Was ist Azure Rights Management?

Azure Rights Management (Azure RMS) ist die cloudbasierte Schutztechnologie, die von Azure Information Protection verwendet wird.

Azure RMS hilft beim geräteübergreifenden (u. a. Smartphones, Tablets und PCs) Schutz von Dateien und E-Mails geräteübergreifend durch Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien.

Wenn Mitarbeiter z. B. ein Dokument an ein Partnerunternehmen per E-Mail senden oder ein Dokument auf ihrem Cloud-Laufwerk speichern, hilft der dauerhafte Schutz von Azure RMS beim Sichern der Daten.

  • Die Schutzeinstellungen bleiben bei Ihren Daten, auch wenn sie die Grenzen Ihrer Organisation verlassen und halten Ihre Inhalte sowohl innerhalb als auch außerhalb Ihrer Organisation geschützt.

  • Für Azure RMS kann Compliance, gesetzliche Ermittlungsanforderungen oder bewährte Methoden für die Informationsverwaltung gesetzlich vorgeschrieben sein.

  • Verwenden Sie Azure RMS mit Microsoft 365-Abonnements oder Abonnements für Azure Information Protection. Weitere Informationen finden Sie auf der Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance .

Azure RMS stellt sicher, dass autorisierte Personen und Dienste, z. B. Suche und Indizierung, die geschützten Daten weiterhin lesen und prüfen können.

Die Sicherstellung des kontinuierlichen Zugriffs für autorisierte Personen und Dienste, auch bekannt als „Reasoning over data“, ist ein entscheidendes Element bei der Standard Nachhaltigen Kontrolle der Daten Ihrer Organisation. Diese Funktion kann nicht einfach mit anderen Lösungen zum Schutz von Informationen erreicht werden, die Peer-to-Peer-Verschlüsselung verwenden.

Schutzfunktionen

Funktion Beschreibung
Schützen mehrerer Dateitypen Bei frühen Implementierungen von Rights Management konnten nur Office-Dateien mit integriertem Rechteverwaltungsschutz geschützt werden.

Azure Information Protection bietet Unterstützung für zusätzliche Dateitypen. Weitere Informationen finden Sie unter Unterstützte Dateitypen.
Schützen von Dateien überall Wenn eine Datei geschützt ist, haben Sie die Garantie, dass die Datei geschützt bleibt, auch wenn diese in einen Speicher kopiert wird, der nicht von der IT kontrolliert wird, beispielsweise einem Cloudspeicherdienst.

Zusammenarbeitsfunktionen

Funktion Beschreibung
Sicher Informationen freigeben Geschützte Dateien können für andere Personen sicher freigegeben werden, z. B. eine Anlage zu einer E-Mail oder einen Link zu einer SharePoint-Website.

Wenn die vertraulichen Informationen in einer E-Mail-Nachricht enthalten sind, schützen Sie die E-Mail, oder verwenden Sie die Option Nicht weiterleiten von Outlook.
Unterstützung für Business-to-Business-Zusammenarbeit Da Azure Rights Management ein Clouddienst ist, erübrigt es sich, explizit Vertrauensstellungen mit anderen Organisationen zu konfigurieren, bevor Sie geschützte Inhalte freigeben können.

Die Zusammenarbeit mit anderen Organisationen, die bereits ein Microsoft 365- oder ein Michrosoft Entra-Verzeichnis haben, wird automatisch unterstützt.

Für Unternehmen ohne Microsoft 365 oder ein Microsoft Entra-Verzeichnis können sich Benutzer für das kostenlose Abonnement RMS für Einzelpersonen anmelden oder ein Microsoft-Konto für unterstützte Anwendungen verwenden.

Tipp

Wenn Sie geschützte Dateien anfügen, anstatt eine gesamte E-Mail-Nachricht zu schützen, können Sie den E-Mail-Text unverschlüsselt lassen.

Sie können z. B. Anweisungen für die erstmalige Verwendung einschließen, wenn die E-Mail außerhalb Ihrer Organisation gesendet wird. Wenn Sie eine geschützte Datei anfügen, können die grundlegenden Anweisungen von jedem gelesen werden, aber nur autorisierte Benutzer können das Dokument öffnen, auch wenn die E-Mail oder das Dokument an andere Personen weitergeleitet wird.

Plattform-Unterstützungsfeatures

Azure RMS unterstützt eine breite Palette von Plattformen und Anwendungen, darunter:

Funktion Beschreibung
Häufig verwendete Geräte
nicht nur Windows-Computer
Clientgeräte umfassen:

- Windows-Computer und Smartphones
- Mac-Computer
- iOS-Tablets und -Smartphones
- Android-Tablets und -Smartphones
Lokale Dienste Zusätzlich zur nahtlosen Zusammenarbeit mit Office 365 können Sie Azure Rights Management mit den folgenden lokalen Diensten verwenden, wenn Sie den RMS-Connector einsetzen:

- Exchange Server
- SharePoint Server
- Windows Server mit Dateiklassifizierungsinfrastruktur
Anwendungserweiterbarkeit Azure Rights Management verfügt über eine enge Integration in Microsoft Office-Apps und Dienste und erweitert die Unterstützung für andere Anwendungen mithilfe des Azure Information Protection-Clients.

Das Microsoft Information Protection SDK bietet Ihren internen Entwicklern und Softwareanbietern APIs zum Schreiben von benutzerdefinierten Anwendungen, die Azure Information Protection unterstützen.

Weitere Informationen finden Sie unter Andere Anwendungen, die die Rights Management APIs unterstützen.

Infrastrukturfeatures

Azure RMS bietet die folgenden Features zur Unterstützung von IT-Abteilungen und Infrastrukturorganisationen:

Hinweis

Organisationen haben immer die Möglichkeit, die Verwendung des Azure Rights Management-Diensts zu beenden, ohne den Zugriff auf Inhalte zu verlieren, die zuvor durch Azure Rights Management geschützt wurden.

Weitere Informationen finden Sie unter Außerbetriebnahme und Deaktivieren von Azure Rights Management.

Erstellen einfacher und flexibler Richtlinien

Angepasste Schutzvorlagen bieten Administratoren eine schnelle und einfache Lösung zum Anwenden von Richtlinien und für Benutzer, um das richtige Schutzniveau für jedes Dokument anzuwenden und den Zugriff auf Personen innerhalb Ihrer Organisation einzuschränken.

Um beispielsweise ein unternehmensweites Strategiepapier für alle Mitarbeiter freizugeben, wenden Sie eine schreibgeschützte Richtlinie auf alle internen Mitarbeiter an. Bei einem sensibleren Dokument, z. B. einem Finanzbericht, beschränken Sie den Zugriff auf nur Führungskräfte.

Konfigurieren Sie Ihre Bezeichnungsrichtlinien im Microsoft Purview-Complianceportal. Weitere Informationen finden Sie in der Dokumentation zu Vertraulichkeitsbezeichnungen in Microsoft 365.

Einfache Aktivierung

Bei neuen Abonnements wird die Aktivierung automatisch aktiviert. Für vorhandene Abonnements erfordert die Aktivierung des Rights management-Diensts nur ein paar Klicks in Ihrem Verwaltungsportal oder zwei PowerShell-Befehle.

Dienste zu Auditing und Überwachung

Audit und Überwachung der Verwendung Ihrer geschützten Dateien, auch nachdem diese Dateien die Grenzen Ihrer Organisation verlassen.

Wenn beispielsweise ein Mitarbeiter von Contoso, Ltd an einem gemeinsamen Projekt mit drei Personen von Fabrikam, Inc. arbeitet, kann er seinen Fabrikam-Partnern ein Dokument senden, das geschützt und auf schreibgeschützt beschränkt ist.

Die Azure RMS-Überwachung kann die folgenden Informationen bereitstellen:

  • Gibt an, ob die Fabrikam-Partner das Dokument und wann geöffnet haben.

  • Gibt an, ob andere Personen, die nicht angegeben wurden, versucht haben und daran gescheitert sind, das Dokument zu öffnen. Dies kann passieren, wenn die E-Mail weitergeleitet oder an einem freigegebenen Speicherort gespeichert wurde.

AIP-Administratoren können die Dokumentverwendung nachverfolgen und den Zugriff für Office-Dateien widerrufen. Benutzer können den Zugriff auf ihre geschützten Dokumente nach Bedarf widerrufen.

Möglichkeit zum Skalieren in Ihrer Organisation

Da Azure Rights Management als Clouddienst mit der Azure-Flexibilität ausgeführt wird, um hoch- und out zu skalieren, müssen Sie keine zusätzlichen lokalen Server bereitstellen.

Verwalten der IT-Kontrolle über Daten

Organisationen können von IT-Steuerungsfeatures profitieren, z. B.:

Funktion Beschreibung
Mandanten-Schlüsselverwaltung Verwenden Sie Mandanten-Schlüsselverwaltungslösungen, z. B. Bring Your Own Key (BYOK) oder Doppelschlüsselverschlüsselung (DKE).

Weitere Informationen finden Sie hier:
- Planen und Implementieren Ihres AIP-Mandantenschlüssels
- DKE in der Dokumentation zu Microsoft 365.
Überwachung und Nutzungsprotokollierung Verwenden Sie Überwachungs- und Nutzungsprotokollierungsfeatures, um Geschäftseinblicke zu analysieren, auf Missbrauch zu überwachen und forensische Analysen für Informationslecks durchzuführen.
Zugriffsdelegierung Stellvertretungszugriff mit dem Superbenutzerfeature, um sicherzustellen, dass die IT immer auf geschützte Inhalte zugreifen kann, auch wenn ein Dokument von einem Mitarbeiter geschützt wurde, der dann die Organisation verlässt.
Im Vergleich dazu besteht bei Peer-to-Peer-Verschlüsselungslösungen die Gefahr, dass der Zugriff auf Unternehmensdaten verloren geht.
Active Directory-Synchronisierung Synchronisieren Sie nur die Verzeichnisattribute, die Azure RMS benötigt, um eine gemeinsame Identität für Ihre lokalen Active Directory-Konten zu unterstützen, indem Sie eine Hybrididentitätslösung wie Microsoft Entra Connect verwenden.
Einmaliges Anmelden Aktivieren Sie einmaliges Anmelden, ohne Kennwörter in der Cloud zu replizieren, indem Sie AD FS verwenden.
Migrieren von AD RMS Wenn Sie Active Directory Rights Management Services (AD RMS) bereitgestellt haben, migrieren Sie zum Azure Rights Management-Dienst, ohne den Zugriff auf Daten zu verlieren, die zuvor durch AD RMS geschützt wurden.

Sicherheits-, Compliance- und regulatorische Anforderungen

Azure Rights Management unterstützt die folgenden Sicherheits-, Compliance- und regulatorische Anforderungen:

  • Verwendung von Branchenstandard-Kryptografie und unterstützt FIPS 140-2. Weitere Informationen finden Sie unter den Informationen Kryptografische Steuerelementen, die von Azure RMS verwendet werden: Algorithmen und Schlüssellänge.

  • Unterstützung für nCipher nShield Hardwaresicherheitsmodul (HSM) zum Speichern Ihres Mandantenschlüssels in Microsoft Azure-Rechenzentren.

    Azure Rights Management verwendet separate Sicherheitswelten für seine Rechenzentren in Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien, sodass Ihre Schlüssel nur in Ihrer Region verwendet werden können.

  • Zertifizierung für die folgenden Standards:

    • ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
    • SOC 2-SSAE 16/ISAE 3402-Attestierungen
    • HIPAA BAA
    • EU-Modellklausel
    • FedRAMP als Teil der Microsoft Entra ID in Office 365-Zertifizierung, ausgestellt FedRAMP Agency Authority to Operate by HHS
    • PCI-DSS Level 1

Weitere Informationen zu diesen externen Zertifizierungen finden Sie im Azure Trust Center.

Nächste Schritte

Weitere technische Informationen zur Funktionsweise des Azure Rights Management-Diensts finden Sie unter Wie funktioniert Azure RMS?

Wenn Sie mit der lokalen Version von Rights Management, Active Directory Rights Management Services (AD RMS) vertraut sind, interessieren Sie sich möglicherweise für die Vergleichstabelle aus dem Vergleich von Azure Rights Management und AD RMS.