Veelgestelde vragen over de klassieke Azure Information Protection-client

Is van toepassing op: Azure Information Protection, Office 365

Relevant voor: AIP unified labeling classic client only. Zie Veelgestelde vragen voor Azure Information Protection voor meer informatie.

Opmerking

Als u een geïntegreerde en gestroomlijnde klantervaring wilt bieden, worden de klassieke azure information protection-client en labelbeheer in de Azure Portal met ingang van 31 maart 2021 afgeschaft. Er wordt geen verdere ondersteuning geboden voor de klassieke client en onderhoudsversies worden niet meer uitgebracht.

De klassieke client wordt op 31 maart 2022 officieel niet meer gebruikt en werkt niet meer.

Alle huidige klassieke klanten van Azure Information Protection moeten migreren naar het Microsoft Information Protection unified labeling-platform en een upgrade uitvoeren naar de geïntegreerde labelingclient. Meer informatie in onze migratieblog.

Is de Azure Information Protection-client alleen beschikbaar voor abonnementen met classificatie en labeling?

Nee. De klassieke AIP-client kan ook worden gebruikt met abonnementen die alleen de Azure Rights Management, alleen voor gegevensbescherming.

Wanneer de klassieke client is geïnstalleerd zonder een Azure Information Protection-beleid,werkt de client automatisch in de modus alleen-beveiliging, waardoor gebruikers Rights Management-sjablonen en aangepaste machtigingen kunnen toepassen.

Als u later een abonnement koopt dat classificatie en labeling bevat, schakelt de client automatisch over naar de standaardmodus wanneer het Azure Information Protection-beleid wordt gedownload.

Wat is het verschil tussen Windows Server FCI en de Azure Information Protection-scanner?

Windows Serverbestandsclassificatie-infrastructuur is in het verleden een optie geweest om documenten te classificeren en vervolgens te beveiligen met behulp van de Rights Management-connector (alleen Office documenten) of een PowerShell-script (alle bestandstypen).

U wordt nu aangeraden de Azure Information Protection-scanner te gebruiken. De scanner gebruikt de Azure Information Protection-client en uw Azure Information Protection-beleid om documenten (alle bestandstypen) te labelen, zodat deze documenten vervolgens worden geclassificeerd en desgewenst worden beveiligd.

De belangrijkste verschillen tussen deze twee oplossingen:

Windows Server FCI Azure Information Protection scanner
Ondersteunde gegevensopslag Lokale mappen op Windows Server - Windows bestandsaandelen en netwerkopslag

- SharePoint Server 2016 en SharePoint Server 2013. SharePoint Server 2010 wordt ook ondersteund voor klanten die uitgebreide ondersteuning hebben voor deze versie van SharePoint.
Operationele modus Realtime De gegevensopslag systematisch of herhaaldelijk crawlen
Ondersteunde bestandstypen - Alle bestandstypen zijn standaard beveiligd

- Specifieke bestandstypen kunnen worden uitgesloten van beveiliging door het register te bewerken
Ondersteuning voor bestandstypen:

- Office bestandstypen en PDF-documenten zijn standaard beveiligd

- Extra bestandstypen kunnen worden opgenomen voor beveiliging door het register te bewerken

Rights Management-eigenaren instellen

Standaard is voor zowel Windows Server FCI als de Azure Information Protection-scanner ingesteld op het account dat het bestand beschermt.

Overschrijven de standaardinstellingen als volgt:

  • Windows Server FCI:Stel de eigenaar van Rights Management in op één account voor alle bestanden of stel de eigenaar van Rights Management dynamisch in voor elk bestand.

    Als u de eigenaar van Rights Management dynamisch wilt instellen, gebruikt u de parameter -OwnerMail [Source File Owner Email] en de waarde. Met deze configuratie wordt het e-mailadres van de gebruiker opgehaald uit Active Directory met behulp van de gebruikersnaam in de eigenschap Eigenaar van het bestand.

  • Azure Information Protection scanner:Stel voor nieuw beveiligde bestanden de eigenaar van Rights Management in op één account voor alle bestanden in een opgegeven gegevensopslag door de instelling -Standaardeigenaar in het scannerprofiel op te geven.

    Het dynamisch instellen van de eigenaar van Rights Management voor elk bestand wordt niet ondersteund en de eigenaar van Rights Management wordt niet gewijzigd voor eerder beveiligde bestanden.

    Opmerking

    Wanneer de scanner bestanden op SharePoint sites en bibliotheken beschermt, wordt de eigenaar van Rights Management dynamisch ingesteld voor elk bestand met de waarde SharePoint Editor.

Kan een bestand meerdere classificaties hebben?

Gebruikers kunnen slechts één label tegelijk selecteren voor elk document of e-mailbericht, wat vaak resulteert in slechts één classificatie. Als gebruikers echter een sublabel selecteren, worden er twee labels tegelijk toegepast. een primair label en een secundair label. Door sublabels te gebruiken, kan een bestand twee classificaties hebben die een bovenliggende\onderliggende relatie aanmerken voor een extra niveau van besturingselement.

Het label Vertrouwelijk kan bijvoorbeeld sublabels bevatten, zoals Juridisch en Financiën. U kunt verschillende classificatie visuele markeringen en verschillende Rights Management-sjablonen toepassen op deze sublabels. Een gebruiker kan het label Vertrouwelijk niet zelf selecteren. slechts één van de sublabels, zoals Legal. Als gevolg hiervan is het label dat ze zien ingesteld vertrouwelijk \ Juridisch. De metagegevens voor dat bestand bevatten één aangepaste tekst eigenschap voor Vertrouwelijk,een aangepaste tekst eigenschap voor Legalen een andere eigenschap die beide waarden bevat (Vertrouwelijk juridisch).

Wanneer u sublabels gebruikt, configureert u geen visuele markeringen, beveiliging en voorwaarden op het primaire label. Wanneer u sublevels gebruikt, configureert u deze instelling alleen op het sublabel. Als u deze instellingen configureert op het primaire label en het sublabel, hebben de instellingen bij het sublabel voorrang.

Hoe voorkom ik dat iemand een label verwijdert of verandert?

Hoewel er een beleidsinstelling is waarin gebruikers moeten vermelden waarom ze een classificatielabel verlagen, een label verwijderen of beveiliging verwijderen, worden deze acties niet voorkomen. Als u wilt voorkomen dat gebruikers een label verwijderen of wijzigen, moet de inhoud al zijn beveiligd en verlenen de beveiligingsmachtigingen de gebruiker niet het gebruikrecht Exporteren of Volledig beheer

Hoe kunnen DLP-oplossingen en andere toepassingen worden geïntegreerd met Azure Information Protection?

Omdat in Azure Information Protection permanente metagegevens worden gebruikt voor classificatie, die een label met duidelijke tekst bevat, kunnen deze gegevens worden gelezen door DLP-oplossingen en andere toepassingen.

Zie Labelgegevens die zijn opgeslagen in e-mailberichten en documenten voor meer informatie over deze metagegevens.

Zie Exchange Online e-mailstroomregels configureren voor Azure Information Protection-labelsvoor voorbeelden van het gebruik van deze metagegevens met Exchange Online e-mailstroomregels.

Kan ik een documentsjabloon maken die automatisch de classificatie bevat?

Ja. U kunt een label zo configureren dat een kop- of voettekst met de labelnaam wordt toegepast. Maar als dat niet aan uw vereisten voldoet, kunt u voor de klassieke Azure Information Protection-client een documentsjabloon maken met de gewenste opmaak en de classificatie toevoegen als een veldcode.

Als voorbeeld ziet u mogelijk een tabel in de koptekst van het document waarin de classificatie wordt weergegeven. Of u gebruikt specifieke formuleringen voor een inleiding die verwijst naar de classificatie van het document.

Als u deze veldcode in uw document wilt toevoegen:

  1. Label het document en sla het op. Met deze actie worden nieuwe metagegevensvelden gemaakt die u nu kunt gebruiken voor uw veldcode.

  2. Plaats in het document de cursor op de positie waar u de classificatie van het label wilt toevoegen en selecteer vervolgens op het tabblad Invoegen de optie Tekstveld snelleonderdelen.

  3. Selecteer documentgegevens in het dialoogvenster Veld in de vervolgkeuzekeuzevenster Categorieën. Selecteer vervolgens docPropertyin de vervolgkeuze voor veldennamen.

  4. Selecteer in de vervolgkeuze van eigenschap de optie Gevoeligheiden selecteer OK.

De classificatie van het huidige label wordt weergegeven in het document en deze waarde wordt automatisch vernieuwd wanneer u het document opent of de sjabloon gebruikt. Als het label verandert, wordt de classificatie die voor deze veldcode wordt weergegeven, automatisch bijgewerkt in het document.

Hoe verschilt classificatie voor e-mailberichten met Azure Information Protection van Exchange berichtclassificatie?

Exchange berichtclassificatie is een oudere functie die e-mailberichten kan classificeren en deze wordt onafhankelijk van Azure Information Protection-labels of gevoeligheidslabels geïmplementeerd die classificatie toepassen.

U kunt deze oudere functie echter integreren met etiketten, zodat wanneer gebruikers een e-mail classificeren met behulp van webversie van Outlook en sommige mobiele e-mailtoepassingen, de labelclassificatie en bijbehorende labelmarkeringen automatisch worden toegevoegd.

U kunt dezelfde techniek gebruiken om uw etiketten te gebruiken met webversie van Outlook en deze mobiele e-mailtoepassingen.

U hoeft dit niet te doen als u webversie van Outlook met Exchange Online gebruikt, omdat deze combinatie ingebouwde labeling ondersteunt wanneer u gevoeligheidslabels publiceert vanaf de Microsoft 365-compliancecentrum.

Als u geen ingebouwde labeling kunt gebruiken met webversie van Outlook, bekijkt u de configuratiestappen voor deze tijdelijke oplossing: Integratie met de oudere Exchange berichtclassificatie

Hoe configureer ik een Mac-computer om documenten te beveiligen en bij te houden?

Zorg er eerst voor dat u de Office voor Mac hebt geïnstalleerd met behulp van de koppeling voor software-installatie van https://admin.microsoft.com . Zie Downloaden en installeren of opnieuw installeren Microsoft 365 of Office 2019op een pc of Mac voor volledige instructies.

Open Outlook en maak een profiel met uw Microsoft 365 werk- of schoolaccount. Maak vervolgens een nieuw bericht en ga als volgt te werk om de Office zo te configureren dat documenten en e-mailberichten worden beschermd met de Azure Rights Management service:

  1. Klik in het nieuwe bericht op het tabblad Opties op Machtigingenen klik vervolgens op Referenties verifiëren.

  2. Wanneer u daarom wordt gevraagd, geeft u Microsoft 365 uw werk- of schoolaccountgegevens opnieuw op en selecteertu Aanmelden .

    Hiermee worden de Azure Rights Management en Referenties verifiëren nu vervangen door opties met geen beperkingen,Niet doorsturen en alle Azure Rights Management-sjablonen die voor uw tenant zijn gepubliceerd. U kunt dit nieuwe bericht nu annuleren.

Een e-mailbericht of document beveiligen: Klik op het tabblad Opties op Machtigingen en kies een optie of sjabloon die uw e-mail of document beschermt.

Als u een document wilt bijhouden nadat u het hebt beveiligd: Registreer het document met behulp van een Office-toepassing of Verkenner vanaf een Windows-computer waarin de klassieke Azure Information Protection-client is geïnstalleerd. Zie Uw documenten bijhouden en intrekken voor instructies. Vanaf uw Mac-computer kunt u nu uw webbrowser gebruiken om naar de site voor documentregistratie () te gaan om dit document bij https://track.azurerms.com te houden en in te trekken.

Wanneer ik herroeping test in de documentvolgsite, zie ik een bericht dat personen nog maximaal 30 dagen toegang hebben tot het document. Is deze periode configureerbaar?

Ja. In dit bericht wordt de gebruikslicentie voor dat specifieke bestand weergegeven.

Als u een bestand intrekken, kan deze actie alleen worden afgedwongen wanneer de gebruiker zich verifieert bij de Azure Rights Management service. Dus als een bestand een gebruikslicentie geldigheidsperiode van 30 dagen heeft en de gebruiker het document al heeft geopend, heeft die gebruiker nog steeds toegang tot het document gedurende de duur van de gebruikslicentie. Wanneer de gebruikslicentie verloopt, moet de gebruiker opnieuw een nieuweauthenticate maken, waarna de gebruiker de toegang wordt geweigerd omdat het document nu is ingetrokken.

De gebruiker die het document heeft beveiligd, is vrijgesteld van deze intrekking en heeft altijd toegang tot zijn of haar documenten.

De standaardwaarde voor de geldigheidsperiode voor gebruikslicenties voor een tenant is 30 dagen en deze instelling kan worden overgenomen door een meer beperkende instelling in een label of sjabloon. Voor meer informatie over de gebruikslicentie en hoe u deze kunt configureren, vindt u de licentiedocumentatie rights management use license.

Wat is het verschil tussen BYOK en HYOK en wanneer moet ik ze gebruiken?

Breng uw eigen sleutel (BYOK) in de context van Azure Information Protection, is wanneer u uw eigen sleutel on-premises maakt voor Azure Rights Management beveiliging. Vervolgens wordt deze sleutel overgeplaatst naar een hardwarebeveiligingsmodule (HSM) in Azure Key Vault, waar u uw sleutel blijft bezitten en beheren. Als u dit niet hebt uitgevoerd, Azure Rights Management een sleutel die automatisch voor u wordt gemaakt en beheerd in Azure. Deze standaardconfiguratie wordt 'Door Microsoft beheerd' genoemd in plaats van 'klant beheerd' (de optie BYOK).

Zie Uw Azure Information Protection tenantsleutelplannen en implementeren voor meer informatie over BYOK en of u deze topologie voor uw organisatie moet kiezen.

Houd uw eigen sleutel (HYOK) in de context van Azure Information Protection, is voor een paar organisaties die een subset van documenten of e-mailberichten hebben die niet kunnen worden beschermd door een sleutel die is opgeslagen in de cloud. Voor deze organisaties geldt deze beperking, zelfs als ze de sleutel hebben gemaakt en beheren, met BEHULP van BYOK. De beperking kan vaak vanwege wettelijke of nalevingsredenen zijn en de HYOK-configuratie moet alleen worden toegepast op 'Top Secret'-gegevens, die nooit buiten de organisatie worden gedeeld, alleen worden gebruikt in het interne netwerk en hoeven niet te worden gebruikt vanaf mobiele apparaten.

Voor deze uitzonderingen (meestal minder dan 10% van alle inhoud die moet worden beveiligd), kunnen organisaties een on-premises oplossing, Active Directory Rights Management Services, gebruiken om de sleutel te maken die on-premises blijft. Met deze oplossing krijgen computers hun Azure Information Protection-beleid vanuit de cloud, maar deze geïdentificeerde inhoud kan worden beveiligd met de on-premises sleutel.

Zie Uw eigen sleutelvereisten en -beperkingen voor AD RMS-beveiligingin de wacht houden voor meer informatie over HYOK en om ervoor te zorgen dat u de beperkingen, beperkingen en richtlijnen begrijpt wanneer u deze gebruikt.

Wat moet ik doen als mijn vraag er niet is?

Bekijk eerst de veelgestelde vragen hieronder, die specifiek zijn voor classificatie en labeling, of specifiek voor gegevensbescherming. De Azure Rights Management service (Azure RMS) biedt de gegevensbeschermingstechnologie voor Azure Information Protection. Azure RMS kan worden gebruikt met classificatie en labeling, of op zichzelf.

Als uw vraag niet wordt beantwoord, bekijkt u de koppelingen en bronnen die worden vermeld in Informatie en ondersteuning voor Azure Information Protection.

Daarnaast zijn er veelgestelde vragen die zijn ontworpen voor eindgebruikers: