Zelfstudie: Migreren van de klassieke AIP-client (Azure Information Protection) naar een geïntegreerde labeloplossing

  • Artikel
  • 11 minuten om te lezen

Van toepassing op: Azure Information Protection

Relevant voor: klassieke Azure Information Protection-client voor Windows

Opmerking

Als u een geïntegreerde en gestroomlijnde klantervaring wilt bieden, worden de klassieke client van Azure Information Protection en Label Management in de Azure Portal met ingang van 31 maart 2021 afgeschaft. Hoewel de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhoudsversies meer uitgebracht voor de klassieke client.

Het is raadzaam om te migreren naar geïntegreerde labeling en een upgrade uit te voeren naar de geïntegreerde labelclient. Meer informatie in onze recente update over de intrekking.

In deze zelfstudie wordt beschreven hoe u de Azure Information Protection-implementatie van uw organisatie kunt migreren van de klassieke client en label-/labelbeleidsbeheer in de Azure-portal, naar de geïntegreerde labelingsoplossing en Microsoft 365 gevoeligheidslabels.

Tijd vereist:De tijd die nodig is om een migratie te voltooien, is afhankelijk van de complexiteit van uw beleid en de AIP-functies die u gebruikt. U kunt blijven werken met de klassieke client terwijl u op de achtergrond migreert.

Deze zelfstudie bevat een beschrijving op hoog niveau van elke stap en verwijst naar de relevante sectie elders in Microsoft-documentatie voor meer informatie.

In deze zelfstudie gaat u als volgende te werk:

  • Meer informatie over het plannen van uw migratie
  • Uw etiketten migreren naar het geïntegreerde labelingplatform
  • Meer informatie over het configureren van geavanceerde instellingen in de Microsoft 365-compliancecentrum
  • Uw beleid kopiëren naar het platform voor geïntegreerde etiketten
  • De geïntegreerde labelingclient implementeren

Waarom migreren naar de geïntegreerde labeloplossing?

Naast de geplande klassieke clientbezetting, kunt u met de migratie naar de geïntegreerde labeloplossing gevoelige gegevens in uw digitale domein effectief beveiligen. Nadat u bent gemigreerd, gebruikt u Microsoft Information Protection (MIP) in Microsoft 365 cloudservices, on-premises, in SaaS-toepassingen van derden en meer.

MIP ondersteunt ingebouwde labelingservices voor veel basisinformatiebeveiligingsfuncties, zodat u het clientgebruik alleen kunt reserveren voor extra functies die niet worden ondersteund door ingebouwde labeling.

  • Uw onderhoudskosten verlagendoor minder extra software te implementeren en te onderhouden
  • De Office verbeteren,zonder dat u extra invoegvoegingen nodig hebt
  • Stroomlijn uw labeling- en beveiligingsbeleidsbeheer in AIP, Office 365 en Windows met de Microsoft 365-compliancecentrum.

Zie de blog Unified Labeling Migration (Geïntegreerde labeling migratie) voor meer informatie.

Uw migratie plannen

Hoewel de meeste functionaliteit die beschikbaar is voor de klassieke AIP-client ook beschikbaar is voor de geïntegreerde labelclient, zijn sommige functies nog niet volledig beschikbaar en zijn sommige functies anders geconfigureerd voor geïntegreerde labeling.

Bekijk de volgende artikelen om te begrijpen hoe de functies voor informatiebeveiliging die u gebruikt, kunnen verschillen bij het gebruik van de geïntegreerde labelingclient:

Tip

Als er gedocumenteerde verschillen zijn tussen de clients die van invloed zijn op het gedrag van uw eindgebruikers, raden we u aan deze wijzigingen effectief aan uw gebruikers door te geven voordat u de geïntegreerde labelclient implementeert en uw nieuwe beleid publiceert.

Nadat u de migratie hebt gepland en de wijzigingen hebt begrepen die zullen optreden, gaat u verder met het migreren van labels naar het geïntegreerde labelingsplatform.

Labels migreren naar het geïntegreerde labelingplatform

Nadat u de migratie hebt gepland en hebt overwogen hoe u de verschillen in de clients gaat beheren, kunt u geïntegreerde labeling activeren en uw etiketten migreren.

Terwijl u migreert, kunt u de klassieke AIP-client en het beleid blijven gebruiken in het gebied Azure Information Protection in de Azure-portal. De twee clients kunnen naast elkaar werken zonder extra configuratie.

  1. Meld u als beheerder aan bij de Azure-portal met een van de volgende rollen:

    • Compliancebeheerder
    • Beheerder van compliancegegevens
    • Beveiligingsbeheerder
    • Globale beheerder

  2. Selecteer in het gebied Azure Information Protection onder Beheren aan de linkerkant de optie Unified labeling.

    Selecteer boven aan de pagina Activeren om geïntegreerde labeling te activeren.

    Uw etiketten worden gekopieerd van Azure Information Protection naar het geïntegreerde labelingsplatform en worden nu opgeslagen in beide systemen.

    Open de Microsoft 365-compliancecentrum om de labels te vergelijken die daar en in het gebied Azure Information Protection worden weergegeven. De twee lijsten moeten identiek zijn. Bijvoorbeeld bij het vergelijken met het Microsoft 365 compliancecentrum:

    Gemigreerde labels vergelijken tussen de Azure-portal en het Beveiligings compliancecentrum

    Opmerking

    Gebruik indien nodig de labels in beide systemen totdat u klaar bent met de migratie. Zie Labelbewerkingen synchroniseren voor meer informatie.

Ga verder met Beleid kopiëren naar het platform voor geïntegreerde labeling.

Bewerkingen voor het synchroniseren van etiketten

Nadat u de etiketten naar de Microsoft 365-compliancecentrum hebt gemigreerd, worden alle wijzigingen die u nog steeds aan de gemigreerde labels in de Azure-portal wilt maken, automatisch gesynchroniseerd met hetzelfde label in de Microsoft 365-compliancecentrum.

Wijzigingen die zijn aangebracht voor gemigreerde labels in Microsoft 365-compliancecentrum worden echter niet terug gesynchroniseerd naar de Azure-portal. Als u wijzigingen aan brengt in de Microsoft 365-compliancecentrum en deze wilt bijwerken in de Azure-portal, gaat u terug naar de portal om de update te publiceren.

Een bijgewerkt label publiceren in de Azure-portal:

  1. Selecteer in het gebied Azure Information Protection onder Beheren aan de linkerkant de optie Unified labeling.

  2. Selecteer Publiceren.

Opmerking

Deze stap is alleen vereist als u wijzigingen hebt aangebracht aan uw gemigreerde labels in het geïntegreerde labelingsplatform en deze bewerkingen moeten worden gesynchroniseerd met de Azure-portal.

Labels migreren via PowerShell

U kunt PowerShell ook gebruiken om uw bestaande labels te migreren, bijvoorbeeld voor een GCC Hoge omgeving.

Gebruik de cmdlet Nieuw label om uw bestaande gevoeligheidslabels te migreren.

Als uw gevoeligheidslabel bijvoorbeeld versleuteling heeft, kunt u de cmdlet Nieuw label als volgt gebruiken:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Zie de beschrijving van de Azure Information Protection Premium Government Service Description voor meer informatie over GCC, GCC-High- en DoD-omgevingen.

Beleid kopiëren naar het geïntegreerde labelingplatform

Kopieer alle beleidsregels die u hebt opgeslagen in de Azure-portal die u beschikbaar wilt hebben op het geïntegreerde labelingplatform.

Deze functie is momenteel beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet beschikbaar zijn.

Opmerking

Kopieerbeleid heeft bepaalde beperkingen. U kunt ook opnieuw beginnen en uw beleid handmatig maken in de Microsoft 365-compliancecentrum. Zie de documentatie Microsoft 365 voor meer informatie.

Uw beleid kopiëren:

  1. Houd rekening met de volgende items en bevestig dat u uw beleid op dit moment wilt kopiëren:

    Overweging Beschrijving
    Als u beleid kopieert, worden al uw beleidsregels gekopieerd Kopieerbeleid biedt niet alleen ondersteuning voor het kopiëren van specifieke beleidsregels. Dit zijn al uw beleidsregels of geen van deze beleidsregels.
    Als u kopieert, worden uw beleidsregels automatisch gepubliceerd Als u uw beleid kopieert naar de geïntegreerde labelingclient, worden deze automatisch gepubliceerd naar alle door unified labeling ondersteunde clients.

    Belangrijk:kopieer uw beleid niet als u ze niet wilt publiceren.
    Door het kopiëren worden bestaande beleidsregels met dezelfde naam overschreven Als u een beleid hebt met dezelfde naam dat al in de Microsoft 365-compliancecentrum, worden alle instellingen die in dat beleid zijn gedefinieerd, overschreven door het kopiëren van uw beleid.

    Alle beleidsregels die vanuit de Azure-portal zijn gekopieerd, worden benoemd met de volgende syntaxis: AIP_<policy name> .
    Sommige clientinstellingen worden niet gekopieerd Sommige clientinstellingen worden niet gekopieerd naar het geïntegreerde labelingsplatform en moeten handmatig worden geconfigureerd na de migratie.

    Zie Geavanceerde labelinstellingen configureren voor meer informatie.

  2. Meld u als beheerder aan bij de Azure-portal met een van de volgende rollen:

    • Compliancebeheerder
    • Beheerder van compliancegegevens
    • Beveiligingsbeheerder
    • Globale beheerder

  3. Selecteer in het gebied Azure Information Protection onder Beheren aan de linkerkant de optie Unified labeling.

  4. Selecteer Beleid kopiëren (voorbeeld). Alle beleidsregels die u hebt opgeslagen in de Azure-portal, worden gekopieerd naar de Microsoft 365-compliancecentrum.

    Als er al beleidsregels in de Microsoft 365-compliancecentrum met dezelfde naam, worden de beleidsregels overschreven met de instellingen van de Azure-portal.

    Belangrijk

    Als u momenteel Microsoft Defender voor cloud-apps en Azure Information Protection-labels gebruikt, controleert u of u ten minste één beleid hebt gepubliceerd met een minimale set labels voor de Microsoft 365-compliancecentrum, zelfs als het beleid is ingesteld op één gebruiker.

    Dit beleid is vereist voor Microsoft Defender voor cloud-apps om alle labels in de Microsoft 365-compliancecentrum te identificeren en deze weer te geven in de Microsoft Defender for Cloud Apps-portal.

Nu u zowel uw etiketten als beleid hebt gemigreerd, gaat u verder met het configureren van geavanceerde labelinstellingen voor geavanceerde configuraties die niet zijn gemigreerd.

Geavanceerde labelinstellingen configureren

Zoals tijdens de planningsfaseis uitgelegd, worden sommige geavanceerde labelinstellingen niet automatisch gemigreerd en moeten ze opnieuw worden geconfigureerd voor het geïntegreerde labelingplatform.

Zie voor meer informatie:

Geavanceerde labelinstellingen configureren in PowerShell

  1. Verbinding maken naar de Office 365 & PowerShell-module voor beveiligings compliancecentrum. Zie PowerShell-documentatie van het Beveiligings compliancecentrumvoor meer informatie.

  2. Als u een geavanceerde labelinstelling wilt definiëren, gebruikt u de cmdlet Set-Label, waarin u de parameter AdvancedSettings opgeeft, het label waar u de instelling op wilt toepassen, evenals toets-/waardeparen om de instelling te definiëren.

    Gebruik de volgende syntaxis:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}

    Waar:

    • <LabelGUIDorName> identificeert uw label met behulp van de labelnaam of GUID
    • <Key> is de sleutel of naam van de geavanceerde instelling die u wilt apparaat
    • <Value> is de instellingswaarde die u wilt definiëren. Omring uw waarde in aanhalingstekens en scheid meerdere waarden door komma's. Witte spaties worden niet ondersteund.

  3. Ga aan de slag door de volgende geavanceerde instellingen te configureren:

    Zie Beheerdershandleiding: Aangepaste configuraties voor de geïntegreerde labelingclient van Azure Information Protection voor meer informatie over beschikbare geavanceerde configuraties.

Opmerking

Als u gebruik wilt maken van de instellingen die u hebt gedefinieerd voor het geïntegreerde labelingplatform, moeten eindgebruikers de geïntegreerde labelclient op hun machines hebben geïnstalleerd.

Deze geavanceerde instellingen zijn niet beschikbaar voor gebruikers die alleen ingebouwde labeling hebben geleverd door Office 365.

Labelvoorwaarden definiëren in de Microsoft 365-compliancecentrum

Unified labeling conditions provide more flexibility and better accuracy than their counterparts that was created in the Azure portal.

Als u gebruik wilt maken van geïntegreerde functies voor labeling, maakt u uw labelingsvoorwaarden handmatig in de Microsoft 365-compliancecentrum.

Zie Wat gevoeligheidslabels kunnen doen in de Microsoft 365 voor meer informatie.

Tip

Als u aangepaste gevoelige informatietypen hebt gemaakt voor gebruik met Office 365 DLP of Microsoft Defender voor cloud-apps, kunt u deze toepassen op unified labeling. Zie de Microsoft 365 documentatie voor meer informatie.

Een geïntegreerde labelingclient implementeren

Implementeer een client die geïntegreerde labeling ondersteunt op de machines van uw gebruikers om ervoor te zorgen dat ze uw geïntegreerde labelbeleid en -etiketten kunnen gebruiken.

Gebruikers moeten een ondersteunde client hebben die verbinding kan maken met de Microsoft 365-compliancecentrum en het geïntegreerde labelbeleid kan trekken.

Zie voor meer informatie:

Niet-Windows platforms

Voor gebruikers op niet-Windows-platforms zijn geïntegreerde labelmogelijkheden rechtstreeks geïntegreerd in de Office-clients en kunnen alle etiketten worden gebruikt die u onmiddellijk hebt gepubliceerd.

Office clients met geïntegreerde mogelijkheden voor geïntegreerde labeling zijn:

  • Office clients voor macOS
  • webversie van Office (voorbeeld)
  • De Outlook Web App
  • Outlook voor mobiel

Zie gevoeligheidslabels toepassen op uw bestanden en e-mail in Office microsoft-ondersteuningssite voor meer informatie over geïntegreerde labeling op deze platforms.

Windows platforms

Voor Windows-machines met Microsoft 365-apps voor Enterprise gebruikt u de ingebouwde ondersteuning voor labeling die wordt geleverd in Office-versies 1910 en hoger, of installeert u de geïntegreerde labelingclient voor Azure Information Protection om de AIP-functionaliteit uit te breiden naar de Verkenner of PowerShell.

Zie voor meer informatie:

De geïntegreerde labelingclient voor Azure Information Protection kan worden gedownload vanuit het Microsoft Downloadcentrum.

Zorg ervoor dat u het AzInfoProtection_UL gebruikt om de client te implementeren. Als u momenteel de klassieke client op de computer hebt geïnstalleerd, voert de installatie van de geïntegreerde labelingclient een in-place upgrade uit.

Opmerking

Houd rekening met de AIP-functionaliteit die momenteel door uw organisatie is vereist bij het bepalen wanneer u ingebouwde labeling wilt gebruiken en wanneer u de geïntegreerde labelclient wilt gebruiken.

Welke wijzigingen voor klassieke client-eindgebruikers?

Het belangrijkste, meest zichtbare verschil voor eindgebruikers die de klassieke Azure Information Protection-client hebben gebruikt, is dat de knop Beveiligen in Office apps wordt vervangen door de knop Gevoeligheid.

Wanneer u gebruik maakt van de extra mogelijkheden die worden ondersteund door gevoeligheidslabels en geïntegreerde labeling, zien eindgebruikers deze wijzigingen ook in hun Office apps.

Bijvoorbeeld:

  • Windows klassieke AIP-client

    Knop Beveiliging in de klassieke client

  • Windows AIP unified labeling client

    Voorbeeldknop voor de geïntegreerde labelingclient in Microsoft Office

Tip

Als u uw etiketten hebt gepubliceerd en de clients met ingebouwde ondersteuning de knop Gevoeligheid niet weergeven, bekijkt u indien nodig de relevante handleiding voor probleemoplossing.

Volgende stappen

Nadat u uw etiketten, beleidsregels en geïmplementeerde clients zo nodig hebt gemigreerd, gaat u door met het beheren van labels en labelbeleid alleen in de Microsoft 365-compliancecentrum.

Met het geïntegreerde labelingplatform hoeft u alleen terug te gaan naar het Azure Information Protection-gebied in de Azure-portal om:

Het is raadzaam dat eindgebruikers gebruikmaken van ingebouwde labelingsmogelijkheden in de nieuwste Office-apps voor web, Mac, iOS en Android, evenals Microsoft 365-apps voor Enterprise.

Als u extra AIP-functies wilt gebruiken die nog niet worden ondersteund door ingebouwde labeling, raden we u aan om de nieuwste geïntegreerde labelingclient te gebruiken voor Windows.