Azure Information Protection (AIP)-labels, -classificatie en -beveiliging

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection geïntegreerde labelclient bevindt zich nu in de onderhoudsmodus. U wordt aangeraden labels te gebruiken die zijn ingebouwd in uw Office 365-apps en -services. Meer informatie

Azure Information Protection (AIP) is een cloudoplossing waarmee organisaties documenten en e-mailberichten kunnen classificeren en beveiligen door labels toe te passen.

Uw beheerder kan bijvoorbeeld een label configureren met regels waarmee gevoelige gegevens worden gedetecteerd, zoals creditcardgegevens. In dit geval kan elke gebruiker die creditcardgegevens opslaat in een Word-bestand, bovenaan het document knopinfo zien met een aanbeveling om het relevante label voor dit scenario toe te passen.

Labels kunnen uw documenten classificeren en optioneel beveiligen , zodat u het volgende kunt doen:

  • Bijhouden en bepalen hoe uw inhoud wordt gebruikt
  • Gegevensstromen analyseren om inzicht te krijgen in uw bedrijf - Riskant gedrag detecteren en corrigerende maatregelen nemen
  • Documenttoegang bijhouden en gegevenslekken of misbruik voorkomen
  • En meer ...

Hoe labels classificatie toepassen met AIP

Het labelen van uw inhoud met AIP omvat:

  • Classificatie die kan worden gedetecteerd, ongeacht waar de gegevens worden opgeslagen of met wie deze worden gedeeld.
  • Visuele markeringen, zoals kopteksten, voetteksten of watermerken.
  • Metagegevens, toegevoegd aan bestanden en e-mailkoppen in duidelijke tekst. De metagegevens van duidelijke tekst zorgen ervoor dat andere services de classificatie kunnen identificeren en passende actie kunnen ondernemen

In de onderstaande afbeelding heeft labelen bijvoorbeeld een e-mailbericht geclassificeerd als Algemeen:

Voorbeeld van e-mailvoetteksten en kopteksten met Azure Information Protection-classificatie

In dit voorbeeld is het label ook:

  • Een voettekst van gevoeligheid toegevoegd: Algemeen aan het e-mailbericht. Deze voettekst is een visuele indicator voor alle geadresseerden die bedoeld zijn voor algemene zakelijke gegevens die niet buiten de organisatie mogen worden verzonden.
  • Ingesloten metagegevens in de e-mailheaders. Met headergegevens kunnen e-mailservices het label inspecteren en theoretisch een controlevermelding maken of voorkomen dat deze buiten de organisatie worden verzonden.

Labels kunnen automatisch worden toegepast door beheerders met behulp van regels en voorwaarden, handmatig door gebruikers of met behulp van een combinatie waarbij beheerders de aanbevelingen definiëren die voor gebruikers worden weergegeven.

Hoe AIP uw gegevens beveiligt

Azure Information Protection maakt gebruik van de Azure Rights Management-service (Azure RMS) om uw gegevens te beveiligen.

Azure RMS is geïntegreerd met andere Microsoft-cloudservices en -toepassingen, zoals Office 365 en Azure Active Directory, en kan ook worden gebruikt met uw eigen of externe toepassingen en oplossingen voor gegevensbeveiliging. Azure RMS werkt met zowel on-premises als cloudoplossingen.

Azure RMS maakt gebruik van versleuteling, identiteit en autorisatiebeleid. Net als bij AIP-labels blijft de beveiliging die wordt toegepast met Behulp van Azure RMS bij de documenten en e-mailberichten, ongeacht de locatie van het document of e-mailbericht, zodat u de controle over uw inhoud blijft behouden, zelfs wanneer deze wordt gedeeld met andere personen.

Beveiligingsinstellingen kunnen het volgende zijn:

  • Een deel van uw labelconfiguratie, zodat gebruikers documenten en e-mailberichten classificeren en beveiligen door een label toe te passen.

  • Wordt zelfstandig gebruikt door toepassingen en services die bescherming ondersteunen, maar niet labelen.

    Voor toepassingen en services die alleen bescherming ondersteunen, worden beveiligingsinstellingen gebruikt als Rights Management-sjablonen.

U kunt bijvoorbeeld een spreadsheet voor rapport- of verkoopprognoses configureren, zodat deze alleen toegankelijk is voor personen in uw organisatie. In dit geval past u beveiligingsinstellingen toe om te bepalen of dat document kan worden bewerkt, beperkt tot alleen-lezen of voorkomen dat het wordt afgedrukt.

E-mailberichten kunnen vergelijkbare beveiligingsinstellingen hebben om te voorkomen dat ze worden doorgestuurd of de optie Allen beantwoorden gebruiken.

Rights Management-sjablonen

Zodra de Azure Rights Management-service is geactiveerd, zijn er twee standaard rights management-sjablonen beschikbaar om de toegang tot gegevens tot gebruikers binnen uw organisatie te beperken. Gebruik deze sjablonen onmiddellijk of configureer uw eigen beveiligingsinstellingen om meer beperkende besturingselementen toe te passen in nieuwe sjablonen.

Rights Management-sjablonen kunnen worden gebruikt met toepassingen of services die ondersteuning bieden voor Azure Rights Management.

In de volgende afbeelding ziet u een voorbeeld uit het Exchange-beheercentrum, waar u Exchange Online regels voor e-mailstromen kunt configureren voor het gebruik van RMS-sjablonen:

Voorbeeld van het selecteren van sjablonen voor Exchange Online

Notitie

Als u een AIP-label maakt met beveiligingsinstellingen, wordt ook een bijbehorende Rights Management-sjabloon gemaakt die afzonderlijk van het label kan worden gebruikt.

Zie Wat is Azure Rights Management voor meer informatie?

Integratie van AIP en eindgebruikers voor documenten en e-mailberichten

De AIP-client installeert de Information Protection balk voor Office-toepassingen en stelt eindgebruikers in staat AIP te integreren met hun documenten en e-mailberichten.

Bijvoorbeeld in Excel:

Voorbeeld van de Azure Information Protection-balk in Excel

Hoewel labels automatisch op documenten en e-mailberichten kunnen worden toegepast, kunnen eindgebruikers schattingen verwijderen of voldoen aan het beleid van een organisatie Information Protection, zodat eindgebruikers labels kunnen selecteren en classificatie zelf kunnen toepassen.

Bovendien kunnen gebruikers met de AIP-client extra bestandstypen of meerdere bestanden tegelijk classificeren en beveiligen met behulp van het snelmenu van Windows Bestandenverkenner. Bijvoorbeeld:

Klik in de Bestandenverkenner met de rechtermuisknop op Classificeren en beveiligen met Azure Information Protection

De menuoptie Classificeren en beveiligen werkt op dezelfde manier als de Information Protection balk in Office-toepassingen, zodat gebruikers een label kunnen selecteren of aangepaste machtigingen kunnen instellen.

Tip

Power-gebruikers of -beheerders kunnen merken dat PowerShell-opdrachten efficiënter zijn voor het beheren en instellen van classificatie en beveiliging voor meerdere bestanden. Relevante PowerShell-opdrachten zijn opgenomen in de client en kunnen ook afzonderlijk worden geïnstalleerd.

Gebruikers en beheerders kunnen sites voor documenttracking gebruiken om beveiligde documenten te bewaken, te kijken wie toegang tot deze documenten heeft en wanneer. Als er misbruik wordt vermoed, kunnen ze de toegang tot deze documenten intrekken. Bijvoorbeeld:

Pictogram voor het intrekken van de toegang in de site voor documenttracking

Aanvullende integratie voor e-mail

Het gebruik van AIP met Exchange Online biedt het extra voordeel van het verzenden van beveiligde e-mailberichten naar elke gebruiker, met de zekerheid dat ze het op elk apparaat kunnen lezen.

U moet bijvoorbeeld gevoelige informatie verzenden naar persoonlijke e-mailadressen die gebruikmaken van een Gmail-, Hotmail- of Microsoft-account, of naar gebruikers die geen account hebben in Office 365 of Azure AD. Deze e-mailberichten moeten in rust en onderweg worden versleuteld en alleen worden gelezen door de oorspronkelijke geadresseerden.

Voor dit scenario zijn Office 365 mogelijkheden voor berichtversleuteling vereist. Als de geadresseerden de beveiligde e-mail niet kunnen openen in hun ingebouwde e-mailclient, kunnen ze een eenmalige wachtwoordcode gebruiken om de gevoelige informatie in een browser te lezen.

Een Gmail-gebruiker kan bijvoorbeeld de volgende prompt zien in een e-mailbericht dat ze ontvangen:

Gmail-ontvangerervaring voor OME en AIP

Voor de gebruiker die het e-mailbericht verzendt, zijn de vereiste acties hetzelfde als voor het verzenden van een beveiligde e-mail naar een gebruiker in hun eigen organisatie. Selecteer bijvoorbeeld de knop Niet doorsturen die de AIP-client kan toevoegen aan het Outlook-lint.

De functionaliteit Niet doorsturen kan ook worden geïntegreerd in een label dat gebruikers kunnen selecteren om zowel classificatie als beveiliging toe te passen op dat e-mailbericht. Bijvoorbeeld:

Een label selecteren dat is geconfigureerd voor Niet doorsturen

Beheerders kunnen gebruikers ook automatisch beveiligen door e-mailstroomregels te configureren die rechtenbeveiliging toepassen.

Alle Office-documenten die aan deze e-mailberichten zijn toegevoegd, worden ook automatisch beveiligd.

Scannen op bestaande inhoud die moet worden geclassificeerd en beveiligd

In het ideale voorbeeld labelt u documenten en e-mailberichten terwijl ze worden gemaakt. Waarschijnlijk hebt u echter veel bestaande documenten, on-premises of in de cloud opgeslagen en wilt u deze documenten ook classificeren en beveiligen.

Gebruik een van de volgende methoden om bestaande inhoud te classificeren en te beveiligen:

  • On-premises opslag: gebruik de Azure Information Protection-scanner om documenten te detecteren, classificeren en beveiligen op netwerkshares en Microsoft SharePoint Server-sites en -bibliotheken.

    De scanner wordt uitgevoerd als een service op Windows Server en gebruikt dezelfde beleidsregels om gevoelige informatie te detecteren en specifieke labels toe te passen op documenten.

    U kunt ook de scanner gebruiken om een standaardlabel toe te passen op alle documenten in een gegevensopslagplaats zonder de bestandsinhoud te inspecteren. Gebruik de scanner alleen in de rapportagemodus om gevoelige informatie te detecteren die u mogelijk niet wist dat u had.

  • Cloudgegevensopslag: gebruik Microsoft Defender for Cloud Apps om uw labels toe te passen op documenten in Box, SharePoint en OneDrive. Zie Automatisch Azure Information Protection classificatielabels toepassen voor een zelfstudie

Volgende stappen

Configureer en zie Azure Information Protection voor uzelf met onze quickstart en zelfstudies:

Als u klaar bent om deze service voor uw organisatie te implementeren, gaat u naar de handleidingen.