Veilige samen werking van documenten configureren met behulp van Azure Information ProtectionConfiguring secure document collaboration by using Azure Information Protection

Van toepassing op: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Wanneer u Azure Information Protection gebruikt, kunt u uw documenten beveiligen zonder dat er samen werking voor geautoriseerde gebruikers wordt geoffert.When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. Het meren deel van documenten die één gebruiker maakt en vervolgens deelt met anderen om ze te bekijken en te bewerken, zijn Office-documenten van Word, Excel en Power Point.The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. Deze documenten ondersteunen systeem eigen beveiliging, wat inhoudt dat naast de beveiligings functies van autorisatie en versleuteling ook beperkte machtigingen worden ondersteund voor meer nauw keurige controle.These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

Deze machtigingen worden gebruiks rechten genoemd en bevatten machtigingen zoals weer gave, bewerken en afdrukken.These permissions are called usage rights, and include permissions such as view, edit, print. U kunt afzonderlijke gebruiks rechten definiëren wanneer een document wordt beveiligd, of u kunt een groepering van gebruiks rechten definiëren, met de naam machtigings niveaus.You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. Machtigings niveaus maken het gemakkelijker om gebruiks rechten te selecteren die doorgaans samen worden gebruikt, bijvoorbeeld revisor en mede-auteur.Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. Zie gebruiks rechten configureren voor Azure Information Protectionvoor meer informatie over gebruiks rechten en machtigings niveaus.For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

Wanneer u deze machtigingen configureert, kunt u opgeven voor welke gebruikers ze zich bevinden:When you configure these permissions, you can specify which users they are for:

  • Voor gebruikers in uw eigen organisatie of een andere organisatie die gebruikmaakt van Azure Active Directory: u kunt Azure AD-gebruikers accounts, Azure ad-groepen of alle gebruikers in die organisatie opgeven.For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Voor gebruikers die geen Azure Active Directory account hebben: Geef een e-mail adres op dat wordt gebruikt voor een Microsoft-account.For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. Dit account kan al bestaan of gebruikers kunnen het maken op het moment dat ze het beveiligde document openen.This account can already exist, or users can create it at the time they open the protected document.

    Als u documenten met een Microsoft-account wilt openen, moeten gebruikers Office 365-apps gebruiken (klik-en-klaar).To open documents with a Microsoft account, users must use Office 365 apps (Click-to-Run). Andere edities en versies van Office bieden nog geen ondersteuning voor het openen van met Office beveiligde documenten met een Microsoft-account.Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • Voor elke geverifieerde gebruiker: deze optie is geschikt voor wanneer u niet hoeft te bepalen wie toegang heeft tot het beveiligde document, zodat de gebruiker kan worden geverifieerd.For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. De verificatie kan door Azure AD worden gebruikt, door gebruik te maken van een Microsoft-account, of zelfs een federatieve sociale provider of een eenmalige wachtwoord code wanneer de inhoud wordt beveiligd door de nieuwe mogelijkheden van Office 365-bericht versleuteling.The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

Als beheerder kunt u een Azure Information Protection label configureren om de machtigingen en gemachtigde gebruikers toe te passen.As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. Met deze configuratie kunnen gebruikers en andere beheerders eenvoudig de juiste beveiligings instellingen Toep assen, omdat ze het label gewoon Toep assen zonder dat ze gegevens hoeven op te geven.This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. In de volgende secties vindt u een voorbeeld scenario voor het beveiligen van een document dat veilige samen werking met interne en externe gebruikers ondersteunt.The following sections provide an example walkthrough to protect a document that supports secure collaboration with internal and external users.

Voorbeeld configuratie voor een label om beveiliging toe te passen ter ondersteuning van interne en externe samen werkingExample configuration for a label to apply protection to support internal and external collaboration

In dit voor beeld wordt beschreven hoe u een bestaand label configureert om beveiliging toe te passen, zodat gebruikers van uw organisatie kunnen samen werken aan documenten met alle gebruikers van een andere organisatie die Office 365 of Azure AD heeft, een groep van een andere organisatie met Office 365 of Azure AD en een gebruiker die geen account heeft in azure AD en in plaats daarvan het e-mail adres van Gmail gebruikt.This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Office 365 or Azure AD, a group from a different organization that has Office 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

Omdat in het scenario de toegang wordt beperkt tot specifieke personen, is de instelling niet inbegrepen voor geverifieerde gebruikers.Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. Voor een voor beeld van hoe u een label met deze instelling kunt configureren, raadpleegt u voor beeld 5: label waarmee de inhoud wordt versleuteld, maar niet de toegang tot deze naam kan worden beperkt.For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. Selecteer het label dat zich al in het globale beleid of in het bereik van het beleid bevinden.Select your label that's already in the global policy or a scoped policy. Zorg ervoor dat in het deel venster beveiliging Azure (Cloud sleutel) is geselecteerd.On the Protection pane, make sure Azure (cloud key) is selected.

  2. Zorg ervoor dat machtigingen instellen is geselecteerd en selecteer machtigingen toevoegen.Make sure Set permissions is selected, and select Add permissions.

  3. In het deel venster machtigingen toevoegen :On the Add permissions pane:

    • Voor uw interne groep: Selecteer Bladeren in Directory om de groep te selecteren, waarvoor e-mail moet worden ingeschakeld.For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • Voor alle gebruikers in de eerste externe organisatie: Selecteer Details invoeren en typ de naam van een domein in de Tenant van de organisatie.For all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. Bijvoorbeeld fabrikam.com.For example, fabrikam.com.

    • Voor de groep in de tweede externe organisatie: Typ op het tabblad Details invoeren het e-mail adres van de groep in de Tenant van de organisatie.For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. Voorbeeld: sales@contoso.com.For example, sales@contoso.com.

    • Voor de gebruiker die geen Azure AD-account heeft: Typ op het tabblad Details invoeren het e-mail adres van de gebruiker.For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. Voorbeeld: bengi.turan@gmail.com.For example, bengi.turan@gmail.com.

  4. Als u dezelfde machtigingen wilt verlenen aan al deze gebruikers: als u de machtigingen van voor instelling wilt kiezen, selecteert u mede-eigenaar, co-auteur, revisorof aangepast om de machtigingen te selecteren die u wilt verlenen.To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Uw geconfigureerde machtigingen kunnen er bijvoorbeeld ongeveer als volgt uitzien:For example, your configured permissions might look similar to the following:

    Machtigingen voor beveiligde samen werking configureren

  5. Klik op OK in het deel venster machtigingen toevoegen .Click OK on the Add permissions pane.

  6. Klik op OKin het deel venster beveiliging .On the Protection pane, click OK.

  7. Selecteer Opslaanin het deel venster Label .On the Label pane, select Save.

Het label Toep assen dat veilige samen werking ondersteuntApplying the label that supports secure collaboration

Nu dit label is geconfigureerd, kan het worden toegepast op documenten op een aantal manieren, waaronder de volgende:Now that this label is configured, it can be applied to documents in a number of ways that include the following:

Verschillende manieren om het label toe te passenDifferent ways to apply the label Meer informatieMore information
Een gebruiker selecteert het label hand matig wanneer het document wordt gemaakt in hun Office-toepassing.A user manually selects the label when the document is created in their Office application. Gebruikers selecteren het label via de knop beveiligen op het lint van Office of vanuit de Azure Information Protection balk.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
Gebruikers wordt gevraagd een label te selecteren wanneer een nieuw document wordt opgeslagen.Users are prompted to select a label when a new document is saved. U hebt de Azure Information Protection- beleids instelling met de naam alle documenten geconfigureerd en e-mail berichten moeten een label hebben.You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
Een gebruiker deelt het document via e-mail en selecteert het label hand matig in Outlook.A user shares the document by email and manually selects the label in Outlook. Gebruikers selecteren het label op de knop beveiligen op het lint van Office of op de Azure Information Protection balk, waarna het bijgevoegde document automatisch wordt beveiligd met dezelfde instellingen.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
Een beheerder past het label toe op het document met behulp van Power shell.An administrator applies the label to the document by using PowerShell. Gebruik de cmdlet set-AIPFileLabel om het label toe te passen op een specifiek document of alle documenten in een map.Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
U hebt ook het label geconfigureerd voor het Toep assen van automatische classificatie die nu kan worden toegepast met behulp van de Azure Information Protection scanner of Power shell.You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Zie voor waarden voor automatische en aanbevolen classificatie voor Azure Information Protection configureren.See How to configure conditions for automatic and recommended classification for Azure Information Protection.

Als u dit scenario wilt volt ooien, past u het label hand matig toe wanneer u het document in uw Office-toepassing maakt:To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. Als u uw Office-toepassing al hebt geopend op een client computer, sluit u deze eerst en opent u deze opnieuw om de meest recente beleids wijzigingen op te halen die uw zojuist geconfigureerde label bevatten.On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. Pas het label toe op een document en sla het op.Apply the label to a document, and save it.

Het beveiligde document delen door het te koppelen aan een e-mail bericht en dit te verzenden naar de personen die u hebt geautoriseerd om het document te bewerken.Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

Het beveiligde document openen en bewerkenOpening and editing the protected document

Wanneer gebruikers die u hebt geautoriseerd het document voor bewerken opent, wordt het document geopend met een informatie banner dat hen informeert dat de machtigingen beperkt zijn.When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. Bijvoorbeeld:For example:

Banner voor beeld van Azure Information Protection-machtigingen

Als ze de knop machtiging weer geven selecteren, zien ze de machtigingen die ze hebben.If they select the View Permission button, they see the permissions that they have. In het volgende voor beeld kan de gebruiker het document weer geven en bewerken:In the following example, the user can view and edit the document:

Dialoog venster voor beeld van Azure Information Protection machtigingen

Opmerking: als het document wordt geopend door externe gebruikers die ook Azure Information Protection gebruiken, wordt het classificatie label voor het document niet weer gegeven in de Office-toepassing, hoewel eventuele visuele markeringen van het label behouden blijven.Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. In plaats daarvan kunnen externe gebruikers hun eigen label gebruiken in overeenstemming met de classificatie taxonomie van hun organisatie.Instead, external users can apply their own label in line with their organization's classification taxonomy. Als deze externe gebruikers het bewerkte document vervolgens terugsturen naar u, geeft Office uw oorspronkelijke classificatie label weer wanneer u het document opnieuw opent.If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

Voordat het beveiligde document wordt geopend, gebeurt een van de volgende verificatie stromen:Before the protected document opens, one of the following authentication flows happen:

  • Voor gebruikers die een Azure AD-account hebben, gebruiken ze hun Azure AD-referenties om te worden geverifieerd door Azure AD, waarna het document wordt geopend.For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • Voor de gebruiker die geen Azure AD-account heeft, wordt de pagina accounts weer geven als ze niet zijn aangemeld bij Office met een account dat gemachtigd is om het document te openen.For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    Selecteer op de pagina accounts de optie account toevoegen:On the Accounts page, select Add Account:

    Een Microsoft-account toevoegen om beveiligd document te openen

    Selecteer op de pagina Aanmelden de optie Eén maken.On the Sign in page, select Create one! en volg de aanwijzingen voor het maken van een nieuwe Microsoft-account met het e-mail adres dat is gebruikt om de machtigingen te verlenen:and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Een Microsoft-account maken om beveiligd document te openen

    Wanneer het nieuwe Microsoft-account wordt gemaakt, wordt de lokale account overgeschakeld naar deze nieuwe Microsoft-account en kan de gebruiker het document openen.When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

Ondersteunde scenario's voor het openen van beveiligde documentenSupported scenarios for opening protected documents

In de volgende tabel vindt u een overzicht van de verschillende verificatie methoden die worden ondersteund voor het weer geven en bewerken van beveiligde documenten.The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

Daarnaast ondersteunen de volgende scenario's het weer geven van documenten:In addition, the following scenarios support viewing documents:

  • Met de Azure Information Protection viewer voor Windows en voor iOS en Android kunnen bestanden worden geopend met behulp van een Microsoft-account.The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Een browser kan beveiligde bijlagen openen wanneer sociale providers en eenmalige wachtwoord codes worden gebruikt voor verificatie met Exchange Online en de nieuwe mogelijkheden van Office 365-bericht versleuteling.A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

Platformen voor het weer geven en bewerken van documenten:Platforms for viewing and editing documents:
Word, Excel, PowerPointWord, Excel, PowerPoint
Verificatie methode:Authentication method:
Azure ADAzure AD
Verificatie methode:Authentication method:
Microsoft-accountMicrosoft account
WindowsWindows Ja [1]Yes [1] Ja [2]Yes [2]
iOSiOS Ja [1]Yes [1] NeeNo
AndroidAndroid Ja [1]Yes [1] NeeNo
MacOSMacOS Ja [1]Yes [1] NeeNo
Voetnoot 1Footnote 1

Ondersteunt gebruikers accounts, groepen met e-mail functionaliteit, alle leden.Supports user accounts, email-enabled groups, all members. Gebruikers accounts en groepen met e-mail functionaliteit kunnen gast accounts bevatten.User accounts and email-enabled groups can include guest accounts. Alle leden uitsluiten gast accounts.All members exclude guest accounts.

Voetnoot 2Footnote 2

Momenteel ondersteund door Office 365-apps (klik-en-klaar).Currently supported by Office 365 apps (Click-to-Run) only.

Volgende stappenNext steps

Bekijk andere Voorbeeld configuraties voor labels om beveiliging toe te passen op algemene scenario's.See other example configurations for labels to apply protection for common scenarios. Dit artikel bevat ook meer informatie over de beveiligings instellingen.This article also contains more details about the protection settings.

Zie Azure Information Protection-beleid configurerenvoor meer informatie over de andere opties en instellingen die u voor uw label kunt configureren.For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

Het label dat in dit artikel is geconfigureerd, maakt ook een beveiligings sjabloon met dezelfde naam.The label that was configured in this article also creates a protection template by the same name. Als u toepassingen en services hebt die worden geïntegreerd met beveiligings sjablonen van Azure Information Protection, kunnen ze deze sjabloon Toep assen.If you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. Bijvoorbeeld DLP-oplossingen en e-mail stroom regels.For example, DLP solutions and mail flow rules. Outlook op het web geeft automatisch beveiligings sjablonen weer uit het globale beleid Azure Information Protection.Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.