Zelfstudie: Migreren van de klassieke AIP-client (Azure Information Protection) naar geïntegreerde labeloplossing

Notitie

Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?

De Azure Information Protection-invoegtoepassing voor Office bevindt zich nu in de onderhoudsmodus en wordt in april 2024 buiten gebruik gesteld. In plaats daarvan raden we u aan labels te gebruiken die zijn ingebouwd in uw Office 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.

Om een uniforme en gestroomlijnde klantervaring te bieden, worden klassieke Azure Information Protection-client- en labelbeheer in Azure Portal afgeschaft vanaf 31 maart 2021. Hoewel de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden onderhoudsversies niet meer uitgebracht voor de klassieke client.

U wordt aangeraden te migreren naar geïntegreerde labels en een upgrade uit te voeren naar de geïntegreerde labelclient. Meer informatie in onze recente update over de afschaffing.

In deze zelfstudie wordt beschreven hoe u de Azure Information Protection-implementatie van uw organisatie migreert van de klassieke client en label-/labelbeleidsbeheer in Azure Portal naar de geïntegreerde labeloplossing en Microsoft 365-vertrouwelijkheidslabels.

Benodigde tijd: de tijd die nodig is om een migratie te voltooien, is afhankelijk van hoe complex uw beleid is en welke AIP-functies u gebruikt. U kunt blijven werken met de klassieke client terwijl u op de achtergrond migreert.

Deze zelfstudie bevat een beschrijving op hoog niveau van elke stap en verwijst vervolgens naar de relevante sectie elders in de Microsoft-documentatie voor meer informatie.

In deze zelfstudie gaat u:

  • Meer informatie over het plannen van uw migratie
  • Uw labels migreren naar het geïntegreerde labelplatform
  • Meer informatie over het configureren van geavanceerde instellingen in de Microsoft Purview-nalevingsportal
  • Uw beleid kopiëren naar het geïntegreerde labelplatform
  • De geïntegreerde labelclient implementeren

Waarom migreren naar de geïntegreerde labeloplossing?

Naast de klassieke clientondergang kunt u dankzij migratie naar de geïntegreerde labeloplossing gevoelige gegevens in uw digitale activa effectief beveiligen. Zodra u bent gemigreerd, gebruikt u Microsoft Purview Informatiebeveiliging in Microsoft 365-cloudservices, on-premises, in SaaS-toepassingen van derden en meer.

MIP biedt ondersteuning voor ingebouwde labelservices voor veel basisfuncties voor informatiebeveiliging, zodat u het clientgebruik alleen kunt reserveren voor extra functies die niet worden ondersteund door ingebouwde labels.

  • Verlaag uw onderhoudskosten door minder extra software te implementeren en te onderhouden
  • De prestaties van Office verhogen, zonder dat er extra invoegtoepassingen nodig zijn
  • Stroomlijn uw label- en beveiligingsbeleidsbeheer in AIP, Office 365 en Windows met behulp van de Microsoft Purview-nalevingsportal.

Zie het blog Over geïntegreerde labelingmigratie voor meer informatie.

Uw migratie plannen

Hoewel de meeste functionaliteit die beschikbaar is voor de klassieke AIP-client ook beschikbaar is voor de geïntegreerde labelclient, zijn sommige functies nog niet volledig beschikbaar en sommige zijn anders geconfigureerd voor geïntegreerde labels.

Raadpleeg de volgende artikelen om te begrijpen hoe de Information Protection-functies die u gebruikt, kunnen verschillen bij het gebruik van de geïntegreerde labelclient:

Tip

Als er gedocumenteerde verschillen zijn tussen de clients die van invloed zijn op het gedrag van uw eindgebruikers, raden we u aan deze wijzigingen effectief aan uw gebruikers te communiceren voordat u de geïntegreerde labelclient implementeert en uw nieuwe beleid publiceert.

Zodra u uw migratie hebt gepland en de wijzigingen begrijpt die zich voordoen, gaat u verder met het migreren van labels naar het geïntegreerde labelplatform.

Labels migreren naar het geïntegreerde labelplatform

Zodra u de migratie hebt gepland en hebt overwogen hoe u de verschillen in de clients gaat beheren, bent u klaar om geïntegreerde labels te activeren en uw labels te migreren.

Tijdens de migratie kunt u de klassieke AIP-client en het beleid in het gebied Azure Information Protection in Azure Portal blijven gebruiken. De twee clients kunnen naast elkaar werken zonder extra configuratie.

  1. Meld u als beheerder aan bij Azure Portal met een van de volgende rollen:

    • Nalevingsbeheerder
    • Beheerder van nalevingsgegevens
    • Beveiligingsbeheerder
    • Globale beheerder
  2. Selecteer in het gebied Azure Information Protection, onder Beheren aan de linkerkant, Geïntegreerde labels.

    Selecteer Boven aan de pagina Activeren om geïntegreerde labels te activeren.

    Uw labels worden gekopieerd van Azure Information Protection naar het geïntegreerde labelplatform en worden nu opgeslagen in beide systemen.

    Open de Microsoft Purview-nalevingsportal om de daar weergegeven labels en in het gebied Azure Information Protection te vergelijken. De twee lijsten moeten identiek zijn. Als u bijvoorbeeld vergelijkt met de Microsoft Purview-nalevingsportal:

    Compare migrated labels between the Azure portal and the Security & Compliance Center

    Notitie

    Gebruik indien nodig de labels in beide systemen totdat u klaar bent met migreren. Zie Labelbewerkingen synchroniseren voor meer informatie.

Ga door met het kopieerbeleid naar het geïntegreerde labelplatform.

Labelbewerkingen synchroniseren

Zodra u uw labels naar de Microsoft Purview-nalevingsportal hebt gemigreerd, worden alle wijzigingen die u aanbrengt in de gemigreerde labels in Azure Portal automatisch gesynchroniseerd met hetzelfde label in de Microsoft Purview-nalevingsportal.

Wijzigingen die zijn aangebracht in gemigreerde labels in Microsoft Purview-nalevingsportal worden echter niet terug gesynchroniseerd naar Azure Portal. Als u wijzigingen aanbrengt in de Microsoft Purview-nalevingsportal en deze in Azure Portal wilt bijwerken, gaat u terug naar de portal om de update te publiceren.

Een bijgewerkt label publiceren in Azure Portal:

  1. Selecteer in het gebied Azure Information Protection, onder Beheren aan de linkerkant, Geïntegreerde labels.

  2. Selecteer Publiceren.

Notitie

Deze stap is alleen vereist als u wijzigingen hebt aangebracht aan uw gemigreerde labels in het geïntegreerde labelplatform en deze bewerkingen opnieuw hebt gesynchroniseerd met Azure Portal.

Labels migreren via PowerShell

U kunt PowerShell ook gebruiken om uw bestaande labels, zoals voor een GCC High-omgeving, te migreren.

Gebruik de cmdlet New-Label om uw bestaande vertrouwelijkheidslabels te migreren.

Als uw vertrouwelijkheidslabel bijvoorbeeld versleuteling heeft, kunt u de cmdlet New-Label als volgt gebruiken:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Zie de servicebeschrijving van Azure Information Protection Premium Government voor meer informatie over het werken in GCC-, GCC-High- en DoD-omgevingen.

Beleid kopiëren naar het geïntegreerde labelplatform

Kopieer alle beleidsregels die u hebt opgeslagen in Azure Portal die u beschikbaar wilt hebben, omdat ze zich in het geïntegreerde labelplatform bevinden.

Deze functie is momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Notitie

Het kopiëren van beleid heeft bepaalde beperkingen. U kunt ook helemaal opnieuw beginnen en uw beleid handmatig maken in de Microsoft Purview-nalevingsportal. Zie de Microsoft 365-documentatie voor meer informatie.

Uw beleid kopiëren:

  1. Houd rekening met de volgende items en bevestig dat u uw beleid op dit moment wilt kopiëren:

    Overweging Beschrijving
    Met beleid kopiëren worden al uw beleidsregels gekopieerd Het kopiëren van beleid biedt geen ondersteuning voor het kopiëren van specifieke beleidsregels. Het is allemaal uw beleid of geen van deze beleidsregels.
    Als u uw beleid automatisch kopieert, wordt uw beleid automatisch gepubliceerd Als u uw beleid naar de geïntegreerde labelclient kopieert, worden deze automatisch gepubliceerd naar alle clients die door labels worden ondersteund.

    Belangrijk: Kopieer uw beleid niet als u ze niet wilt publiceren.
    Als u bestaande beleidsregels met dezelfde naam kopieert, worden bestaande beleidsregels van dezelfde naam overschreven Als u een beleid met dezelfde naam hebt dat al bestaat in de Microsoft Purview-nalevingsportal, worden alle instellingen die in dat beleid zijn gedefinieerd, overschreven door het kopiëren van uw beleid.

    Alle beleidsregels die zijn gekopieerd uit Azure Portal, hebben de volgende syntaxis: AIP_<policy name>
    Sommige clientinstellingen worden niet gekopieerd Sommige clientinstellingen worden niet gekopieerd naar het geïntegreerde labelplatform en moeten na de migratie handmatig worden geconfigureerd.

    Zie Geavanceerde labelinstellingen configureren voor meer informatie
  2. Meld u als beheerder aan bij Azure Portal met een van de volgende rollen:

    • Nalevingsbeheerder
    • Beheerder van nalevingsgegevens
    • Beveiligingsbeheerder
    • Globale beheerder
  3. Selecteer in het gebied Azure Information Protection, onder Beheren aan de linkerkant, Geïntegreerde labels.

  4. Selecteer Beleid kopiëren (preview). Alle beleidsregels die u in Azure Portal hebt opgeslagen, worden gekopieerd naar de Microsoft Purview-nalevingsportal.

    Als er al beleidsregels in de Microsoft Purview-nalevingsportal met dezelfde naam staan, worden de beleidsregels overschreven met de instellingen van Azure Portal.

    Belangrijk

    Als u momenteel Microsoft Defender voor Cloud Apps en Azure Information Protection-labels gebruikt, controleert u of u ten minste één beleid hebt gepubliceerd met een minimale set labels voor de Microsoft Purview-nalevingsportal, zelfs als het beleid is gericht op één gebruiker.

    Dit beleid is vereist voor Microsoft Defender voor Cloud Apps om alle labels in de Microsoft Purview-nalevingsportal te identificeren en weer te geven in de Microsoft Defender voor Cloud Apps-portal.

Nu u zowel uw labels als beleid hebt gemigreerd, gaat u verder met het configureren van geavanceerde labelinstellingen voor geavanceerde configuraties die niet zijn gemigreerd.

Geavanceerde labelinstellingen configureren

Zoals uitgelegd tijdens de planningsfase, worden sommige geavanceerde labelinstellingen niet automatisch gemigreerd en moeten ze opnieuw worden geconfigureerd voor het geïntegreerde labelplatform.

Zie voor meer informatie:

Geavanceerde labelinstellingen configureren in PowerShell

  1. Verbinding maken naar de PowerShell-module Security & Compliance Center. Zie de PowerShell-documentatie van het Security & Compliance Center voor meer informatie.

  2. Als u een geavanceerde labelinstelling wilt definiëren, gebruikt u de cmdlet Set-Label, waarbij u de parameter Geavanceerd Instellingen opgeeft, het label waarop u de instelling wilt toepassen, evenals sleutel-waardeparen om uw instelling te definiëren.

    Gebruik de volgende syntaxis:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
    

    Hierin:

    • <LabelGUIDorName> identificeert uw label met behulp van de labelnaam of GUID
    • <Key> is de sleutel of de naam van de geavanceerde instelling die u wilt gebruiken
    • <Value> is de instellingswaarde die u wilt definiëren. Plaats uw waarde tussen aanhalingstekens en scheid meerdere waarden door komma's. Witruimten worden niet ondersteund.
  3. Ga aan de slag door de volgende geavanceerde instellingen te configureren:

    Zie Beheer Handleiding: Aangepaste configuraties voor de geïntegreerde Labelclient van Azure Information Protection voor meer informatie over de beschikbare geavanceerde configuraties.

Notitie

Als u gebruik wilt maken van de instellingen die u hebt gedefinieerd voor het geïntegreerde labelplatform, moeten eindgebruikers de geïntegreerde labelclient op hun computers hebben geïnstalleerd.

Deze geavanceerde instellingen zijn niet beschikbaar voor gebruikers die alleen ingebouwde labels van Office 365 hebben.

Labelvoorwaarden definiëren in de Microsoft Purview-nalevingsportal

Geïntegreerde labelvoorwaarden bieden meer flexibiliteit en betere nauwkeurigheid dan hun tegenhangers die in Azure Portal zijn gemaakt.

Als u gebruik wilt maken van geïntegreerde labelvoorwaardefuncties, maakt u handmatig uw labelvoorwaarden in de Microsoft Purview-nalevingsportal.

Zie Wat vertrouwelijkheidslabels kunnen doen in de Microsoft 365-documentatie voor meer informatie.

Tip

Als u aangepaste typen gevoelige informatie hebt gemaakt voor gebruik met Office 365 DLP of Microsoft Defender voor Cloud-apps, past u deze als zodanig toe op geïntegreerde labels. Zie de Microsoft 365-documentatie voor meer informatie.

Een geïntegreerde labelclient implementeren

Implementeer een client die ondersteuning biedt voor geïntegreerde labels op de computers van uw gebruikers om ervoor te zorgen dat ze uw geïntegreerde labelbeleid en -labels kunnen gebruiken.

Gebruikers moeten een ondersteunde client hebben die verbinding kan maken met de Microsoft Purview-nalevingsportal en het geïntegreerde labelbeleid kan ophalen.

Zie voor meer informatie:

Niet-Windows-platforms

Voor gebruikers op niet-Windows-platforms zijn geïntegreerde labelmogelijkheden rechtstreeks geïntegreerd in de Office-clients en kunnen ze alle labels gebruiken die u onmiddellijk hebt gepubliceerd.

Office-clients met geïntegreerde geïntegreerde labelmogelijkheden zijn onder andere:

  • Office-clients voor macOS
  • webversie van Office (preview)
  • De Outlook Web App
  • Outlook voor mobiel

Zie de vertrouwelijkheidslabels toepassen op uw bestanden en e-mail in Office op de Microsoft Ondersteuning-site voor meer informatie over geïntegreerde labels op deze platforms.

Windows-platformen

Gebruik voor Windows-computers met Microsoft 365-apps voor Enterprise de ingebouwde ondersteuning voor labelen die wordt geboden in Office-versies 1910 en hoger of installeer de geïntegreerde Azure Information Protection-labelclient om de AIP-functionaliteit uit te breiden naar de Bestandenverkenner of PowerShell.

Zie voor meer informatie:

De geïntegreerde Azure Information Protection-labelclient kan worden gedownload vanuit het Microsoft Downloadcentrum.

Zorg ervoor dat u het AzInfoProtection_UL-bestand gebruikt om de client te implementeren. Als u momenteel de klassieke client op de computer hebt geïnstalleerd, voert de installatie van de geïntegreerde labelclient een in-place upgrade uit.

Notitie

Houd rekening met de AIP-functionaliteit die momenteel door uw organisatie is vereist bij het bepalen wanneer ingebouwde labels moeten worden gebruikt en wanneer de geïntegreerde labelclient moet worden gebruikt.

Welke wijzigingen voor klassieke clientgebruikers?

Het belangrijkste, meest zichtbare verschil voor eindgebruikers die de klassieke Azure Information Protection-client gebruiken, is dat de knop Beveiligen in Office-app s wordt vervangen door de knop Gevoeligheid.

Zodra u gebruikmaakt van de extra mogelijkheden die worden ondersteund door vertrouwelijkheidslabels en geïntegreerde labels, zien eindgebruikers deze wijzigingen ook in hun Office-app s.

Voorbeeld:

  • Klassieke Windows AIP-client

    Protection button in the classic client

  • Geïntegreerde Windows AIP-labelclient

    Sample button for the unified labeling client in Microsoft Office

Tip

Als u uw labels hebt gepubliceerd en de clients met ingebouwde ondersteuning de knop Gevoeligheid niet weergeven, raadpleegt u indien nodig de relevante gids voor probleemoplossing.

De scanner upgraden vanaf de klassieke client

Als u momenteel de Azure Information Protection-scanner van de klassieke Azure Information Protection-client gebruikt, kunt u deze upgraden om gevoelige informatietypen en vertrouwelijkheidslabels te gebruiken die zijn gepubliceerd vanuit de Microsoft Purview-nalevingsportal.

Het upgraden van de scanner is afhankelijk van de versie van de klassieke client die u momenteel uitvoert:

Met de upgrade maakt u een nieuwe database met de naam AIPScannerUL_<profile_name> en blijft de vorige scannerdatabase behouden voor het geval u deze nodig hebt voor de vorige versie. Wanneer u zeker weet dat u de vorige scannerdatabase niet nodig hebt, kunt u deze verwijderen. Omdat de upgrade een nieuwe database maakt, scant de scanner alle bestanden opnieuw wanneer deze voor het eerst wordt uitgevoerd.

Een upgrade uitvoeren van de klassieke Azure Information Protection-clientversie 1.48.204.0 en nieuwere versies van deze client

Als u de scanner hebt bijgewerkt met behulp van de preview-versie van de geïntegreerde labelclient, hoeft u deze instructies niet opnieuw uit te voeren.

  1. Stop de scannerservice, Azure Information Protection Scanner, op de computer van de scanner.

  2. Voer een upgrade uit naar de geïntegreerde Azure Information Protection-labelclient door de geïntegreerde labelclient te downloaden en te installeren vanuit het Microsoft Downloadcentrum.

  3. Voer in een PowerShell-sessie de opdracht Update-AIPScanner uit met het profiel van uw scanner. Voorbeeld: Update-AIPScanner –Profile Europe.

    Met deze stap maakt u een nieuwe database met de naam AIPScannerUL_<profile_name>

  4. Start de Azure Information Protection Scanner-service, De Azure Information Protection-scanner opnieuw.

U kunt nu de rest van de instructies in het implementeren van de Azure Information Protection-scanner gebruiken om bestanden automatisch te classificeren en te beveiligen, waarbij u de stap weglaat om de scanner te installeren. Omdat de scanner al is geïnstalleerd, is er geen reden om deze opnieuw te installeren.

Upgrade uitvoeren van de klassieke Azure Information Protection-clientversies ouder dan 1.48.204.0

Belangrijk

Installeer voor een soepel upgradepad de geïntegreerde Labelclient van Azure Information Protection niet op de computer waarop de scanner wordt uitgevoerd als eerste stap om de scanner te upgraden. Gebruik in plaats daarvan de volgende upgrade-instructies.

Vanaf versie 1.48.204.0 haalt de scanner de configuratie-instellingen op uit Azure Portal met behulp van een configuratieprofiel. Het upgraden van de scanner omvat het instrueren van de scanner voor het gebruik van deze onlineconfiguratie en voor de geïntegreerde labelclient, offlineconfiguratie voor de scanner wordt niet ondersteund.

  1. Gebruik Azure Portal om een nieuw scannerprofiel te maken dat instellingen voor de scanner en uw gegevensopslagplaatsen bevat met alle instellingen die ze nodig hebben. Zie De scanner configureren in Azure Portal vanuit de instructies voor de implementatie van de scanner voor hulp bij deze stap.

  2. Stop de scannerservice, Azure Information Protection Scanner, op de computer van de scanner.

  3. Voer een upgrade uit naar de geïntegreerde Azure Information Protection-labelclient door de geïntegreerde labelclient te downloaden en te installeren vanuit het Microsoft Downloadcentrum.

  4. Voer in een PowerShell-sessie de opdracht Update-AIPScanner uit met dezelfde profielnaam die u in stap 1 hebt opgegeven. Bijvoorbeeld: Update-AIPScanner –Profile Europe

  5. Start de Azure Information Protection Scanner-service, De Azure Information Protection-scanner opnieuw.

U kunt nu de rest van de instructies in het implementeren van de Azure Information Protection-scanner gebruiken om bestanden automatisch te classificeren en te beveiligen, waarbij u de stap weglaat om de scanner te installeren. Omdat de scanner al is geïnstalleerd, is er geen reden om deze opnieuw te installeren.

Volgende stappen

Zodra u uw labels, beleidsregels en geïmplementeerde clients indien nodig hebt gemigreerd, gaat u verder met het beheren van labels en labelbeleid alleen in de Microsoft Purview-nalevingsportal.

Met het geïntegreerde labelplatform hoeft u alleen terug te keren naar het gebied Azure Information Protection in Azure Portal om het volgende te doen:

Het is raadzaam dat eindgebruikers gebruikmaken van ingebouwde labelmogelijkheden in de nieuwste Office-app s voor web, Mac, iOS en Android, en Microsoft 365-apps voor Enterprise.

Als u aanvullende AIP-functies wilt gebruiken die nog niet worden ondersteund door ingebouwde labels, raden we u aan de nieuwste geïntegreerde labelclient voor Windows te gebruiken.