Veelgestelde vragen over de klassieke Azure Information Protection-client

Wanneer is het juiste moment om mijn labels te migreren naar geïntegreerde labels?

U wordt aangeraden uw Azure Information Protection-labels te migreren naar het geïntegreerde labelplatform, zodat u ze kunt gebruiken als vertrouwelijkheidslabels met andere clients en services die ondersteuning bieden voor geïntegreerde labels.

Zie Azure Information Protection-labels migreren naar geïntegreerde vertrouwelijkheidslabels voor meer informatie en instructies.

Moet ik mijn bestanden opnieuw versleutelen nadat ik ben overgeschakeld naar vertrouwelijkheidslabels en het geïntegreerde labelplatform?

Nee, u hoeft uw bestanden niet opnieuw te versleutelen nadat u bent overgeschakeld naar vertrouwelijkheidslabels en het geïntegreerde labelplatform nadat u bent gemigreerd van de klassieke AIP-client en de labels die in de Azure Portal worden beheerd.

Nadat u deze hebt gemigreerd, beheert u uw labels en labelbeleid vanuit het Microsoft 365 compliancecentrum.

Zie Meer informatie over vertrouwelijkheidslabels in de Microsoft 365-documentatie en het blog Over geïntegreerde labelingmigratie begrijpen.

Wat is het verschil tussen labels in Microsoft 365 en labels in Azure Information Protection?

Oorspronkelijk had Microsoft 365 alleen retentielabels, waardoor u documenten en e-mailberichten kon classificeren voor controle en retentie toen die inhoud werd opgeslagen in Microsoft 365 services.

Azure Information Protection labels, die op dat moment zijn geconfigureerd met behulp van de klassieke AIP-client in de Azure Portal, stelt u daarentegen in staat om een consistent classificatie- en beveiligingsbeleid toe te passen voor documenten en e-mailberichten, ongeacht of ze on-premises of in de cloud zijn opgeslagen.

Microsoft 365 ondersteunt naast retentielabels ook vertrouwelijkheidslabels. Vertrouwelijkheidslabels kunnen worden gemaakt en geconfigureerd in het Microsoft 365 compliancecentrum.

Als u verouderde AIP-labels hebt geconfigureerd in de Azure Portal, raden we u aan ze te migreren naar vertrouwelijkheidslabels en geïntegreerde labelclient. Zie Zelfstudie: Migreren van de klassieke AIP-client (Azure Information Protection) naar de geïntegreerde labelclient voor meer informatie.

Zie Aankondiging van de beschikbaarheid van mogelijkheden voor gegevensbeveiliging om uw gevoelige gegevens te beschermen voor meer informatie.

Is de Azure Information Protection-client alleen voor abonnementen waarin classificatie en labeling is opgenomen?

Nee. De klassieke AIP-client kan ook worden gebruikt met abonnementen die alleen de Azure Rights Management-service bevatten, alleen voor gegevensbeveiliging.

Wanneer de klassieke client wordt geïnstalleerd zonder Azure Information Protection-beleid, werkt de client automatisch in de modus alleen-beveiliging, waardoor gebruikers Rights Management sjablonen en aangepaste machtigingen kunnen toepassen.

Als u later een abonnement aanschaft dat wel classificatie en labeling omvat, schakelt de client automatisch over naar de standaardmodus wanneer het Azure Information Protection-beleid wordt gedownload.

Eigenaren van Rights Management instellen

Voor zowel Windows Server FCI als de Azure Information Protection-scanner is de Rights Management-eigenaar standaard ingesteld op het account dat het bestand beveiligt.

Overschrijf de standaardinstellingen als volgt:

• Windows Server FCI: stel de Rights Management-eigenaar in op één account voor alle bestanden of stel de Rights Management-eigenaar voor elk bestand dynamisch in.

  Als u de Rights Management-eigenaar dynamisch wilt instellen, gebruikt u de parameter -OwnerMail [Source File Owner Email] en de waarde. Met deze configuratie wordt het e-mailadres van de gebruiker opgehaald uit Active Directory met behulp van de naam van het gebruikersaccount in de eigenschap Eigenaar van het bestand.

• Azure Information Protection scanner: Stel voor nieuw beveiligde bestanden de Rights Management-eigenaar in op één account voor alle bestanden in een opgegeven gegevensarchief door de instelling -Standaardeigenaar in het scannerprofiel op te geven.

  Het dynamisch instellen van de Rights Management-eigenaar voor elk bestand wordt niet ondersteund en de Rights Management-eigenaar wordt niet gewijzigd voor eerder beveiligde bestanden.

  Notitie

  Wanneer de scanner bestanden op SharePoint sites en bibliotheken beveiligt, wordt de eigenaar van de Rights Management dynamisch ingesteld voor elk bestand met behulp van de SharePoint Editor-waarde.

Kan een bestand meer dan één classificatie hebben?

Gebruikers kunnen per document of e-mailadres slechts één label selecteren. Vaak resulteert dit in één classificatie. Als gebruikers echter een sublabel selecteren, worden er twee labels tegelijk toegepast; een primair label en een secundair label. Door sublabels te gebruiken, kan een bestand twee classificaties hebben die een bovenliggende/onderliggende relatie aandukken voor een extra besturingselementniveau.

Het label Vertrouwelijk kan bijvoorbeeld sublabels bevatten, zoals Legal en Finance. U kunt verschillende visuele classificatiemarkeringen en verschillende Rights Management sjablonen toepassen op deze sublabels. Een gebruiker kan het label Vertrouwelijk niet zelf selecteren; slechts één van de sublabels, zoals Legal. Het weergegeven label is dan dus Vertrouwelijk\Juridisch. De metagegevens voor dat bestand bevatten een aangepaste teksteigenschap voor Vertrouwelijk, een aangepaste teksteigenschap voor Juridisch en een aangepaste teksteigenschap die beide waarden bevat (Vertrouwelijk/Juridisch).

Wanneer u sublabels gebruikt, configureert u geen visuele markeringen, beveiliging en voorwaarden op het primaire label. Wanneer u subniveaus gebruikt, configureert u deze instelling alleen op het sublabel. Als u deze instellingen op het primaire label en het bijbehorende sublabel configureert, hebben de instellingen bij het sublabel voorrang.

Hoe kan ik voorkomen dat iemand een label verwijdert of wijzigt?

Hoewel er een beleidsinstelling is die vereist dat gebruikers aangeven waarom ze een classificatielabel verlagen, een label verwijderen of beveiliging verwijderen, voorkomt deze instelling deze acties niet. Als u wilt voorkomen dat gebruikers een label verwijderen of wijzigen, moet de inhoud al zijn beveiligd en verlenen de beveiligingsmachtigingen de gebruiker niet het gebruiksrecht Exporteren of Volledig beheer

Hoe kunnen DLP-oplossingen en andere toepassingen worden geïntegreerd met Azure Information Protection?

Omdat Azure Information Protection permanente metagegevens gebruikt voor classificatie, waaronder een label voor duidelijke tekst, kan deze informatie worden gelezen door DLP-oplossingen en andere toepassingen.

Zie Labelinformatie die is opgeslagen in e-mailberichten en documenten voor meer informatie over deze metagegevens.

Voor voorbeelden van het gebruik van deze metagegevens met Exchange Online e-mailstroomregels raadpleegt u Regels voor Exchange Online e-mailstroom configureren voor Azure Information Protection-labels.

Kan ik een documentsjabloon maken die automatisch de classificatie bevat?

Ja. U kunt een label configureren om een kop- of voettekst toe te passen die de labelnaam bevat. Maar als dat niet aan uw vereisten voldoet, kunt u alleen voor de klassieke Azure Information Protection-client een documentsjabloon maken met de gewenste opmaak en de classificatie toevoegen als veldcode.

Als voorbeeld kunt u een tabel in de koptekst van uw document hebben waarin de classificatie wordt weergegeven. U kunt ook specifieke formuleringen gebruiken voor een inleiding die verwijst naar de classificatie van het document.

Ga als volgt te werk om deze veldcode toe te voegen aan uw document:

1. Label het document en sla het op. Met deze actie worden nieuwe metagegevensvelden gemaakt die u nu kunt gebruiken voor uw veldcode.

2. Plaats de cursor in het document op de positie waar u de classificatie van het label wilt toevoegen en selecteer vervolgens op het tabblad Invoegen hetveldTekst>snelonderdelen>.

3. Selecteer documentgegevens in het dialoogvenster Veld in de vervolgkeuzelijst Categorieën. Selecteer vervolgens DocProperty in de vervolgkeuzelijst Veldennamen.

4. Selecteer Gevoeligheid in de vervolgkeuzelijst Eigenschap en selecteer OK.

De classificatie van het huidige label wordt weergegeven in het document en deze waarde wordt automatisch vernieuwd wanneer u het document opent of de sjabloon gebruikt. Dus als het label verandert, wordt de classificatie die voor deze veldcode wordt weergegeven, automatisch bijgewerkt in het document.

Hoe verschilt de classificatie voor e-mailberichten met behulp van Azure Information Protection van Exchange berichtclassificatie?

Exchange berichtclassificatie is een oudere functie waarmee e-mailberichten kunnen worden geclassificeerd en die onafhankelijk van Azure Information Protection labels of vertrouwelijkheidslabels worden geïmplementeerd die classificatie toepassen.

U kunt deze oudere functie echter integreren met labels, zodat wanneer gebruikers een e-mailbericht classificeren met behulp van webversie van Outlook en met behulp van sommige mobiele e-mailtoepassingen, de labelclassificatie en bijbehorende labelmarkeringen automatisch worden toegevoegd.

U kunt gebruikmaken van dezelfde methode om de labels te gebruiken met de webversie van Outlook en deze mobiele e-mailtoepassingen.

Houd er rekening mee dat u dit niet hoeft te doen als u webversie van Outlook gebruikt met Exchange Online, omdat deze combinatie ingebouwde labels ondersteunt wanneer u vertrouwelijkheidslabels publiceert vanuit het Microsoft 365 compliancecentrum.

Als u ingebouwde labels niet kunt gebruiken met webversie van Outlook, raadpleegt u de configuratiestappen voor deze tijdelijke oplossing: Integratie met de verouderde Exchange berichtclassificatie

Hoe configureer ik een Mac-computer voor het beveiligen en bijhouden van documenten?

Zorg er eerst voor dat u Office voor Mac hebt geïnstalleerd met behulp van de koppeling voor software-installatie van https://admin.microsoft.com. Zie Downloaden en installeren of opnieuw installeren Microsoft 365 of Office 2019 op een pc of Mac voor volledige instructies.

Open Outlook en maak een profiel met uw Microsoft 365 werk- of schoolaccount. Maak vervolgens een nieuw bericht en doe het volgende om Office zo te configureren dat hierin documenten en e-mails kunnen worden beveiligd met behulp van de Azure Rights Management-service:

1. Klik in het nieuwe bericht op het tabblad Opties, klik op Machtigingen en vervolgens op Referenties controleren.

2. Geef desgevraagd de details van uw Microsoft 365 werk- of schoolaccount opnieuw op en selecteer Aanmelden.

   Hiermee worden de Azure Rights Management-sjablonen gedownload en Referenties controleren is nu vervangen door opties als Geen beperkingen, Niet doorsturen en eventuele Azure Rights Management-sjablonen die zijn gepubliceerd voor uw tenant. U kunt dit nieuwe bericht nu annuleren.

U beveiligt als volgt een e-mailbericht of document: klik op het tabblad Opties op Machtigingen en kies een optie of sjabloon waarmee het e-mailbericht of document wordt beveiligd.

Als u een document wilt bijhouden nadat u het hebt beveiligd: registreer het document op een Windows computer waarop de klassieke Azure Information Protection-client is geïnstalleerd, door het document te registreren bij de site voor documenttracking met behulp van een Office toepassing of Bestandenverkenner. Zie Uw documenten bijhouden en intrekken wanneer u Azure Information Protection gebruikt voor instructies. Vanaf uw Mac-computer kunt u nu uw webbrowser gebruiken om naar de site voor documenttracking (https://track.azurerms.com) te gaan om dit document bij te houden en in te trekken.

Wanneer ik intrekken test op de site voor documenttracking, wordt er een bericht weergegeven dat vermeldt dat mensen nog tot wel 30 dagen toegang hebben tot het document. Kan ik deze periode configureren?

Ja. Dit bericht weerspiegelt de gebruikslicentie voor dat specifieke bestand.

Als u een bestand intrekt, kan deze actie alleen worden afgedwongen wanneer de gebruiker wordt geverifieerd bij de Azure Rights Management-service. Dus als voor een bestand geldt dat de geldigheidsperiode van de gebruikslicentie 30 dagen bedraagt en de gebruiker het document al heeft geopend, blijft die gebruiker toegang houden tot het document voor de duur van de gebruikslicentie. Wanneer de licentie verloopt, moet de gebruiker opnieuw worden geverifieerd. Dit is ook het moment waarop de gebruiker toegang wordt geweigerd omdat het document nu is ingetrokken.

De gebruiker die het document heeft beveiligd, te weten de Rights Management-verlener, is uitgesloten van deze intrekking en heeft altijd toegang tot de eigen documenten.

De standaardwaarde voor de geldigheidsperiode van de gebruikslicentie voor een tenant is 30 dagen en deze instelling kan worden overschreven door een meer beperkende instelling in een label of sjabloon. Zie de Rights Management licentiedocumentatie gebruiken voor meer informatie over de gebruikslicentie en hoe u deze configureert.

Wat is het verschil tussen BYOK en HYOK en wanneer moet ik ze gebruiken?

In de context van Azure Information Protection houdt Bring Your Own Key (BYOK) in dat u on-premises uw eigen sleutel maakt voor Azure Rights Management-beveiliging. Vervolgens brengt u deze sleutel over naar een HSM (Hardware Security Module) in Azure Key Vault, waar u de eigenaar van de sleutel blijft en de sleutel blijft beheren. Als u dit niet hebt gedaan, wordt in Azure Rights Management-beveiliging een sleutel gebruikt die automatisch voor u in Azure wordt gemaakt en beheerd. Deze standaardconfiguratie wordt ook wel 'Door Microsoft beheerd' in plaats van 'Door de klant beheerd' (de optie BYOK) genoemd.

Zie Uw Azure Rights Management-tenantsleutel plannen en implementeren voor meer informatie over BYOK en of u deze sleuteltopologie voor uw organisatie moet kiezen.

In de context van Azure Information Protection is Hold Your Own Key (HYOK) van toepassing op een aantal organisaties die werken met een subset van documenten of e-mailberichten die niet kunnen worden beveiligd met een sleutel die in de cloud is opgeslagen. Voor deze organisaties geldt deze beperking ook als zij de sleutel hebben gemaakt en deze beheren (met behulp van BYOK). De beperking kan worden opgelegd vanwege regelgeving of om wettelijke redenen en de HYOK-configuratie moet alleen worden toegepast op gegevens met het label 'Topgeheim', die nooit buiten de organisatie worden gedeeld, alleen in het interne netwerk worden gebruikt en niet toegankelijk hoeven te zijn op mobiele apparaten.

Voor deze uitzonderingen (over het algemeen minder van 10% van alle inhoud die moet worden beveiligd) kunnen organisaties gebruikmaken van Active Directory Rights Management Services, een on-premises oplossing waarin een sleutel kan worden gemaakt die on-premises blijft. Met deze oplossing kunnen computers het Azure Information Protection-beleid uit de cloud ophalen, maar kan deze geïdentificeerde inhoud worden beveiligd met behulp van de on-premises sleutel.

Zie HYOK-vereisten (Hold Your Own Key) en -beperkingen voor AD RMS-beveiliging voor meer informatie over HYOK en informatie over de beperkingen en richtlijnen voor het gebruik van HYOK.

Wat moet ik doen als mijn vraag hier niet is?

Bekijk eerst de veelgestelde vragen die hieronder worden vermeld, die specifiek zijn voor classificatie en labeling, of specifiek voor gegevensbescherming. De Azure Rights Management-service (Azure RMS) biedt de gegevensbeveiligingstechnologie voor Azure Information Protection. Azure RMS kan worden gebruikt met classificatie en labeling, of zelf.

• Veelgestelde vragen over Azure Information Protection

• Veelgestelde vragen over classificeren en labelen

• Veelgestelde vragen over gegevensbeveiliging

Als uw vraag niet wordt beantwoord, raadpleegt u de koppelingen en resources die worden vermeld in Informatie en ondersteuning voor Azure Information Protection.

Daarnaast zijn er veelgestelde vragen ontworpen voor eindgebruikers:

• Veelgestelde vragen over de Azure Information Protection-app voor iOS en Android

• Veelgestelde vragen over RMS-apps voor delen voor Mac-computers