AIP-labels (Azure Information Protection), -classificatie en -beveiliging

  • Artikel

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.

De nieuwe Microsoft Information Protection-client (zonder de invoegtoepassing) is momenteel beschikbaar als preview-versie en is gepland voor algemene beschikbaarheid.

Azure Information Protection (AIP) is een cloudoplossing waarmee organisaties documenten en e-mailberichten kunnen classificeren en beveiligen door labels toe te passen.

De beheerder kan bijvoorbeeld een label configureren met regels voor het detecteren van gevoelige gegevens, zoals creditcardgegevens. In dit geval kan elke gebruiker die creditcardgegevens opslaat in een Word-bestand, bovenaan het document knopinfo zien met een aanbeveling om het relevante label voor dit scenario toe te passen.

Labels kunnen uw documenten classificeren en desgewenst beveiligen, zodat u het volgende kunt doen:

  • Bijhouden en bepalen hoe uw inhoud wordt gebruikt
  • Gegevensstromen analyseren om inzicht te krijgen in uw bedrijf - Riskant gedrag detecteren en corrigerende maatregelen nemen
  • Documenttoegang bijhouden en gegevenslekken of misbruik voorkomen
  • En meer ...

Hoe labels classificatie toepassen met AIP

Het labelen van uw inhoud met AIP omvat:

  • Classificatie die kan worden gedetecteerd, ongeacht waar de gegevens worden opgeslagen of met wie deze worden gedeeld.
  • Visuele markeringen, zoals kopteksten, voetteksten of watermerken.
  • Metagegevens, toegevoegd aan bestanden en e-mailkoppen in duidelijke tekst. De metagegevens van duidelijke tekst zorgen ervoor dat andere services de classificatie kunnen identificeren en de juiste actie kunnen ondernemen

In de onderstaande afbeelding heeft labelen bijvoorbeeld een e-mailbericht geclassificeerd als Algemeen:

Voorbeeld van e-mailvoettekst en kopteksten met Azure Information Protection-classificatie

In dit voorbeeld is het label ook:

  • Een voettekst van gevoeligheid toegevoegd: Algemeen aan het e-mailbericht. Deze voettekst is een visuele indicator voor alle geadresseerden die bedoeld zijn voor algemene bedrijfsgegevens die niet buiten de organisatie mogen worden verzonden.
  • Ingesloten metagegevens in de e-mailkoppen. Met headergegevens kunnen e-mailservices het label inspecteren en theoretisch een controlevermelding maken of voorkomen dat deze buiten de organisatie worden verzonden.

Labels kunnen automatisch worden toegepast door beheerders met behulp van regels en voorwaarden, handmatig door gebruikers of met behulp van een combinatie waarbij beheerders de aanbevelingen definiëren die voor gebruikers worden weergegeven.

Hoe AIP uw gegevens beveiligt

Azure Information Protection maakt gebruik van de Azure Rights Management-service (Azure RMS) om uw gegevens te beveiligen.

Azure RMS is geïntegreerd met andere Microsoft-cloudservices en -toepassingen, zoals Office 365 en Microsoft Entra ID, en kan ook worden gebruikt met uw eigen toepassingen of toepassingen van derden en oplossingen voor gegevensbeveiliging. Azure RMS werkt met zowel on-premises als cloudoplossingen.

Azure RMS maakt gebruik van beleid voor versleuteling, identiteit en autorisatie. Net als bij AIP-labels blijft de beveiliging die met Azure RMS wordt toegepast, bij de documenten en e-mailberichten, ongeacht de locatie van het document of de e-mail, zodat u de controle over uw inhoud krijgt, zelfs wanneer deze met anderen wordt gedeeld.

Beveiligingsinstellingen kunnen het volgende zijn:

  • Onderdeel van uw labelconfiguratie, zodat gebruikers documenten en e-mailberichten classificeren en beveiligen door een label toe te passen.

  • Wordt zelfstandig gebruikt door toepassingen en services die bescherming ondersteunen, maar niet labelen.

    Voor toepassingen en services die alleen beveiliging ondersteunen, worden beveiligingsinstellingen gebruikt als Rights Management-sjablonen.

U kunt bijvoorbeeld een spreadsheet voor rapporten of verkoopprognoses configureren, zodat deze alleen toegankelijk is voor personen in uw organisatie. In dit geval past u beveiligingsinstellingen toe om te bepalen of dat document kan worden bewerkt, beperkt tot alleen-lezen of voorkomen dat het wordt afgedrukt.

E-mailberichten kunnen vergelijkbare beveiligingsinstellingen hebben om te voorkomen dat ze worden doorgestuurd of de optie Allen beantwoorden gebruiken.

Rights Management-sjablonen

Zodra de Azure Rights Management-service is geactiveerd, zijn er twee standaard rights management-sjablonen beschikbaar om de toegang tot gegevens tot gebruikers binnen uw organisatie te beperken. Gebruik deze sjablonen onmiddellijk of configureer uw eigen beveiligingsinstellingen om meer beperkende besturingselementen toe te passen in nieuwe sjablonen.

Rights Management-sjablonen kunnen worden gebruikt met toepassingen of services die ondersteuning bieden voor Azure Rights Management.

In de volgende afbeelding ziet u een voorbeeld uit het Exchange-beheercentrum, waarin u exchange Online-e-mailstroomregels kunt configureren voor het gebruik van RMS-sjablonen:

Voorbeeld van het selecteren van sjablonen voor Exchange Online

Notitie

Als u een AIP-label met beveiligingsinstellingen maakt, wordt ook een bijbehorende Rights Management-sjabloon gemaakt die afzonderlijk van het label kan worden gebruikt.

Zie Wat is Azure Rights Management?

Integratie van AIP en eindgebruikers voor documenten en e-mailberichten

De AIP-client installeert de Information Protection-balk voor Office-app licaties en stelt eindgebruikers in staat AIP te integreren met hun documenten en e-mailberichten.

Bijvoorbeeld in Excel:

Voorbeeld van de Azure Information Protection-balk in Excel

Hoewel labels automatisch kunnen worden toegepast op documenten en e-mailberichten, waardoor schattingen voor gebruikers worden verwijderd of aan het beleid van een organisatie worden voldaan, kunnen eindgebruikers labels selecteren en classificatie op hun eigen manier toepassen.

Bovendien kunnen gebruikers met de AIP-client extra bestandstypen of meerdere bestanden tegelijk classificeren en beveiligen met behulp van het snelmenu van Windows Bestandenverkenner. Voorbeeld:

Bestandenverkenner met de rechtermuisknop op Classificeren en beveiligen met Behulp van Azure Information Protection

De menuoptie Classificeren en beveiligen werkt op dezelfde manier als de Information Protection-balk in Office-app licaties, zodat gebruikers een label kunnen selecteren of aangepaste machtigingen kunnen instellen.

Tip

Power-gebruikers of -beheerders kunnen merken dat PowerShell-opdrachten efficiënter zijn voor het beheren en instellen van classificatie en beveiliging voor meerdere bestanden. Relevante PowerShell-opdrachten zijn opgenomen in de client en kunnen ook afzonderlijk worden geïnstalleerd.

Gebruikers en beheerders kunnen sites voor documenttracking gebruiken om beveiligde documenten te bewaken, te kijken wie er toegang toe heeft en wanneer. Als ze misbruik vermoeden, kunnen ze ook de toegang tot deze documenten intrekken. Voorbeeld:

Toegangspictogram intrekken op de site voor documenttracking

Aanvullende integratie voor e-mail

Het gebruik van AIP met Exchange Online biedt het extra voordeel van het verzenden van beveiligde e-mailberichten naar elke gebruiker, met de zekerheid dat deze op elk apparaat kan worden gelezen.

U moet bijvoorbeeld gevoelige informatie verzenden naar persoonlijke e-mailadressen die een Gmail-, Hotmail- of Microsoft-account gebruiken, of naar gebruikers die geen account hebben in Office 365 of Microsoft Entra-id. Deze e-mailberichten moeten at-rest en in transit worden versleuteld en worden alleen gelezen door de oorspronkelijke geadresseerden.

Voor dit scenario zijn mogelijkheden voor Office 365-berichtversleuteling vereist. Als de geadresseerden de beveiligde e-mail niet kunnen openen in hun ingebouwde e-mailclient, kunnen ze een eenmalige wachtwoordcode gebruiken om de gevoelige informatie in een browser te lezen.

Een Gmail-gebruiker kan bijvoorbeeld de volgende prompt zien in een e-mailbericht dat hij of zij ontvangt:

Gmail-ontvangerservaring voor OME en AIP

Voor de gebruiker die het e-mailbericht verzendt, zijn de vereiste acties hetzelfde als voor het verzenden van een beveiligde e-mail naar een gebruiker in hun eigen organisatie. Selecteer bijvoorbeeld de knop Niet doorsturen die de AIP-client kan toevoegen aan het Outlook-lint.

U kunt ook de functionaliteit Niet doorsturen integreren in een label dat gebruikers kunnen selecteren om zowel classificatie als beveiliging toe te passen op die e-mail. Voorbeeld:

Een label selecteren dat is geconfigureerd voor Niet doorsturen

Beheer istrators kunnen gebruikers ook automatisch beveiligen door regels voor e-mailstromen te configureren die rechtenbeveiliging toepassen.

Alle Office-documenten die aan deze e-mailberichten zijn toegevoegd, worden ook automatisch beveiligd.

Scannen op bestaande inhoud die moet worden geclassificeerd en beveiligd

In het ideale moment labelt u documenten en e-mailberichten terwijl ze worden gemaakt. Waarschijnlijk hebt u echter veel bestaande documenten, on-premises of in de cloud opgeslagen en wilt u deze documenten ook classificeren en beveiligen.

Gebruik een van de volgende methoden om bestaande inhoud te classificeren en te beveiligen:

  • On-premises opslag: gebruik de Azure Information Protection-scanner om documenten op netwerkshares en Microsoft SharePoint Server-sites en -bibliotheken te detecteren, classificeren en beveiligen.

    De scanner wordt uitgevoerd als een service op Windows Server en gebruikt dezelfde beleidsregels om gevoelige informatie te detecteren en specifieke labels toe te passen op documenten.

    U kunt ook de scanner gebruiken om een standaardlabel toe te passen op alle documenten in een gegevensopslagplaats zonder de inhoud van het bestand te controleren. Gebruik de scanner alleen in de rapportagemodus om gevoelige informatie te detecteren die u mogelijk niet kent.

  • Cloudgegevensopslag: gebruik Microsoft Defender voor Cloud Apps om uw labels toe te passen op documenten in Box, SharePoint en OneDrive. Zie Azure Information Protection-classificatielabels automatisch toepassen voor een zelfstudie

Volgende stappen

Configureer en zie Azure Information Protection voor uzelf met onze quickstart en zelfstudies:

Als u klaar bent om deze service voor uw organisatie te implementeren, gaat u naar de handleidingen.