Empfindlichkeitsleiste mit denselben Bezeichnungen anzeigt, die Sie in Word gesehen haben.

Geben Sie die E-Mail-Adresse eines Benutzers in Ihrer Organisation ein.

Geben Sie eine E-Mail-Adresse außerhalb Ihrer Organisation ein und klicken Sie dann auf Senden.

Outlook sendet die E-Mail an die Empfänger mit dem Label "Highly Confidential/All Employees". In dieser Übung wird die E-Mail weiterhin sowohl an den internen als auch an den externen Benutzer gesendet. Der interne Benutzer kann das Dokument aus der Freigabeeinladung öffnen und lesen. Der externe Benutzer wird jedoch daran gehindert, das Dokument zu öffnen und erhält die hier angezeigte Meldung.

Ein externer Benutzer, der von einem vertraulichen Dokument blockiert wurde.

Widerruf des Zugriffs auf Informationen

Azure Information Protection schützt Ihre Unternehmensinformationen davor, in die falschen Hände zu geraten – selbst wenn sie in die falschen Hände geraten sind.

Angenommen, Sie stellen beispielsweise fest, dass Sie ein Dokument versehentlich an die falschen Personen gesendet haben, und möchten die Situation beheben, indem Sie allen Zugriff auf das Dokument widerrufen. Folgendes können Sie tun, indem Sie das obige Beispiel fortsetzen:

Öffnen Sie das geschützte Word-Dokument aus der vorherigen Übung.

Ein gelber Balken wird angezeigt, der die Vertraulichkeit des Dokuments anzeigt und eine Schaltfläche enthält, um die Berechtigungen für das Dokument anzuzeigen.

Klicken Sie im Menüband auf Start und dann auf die Schaltfläche Schützen.

Unterhalb der Schaltfläche Schützen wird ein Untermenü angezeigt.

Zugriff auf die Website zur Dokumentenverfolgung.

Klicken Sie im Untermenü auf Verfolgen und widerrufen, um die Dokumentverfolgungs-Site zu starten.

Ihr Browser wird gestartet, um Sie zur Website zur Dokumentenverfolgung zu führen.

Wenn Sie die Site zum ersten Mal besuchen, melden Sie sich mit Ihren Microsoft 365 Business-Anmeldeinformationen an.

Nach einer erfolgreichen Anmeldung zeigt die Dokument-Tracking-Site eine Zusammenfassung der Ansichten Ihres Dokuments an. Erkunden Sie die Registerkarten, um die robusten Funktionen in Azure Information Protection anzuzeigen.

Die Dokument-Tracking-Site.

Klicken Sie unten auf der Website zur Dokumentverfolgung auf die Schaltfläche Zugriff widerrufen.

Die Seite Zugriff widerrufen wird angezeigt.

Klicken Sie unten auf der Seite auf die Schaltfläche Bestätigen.

Das Fenster Vollständig widerrufen wird angezeigt.

Klicken Sie auf Weiter, um zur Dokumentverfolgungsseite zurückzukehren.

In der Übersichtsansicht zeigt das Dokument den Stempel Widerrufen an.

Eine der erstaunlichsten Funktionen dieser Lösung ist, dass Sie auf der Registerkarte Karte sehen können, wo Benutzer auf der ganzen Welt versucht haben, auf Ihr Dokument zuzugreifen! Wenn Sie also jemals feststellen, dass jemand aus beispielsweise Russland oder Timbuktu versucht hat, Ihr Dokument zu öffnen, obwohl sich alle Ihre Benutzer in den USA befinden, wissen Sie, dass der Zugriff auf das Dokument widerrufen werden sollte.