Veelgestelde vragen over Azure Information Protection (AIP)

Is van toepassingop : Azure Information Protection, Office 365

Relevant voor: AIP unified labeling client and classic client

Opmerking

Als u een geïntegreerde en gestroomlijnde klantervaring wilt bieden, worden de klassieke azure information protection-client en labelbeheer in de Azure Portal met ingang van 31 maart 2021 afgeschaft. Er wordt geen verdere ondersteuning geboden voor de klassieke client en onderhoudsversies worden niet meer uitgebracht.

De klassieke client wordt op 31 maart 2022 officieel niet meer gebruikt en werkt niet meer.

Alle huidige klassieke klanten van Azure Information Protection moeten migreren naar het Microsoft Information Protection unified labeling-platform en een upgrade uitvoeren naar de geïntegreerde labelingclient. Meer informatie in onze migratieblog.

Hebt u een vraag over Azure Information Protection (AIP) of over de Azure Rights Management service (Azure RMS)?

Kijk of het antwoord hieronder of op de volgende, specifiekere, veelgestelde vragenpagina's wordt beantwoord.

Wat is het verschil tussen Azure Information Protection en Microsoft Information Protection?

In tegenstelling tot Azure Information Protection is Microsoft Information Protection geen abonnement of product dat u kunt kopen. In plaats daarvan is het een framework voor producten en geïntegreerde mogelijkheden die u helpen de gevoelige informatie van uw organisatie te beschermen.

Microsoft Information Protection producten zijn:

  • Azure Information Protection
  • Microsoft 365 informatiebeveiliging, zoals Microsoft 365 DLP
  • Windows Information Protection
  • Microsoft Defender voor cloud-apps

Microsoft Information Protection mogelijkheden zijn:

  • Geïntegreerd labelbeheer
  • Ervaringen met eindgebruikerslabels die zijn ingebouwd in Office apps
  • De mogelijkheid voor Windows geïntegreerde etiketten te begrijpen en beveiliging toe te passen op gegevens
  • De Microsoft Information Protection SDK
  • Functionaliteit in Adobe Acrobat Reader om gelabelde en beveiligde PDF-bestanden weer te geven

Zie Informatiebeveiligingsmogelijkheden om uw gevoelige gegevens te beschermen voor meer informatie.

Wat is het verschil tussen labels in Microsoft 365 en labels in Azure Information Protection?

Oorspronkelijk had Microsoft 365 alleen bewaarlabels, waardoor u documenten en e-mailberichten kon classificeren voor controle en bewaring wanneer die inhoud werd opgeslagen in Microsoft 365 services.

Met Azure Information Protection-labels, die op dat moment zijn geconfigureerd met de klassieke AIP-client in de Azure-portal, kunt u daarentegen een consistent classificatie- en beveiligingsbeleid toepassen voor documenten en e-mailberichten, ongeacht of ze on-premises of in de cloud zijn opgeslagen.

Microsoft 365 ondersteunt gevoeligheidslabels naast bewaarlabels. Gevoeligheidslabels kunnen worden gemaakt en geconfigureerd in de Microsoft 365-compliancecentrum.

Als u oudere AIP-labels hebt geconfigureerd in de Azure-portal, raden we u aan ze te migreren naar gevoeligheidslabels en geïntegreerde labelingclient. Zie Zelfstudie: Migreren van de klassieke AIP-client (Azure Information Protection) naar de geïntegreerde labelingclientvoor meer informatie.

Zie Beschikbaarheid van informatiebeveiligingsmogelijkheden aankondigen om uw gevoelige gegevens te beschermen voor meer informatie.

Hoe kan ik bepalen of mijn tenant zich op het platform voor geïntegreerde labeling heeft?

Wanneer uw tenant zich op het geïntegreerde labelingsplatform beschrijft, ondersteunt deze gevoeligheidslabels die kunnen worden gebruikt door clients en services die unified labeling ondersteunen. Als u uw abonnement voor Azure Information Protection hebt verkregen in juni 2019 of hoger, staat uw tenant automatisch op het geïntegreerde labelingsplatform en is er geen verdere actie nodig. Uw tenant is mogelijk ook op dit platform omdat iemand uw Azure Information Protection-labels heeft gemigreerd.

Als uw tenant zich niet op het geïntegreerde labelingsplatform heeft, ziet u de volgende informatiebanner in de Azure-portal in het deelvenster Azure Information Protection:

Banner migratiegegevens

U kunt dit ook controleren door naar Azure Information ProtectionUnified labeling te gaan en de status Unified labeling te bekijken:

Status Beschrijving
Geactiveerd Uw tenant maakt gebruik van het geïntegreerde labelingsplatform.
U kunt labels maken, configureren en publiceren vanuit de Microsoft 365-compliancecentrum.
Niet geactiveerd Uw tenant staat niet op het platform voor geïntegreerde labeling.
Zie Azure Information Protection-labels migreren naar geïntegreerde gevoeligheidslabels voor migratieinstructies en -richtlijnen.

Wat is het verschil tussen de klassieke en geïntegreerde labeling-clients van Azure Information Protection?

De oudere Azure Information Protection-client, ook wel de klassieke client genoemd, downloadt labels en beleidsinstellingen van Azure en stelt u in staat om het AIP-beleid te configureren vanuit de Azure-portal.

De geïntegreerde labelclient is de meest recente client met de meest recente updates en ondersteunt het geïntegreerde labelingplatform dat door meerdere toepassingen en services wordt gebruikt. De geïntegreerde labelingclient downloadt gevoeligheidslabels en beleidsinstellingen van de Microsoft 365-compliancecentrum.

Als u een beheerder bent, vindt u meer informatie in Kies uw Windows labeloplossing.

Klassieke clientdeprecaties

Als u een geïntegreerde en gestroomlijnde klantervaring wilt bieden, worden de klassieke azure information protection-client en labelbeheer in de Azure-portal met ingang van 31 maart 2021 afgeschaft.

De client blijft werken zoals verwacht, maar beheerders kunnen beleidsregels op de portal niet bijwerken en er worden geen correcties of wijzigingen meer geleverd voor de klassieke client.

Het is raadzaam om te migreren naar geïntegreerde labeling en een upgrade uit te voeren naar de geïntegreerde labelclient. Meer informatie in onze recente update over de intrekking.

Zie Voor meer informatie: Azure Information Protection-labels migreren naar geïntegreerde gevoeligheidslabels

De client identificeren die u hebt geïnstalleerd

Als u een gebruiker bent die wil weten of u de klassieke of de geïntegreerde labelingclient hebt geïnstalleerd, kunt u een van de volgende dingen doen:

  • Controleer in Office apps op de knop Gevoeligheid ofBeveiligen. De geïntegreerde labelingclient toont de knop Gevoeligheid, terwijl de klassieke client de knop Beveiligen toont.

  • Controleer het versienummer voor de Azure Information Protection-toepassing die u hebt geïnstalleerd.

    • Versie 1.x geeft aan dat u de klassieke client hebt. Voorbeeld: 1.54.59.0
    • Versie 2.x geeft aan dat u de geïntegreerde labelingclient hebt. Voorbeeld: 2.8.85.0

    Schuif bijvoorbeeld in het Windows Instellingen apps en functies omlaag naar de Microsoft Azure information protection-toepassing en controleer het versienummer.

    De versie van de Azure Information Protection-client controleren

Wanneer is het juiste moment om mijn etiketten te migreren naar geïntegreerde labeling?

U wordt aangeraden uw Azure Information Protection-labels te migreren naar het geïntegreerde labelingsplatform, zodat u ze kunt gebruiken als gevoeligheidslabels voor andere clients en services die unified labeling ondersteunen.

Zie Azure Information Protection-labelsmigreren naar geïntegreerde gevoeligheidslabels voor meer informatie en instructies.

Nadat ik mijn etiketten heb gemigreerd naar geïntegreerde labeling, welke beheerportal gebruik ik?

Nadat u de labels in de Azure-portal hebt gemigreerd, kunt u deze blijven beheren op een van de volgende locaties, afhankelijk van de clients die u hebt geïnstalleerd:

Client Beschrijving
Alleen geïntegreerde labeling-clients en -services Als u alleen geïntegreerde labeling-clients hebt geïnstalleerd, beheert u uw etiketten in de Microsoft 365-compliancecentrum, waarbij geïntegreerde labeling-clients de etiketten en hun beleidsinstellingen downloaden.

Zie Gevoeligheidslabels en hun beleid maken en configureren voor instructies.
Alleen klassieke client Als u uw etiketten hebt gemigreerd, maar nog steeds de klassieke client hebt geïnstalleerd, blijft u de Azure-portal gebruiken om etiketten en beleidsinstellingen te bewerken. De klassieke client blijft labels en beleidsinstellingen downloaden van Azure.
Zowel de klassieke AIP-client als geïntegreerde labelingclients Als u beide clients hebt geïnstalleerd, gebruikt u de Microsoft 365-compliancecentrum of de Azure-portal om labelwijzigingen aan te brengen.

Als de klassieke clients labelwijzigingen in de Microsoft 365-compliancecentrum, gaat u terug naar de Azure-portal om ze te publiceren. Selecteer publiceren in het >>

Blijf de Azure-portal gebruiken voor centrale rapportage en de scanner.

Moet ik mijn bestanden opnieuw versleutelen na de overstap naar gevoeligheidslabels en het geïntegreerde labelingplatform?

Nee, u hoeft uw bestanden niet opnieuw te versleutelen na de overstap naar gevoeligheidslabels en het geïntegreerde labelingplatform na de migratie van de klassieke AIP-client en de labels die worden beheerd in de Azure-portal.

Na de migratie kunt u uw etiketten en labelbeleid beheren vanaf de Microsoft 365-compliancecentrum.

Zie Meer informatie over gevoeligheidslabels in de Microsoft 365 documentatie en de blog Unified Labeling Migration(Geïntegreerde labeling migratie) voor meer informatie.

Wat is het verschil tussen Azure Information Protection en Azure Rights Management?

Azure Information Protection (AIP) biedt classificatie, labeling en beveiliging voor documenten en e-mailberichten van een organisatie.

Inhoud is beveiligd met de Azure Rights Management service, die nu onderdeel is van AIP.

Zie Hoe AIP uw gegevens beschermt en Wat is Azure Rights Management? voor meer informatie.

Wat is de rol van identiteitsbeheer voor Azure Information Protection?

Identiteitsbeheer is een belangrijk onderdeel van AIP, omdat gebruikers een geldige gebruikersnaam en wachtwoord moeten hebben om beveiligde inhoud te kunnen openen.

Zie De rol van Azure Information Protection bij het beveiligen van gegevens voor meer informatie over hoe Azure Information Protection uw gegevens helpt beveiligen.

Welk abonnement heb ik nodig voor Azure Information Protection en welke functies zijn inbegrepen?

Zie voor meer informatie over AIP-abonnementen:

Moet u een globale beheerder zijn om Azure Information Protection te configureren of kan ik delegeren aan andere beheerders?

Globale beheerders voor een Microsoft 365 tenant of Azure AD-tenant kunnen uiteraard alle beheertaken voor Azure Information Protection uitvoeren.

Als u echter beheerdersmachtigingen wilt toewijzen aan andere gebruikers, doet u dit met de volgende rollen:

Let ook op het volgende bij het beheren van beheertaken en -rollen:

Probleem Details
Ondersteunde accounttypen Microsoft-accounts worden niet ondersteund voor gedelegeerd beheer van Azure Information Protection, zelfs als deze accounts zijn toegewezen aan een van de weergegeven beheerrollen.
Onboarding-besturingselementen Als u onboarding-besturingselementenhebt geconfigureerd, heeft deze configuratie geen invloed op de mogelijkheid om Azure Information Protection te beheren, behalve de RMS-connector.

Als u bijvoorbeeld onboarding-besturingselementen hebt geconfigureerd, zodat de mogelijkheid om inhoud te beveiligen is beperkt tot de it-afdelingsgroep, moet het account dat wordt gebruikt voor het installeren en configureren van de RMS-connector, lid zijn van die groep.
Beveiliging verwijderen Beheerders kunnen de beveiliging niet automatisch verwijderen uit documenten of e-mailberichten die zijn beveiligd door Azure Information Protection.

Alleen gebruikers die als supergebruikers zijn toegewezen, kunnen de beveiliging verwijderen en alleen wanneer de functie supergebruikers is ingeschakeld.

Elke gebruiker met beheerdersmachtigingen voor Azure Information Protection kan de supergebruikersfunctie inschakelen en gebruikers toewijzen als supergebruikers, inclusief hun eigen account.

Deze acties worden opgenomen in een beheerderslogboek.

Zie de sectie best practices voor beveiliging in Supergebruikers configurerenvoor Azure Information Protection en discovery services of data recovery voor meer informatie.

Tip:Als uw inhoud is opgeslagen in SharePoint of OneDrive, kunnen beheerders de cmdlet Unlock-SensitivityLabelEncryptedFile uitvoeren om zowel het gevoeligheidslabel als de versleuteling te verwijderen. Zie de documentatie Microsoft 365 voor meer informatie.
Migreren naar de geïntegreerde labeling store Als u uw Azure Information Protection-etiketten migreert naar het geïntegreerde labelingsopslag, leest u de volgende sectie in de documentatie voor labelmigratie:
Beheerdersrollen die het geïntegreerde labelingplatform ondersteunen.

Azure Information Protection-beheerder

Met Azure Active Directory beheerdersrol kan een beheerder Azure Information Protection configureren, maar niet andere services.

Beheerders met deze rol kunnen:

Zie Een gebruiker toewijzen aan beheerdersrollen inAzure Active Directory.

Opmerking

Deze rol wordt niet ondersteund in de Azure-portal als uw tenant zich op het unified labeling-platform heeft.

Compliancebeheerder of compliancegegevensbeheerder

Met Azure Active Directory beheerdersrollen kunnen beheerders:

  • Azure Information Protection configureren, inclusief het activeren en deactiveren van Azure Rights Management beveiligingsservice
  • Beveiligingsinstellingen en -labels configureren
  • Het Beleid voor Azure Information Protection configureren
  • Voer alle PowerShell-cmdlets uit voor de Azure Information Protection-client en vanuit de AIPService-module.

Zie Een gebruiker toewijzen aan beheerdersrollen inAzure Active Directory.

Als u wilt zien welke andere machtigingen een gebruiker met deze rollen heeft, bekijkt u de sectie Beschikbare rollen in de Azure Active Directory documentatie.

Opmerking

Deze rollen bieden geen ondersteuning voor het bijhouden en inroepen van documenten voor gebruikers.

Beveiligingslezer of algemene lezer

Deze rollen worden alleen gebruikt voor Azure Information Protection-analyse en kunnen beheerders het volgende doen:

  • Weergeven hoe uw etiketten worden gebruikt
  • Gebruikerstoegang tot gelabelde documenten en e-mailberichten controleren
  • Wijzigingen in classificatie weergeven
  • Documenten identificeren die gevoelige informatie bevatten die moet worden beveiligd

Omdat deze functie Azure Monitor gebruikt, moet u ook een ondersteunende RBAC-rol hebben.

Beveiligingsbeheerder

Met Azure Active Directory beheerdersrol kunnen beheerders Azure Information Protection configureren in de Azure-portal en enkele aspecten van andere Azure-services.

Beheerders met deze rol kunnen geen enkele PowerShell-cmdletsuitvoeren vanuit de AIPService-module of documenten voor gebruikers bijhouden en intrekken.

Zie Een gebruiker toewijzen aan beheerdersrollen inAzure Active Directory.

Als u wilt zien welke andere machtigingen een gebruiker met deze rol heeft, bekijkt u de sectie Beschikbare rollen uit de Azure Active Directory documentatie.

Azure Rights Management globale beheerder en connectorbeheerder

Met de rol Globale beheerder kunnen gebruikers alle PowerShell-cmdlets uitvoeren vanuit de AIPService-module zonder dat ze een globale beheerder worden voor andere cloudservices.

Met de rol Connectorbeheerder kunnen gebruikers alleen de RMS-connector (Rights Management) uitvoeren.

Deze beheerrollen verlenen geen machtigingen voor beheerconsoles. De rol Connectorbeheerder biedt ook geen ondersteuning voor het bijhouden en inroepen van documenten voor gebruikers.

Als u een van deze beheerrollen wilt toewijzen, gebruikt u de AIPService PowerShell-cmdlet Add-AipServiceRoleBasedAdministrator.

Ondersteunt Azure Information Protection on-premises en hybride scenario's?

Ja. Hoewel Azure Information Protection een cloudoplossing is, kunnen documenten en e-mailberichten die on-premises en in de cloud zijn opgeslagen, worden geclassificeerd, gelabeld en beschermd.

Als u een Exchange Server, SharePoint server en Windows hebt, gebruikt u een of beide van de volgende methoden:

  • De Rights Management-connector implementeren zodat deze on-premises servers de Azure Rights Management kunnen gebruiken om uw e-mailberichten en documenten te beveiligen
  • Synchroniseer en federatief uw Active Directory-domeincontrollers met Azure AD voor een naadloze verificatie-ervaring voor gebruikers. Gebruik bijvoorbeeld Azure AD-Verbinding maken.

De Azure Rights Management-service genereert en beheert automatisch XrML-certificaten zoals vereist, zodat er geen on-premises PKI wordt gebruikt.

Zie de walkthrough van de manier waarop Azure RMS werkt voor meer informatie over hoe Azure Rights Management certificaten gebruikt: Eerste gebruik, inhoudsbeveiliging, inhoudsverbruik.

Welke typen gegevens kan Azure Information Protection classificeren en beveiligen?

Azure Information Protection kan e-mailberichten en documenten classificeren en beveiligen, ongeacht of ze zich on-premises of in de cloud bevinden. Deze documenten omvatten Word-documenten, Excel spreadsheets, PowerPoint presentaties, PDF-documenten, tekstbestanden en afbeeldingsbestanden.

Zie de ondersteunde volledige lijstbestandstypen voor meer informatie.

Opmerking

Azure Information Protection kan gestructureerde gegevens niet classificeren en beveiligen, zoals databasebestanden, agenda-items, Yammer berichten, Sway-inhoud en OneNote notitieblokken.

Tip

Power BI ondersteunt classificatie met behulp van gevoeligheidslabels en kan beveiliging tegen deze etiketten toepassen op gegevens die worden geëxporteerd naar de volgende bestandsindelingen: .pdf, .xls en .ppt. Zie Gegevensbeveiliging inPower BI.

Ik zie dat Azure Information Protection wordt weergegeven als een beschikbare cloud-app voor voorwaardelijke toegang. Hoe werkt dit?

Ja, als voorbeeldaanbieding kunt u voorwaardelijke toegang voor Azure AD configureren voor Azure Information Protection.

Wanneer een gebruiker een document opent dat is beveiligd door Azure Information Protection, kunnen beheerders nu gebruikers in hun tenant blokkeren of toegang verlenen op basis van de standaardbesturingselementen voor voorwaardelijke toegang. Het vereisen van meervoudige verificatie (MFA) is een van de meest gevraagde voorwaarden. Een andere is dat apparaten moeten voldoen aan uw Intune-beleid, zodat mobiele apparaten bijvoorbeeld voldoen aan uw wachtwoordvereisten en een minimale versie van het besturingssysteem en computers moeten zijn verbonden met een domein.

Zie het volgende blogbericht: Beleid voor voorwaardelijke toegang voor Azure Information Protectionvoor meer informatie en enkele voorbeelden.

Aanvullende informatie:

Onderwerp Details
Evaluatiefrequentie Voor Windows computers en de huidige preview-release worden de beleidsregels voor voorwaardelijke toegang voor Azure Information Protection geëvalueerd wanneer de gebruikersomgeving is ge initialiseerd (dit proces wordt ook wel bootstrapping genoemd) en vervolgens elke 30 dagen.

Als u wilt afstemmen hoe vaak uw beleid voor voorwaardelijke toegang wordt geëvalueerd, configureert u de levensduur van het token.
Beheerdersaccounts Het is raadzaam om geen beheerdersaccounts toe te voegen aan uw beleid voor voorwaardelijke toegang, omdat deze accounts geen toegang hebben tot het deelvenster Azure Information Protection in de Azure-portal.
MFA- en B2B-samenwerking Als u MFA gebruikt in uw beleid voor voorwaardelijke toegang voor samenwerking met andere organisaties (B2B), moet u Azure AD B2B-samenwerking gebruiken en gastaccounts maken voor de gebruikers met wie u wilt delen in de andere organisatie.
Gebruiksvoorwaarden Met de preview-release van Azure AD december 2018 kunt u gebruikers nu vragen een gebruiksvoorwaarden te accepteren voordat ze een beveiligd document voor het eerst openen.
Cloud-apps Als u veel cloud-apps gebruikt voor voorwaardelijke toegang, ziet u mogelijk geen Microsoft Azure in de lijst die u wilt selecteren.

Gebruik in dit geval het zoekvak boven aan de lijst. Typ 'Microsoft Azure Information Protection' om de beschikbare apps te filteren. Als u een ondersteund abonnement hebt, ziet u Microsoft Azure informatiebeveiliging die u wilt selecteren.

Opmerking

De ondersteuning voor Azure Information Protection voor voorwaardelijke toegang is momenteel beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet beschikbaar zijn.

Ik zie dat Azure Information Protection wordt vermeld als een beveiligingsprovider voor Microsoft Graph Beveiliging: hoe werkt dit en welke waarschuwingen ontvang ik?

Ja, als openbare preview-aanbieding kunt u nu een waarschuwing ontvangen voor afwijkende gegevenstoegang voor Azure Information Protection. Deze waarschuwing wordt geactiveerd wanneer er ongebruikelijke pogingen zijn om toegang te krijgen tot gegevens die zijn beveiligd door Azure Information Protection. U hebt bijvoorbeeld toegang tot een ongebruikelijk hoog gegevensvolume op een ongebruikelijk tijdstip of toegang vanaf een onbekende locatie.

Dergelijke waarschuwingen kunnen u helpen geavanceerde gegevensgerelateerde aanvallen en insider-bedreigingen in uw omgeving te detecteren. Deze waarschuwingen gebruiken machine learning om het gedrag te profileren van gebruikers die toegang hebben tot uw beveiligde gegevens.

De waarschuwingen voor Azure Information Protection kunnen worden gebruikt met de Microsoft Graph Security API ofu kunt waarschuwingen streamen naar SIEM-oplossingen, zoals Splunk en IBM Qradar, met Behulp van Azure Monitor.

Zie Microsoft Graph Security API overview voor meer informatie over de Microsoft Graph Security API.

Opmerking

De ondersteuning voor Azure Information Protection voor Microsoft Graph Security is momenteel beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet beschikbaar zijn.

Ik heb gehoord dat er binnenkort een nieuwe release beschikbaar is voor Azure Information Protection. Wanneer wordt deze uitgebracht?

De technische documentatie bevat geen informatie over toekomstige versies. Voor dit type informatie gebruikt u de Microsoft 365 Roadmap.

Is Azure Information Protection geschikt voor mijn land?

Verschillende landen hebben verschillende vereisten en voorschriften. Zie Geschiktheid voor verschillende landen om u te helpen deze vraag voor uw organisatie te beantwoorden.

Hoe kan Azure Information Protection u helpen met de AVG?

Opmerking

Als u persoonlijke gegevens wilt bekijken of verwijderen, raadpleegt u de richtlijnen van Microsoft in Microsoft Compliance Manager en in de sectie AVG van de Microsoft 365 Enterprise compliancesite. Als u op zoek bent naar algemene informatie over de AVG, bekijkt u de sectie AVG van de Service Trust portal.

Zie Compliance- en ondersteunende informatie voor Azure Information Protection.

Hoe kan ik een probleem melden of feedback verzenden voor Azure Information Protection?

Gebruik voor technische ondersteuning uw standaardondersteuningskanalen of neem contact op met Microsoft Support.

We nodigen u ook uit om contact op te nemen met ons technische team, op hun Azure Information Protection Yammer site.

Wat moet ik doen als mijn vraag er niet is?

Bekijk eerst de veelgestelde vragen hieronder, die specifiek zijn voor classificatie en labeling, of specifiek voor gegevensbescherming. De Azure Rights Management service (Azure RMS) biedt de gegevensbeschermingstechnologie voor Azure Information Protection. Azure RMS kan worden gebruikt met classificatie en labeling, of op zichzelf.

Als uw vraag niet wordt beantwoord, bekijkt u de koppelingen en bronnen die worden vermeld in Informatie en ondersteuning voor Azure Information Protection.