Beveiliging buiten gebruik stellen en deactiveren voor Azure Information Protection

Van toepassing op : Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

U hebt altijd de controle of uw organisatie inhoud bebeveiligen door de Azure Rights Management-service te Azure Information Protection. Als u besluit dat u deze information protection-service niet meer wilt gebruiken, hebt u de zekerheid dat inhoud die eerder is beveiligd niet wordt vergrendeld.

Als u geen toegang meer nodig hebt tot eerder beveiligde inhoud, deactiveert u de service en laat u uw abonnement Azure Information Protection verlopen. Dit zou bijvoorbeeld het geval kunnen zijn wanneer u klaar bent met testen van Azure Information Protection voordat u de oplossing in een productieomgeving implementeert.

Als u echter Azure Information Protection hebt geïmplementeerd in productie en documenten en e-mailberichten hebt beveiligd, moet u ervoor zorgen dat u een kopie van uw Azure Information Protection-tenantsleutel en geschikte Trusted Publishing Domain (TPD) hebt voordat u de Azure Rights Management-service deactiveert. Zorg ervoor dat u een kopie van uw sleutel en de TPD hebt voordat uw abonnement verloopt om ervoor te zorgen dat u toegang kunt houden tot inhoud die is beveiligd door Azure Rights Management nadat de service is gedeactiveerd.

Als u de BYOK-oplossing (Bring Your Own Key) hebt gebruikt waarmee u uw eigen sleutel in een HSM genereert en beheert, hebt u al uw Azure Information Protection tenantsleutel. U hebt ook een geschikte TPD als u de instructies hebt gevolgd die voorbereiden op een toekomstige clouduitgang. Als uw tenantsleutel echter werd beheerd door Microsoft (de standaardinstelling), bekijkt u de instructies voor het exporteren van uw tenantsleutel in het artikel Bewerkingen voor uw Azure Information Protection tenantsleutel.

Tip

Zelfs nadat het abonnement is verlopen, blijft uw Azure Information Protection-tenant gedurende een langere periode beschikbaar voor gebruik van inhoud. U kunt uw tenantsleutel echter niet meer exporteren.

Wanneer u uw Azure Information Protection-tenantsleutel en de TPD hebt, kunt u Rights Management on-premises (AD RMS) implementeren en uw tenantsleutel importeren als een Trusted Publishing Domain (TPD). U hebt de volgende mogelijkheden voor het uit bedrijf nemen van uw Azure Information Protection-implementatie:

Als dit voor u van toepassing is ... … doet u dit:
U wilt dat alle gebruikers Rights Management blijven gebruiken, maar dat ze hiervoor een on-premises oplossing gebruiken in plaats van Azure Information Protection → Omleiden van uw clients naar de on-premises implementatie met behulp van de registersleutel LicensingRedirection voor Office 2016 of Office 2013. Zie de sectie Servicedetectie in de opmerkingen bij de implementatie van de RMS-client voor instructies.

Gebruik Office 2010 de registersleutel LicenseServerRedirection voor Office 2010, zoals beschreven in Office Registry Instellingen.

Belangrijk: Office uitgebreide ondersteuning van 2010 beëindigd op 13 oktober 2020. Zie AIP and legacy Windows and Office versions (AIPen verouderde Office versies) voor meer informatie.
U wilt helemaal stoppen met het gebruik van Rights Management-technologieën → Verleen een aangewezen beheerder supergebruikersrechten en installeer de Azure Information Protection-client voor deze gebruiker.

Deze beheerder kan vervolgens de PowerShell-module van deze client gebruiken voor het bulksgewijs ontsleutelen van bestanden in mappen die zijn beveiligd door Azure Information Protection. Bestanden worden weer niet beveiligd en kunnen daarom worden gelezen zonder een Rights Management technologie zoals Azure Information Protection of AD RMS. Omdat deze PowerShell-module kan worden gebruikt met zowel Azure Information Protection als AD RMS, hebt u de keuze uit het ontsleutelen van bestanden vóór of na het deactiveren van de beveiligingsservice van Azure Information Protection, of een combinatie.
U kunt niet alle bestanden identificeren die zijn beveiligd door Azure Information Protection. Of u wilt dat alle gebruikers automatisch beveiligde bestanden kunnen lezen die zijn overgeslagen → Implementeer een registerinstelling op alle clientcomputers met behulp van de registersleutel LicensingRedirection voor Office 2016 en Office 2013, zoals beschreven in de sectie Servicedetectie in de opmerkingen bij de implementatie van de RMS-client.

Voor Office 2010:
- Gebruik de registersleutel LicenseServerRedirection, zoals beschreven in Office Registry Instellingen.
- Implementeer een andere registerinstelling om te voorkomen dat gebruikers nieuwe bestanden beveiligen door DisableCreation in te stellen op 1, zoals beschreven in Office Register Instellingen.

Belangrijk: Office uitgebreide ondersteuning van 2010 beëindigd op 13 oktober 2020. Zie AIP and legacy Windows and Office versions (AIPen verouderde Office versies) voor meer informatie.
U wilt een gecontroleerde, handmatige herstelservice voor bestanden die zijn overgeslagen → Verleen aangewezen gebruikers in een gegevensherstelgroep supergebruikersrechten en installeer de Azure Information Protection-client voor deze gebruikers, zodat ze de beveiliging van bestanden kunnen opheffen wanneer deze actie wordt aangevraagd door standaardgebruikers.

Implementeer op alle computers de registerinstelling om te voorkomen dat gebruikers nieuwe bestanden beveiligen door DisableCreation in te stellen op 1, zoals beschreven in Registerinstellingen van Office.

Zie de volgende resources voor meer informatie over procedures in deze tabel:

  • Zie overzicht voor AD RMS informatie over Active Directory Rights Management Services implementatie.

  • Zie Een vertrouwd uitgiftedomein toevoegen voor instructies over het importeren van de Azure Information Protection-tenantsleutel als TPD-bestand.

  • Zie PowerShell gebruiken met de Azure Information Protection client als u PowerShell wilt gebruiken Azure Information Protection client.

Wanneer u klaar bent om de beveiligingsservice te deactiveren vanuit Azure Information Protection, volgt u de volgende instructies.

Rights Management uitschakelen

Gebruik een van de volgende procedures om de beveiligingsservice te deactiveren, Azure Rights Management.

Tip

U kunt ook de PowerShell-cmdlet Disable-AipService gebruikenom de Rights Management.

Deactiveren Rights Management van de Microsoft 365-beheercentrum

  1. Ga naar de Rights Management pagina voor Microsoft 365 beheerders.

    Als u wordt gevraagd om u aan te melden, gebruikt u een account dat een globale beheerder is voor Microsoft 365.

  2. Klik op de pagina Rights Management op Deactiveren.

  3. Wanneer u wordt gevraagd wilt u deactiveren Rights Management? klikt u op Deactiveren.

U ziet nu Rights Management is not activated (Rights Management is niet geactiveerd) en de mogelijkheid om te activeren.

Deactiveren Rights Management vanuit de Azure Portal

  1. Als u dat nog niet hebt gedaan, opent u een nieuw browservenster en meldt u zich aan bij Azure Portal. Navigeer vervolgens naar Azure Information Protection deelvenster.

    Bijvoorbeeld, in het zoekvak voor resources, services en documenten: begin met het typen van informatie en selecteer Azure Information Protection.

  2. Selecteer in het Azure Information Protection deelvenster Beveiligingsactivering.

  3. Selecteer in Azure Information Protection het deelvenster Activering van beveiliging de optie Deactiveren. Selecteer Ja om uw keuze te bevestigen.

In de informatiebalk wordt Gedeactiveerd voltooid weergegeven en Deactiveren is nu vervangen door Activeren.