Information Rights Management (IRM) hilft Ihnen, zu verhindern, dass vertrauliche Informationen unsachgemäß durch nicht autorisierte Benutzer verwendet werden. Mit dem Feature für benutzerdefinierte Berechtigungen können Sie auswählen, wer eine Datei anzeigen, bearbeiten oder vollständig steuern kann. Wenn für Ihre organization Vertraulichkeitsbezeichnungen aktiviert sind, kann das Definieren benutzerdefinierter Berechtigungen erforderlich sein, wenn bestimmte Vertraulichkeitsbezeichnungen angewendet werden.
Hinweise:
-
IRM-Berechtigungen unterscheiden sich von SharePoint-Berechtigungen. Wenn Sie benutzerdefinierte Berechtigungen auf eine in SharePoint gespeicherte Datei anwenden, stellen Sie sicher, dass die Benutzer, denen Sie IRM-Berechtigungen zuweisen, auch über SharePoint-Berechtigungen für den Zugriff auf die Datei verfügen. Weitere Informationen zu SharePoint-Berechtigungen finden Sie unter Share Share SharePoint-Dateien oder -Ordner.
Anzeigen von Inhalten mit benutzerdefinierten Berechtigungen
Um Inhalte anzuzeigen, die über benutzerdefinierte Berechtigungen verfügen, öffnen Sie einfach das Dokument in der relevanten M365-App.
Wenn Sie zum ersten Mal versuchen, ein Dokument mit eingeschränkten Berechtigungen zu öffnen, müssen Sie eine Verbindung mit einem Lizenzierungsserver herstellen, um Ihre Anmeldeinformationen zu überprüfen und eine Nutzungslizenz zu erhalten. Die Nutzungslizenz definiert die Zugriffsebene, die Sie für eine Datei haben. Dieser Vorgang ist für jede Datei mit eingeschränkten Berechtigungen erforderlich. Wenn Sie nicht über die Berechtigung zum Anzeigen der Datei verfügen, wird beim Versuch, sie zu öffnen, ein Fehler vom Typ Zugriffsverweigerung angezeigt.
Anwenden benutzerdefinierter Berechtigungen
Derzeit wird das Anwenden benutzerdefinierter Berechtigungen in Microsoft 365 für Windows, Mac und im Web unterstützt. Sie können inhalte weiterhin mit benutzerdefinierten Berechtigungen auf mobilen Plattformen anzeigen, aber Sie können die Berechtigungen nicht anzeigen oder ändern.
Beschränken von Zugriffsberechtigungen auf Dateiinhalte
Das Dialogfeld für benutzerdefinierte Berechtigungen wird geöffnet, wenn eine Vertraulichkeitsbezeichnung angewendet wird, die benutzerdefinierte Berechtigungen erfordert.
Um benutzerdefinierte Berechtigungen ohne Vertraulichkeitsbezeichnung anzuwenden, wählen Sie Datei > Informationen > Dokument schützen > Zugriff einschränken > Eingeschränkten Zugriff aus.
Hinweis: Wenn für Ihre organization Vertraulichkeitsbezeichnungen aktiviert sind, müssen Sie eine Vertraulichkeitsbezeichnung auswählen, um Berechtigungen einzuschränken.
Um Einschränkungen pro Benutzer anzuwenden, geben Sie einen Namen oder eine E-Mail-Adresse ein, nach dem der Benutzer gesucht und ausgewählt werden soll.
Um Einschränkungen pro Gruppe anzuwenden, geben Sie @ gefolgt von der Domäne ein.
Wichtige Überlegungen beim Erteilen von Berechtigungen nach Domäne
Wenn Sie eine Domäne angeben, für die Berechtigungen erteilt werden sollen, gewähren Sie diese Berechtigungen allen Konten in diesem organization.
Das bedeutet, dass, wenn organization andere Domänennamen in ihrem Microsoft Entra ID hat, diese Berechtigungen auch auf diese Benutzer ausgedehnt werden. Wenn Tailwind Toys beispielsweise auch die contosogames.com Domäne in ihrem Microsoft Entra ID dann erhalten alle Benutzer von contosogames.com auch die Berechtigungen, die tailwindtoys.com Benutzern gewährt werden.
Dies gilt auch für Unterdomänen. Durch das Erteilen von Berechtigungen für sales.tailwindtoys.com werden diese Berechtigungen auch für alle anderen Konten in tailwindtoys.com sowie für alle anderen Domänen gewährt, die in ihren Microsoft Entra ID vorhanden sind.
Angeben, wer was mit der Datei tun kann
Berechtigungsstufen sind vordefinierte Gruppen von Nutzungsrechten, die Benutzern unterschiedliche Berechtigungen innerhalb der Datei gewähren. Die vier in M365 für Windows verfügbaren Berechtigungsstufen sind:
-
Viewer: Der Benutzer kann zwar anzeigen, aber nicht bearbeiten, drucken, Inhalte kopieren oder den Schutz ändern/entfernen.
-
Eingeschränkter Editor: Der Benutzer kann zwar anzeigen und bearbeiten, aber er kann keine Inhalte drucken, kopieren oder den Schutz ändern/entfernen.
-
Editor: Der Benutzer kann Inhalte anzeigen, bearbeiten, drucken und kopieren, aber er kann den Schutz nicht ändern oder entfernen.
-
Besitzer: Der Benutzer hat die vollständige Kontrolle über die Datei, einschließlich der Möglichkeit zum Ändern/Entfernen des Schutzes.
Festlegen weiterer Optionen
Sie können optional zusätzliche Einstellungen angeben, wenn Sie benutzerdefinierte Berechtigungen anwenden.
Sie können ein Datum angeben, an dem die gewährten Berechtigungen ablaufen sollen.
-
Aktivieren Sie im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen das Kontrollkästchen "Dieses Dokument läuft ab".
-
Verwenden Sie die Datumsauswahl, um ein Ablaufdatum auszuwählen. Beachten Sie, dass das ausgewählte Datum in der Zukunft sein muss.
Wenn ein Benutzer eine Datei öffnet, für die er nicht über vollständige Berechtigungen verfügt, wird ihnen die Möglichkeit angeboten, sich an den Dateibesitzer zu wenden, um zusätzliche Berechtigungen anzufordern. Standardmäßig ist der primäre Besitzer der Datei der Kontakt für diese Anforderung. Sie können eine andere Kontaktstelle für die Anforderung zusätzlicher Berechtigungen definieren.
Hinweis: Benutzer können Berechtigungen für eine Datei nur ändern, wenn sie Besitzer sind.
Standardmäßig kann auf Dateiinhalte, die mit benutzerdefinierten Berechtigungen geschützt sind, nicht programmgesteuert zugegriffen werden. Um den programmgesteuerten Zugriff auf Dateiinhalte zuzulassen, wählen Sie programmgesteuert auf Inhalt zugreifen im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen aus.
Wenn ein Benutzer zum ersten Mal eine Datei mit eingeschränkten Berechtigungen in M365 für Windows oder Mac öffnet, wird dem Benutzer vom Lizenzierungsserver eine Nutzungslizenz für die Datei gewährt. Die Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte des Benutzers für die Datei sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln der Datei verwendet wird. Nach der Erteilung ist die Nutzungslizenz 30 Tage oder bis zum benutzerdefinierten Ablaufdatum gültig, je nachdem, was zuerst eintritt. Während dieses Zeitraums wird der Benutzer nicht erneut authentifiziert oder erneut authentifiziert, um mit demselben Gerät auf die Datei zuzugreifen. Dies bedeutet, dass selbst wenn die Berechtigung des Benutzers für die Datei geändert oder entfernt wird, er weiterhin auf die Datei zugreifen kann, bis die zuvor erteilte Nutzungslizenz abläuft.
Wenn Sie verlangen möchten, dass die Berechtigung des Benutzers für die Datei bei jedem Öffnen überprüft wird, wählen Sie Im Abschnitt Weitere Optionen des Dialogfelds Berechtigungendie Option Verbindung zum Überprüfen der Benutzerberechtigung erforderlich aus.
Beschränken von Zugriffsberechtigungen auf Dateiinhalte
Das Dialogfeld für benutzerdefinierte Berechtigungen wird geöffnet, wenn eine Vertraulichkeitsbezeichnung angewendet wird, die benutzerdefinierte Berechtigungen erfordert.
Um benutzerdefinierte Berechtigungen ohne Vertraulichkeitsbezeichnung anzuwenden, wählen Sie Datei > Berechtigungen einschränken > eingeschränkten Zugriff... aus.
Hinweis: Wenn für Ihre organization Vertraulichkeitsbezeichnungen aktiviert sind, müssen Sie eine Vertraulichkeitsbezeichnung auswählen, um Berechtigungen einzuschränken.
Um Einschränkungen pro Benutzer anzuwenden, geben Sie einen Namen oder eine E-Mail-Adresse ein, um den Benutzer zu durchsuchen und auszuwählen.
Um Einschränkungen pro Gruppe anzuwenden, geben Sie @ gefolgt von der Domäne ein.
Wichtige Überlegungen beim Erteilen von Berechtigungen nach Domäne
Wenn Sie eine Domäne angeben, für die Berechtigungen erteilt werden sollen, gewähren Sie diese Berechtigungen allen Konten in diesem organization.
Das bedeutet, dass, wenn organization andere Domänennamen in ihrem Microsoft Entra ID hat, diese Berechtigungen auch auf diese Benutzer ausgedehnt werden. Wenn Tailwind Toys beispielsweise auch die contosogames.com Domäne in ihrem Microsoft Entra ID dann erhalten alle Benutzer von contosogames.com auch die Berechtigungen, die tailwindtoys.com Benutzern gewährt werden.
Dies gilt auch für Unterdomänen. Durch das Erteilen von Berechtigungen für sales.tailwindtoys.com werden diese Berechtigungen auch für alle anderen Konten in tailwindtoys.com sowie für alle anderen Domänen gewährt, die in ihren Microsoft Entra ID vorhanden sind.
Angeben, wer was mit der Datei tun kann
Berechtigungsstufen sind vordefinierte Gruppen von Nutzungsrechten, die Benutzern unterschiedliche Berechtigungen innerhalb der Datei gewähren. In M365 für Mac sind die folgenden drei Berechtigungsstufen verfügbar:
-
Lesen: Der Benutzer kann zwar anzeigen, aber nicht bearbeiten, drucken, Inhalte kopieren oder den Schutz ändern/entfernen.
-
Änderung: Der Benutzer kann Inhalte anzeigen, bearbeiten und kopieren, aber er kann den Schutz nicht drucken oder ändern/entfernen.
-
Vollzugriff: Der Benutzer hat die vollständige Kontrolle über das Dokument, einschließlich der Möglichkeit, den Schutz zu ändern/zu entfernen.
Festlegen weiterer Optionen
Sie können optional zusätzliche Einstellungen angeben, wenn Sie benutzerdefinierte Berechtigungen anwenden.
Sie können ein Datum angeben, an dem die gewährten Berechtigungen ablaufen sollen.
-
Aktivieren Sie im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen festlegen das Kontrollkästchen Dieses Dokument läuft ab am.
-
Verwenden Sie die Datumsauswahl, um ein Ablaufdatum auszuwählen. Beachten Sie, dass das ausgewählte Datum in der Zukunft sein muss.
Sie können Benutzern mit Lese- oder Änderungsberechtigungen die Möglichkeit zum Drucken von Inhalten gewähren.
Wählen Sie im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen festlegen die Option Personen mit Änderungs- oder Leseberechtigung das Drucken von Inhalten erlauben aus.
Sie können Benutzern mit Leseberechtigung die Möglichkeit zum Kopieren von Inhalten gewähren.
Wählen Sie im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen festlegen die Option Personen mit Leseberechtigung das Kopieren von Inhalten erlauben aus.
Standardmäßig kann programmgesteuert auf Dateiinhalte zugegriffen werden, die mit benutzerdefinierten Berechtigungen geschützt sind. Um den programmgesteuerten Zugriff auf Dateiinhalte zu verweigern, deaktivieren Sie programmgesteuert im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen festlegen die Option Auf Inhalt zugreifen.
Wenn ein Benutzer zum ersten Mal eine Datei mit eingeschränkten Berechtigungen in M365 für Windows oder Mac öffnet, wird dem Benutzer vom Lizenzierungsserver eine Nutzungslizenz für die Datei gewährt. Die Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte des Benutzers für die Datei sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln der Datei verwendet wird. Nach der Erteilung ist die Nutzungslizenz 30 Tage oder bis zum benutzerdefinierten Ablaufdatum gültig, je nachdem, was zuerst eintritt. Während dieses Zeitraums wird der Benutzer nicht erneut authentifiziert oder erneut authentifiziert, um mit demselben Gerät auf die Datei zuzugreifen. Dies bedeutet, dass selbst wenn die Berechtigung des Benutzers für die Datei geändert oder entfernt wird, er weiterhin auf die Datei zugreifen kann, bis die zuvor erteilte Nutzungslizenz abläuft.
Damit die Berechtigung des Benutzers für die Datei bei jedem Öffnen überprüft werden muss, aktivieren Sie im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen festlegen das Kontrollkästchen "Verbindung zum Überprüfen der Berechtigungen erforderlich".
Beschränken von Zugriffsberechtigungen auf Dateiinhalte
Das Dialogfeld für benutzerdefinierte Berechtigungen wird geöffnet, wenn eine Vertraulichkeitsbezeichnung angewendet wird, die benutzerdefinierte Berechtigungen erfordert.
Um Einschränkungen pro Benutzer anzuwenden, geben Sie einen Namen oder eine E-Mail-Adresse ein, nach dem der Benutzer gesucht und ausgewählt werden soll.
Um Einschränkungen pro Gruppe anzuwenden, geben Sie @ gefolgt von der Domäne ein.
Wichtige Überlegungen beim Erteilen von Berechtigungen nach Domäne
Wenn Sie eine Domäne angeben, für die Berechtigungen erteilt werden sollen, gewähren Sie diese Berechtigungen allen Konten in diesem organization.
Das bedeutet, dass, wenn organization andere Domänennamen in ihrem Microsoft Entra ID hat, diese Berechtigungen auch auf diese Benutzer ausgedehnt werden. Wenn Tailwind Toys beispielsweise auch die contosogames.com Domäne in ihrem Microsoft Entra ID dann erhalten alle Benutzer von contosogames.com auch die Berechtigungen, die tailwindtoys.com Benutzern gewährt werden.
Dies gilt auch für Unterdomänen. Durch das Erteilen von Berechtigungen für sales.tailwindtoys.com werden diese Berechtigungen auch für alle anderen Konten in tailwindtoys.com sowie für alle anderen Domänen gewährt, die in ihren Microsoft Entra ID vorhanden sind.
Angeben, wer was mit der Datei tun kann
Berechtigungsstufen sind vordefinierte Gruppen von Nutzungsrechten, die Benutzern unterschiedliche Berechtigungen innerhalb der Datei gewähren. Die vier in M365 für Windows verfügbaren Berechtigungsstufen sind:
-
Viewer: Der Benutzer kann zwar anzeigen, aber nicht bearbeiten, drucken, Inhalte kopieren oder den Schutz ändern/entfernen.
-
Eingeschränkter Editor: Der Benutzer kann zwar anzeigen und bearbeiten, aber er kann keine Inhalte drucken, kopieren oder den Schutz ändern/entfernen.
-
Editor: Der Benutzer kann Inhalte anzeigen, bearbeiten, drucken und kopieren, aber er kann den Schutz nicht ändern oder entfernen.
-
Besitzer: Der Benutzer hat die vollständige Kontrolle über die Datei, einschließlich der Möglichkeit zum Ändern/Entfernen des Schutzes.
Festlegen weiterer Optionen
Sie können optional zusätzliche Einstellungen angeben, wenn Sie benutzerdefinierte Berechtigungen anwenden.
Wenn ein Benutzer eine Datei öffnet, für die er nicht über vollständige Berechtigungen verfügt, wird ihnen die Möglichkeit angeboten, sich an den Dateibesitzer zu wenden, um zusätzliche Berechtigungen anzufordern. Standardmäßig ist der primäre Besitzer der Datei der Kontakt für diese Anforderung. Sie können eine andere Kontaktstelle für die Anforderung zusätzlicher Berechtigungen definieren.
Hinweis: Benutzer können Berechtigungen für eine Datei nur ändern, wenn sie Besitzer sind.
Standardmäßig kann auf Dateiinhalte, die mit benutzerdefinierten Berechtigungen geschützt sind, nicht programmgesteuert zugegriffen werden. Um den programmgesteuerten Zugriff auf Dateiinhalte zuzulassen, wählen Sie programmgesteuert auf Inhalt zugreifen im Abschnitt Weitere Optionen des Dialogfelds Berechtigungen aus.
Wenn ein Benutzer zum ersten Mal eine Datei mit eingeschränkten Berechtigungen in M365 für Windows oder Mac öffnet, wird dem Benutzer vom Lizenzierungsserver eine Nutzungslizenz für die Datei gewährt. Die Nutzungslizenz ist ein Zertifikat, das die Nutzungsrechte des Benutzers für die Datei sowie den Verschlüsselungsschlüssel enthält, der zum Verschlüsseln der Datei verwendet wird. Nach der Erteilung ist die Nutzungslizenz 30 Tage oder bis zum benutzerdefinierten Ablaufdatum gültig, je nachdem, was zuerst eintritt. Während dieses Zeitraums wird der Benutzer nicht erneut authentifiziert oder erneut authentifiziert, um mit demselben Gerät auf die Datei zuzugreifen. Dies bedeutet, dass selbst wenn die Berechtigung des Benutzers für die Datei geändert oder entfernt wird, er weiterhin auf die Datei zugreifen kann, bis die zuvor erteilte Nutzungslizenz abläuft.
Wenn Sie verlangen möchten, dass die Berechtigung des Benutzers für die Datei bei jedem Öffnen überprüft wird, wählen Sie Im Abschnitt Weitere Optionen des Dialogfelds Berechtigungendie Option Verbindung zum Überprüfen der Benutzerberechtigung erforderlich aus.
Funktionsweise von IRM
Die Verwaltung von Informationsrechten (IRM) unterstützt Sie bei folgenden Aktionen:
-
Hindern eines autorisierten Benutzers am Bearbeiten, Kopieren oder Drucken eingeschränkter Inhalte
-
Schützen Sie Inhalte überall dort, wo sie gesendet werden, und erzwingen Sie Organisationsrichtlinien, die die Verwendung und Freigabe von Inhalten innerhalb des organization
-
Bereitstellen des Dateiablaufs, sodass inhalte in einer Datei nach einem angegebenen Zeitpunkt nicht mehr angezeigt werden können
-
Verhindern des programmgesteuerten Zugriffs auf Dateiinhalte
IRM kann nicht verhindern, dass eingeschränkte Inhalte:
-
Mithilfe von Bildschirmaufnahmesoftware von Drittanbietern kopiert
-
Digital fotografiert, von Hand kopiert oder von einem autorisierten Benutzer neu eingegeben
-
Durch Schadsoftware gelöscht oder beschädigt
