Delen via

Veilige samenwerking van documenten configureren met behulp van Azure Information Protection

  • Artikel

Wanneer u Azure Information Protection gebruikt, kunt u uw documenten beveiligen zonder dat dit ten koste gaat van samenwerking voor geautoriseerde gebruikers. Het merendeel van de documenten die een gebruiker maakt en vervolgens deelt met anderen om te bekijken en te bewerken, is Office documenten uit Word, Excel en PowerPoint. Deze documenten ondersteunen systeemeigen beveiliging, wat betekent dat naast de beveiligingsfuncties van autorisatie en versleuteling ook beperkte machtigingen worden ondersteund voor gedetailleerdere controle.

Deze machtigingen worden gebruiksrechten genoemd en omvatten machtigingen zoals weergeven, bewerken, afdrukken. U kunt afzonderlijke gebruiksrechten definiëren wanneer een document is beveiligd of u kunt een groepering van gebruiksrechten definiëren, ook wel machtigingsniveaus genoemd. Met machtigingsniveaus kunt u eenvoudiger gebruiksrechten selecteren die doorgaans samen worden gebruikt, bijvoorbeeld Revisor en Cocreatie. Zie Gebruiksrechten configureren voor Azure Information Protection voor meer informatie over gebruiksrechten en machtigingsniveaus.

Wanneer u deze machtigingen configureert, kunt u opgeven voor welke gebruikers ze zijn:

  • Voor gebruikers in uw eigen organisatie of een andere organisatie die gebruikmaakt van Azure Active Directory: u kunt Azure AD gebruikersaccounts, Azure AD groepen of alle gebruikers in die organisatie opgeven.

  • Voor gebruikers die geen Azure Active Directory-account hebben: geef een e-mailadres op dat wordt gebruikt met een Microsoft-account. Dit account kan al bestaan of gebruikers kunnen het maken op het moment dat ze het beveiligde document openen.

    Als gebruikers documenten met een Microsoft-account willen openen, moeten ze Microsoft 365 apps (Klik-en-Klaar) gebruiken. Andere Office edities en versies bieden nog geen ondersteuning voor het openen van Office beveiligde documenten met een Microsoft-account.

  • Voor elke geverifieerde gebruiker: deze optie is geschikt als u niet hoeft te bepalen wie toegang heeft tot het beveiligde document, zodat de gebruiker kan worden geverifieerd. De verificatie kan worden Azure AD, door een Microsoft-account of zelfs een federatieve sociale provider of eenmalige wachtwoordcode te gebruiken wanneer de inhoud wordt beveiligd door de nieuwe mogelijkheden van Office 365 Berichtversleuteling.

Als beheerder kunt u een Azure Information Protection-label configureren om de machtigingen en gemachtigde gebruikers toe te passen. Met deze configuratie kunnen gebruikers en andere beheerders eenvoudig de juiste beveiligingsinstellingen toepassen, omdat ze gewoon het label toepassen zonder dat ze details hoeven op te geven. In de volgende secties wordt een voorbeeld beschreven om een document te beveiligen dat ondersteuning biedt voor veilige samenwerking met interne en externe gebruikers.

Voorbeeldconfiguratie voor een label om beveiliging toe te passen ter ondersteuning van interne en externe samenwerking

In dit voorbeeld wordt uitgelegd hoe u een bestaand label configureert om beveiliging toe te passen, zodat gebruikers van uw organisatie kunnen samenwerken aan documenten met alle gebruikers van een andere organisatie met Microsoft 365 of Azure AD, een groep van een andere organisatie met Microsoft 365 of Azure AD en een gebruiker die geen account heeft in Azure AD en gebruiken in plaats daarvan hun Gmail-e-mailadres.

Omdat het scenario de toegang tot specifieke personen beperkt, bevat het niet de instelling voor geverifieerde gebruikers. Voor een voorbeeld van hoe u een label met deze instelling kunt configureren, raadpleegt u voorbeeld 5: Label waarmee inhoud wordt versleuteld, maar niet wordt beperkt wie er toegang heeft.

  1. Selecteer uw label dat al in het globale beleid of een scoped beleid staat. Controleer of Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Zorg ervoor dat Machtigingen instellen is geselecteerd en selecteer Machtigingen toevoegen.

  3. In het deelvenster Machtigingen toevoegen :

    • Voor uw interne groep: Selecteer Bladeren in map om de groep te selecteren, die e-mail moet zijn ingeschakeld.

    • Voor alle gebruikers in de eerste externe organisatie: selecteer Details invoeren en typ de naam van een domein in de tenant van de organisatie. Bijvoorbeeld fabrikam.com.

    • Voor de groep in de tweede externe organisatie: Typ op het tabblad Details invoeren het e-mailadres van de groep in de tenant van de organisatie. Bijvoorbeeld sales@contoso.com.

    • Voor de gebruiker die geen Azure AD-account heeft: Typ nog steeds op het tabblad Details invoeren het e-mailadres van de gebruiker. Bijvoorbeeld bengi.turan@gmail.com.

  4. Als u dezelfde machtigingen wilt verlenen aan al deze gebruikers: Selecteer voor Vooraf ingestelde machtigingen de optie Mede-eigenaar, Cocreatie, Revisor of Aangepast om de machtigingen te selecteren die u wilt verlenen.

    Uw geconfigureerde machtigingen kunnen er bijvoorbeeld als volgt uitzien:

    Configuring permissions for secure collaboration

  5. Klik op OK in het deelvenster Machtigingen toevoegen .

  6. Klik in het deelvenster Beveiliging op OK.

  7. Selecteer Opslaan in het deelvenster Label.

Het label toepassen dat veilige samenwerking ondersteunt

Nu dit label is geconfigureerd, kan het worden toegepast op documenten op een aantal manieren die het volgende bevatten:

Verschillende manieren om het label toe te passen Meer informatie
Een gebruiker selecteert het label handmatig wanneer het document wordt gemaakt in de Office toepassing. Gebruikers selecteren het label via de knop Beveiligen op het lint Office of op de Azure Information Protection-balk.
Gebruikers wordt gevraagd een label te selecteren wanneer een nieuw document wordt opgeslagen. U hebt de beleidsinstelling Azure Information Protection met de naam Alle documenten en e-mailberichten geconfigureerd, moet een label hebben.
Een gebruiker deelt het document per e-mail en selecteert handmatig het label in Outlook. Gebruikers selecteren het label via de knop Beveiligen op het lint van Office of op de Azure Information Protection-balk en het bijgevoegde document wordt automatisch beveiligd met dezelfde instellingen.
Een beheerder past het label toe op het document met behulp van PowerShell. Gebruik de cmdlet Set-AIPFileLabel om het label toe te passen op een specifiek document of alle documenten in een map.
U hebt ook het label geconfigureerd om automatische classificatie toe te passen die nu kan worden toegepast met behulp van de Azure Information Protection-scanner of PowerShell. Zie Voorwaarden configureren voor automatische en aanbevolen classificatie voor Azure Information Protection.

Als u dit scenario wilt voltooien, past u het label handmatig toe wanneer u het document in uw Office toepassing maakt:

  1. Als op een clientcomputer uw Office toepassing al is geopend, sluit u deze eerst en opent u deze opnieuw om de meest recente beleidswijzigingen op te halen die uw zojuist geconfigureerde label bevatten.

  2. Pas het label toe op een document en sla het op.

Deel het beveiligde document door het bij te voegen aan een e-mailbericht en het te verzenden naar de personen die u gemachtigd hebt om het document te bewerken.

Het beveiligde document openen en bewerken

Wanneer gebruikers die u gemachtigd zijn het document te openen voor bewerking, wordt het document geopend met een informatiebanner die hen informeert dat machtigingen zijn beperkt. Bijvoorbeeld:

Azure Information Protection permissions example information banner

Als ze de knop Machtiging weergeven selecteren, zien ze de machtigingen die ze hebben. In het volgende voorbeeld kan de gebruiker het document bekijken en bewerken:

Azure Information Protection permissions example dialog box

Opmerking: als het document wordt geopend door externe gebruikers die ook gebruikmaken van Azure Information Protection, wordt uw classificatielabel voor het document niet weergegeven in de Office toepassing, hoewel visuele markeringen van het label behouden blijven. In plaats daarvan kunnen externe gebruikers hun eigen label toepassen in overeenstemming met de classificatietaxonomie van hun organisatie. Als deze externe gebruikers het bewerkte document vervolgens naar u terugsturen, Office het oorspronkelijke classificatielabel weergeven wanneer u het document opnieuw opent.

Voordat het beveiligde document wordt geopend, worden een van de volgende verificatiestromen uitgevoerd:

  • Voor de gebruikers die een Azure AD-account hebben, gebruiken ze hun Azure AD referenties om te worden geverifieerd door Azure AD en wordt het document geopend.

  • Als de gebruiker geen Azure AD-account heeft en niet is aangemeld bij Office met een account dat gemachtigd is om het document te openen, wordt de pagina Accounts weergegeven.

    Selecteer Account toevoegen op de pagina Accounts:

    Adding an Microsoft account to open protected document

    Selecteer op de aanmeldingspaginade optie Maken! en volg de aanwijzingen om een nieuw Microsoft-account te maken met het e-mailadres dat is gebruikt om de machtigingen te verlenen:

    Creating a Microsoft account to open protected document

    Wanneer het nieuwe Microsoft-account wordt gemaakt, schakelt het lokale account over naar dit nieuwe Microsoft-account en kan de gebruiker het document vervolgens openen.

Ondersteunde scenario's voor het openen van beveiligde documenten

De volgende tabel bevat een overzicht van de verschillende verificatiemethoden die worden ondersteund voor het weergeven en bewerken van beveiligde documenten.

Daarnaast bieden de volgende scenario's ondersteuning voor het weergeven van documenten:

  • De Azure Information Protection viewer voor Windows en voor iOS en Android kunnen bestanden openen met behulp van een Microsoft-account.

  • Een browser kan beveiligde bijlagen openen wanneer sociale providers en eenmalige wachtwoordcodes worden gebruikt voor verificatie met Exchange Online en de nieuwe mogelijkheden van Office 365 Berichtversleuteling.

Platforms voor het weergeven en bewerken van documenten:
Word, Excel, PowerPoint		 Verificatiemethode:
Azure AD		 Verificatiemethode:
Microsoft-account
Windows Ja [1] Ja (Microsoft 365 apps en Microsoft Office 2019)
iOS Ja [1] Ja (versie 2.42 en hoger)
Android Ja [1] Ja (versie 16.0.13029 en hoger)
MacOS Ja [1] Ja (Microsoft 365 apps, versie 16.42 en hoger)
Voetnoot 1

Ondersteunt gebruikersaccounts, groepen met e-mail, alle leden. Gebruikersaccounts en groepen met e-mail kunnen gastaccounts bevatten. Alle leden sluiten gastaccounts uit.

Volgende stappen

Bekijk andere voorbeeldconfiguraties voor labels om beveiliging toe te passen op veelvoorkomende scenario's. Dit artikel bevat ook meer informatie over de beveiligingsinstellingen.

Zie Azure Information Protection-beleid configureren voor meer informatie over de andere opties en instellingen die u voor uw label kunt configureren.

Het label dat in dit artikel is geconfigureerd, maakt ook een beveiligingssjabloon met dezelfde naam. Als u toepassingen en services hebt die zijn geïntegreerd met beveiligingssjablonen van Azure Information Protection, kunnen ze deze sjabloon toepassen. Bijvoorbeeld DLP-oplossingen en e-mailstroomregels. webversie van Outlook geeft automatisch beveiligingssjablonen weer van het globale beleid van Azure Information Protection.