Veelgestelde vragen over gegevensbescherming in Azure Information Protection
Hebt u een vraag over de gegevensbeschermingsservice, Azure Rights Management, van Azure Information Protection? Kijk of het hier wordt beantwoord.
Moeten bestanden zich in de cloud bevinden om te worden beveiligd door Azure Rights Management?
Nee, dit is een veelvoorkomende misvatting. De Azure Rights Management-service (en Microsoft) ziet uw gegevens niet of slaat deze niet op als onderdeel van het informatiebeveiligingsproces. Informatie die u beveiligt, wordt nooit verzonden naar of opgeslagen in Azure, tenzij u deze expliciet opslaat in Azure of een andere cloudservice gebruikt die deze opslaat in Azure.
Zie Hoe werkt Azure RMS voor meer informatie? Onder de schermen om te begrijpen hoe een geheime colaformule die on-premises wordt gemaakt en opgeslagen, wordt beveiligd door de Azure Rights Management-service, maar on-premises blijft.
Wat is het verschil tussen Azure Rights Management-versleuteling en -versleuteling in andere Microsoft-cloudservices?
Microsoft biedt meerdere versleutelingstechnologieën waarmee u uw gegevens voor verschillende en vaak complementaire scenario's kunt beveiligen. Zo biedt Microsoft 365 versleuteling-at-rest voor gegevens die zijn opgeslagen in Microsoft 365, versleutelt de Azure Rights Management-service van Azure Information Protection uw gegevens onafhankelijk, zodat deze worden beveiligd, ongeacht waar ze zich bevinden of hoe deze worden verzonden.
Deze versleutelingstechnologieën zijn complementair en het gebruik ervan vereist dat ze onafhankelijk van elkaar worden ingeschakeld en geconfigureerd. Wanneer u dit doet, hebt u mogelijk de mogelijkheid om uw eigen sleutel voor de versleuteling te gebruiken, een scenario dat ook wel BYOK wordt genoemd. Het inschakelen van BYOK voor een van deze technologieën heeft geen invloed op de andere technologieën. U kunt bijvoorbeeld BYOK gebruiken voor Azure Information Protection en niet BYOK gebruiken voor andere versleutelingstechnologieën en vice versa. De sleutels die door deze verschillende technologieën worden gebruikt, zijn mogelijk hetzelfde of verschillend, afhankelijk van hoe u de versleutelingsopties voor elke service configureert.
Kan ik BYOK nu gebruiken met Exchange Online?
Ja, u kunt nu BYOK gebruiken met Exchange Online wanneer u de instructies volgt in Nieuwe mogelijkheden voor Microsoft 365-berichtversleuteling instellen die zijn gebouwd op Azure Information Protection. Met deze instructies kunt u de nieuwe mogelijkheden in Exchange Online inschakelen die ondersteuning bieden voor het gebruik van BYOK voor Azure Information Protection, evenals de nieuwe Office 365-berichtversleuteling.
Zie de blogaankondiging: Office 365 Message Encryption met de nieuwe mogelijkheden voor meer informatie over deze wijziging
Is er een management pack of vergelijkbaar bewakingsmechanisme voor de RMS-connector?
Hoewel de Rights Management-connector informatie, waarschuwing en foutberichten registreert in het gebeurtenislogboek, is er geen management pack dat bewaking voor deze gebeurtenissen omvat. De lijst met gebeurtenissen en de bijbehorende beschrijvingen, met meer informatie om u te helpen corrigerende actie te ondernemen, wordt echter beschreven in De Microsoft Rights Management-connector bewaken.
Hoe kan ik een nieuwe aangepaste sjabloon maken in Azure Portal?
Aangepaste sjablonen zijn verplaatst naar Azure Portal, waar u ze als sjablonen kunt blijven beheren of naar labels kunt converteren. Als u een nieuwe sjabloon wilt maken, maakt u een nieuw label en configureert u de instellingen voor gegevensbeveiliging voor Azure RMS. Onder de dekking maakt u een nieuwe sjabloon die vervolgens toegankelijk is voor services en toepassingen die kunnen worden geïntegreerd met Rights Management-sjablonen.
Zie Sjablonen configureren en beheren voor Azure Information Protection voor meer informatie over sjablonen in Azure Portal.
Ik heb een document beveiligd en wil nu de gebruiksrechten wijzigen of gebruikers toevoegen. Moet ik het document opnieuw beveiligen?
Als het document is beveiligd met een label of sjabloon, hoeft u het document niet opnieuw te beveiligen. Wijzig het label of de sjabloon door uw wijzigingen aan te brengen in de gebruiksrechten of nieuwe groepen (of gebruikers) toe te voegen en sla deze wijzigingen op:
Wanneer een gebruiker het document nog niet heeft geopend voordat u de wijzigingen hebt aangebracht, worden de wijzigingen van kracht zodra de gebruiker het document opent.
Wanneer een gebruiker het document al heeft geopend, worden deze wijzigingen van kracht wanneer hun gebruikslicentie verloopt. Beveilig het document alleen opnieuw als u niet kunt wachten totdat de gebruikslicentie is verlopen. Als u het document opnieuw beveiligt, wordt er effectief een nieuwe versie van het document gemaakt en daarom een nieuwe gebruikslicentie voor de gebruiker.
Als u al een groep hebt geconfigureerd voor de vereiste machtigingen, kunt u ook het groepslidmaatschap wijzigen om gebruikers op te nemen of uit te sluiten en hoeft u het label of de sjabloon niet te wijzigen. Er kan een kleine vertraging optreden voordat de wijzigingen van kracht worden omdat het groepslidmaatschap in de cache wordt opgeslagen door de Azure Rights Management-service.
Als het document is beveiligd met aangepaste machtigingen, kunt u de machtigingen voor het bestaande document niet wijzigen. U moet het document opnieuw beveiligen en alle gebruikers en alle gebruiksrechten opgeven die vereist zijn voor deze nieuwe versie van het document. Als u een beveiligd document opnieuw wilt beveiligen, moet u het gebruiksrecht Volledig beheer hebben.
Tip: Als u wilt controleren of een document is beveiligd met een sjabloon of met aangepaste machtigingen, gebruikt u de PowerShell-cmdlet Get-AIPFileStatus . U ziet altijd een sjabloonbeschrijving van beperkte toegang voor aangepaste machtigingen, met een unieke sjabloon-id die niet wordt weergegeven wanneer u Get-RMSTemplate uitvoert.
Ik heb een hybride implementatie van Exchange met sommige gebruikers op Exchange Online en andere op Exchange Server. Wordt dit ondersteund door Azure RMS?
Absoluut, en het leuke is dat gebruikers naadloos beveiligde e-mailberichten en bijlagen in de twee Exchange-implementaties kunnen beveiligen en gebruiken. Activeer Azure RMS voor deze configuratie en schakel IRM in voor Exchange Online en implementeer en configureer vervolgens de RMS-connector voor Exchange Server.
Als ik deze beveiliging voor mijn productieomgeving gebruik, is mijn bedrijf dan vergrendeld in de oplossing of loopt het risico dat de toegang tot inhoud die met Azure RMS is beveiligd, verloren gaat?
Nee, u behoudt altijd de controle over uw gegevens en kunt deze blijven gebruiken, zelfs als u besluit de Azure Rights Management-service niet meer te gebruiken. Zie Uit bedrijf nemen en deactiveren van Azure Rights Management voor meer informatie.
Kan ik bepalen welke van mijn gebruikers Azure RMS kunnen gebruiken om inhoud te beveiligen?
Ja, de Azure Rights Management-service heeft besturingselementen voor onboarding van gebruikers voor dit scenario. Zie de sectie Onboarding-besturingselementen configureren voor een gefaseerde implementatie in het artikel De beveiligingsservice activeren vanuit Azure Information Protection voor meer informatie.
Kan ik voorkomen dat gebruikers beveiligde documenten delen met specifieke organisaties?
Een van de grootste voordelen van het gebruik van de Azure Rights Management-service voor gegevensbeveiliging is dat het ondersteuning biedt voor samenwerking tussen bedrijven zonder dat u expliciete vertrouwensrelaties hoeft te configureren voor elke partnerorganisatie, omdat Microsoft Entra ID de verificatie voor u verzorgt.
Er is geen beheeroptie om te voorkomen dat gebruikers documenten veilig delen met specifieke organisaties. U wilt bijvoorbeeld een organisatie blokkeren die u niet vertrouwt of die een concurrerende onderneming heeft. Voorkomen dat de Azure Rights Management-service beveiligde documenten naar gebruikers in deze organisaties verzendt, is niet logisch omdat uw gebruikers hun documenten vervolgens niet beveiligd zouden delen. Dit is waarschijnlijk het laatste wat u in dit scenario wilt doen. U kunt bijvoorbeeld niet bepalen wie vertrouwelijke bedrijfsdocumenten deelt met welke gebruikers in deze organisaties, wat u kunt doen wanneer het document (of e-mailbericht) wordt beveiligd door de Azure Rights Management-service.
Wanneer ik een beveiligd document deel met iemand buiten mijn bedrijf, hoe wordt die gebruiker geverifieerd?
De Azure Rights Management-service maakt standaard gebruik van een Microsoft Entra-account en een gekoppeld e-mailadres voor gebruikersverificatie, waardoor samenwerking tussen bedrijven naadloos kan worden uitgevoerd voor beheerders. Als de andere organisatie Gebruikmaakt van Azure-services, hebben gebruikers al accounts in Microsoft Entra ID, zelfs als deze accounts on-premises worden gemaakt en beheerd en vervolgens worden gesynchroniseerd met Azure. Als de organisatie Microsoft 365 heeft, gebruikt deze service ook Microsoft Entra ID voor de gebruikersaccounts. Als de organisatie van de gebruiker geen beheerde accounts in Azure heeft, kunnen gebruikers zich registreren voor RMS voor personen, waardoor een niet-beheerde Azure-tenant en -directory voor de organisatie worden gemaakt met een account voor de gebruiker, zodat deze gebruiker (en volgende gebruikers) vervolgens kan worden geverifieerd voor de Azure Rights Management-service.
De verificatiemethode voor deze accounts kan variëren, afhankelijk van hoe de beheerder in de andere organisatie de Microsoft Entra-accounts heeft geconfigureerd. Ze kunnen bijvoorbeeld wachtwoorden gebruiken die zijn gemaakt voor deze accounts, federatie of wachtwoorden die zijn gemaakt in Active Directory-domein Services en vervolgens worden gesynchroniseerd met Microsoft Entra-id.
Andere verificatiemethoden:
Als u een e-mailbericht beveiligt met een Office-documentbijlage aan een gebruiker die geen account in Microsoft Entra ID heeft, wordt de verificatiemethode gewijzigd. De Azure Rights Management-service is gefedereerd met enkele populaire sociale id-providers, zoals Gmail. Als de e-mailprovider van de gebruiker wordt ondersteund, kan de gebruiker zich aanmelden bij die service en is de e-mailprovider verantwoordelijk voor verificatie. Als de e-mailprovider van de gebruiker niet wordt ondersteund of als voorkeur, kan de gebruiker een eenmalige wachtwoordcode aanvragen die deze verifieert en het e-mailbericht weergeeft met het beveiligde document in een webbrowser.
Azure Information Protection kan Microsoft-accounts gebruiken voor ondersteunde toepassingen. Momenteel kunnen niet alle toepassingen beveiligde inhoud openen wanneer een Microsoft-account wordt gebruikt voor verificatie. Meer informatie
Kan ik externe gebruikers (personen van buiten mijn bedrijf) toevoegen aan aangepaste sjablonen?
Ja. Met de beveiligingsinstellingen die u in Azure Portal kunt configureren, kunt u machtigingen toevoegen aan gebruikers en groepen van buiten uw organisatie en zelfs aan alle gebruikers in een andere organisatie. Het is misschien handig om te verwijzen naar het stapsgewijze voorbeeld, samenwerking aan documenten beveiligen met behulp van Azure Information Protection.
Als u Azure Information Protection-labels hebt, moet u eerst uw aangepaste sjabloon converteren naar een label voordat u deze beveiligingsinstellingen in Azure Portal kunt configureren. Zie Sjablonen configureren en beheren voor Azure Information Protection voor meer informatie.
U kunt ook externe gebruikers toevoegen aan aangepaste sjablonen (en labels) met behulp van PowerShell. Voor deze configuratie moet u een rechtendefinitieobject gebruiken dat u gebruikt om uw sjabloon bij te werken:
Geef de externe e-mailadressen en hun rechten op in een rechtendefinitieobject met behulp van de cmdlet New-AipServiceRightsDefinition om een variabele te maken.
Geef deze variabele op aan de parameter RightsDefinition met de cmdlet Set-AipServiceTemplateProperty .
Wanneer u gebruikers toevoegt aan een bestaande sjabloon, moet u naast de nieuwe gebruikers ook rechtendefinitieobjecten definiëren voor de bestaande gebruikers in de sjablonen. Voor dit scenario vindt u mogelijk nuttig voorbeeld 3: Nieuwe gebruikers en rechten toevoegen aan een aangepaste sjabloon vanuit de sectie Voorbeelden voor de cmdlet.
Welk type groepen kan ik gebruiken met Azure RMS?
Voor de meeste scenario's kunt u elk groepstype gebruiken in Microsoft Entra-id met een e-mailadres. Deze vuistregel is altijd van toepassing wanneer u gebruiksrechten toewijst, maar er zijn enkele uitzonderingen voor het beheren van de Azure Rights Management-service. Zie Azure Information Protection-vereisten voor groepsaccounts voor meer informatie.
Hoe kan ik een beveiligde e-mail verzenden naar een Gmail- of Hotmail-account?
Wanneer u Exchange Online en de Azure Rights Management-service gebruikt, verzendt u de e-mail naar de gebruiker als beveiligd bericht. U kunt bijvoorbeeld de nieuwe knop Beveiligen selecteren op de opdrachtbalk in de webversie van Outlook, de knop Niet doorsturen of menuoptie van Outlook gebruiken. U kunt ook een Azure Information Protection-label selecteren dat automatisch Niet doorsturen voor u toepast en de e-mail classificeert.
De geadresseerde ziet een optie om zich aan te melden bij zijn of haar Gmail-, Yahoo- of Microsoft-account en vervolgens kan de beveiligde e-mail worden gelezen. Ze kunnen ook de optie kiezen voor een eenmalige wachtwoordcode om het e-mailbericht in een browser te lezen.
Ter ondersteuning van dit scenario moet Exchange Online zijn ingeschakeld voor de Azure Rights Management-service en de nieuwe mogelijkheden in Office 365-berichtversleuteling. Zie Exchange Online: IRM-configuratie voor meer informatie over deze configuratie.
Zie de volgende blogpost voor meer informatie over de nieuwe mogelijkheden die ondersteuning bieden voor alle e-mailaccounts op alle apparaten: Aankondiging van nieuwe mogelijkheden die beschikbaar zijn in Office 365-berichtversleuteling.
Welke apparaten en welke bestandstypen worden ondersteund door Azure RMS?
De Azure Rights Management-service kan alle bestandstypen ondersteunen. Voor tekst-, afbeeldings-, Microsoft Office-bestanden (Word, Excel, PowerPoint) .pdf bestanden en andere bestandstypen van toepassingen biedt Azure Rights Management systeemeigen beveiliging die zowel versleuteling als afdwinging van rechten (machtigingen) omvat. Voor alle andere toepassingen en bestandstypen biedt algemene beveiliging bestandskapseling en verificatie om te controleren of een gebruiker gemachtigd is om het bestand te openen.
Zie Bestandstypen die worden ondersteund door de Azure Information Protection-client voor een lijst met bestandsnaamextensies die systeemeigen worden ondersteund door Azure Rights Management. Bestandsextensies die niet worden vermeld, worden ondersteund met behulp van de Azure Information Protection-client die automatisch algemene beveiliging toepast op deze bestanden.
Wanneer ik een met RMS beveiligd Office-document open, wordt het gekoppelde tijdelijke bestand ook beveiligd met RMS?
Nee In dit scenario bevat het gekoppelde tijdelijke bestand geen gegevens uit het oorspronkelijke document, maar alleen wat de gebruiker invoert terwijl het bestand is geopend. In tegenstelling tot het oorspronkelijke bestand is het tijdelijke bestand duidelijk niet ontworpen voor delen en blijft het op het apparaat staan, beveiligd door lokale beveiligingsmaatregelen, zoals BitLocker en EFS.
Een functie die ik zoek, lijkt niet te werken met met met SharePoint beveiligde bibliotheken. Is ondersteuning voor mijn functie gepland?
Op dit moment ondersteunt Microsoft SharePoint met RMS beveiligde documenten met behulp van met IRM beveiligde bibliotheken, die geen ondersteuning bieden voor Rights Management-sjablonen, documenttracking en andere mogelijkheden. Zie de sectie SharePoint in Microsoft 365 en SharePoint Server in het artikel Office-app licenties en services voor meer informatie.
Als u geïnteresseerd bent in een specifieke functie die nog niet wordt ondersteund, moet u de aankondigingen in het Enterprise Mobility and Security-blog in de gaten houden.
Hoe kan ik One Drive configureren in SharePoint, zodat gebruikers hun bestanden veilig kunnen delen met personen binnen en buiten het bedrijf?
Standaard configureert u als Microsoft 365-beheerder dit niet; gebruikers wel.
Net zoals een SharePoint-sitebeheerder IRM inschakelt en configureert voor een SharePoint-bibliotheek die ze bezit, is OneDrive ontworpen voor gebruikers om IRM in te schakelen en te configureren voor hun eigen OneDrive-bibliotheek. Met Behulp van PowerShell kunt u dit echter voor hen doen. Zie SharePoint in Microsoft 365 en OneDrive: IRM-configuratie voor instructies.
Hebt u tips of trucs voor een succesvolle implementatie?
Na het toezicht op veel implementaties en luisteren naar onze klanten, partners, consultants en ondersteuningstechnici– een van de grootste tips die we kunnen doorgeven vanuit ervaring: Eenvoudig beleid ontwerpen en implementeren.
Omdat Azure Information Protection ondersteuning biedt voor veilig delen met iedereen, kunt u het zich veroorloven om ambitieus te zijn met uw gegevensbeschermingsbereik. Maar wees conservatief wanneer u beperkingen voor het gebruik van rechten configureert. Voor veel organisaties is de grootste zakelijke impact het voorkomen van gegevenslekken door de toegang tot personen in uw organisatie te beperken. Natuurlijk kunt u veel gedetailleerder worden dan dat als u dat nodig hebt : voorkomen dat mensen afdrukken, bewerken, enzovoort. Maar behoud de meer gedetailleerde beperkingen als uitzondering voor documenten die echt beveiliging op hoog niveau nodig hebben en implementeer deze meer beperkende gebruiksrechten niet op dag één, maar plan voor een meer gefaseerde benadering.
Hoe krijgen we weer toegang tot bestanden die zijn beveiligd door een werknemer die nu de organisatie heeft verlaten?
Gebruik de functie supergebruiker, die de gebruiksrechten volledig beheer verleent aan geautoriseerde gebruikers voor alle documenten en e-mailberichten die door uw tenant worden beveiligd. Supergebruikers kunnen deze beveiligde inhoud altijd lezen en indien nodig de beveiliging verwijderen of opnieuw beveiligen voor verschillende gebruikers. Met dezelfde functie kunnen geautoriseerde services bestanden indexeren en inspecteren, indien nodig.
Als uw inhoud is opgeslagen in SharePoint of OneDrive, kunnen beheerders de cmdlet Unlock-SensitivityLabelEncryptedFile uitvoeren om zowel het vertrouwelijkheidslabel als de versleuteling te verwijderen. Zie de Microsoft 365-documentatie voor meer informatie.
Kan Rights Management schermopnamen voorkomen?
Door het gebruiksrecht Kopiërenniet toe te kennen, kan Rights Management schermafbeeldingen voorkomen van veel van de veelgebruikte hulpprogramma's voor schermopnamen op Windows-platforms (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile en Windows 11). IOS-, Mac- en Android-apparaten staan echter geen app toe om schermopnamen te voorkomen. Bovendien kunnen browsers op elk apparaat geen schermopnamen voorkomen. Browsergebruik bevat webversie van Outlook en webversie van Office.
Notitie
Nu wordt geïmplementeerd naar huidig kanaal (preview):in Office voor Mac, Word, Excel en PowerPoint (maar niet Outlook) worden nu het Rights Management-gebruiksrecht ondersteund om schermopnamen te voorkomen.
Het voorkomen van schermopnamen kan helpen bij het voorkomen van onbedoelde of onopzettelijke openbaarmaking van vertrouwelijke of gevoelige informatie. Maar er zijn veel manieren waarop een gebruiker gegevens kan delen die op een scherm worden weergegeven en dat het maken van een schermafbeelding slechts één methode is. Een gebruiker heeft bijvoorbeeld de intentie om weergegeven informatie te delen, een foto ervan te maken met behulp van zijn cameratelefoon, de gegevens opnieuw te typen of deze gewoon door te geven aan iemand.
Zoals deze voorbeelden laten zien, zelfs als alle platforms en alle software de Rights Management-API's ondersteunen om schermopnamen te blokkeren, kan technologie alleen niet altijd voorkomen dat gebruikers gegevens delen die ze niet mogen. Rights Management kan u helpen bij het beveiligen van uw belangrijke gegevens met behulp van autorisatie- en gebruiksbeleidsregels, maar deze enterprise Rights Management-oplossing moet worden gebruikt met andere besturingselementen. Implementeer bijvoorbeeld fysieke beveiliging, controleer zorgvuldig mensen die geautoriseerde toegang hebben tot de gegevens van uw organisatie en investeer in gebruikersonderwijs, zodat gebruikers begrijpen welke gegevens niet mogen worden gedeeld.
Wat is het verschil tussen een gebruiker die een e-mailbericht beveiligt met Niet doorsturen en een sjabloon die niet het recht Doorsturen bevat?
Ondanks de naam en het uiterlijk is Niet doorsturen niet het tegenovergestelde van het recht Doorsturen of een sjabloon. Het is eigenlijk een set rechten die het kopiëren, afdrukken en opslaan van het e-mailbericht buiten het postvak beperken, naast het beperken van het doorsturen van e-mailberichten. De rechten worden dynamisch toegepast op gebruikers via de gekozen geadresseerden en niet statisch toegewezen door de beheerder. Zie de sectie Niet doorsturen voor e-mailberichten in Het configureren van gebruiksrechten voor Azure Information Protection voor meer informatie.
Wat is het verschil tussen Windows Server FCI en de Azure Information Protection-scanner?
Infrastructuur voor bestandsclassificatie van Windows Server is historisch gezien een optie geweest om documenten te classificeren en deze vervolgens te beveiligen met behulp van de Rights Management-connector (alleen Office-documenten) of een PowerShell-script (alle bestandstypen).
U wordt nu aangeraden de Azure Information Protection-scanner te gebruiken. De scanner gebruikt de Azure Information Protection-client en uw Azure Information Protection-beleid om documenten (alle bestandstypen) te labelen, zodat deze documenten vervolgens worden geclassificeerd en optioneel beveiligd.
De belangrijkste verschillen tussen deze twee oplossingen:
| Windows Server FCI | Azure Information Protection-scanner | |
|---|---|---|
| Ondersteunde gegevensarchieven | Lokale mappen op Windows Server | - Windows-bestandsshares en opslag die is gekoppeld aan het netwerk - SharePoint Server 2016 en SharePoint Server 2013. SharePoint Server 2010 wordt ook ondersteund voor klanten die uitgebreide ondersteuning hebben voor deze versie van SharePoint. |
| Operationele modus | Realtime | De gegevensarchieven systematisch eenmaal of herhaaldelijk verkennen |
| Ondersteunde bestandstypen | - Alle bestandstypen worden standaard beveiligd - Specifieke bestandstypen kunnen worden uitgesloten van beveiliging door het register te bewerken |
Ondersteuning voor bestandstypen: - Office-bestandstypen en PDF-documenten worden standaard beveiligd - Aanvullende bestandstypen kunnen worden opgenomen voor beveiliging door het register te bewerken |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor