natali_mis - stock.adobe.com

Azure Information Protection: E-Mail-Weiterleitung regeln

Mit Azure Information Protection können IT-Teams Regeln in Microsoft 365 und Exchange Online umsetzen, die den Schutz von sensiblen Informationen in E-Mails verbessern.

Unternehmen müssen im Rahmen der personenzentrierten Sicherheit im Unternehmen sicherstellen, dass Benutzer nicht versehentlich sensible Informationen unbefugten Personen zugänglich machen. Exchange Online bietet hier natürlich ein Gefährdungspotenzial, da Benutzer E-Mails einfach weiterleiten können, zum Beispiel an externe Empfänger.

Azure Information Protection schützt Exchange Online in Microsoft 365

Um dies zu verhindern, kann man die Richtlinien von Azure Information Protection einsetzen. Dabei handelt es sich um einen Schutzdienst, der Teil von Azure Purview Information Protection ist und die Technologien von Azure Rights Management nutzt (siehe auch Microsoft Purview: Daten schützen, klassifizieren und orten).

Auch wenn Nutzer auf anderen Wegen Wege finden können, Informationen zu teilen, ist Azure Information Protection ein wertvolles Werkzeug, da es schwierig ist, den Schutz zu umgehen und der Dienst E-Mails und Anhänge recht zuverlässig schützt.

Neben dem Blockieren der Weiterleitung von E-Mails kann Azure Information Protection auch das Erstellen von Screenshots, das Speichern von E-Mails außerhalb des Postfachs oder das Ausdrucken von E-Mails verhindern. Darüber hinaus besteht die Möglichkeit, E-Mails zu verschlüsseln, so dass nur bestimmte Empfänger die E-Mails lesen können. Azure Information Protection ist Bestandteil von Microsoft Purview Information Protection.

Der Dienst kann kostenlos getestet und anschließend beispielsweise mit Microsoft 365 E5 lizenziert werden. In Microsoft 365 E5 sind unter anderem erweiterte Sicherheitsfunktionen wie Azure Information Protection P2, Information Protection and Governance, Microsoft Defender for Identity oder Microsoft Purview Insider Risk Management enthalten.

Azure Information Protection wird über Azure Purview in Microsoft 365 konfiguriert.
Abbildung 1: Azure Information Protection wird über Azure Purview in Microsoft 365 konfiguriert.

Azure Information Protection (AIP) ist ein Tool zur Klassifizierung und zum Schutz von E-Mail-Anhängen. Die Verschlüsselung von E-Mails ist Bestandteil des Dienstes. Idealerweise wird dafür Exchange verwendet, besser noch Exchange Online in Microsoft 365.

AIP arbeitet mit Regeln, die von Administratoren definiert werden und auf Vorlagen basieren. Anhand der Regeln erkennt AIP, wenn eine E-Mail geheime Dokumente enthält, die durch Klassifizierung geschützt werden müssen. Diese Regeln können auch vorab definiert werden. Beispiele sind Dokumente mit Kreditkartennummern oder anderen sensiblen Informationen. Dazu nutzt AIP wiederum die Azure Rights Management Services (Azure RMS). AIP kann auch in hybriden Umgebungen eingesetzt werden, in denen neben Exchange Online auch Benutzer auf lokalen Exchange Servern on-premises vorhanden sind.

Grundsätzlich unterstützt AIP alle Dateitypen, am besten funktioniert die Lösung jedoch mit Office-Dokumenten, da hier die Berechtigungen nativ für die jeweiligen Dokumente festgelegt werden können.

Client für Azure Information Protection

Parallel zum automatisierten Schutz können die Benutzer selbst E-Mails oder Dokumente klassifizieren. Dazu wird der Azure Information Protection Client verwendet. Dieser integriert sich in Office-Anwendungen und Microsoft Outlook und bietet die Möglichkeit, Dokumente oder E-Mails zu klassifizieren.

Der Microsoft Purview Information Protection Scanner

Eine weitere wichtige Komponente ist der Microsoft Purview Information Protection Scanner. Nach der Installation auf einem lokalen Server scannt der Scanner Dokumente im Netzwerk und ermöglicht so eine automatisierte Klassifizierung der lokal gespeicherten Daten. Anschließend können die Daten über Policies gesichert werden, um beispielsweise zu verhindern, dass Benutzer Dokumente mit einer bestimmten Klassifizierung weiterleiten.

Mittels Richtlinien werden die Dokumente in Microsoft 365 geschützt, das gilt auch für lokale Dateien.
Abbildung 2: Mittels Richtlinien werden die Dokumente in Microsoft 365 geschützt, das gilt auch für lokale Dateien.

Über den AIP-Client können die Nutzerinnen und Nutzer der Office-Dokumente die einzelnen Dokumente auch selbst klassifizieren. Neben Office-Dokumenten unterstützt der Scanner eine Vielzahl weiterer Dateitypen.  Selbstverständlich können auch Daten, die in SharePoint Online und Onedrive for Business gespeichert sind, mit dem AIP gesichert werden.

Microsoft Purview und Azure Information Protection einrichten

Die Verwaltung von Azure Information Protection erfolgt über das Microsoft Purview Admin Center. Hier stehen alle Schutzfunktionen von Microsoft 365 zur Verfügung, inklusive der Definition von Regeln zur Weiterleitung von E-Mails.

Die Einrichtung von Azure Information Protection im erfolgt Purview Admin Center.
Abbildung 3: Die Einrichtung von Azure Information Protection im erfolgt Purview Admin Center.

Über den Bereich Informationsschutz stehen die verschiedenen Funktionen zur Verfügung, um AIP im Abonnement bereitzustellen. Bei der Einrichtung des Schutzes hilft ein Assistent, der im Microsoft Purview Admin Center unter Leitfaden zur Einrichtung von Microsoft Purview Information Protection gestartet werden kann. Hier können alle relevanten Einstellungen zur Konfiguration des Dienstes vorgenommen werden.

Ein wichtiger Bestandteil sind dabei die Dataloss Prevention Policies, die sensible Daten auf Basis vordefinierter Regeln schützen. Im Rahmen der Einrichtung versendet Microsoft 365 auch Informationsmails an die Nutzerinnen und Nutzer. In dieser erhalten die Benutzer eine Anleitung zum Schutz der Dokumente und wie Microsoft 365 diese mit Azure Information Protection schützt.

Azure Information Protection schützt Dokumente in Zusammenarbeit mit den Nutzern der Umgebung.
Abbildung 4: Azure Information Protection schützt Dokumente in Zusammenarbeit mit den Nutzern der Umgebung.

Geschützte E-Mails mobil lesen: Azure Information Protection für iOS und Android

Mit den Azure Information Protection Apps für iOS und Android können speziell geschützte E-Mails auch mobil gelesen werden. Mit diesen Apps ist es jedoch nicht möglich E-Mails zu schreiben oder selbst E-Mails zu klassifizieren. Die Apps können nur geschützte E-Mails anzeigen. Dies funktioniert auch für verschlüsselte E-Mails mit Dateianhängen aus SharePoint Online.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit