Zelfstudie: Voorkomen van oversharing in Outlook met Azure Information Protection (AIP)

Van toepassing op: Azure Information Protection

Relevant voor: Azure Information Protection client voor geïntegreerde labels voor Windows

Als systeembeheerder moet u ervoor zorgen dat de inhoud van uw organisatie veilig blijft en alleen wordt gedeeld met vertrouwde gebruikers. Een van de meest voorkomende manieren waarop gebruikers inhoud ongepast delen, is via e-mail. Configureer uw beleid om te voorkomen dat gebruikers te veel delen via Outlook, zoals het beperken van de toegang tot alleen specifieke gebruikers of het toestaan van gebruikers om alleen inhoud te delen met vertrouwde externe gebruikers.

Benodigde tijd: u kunt deze zelfstudie in 30 minuten voltooien.

In deze zelfstudie leert u het volgende:

  • Gedrag voor waarschuwingen, redenering en blokkering configureren voor specifieke labelvoorwaarden
  • Uw instellingen in actie zien
  • Bekijk de vastgelegde gebruikersberichten en -acties in het gebeurtenislogboek

Vereisten voor de zelfstudie

Zorg ervoor dat u aan de volgende systeemvereisten voldoet voordat u aan deze zelfstudie begint.

Vereisten Description
Machinevereisten Zorg ervoor dat u:

- Een Windows computer, met de Azure Information Protection client voor geïntegreerde labels geïnstalleerd. Zie Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client (Quickstart: De client voor Azure Information Protection (AIP) unified labeling implementeren) voor meer informatie.

- PowerShell hebben geïnstalleerd en u PowerShell als beheerder kunt uitvoeren.

- Kan zich aanmelden bij Outlook. Wees voorbereid op het opnieuw Outlook meerdere keren tijdens deze zelfstudie.
Azure Information Protection abonnement U hebt een Azure-abonnement nodig dat deAzure Information Protection.

Als u nog geen van deze abonnementen hebt, maakt u een gratis account voor uw organisatie.
Gevoeligheidslabels en een testbeleid Een algemeen gevoeligheidslabel dat is geconfigureerd in uw beleid.

Configureer gevoeligheidslabels in de Microsoft 365-compliancecentrum. Zie de Microsoft 365 voor meer informatie.

We raden u aan voor deze zelfstudie een testbeleid te gebruiken, zodat u geen invloed hebt op uw livebeleid.
Zorg ervoor dat u de naam van uw beleid bij de hand hebt, evenals de GUID voor het label Algemeen.

Aan de slag.

Een waarschuwingsbericht implementeren voor e-mailberichten met het label Algemeen

In deze procedure wordt beschreven hoe u uw beleid configureert om gebruikers Outlook te waarschuwen voordat ze een e-mailbericht met het label Algemeen verzenden.

De gebruikers kunnen ervoor kiezen om de waarschuwing te lezen en het label of de inhoud te wijzigen, of ze kunnen ervoor kiezen om toch een e-mail te verzenden.

  1. Voer PowerShell uit als beheerder op de clientmachine.

  2. Voer de volgende opdracht uit om een waarschuwingsbericht voor het label Algemeen te definiëren. Wanneer u deze opdracht kopieert, vervangt u Global door de naam van uw beleid en de lange tekenreeks door uw eigen label-id.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}
    

    In dit voorbeeld heet het beleid Global en de GUID voor het label Algemeen is 8faca7b8-8d20-48a3-8ea2-0f96310a848e.

    Tip

    Als u deze instelling wilt toepassen op meerdere labels, vermeldt u de GUID's in de waarde, gescheiden door komma's.

  3. Test uw instelling in Outlook:

    1. Open of start de clientcomputer opnieuw op Outlook de bijgewerkte instellingen op te halen.

    2. Maak een nieuw e-mailbericht en pas het label Algemeen toe. Selecteer op de berichtwerkbalk de knop Gevoeligheid en selecteer vervolgens Algemeen.

    3. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend vervolgens Testing a warning message for the General label het e-mailbericht.

      Als het goed is, ziet u de volgende waarschuwing, waarin u wordt gevraagd om te bevestigen voordat u het e-mailbericht verstuurt. Bijvoorbeeld:

      Een waarschuwingsbericht testen voor het label Algemeen

    4. Doe alsof u een gebruiker bent die per ongeluk heeft geprobeerd iets te e-mailen met het label Algemeen. In dit geval wilt u op de waarschuwing let, dus selecteer Annuleren.

      Uw e-mailbericht wordt niet verzonden, maar blijft geopend, zodat u de inhoud of het label kunt wijzigen.

    5. U hoeft geen wijzigingen aan te brengen en u kunt besluiten dat de inhoud geschikt is om te verzenden. Selecteer opnieuw Verzenden. Wanneer de waarschuwing nu wordt weergegeven, selecteert u Bevestigen en verzenden.

      Het e-mailbericht wordt verzonden.

Ga door met Een waarschuwingsbericht voor Algemene e-mailberichtenalleen tonen wanneer ze extern worden verzonden.

Een waarschuwingsbericht voor algemene e-mailberichten alleen weergegeven wanneer ze extern worden verzonden

In deze procedure wordt beschreven hoe u een uitzondering toevoegt aan het waarschuwingsbericht dat u eerder hebt geconfigureerd, zodat het waarschuwingsbericht alleen wordt weergegeven voor externe ontvangers.

Wanneer u intern een algemene e-mail verstuurt, wordt het waarschuwingsbericht niet weergegeven.

  1. Voer PowerShell uit als beheerder op de clientmachine.

  2. Voer de volgende opdracht uit om uw domein te definiëren als een vertrouwd domein voor waarschuwingsberichten. Wanneer u deze opdracht kopieert, vervangt u Global door de naam van uw beleid en contoso.com door uw eigen domein.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnTrustedDomains="contoso.com"}    
    

    Tip

    Als u deze instelling wilt toepassen op meerdere domeinen, bijvoorbeeld als u vertrouwde partners wilt toevoegen, vermeldt u hun domeinen in de waarde, gescheiden door komma's.

  3. Test uw instelling in Outlook:

    1. Open of start de clientcomputer opnieuw op Outlook de bijgewerkte instellingen op te halen.

    2. Maak een nieuw e-mailbericht en pas het label Algemeen toe. Selecteer op de berichtwerkbalk de knop Gevoeligheid en selecteer vervolgens Algemeen.

    3. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend vervolgens Testing a warning message for the General label het e-mailbericht.

      Het e-mailbericht wordt verzonden en er wordt geen waarschuwing weergegeven.

Gebruikers vragen om het verzenden van niet-gelabelde inhoud te rechtvaardigen

In deze procedure wordt beschreven hoe u geavanceerde instellingen configureert, zodat gebruikers hun reden voor het verzenden van niet-gelabelde inhoud moeten rechtvaardigen.

  1. Voer PowerShell uit als beheerder op de clientmachine.

  2. Als u Outlook een reden voor uw gebruikers wilt weergeven als ze een niet-gelabeld e-mailbericht proberen te verzenden, vervangt u Globaal door de naam van uw beleid en voer u het volgende uit:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Justify"}
    
  3. Test uw instelling in Outlook:

    1. Open of start de clientcomputer opnieuw op Outlook de bijgewerkte instellingen op te halen.

    2. Maak een nieuw e-mailbericht en zorg ervoor dat er geen label is toegepast.

      Als met uw beleid bijvoorbeeld een standaardlabel wordt toegepast, gebruikt u de knop om het te verwijderen.

    3. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend vervolgens Testing the justification message for unlabeled content het e-mailbericht.

      Er wordt een pop-up weergegeven die vergelijkbaar is met het volgende voorbeeld:

      Voorbeeld van redenbericht voor niet-gelabelde inhoud

    4. Selecteer een van de opties. Als u de derde optie Overige selecteert, zoals uitgelegd, voert u wat voorbeeldtekst in het tekstvak in.

    5. Selecteer Bevestigen en verzenden.

      Het e-mailbericht wordt verzonden.

Ga verder met De prompt voor de rechtvaardiging van de vrije tekst aanpassen.

De redenprompt voor vrije tekst aanpassen

In deze procedure wordt beschreven hoe u de derde optie in het standaardbericht voor de reden kunt aanpassen.

U kunt bijvoorbeeld tekst toevoegen om de gebruiker te vragen specifieke gegevens toe te voegen of gebruikers eraan te herinneren geen gevoelige gegevens in te voeren.

  1. Voer PowerShell uit als beheerder op de clientmachine.

  2. Als u de prompt voor vrije tekst in het weergegeven redenbericht wilt aanpassen, vervangt u Globaal door de naam van uw beleid en voer het volgende uit:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}
    

    Tip

    U kunt de waarde tussen aanhalingstekens vervangen door andere tekst die u daar wilt toevoegen.

  3. Test uw instelling in Outlook:

    1. Open of start de clientcomputer opnieuw op Outlook de bijgewerkte instellingen op te halen.

    2. Maak een nieuw e-mailbericht en zorg ervoor dat er geen label is toegepast.

      Als met uw beleid bijvoorbeeld een standaardlabel wordt toegepast, gebruikt u de knop om het te verwijderen.

    3. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend vervolgens Testing a customized free text justification prompt het e-mailbericht.

      De redenpop-up wordt weergegeven, deze keer met uw aangepaste tekst. Bijvoorbeeld:

      Voorbeeld van een redenprompt met aangepaste prompt voor vrije tekst

Blokkeren dat gebruikers niet-gelabelde PowerPoint verzenden

In deze procedure wordt beschreven hoe u kunt blokkeren dat uw gebruikers niet-gelabelde bestanden PowerPoint verzenden vanuit Outlook.

  1. Voer PowerShell uit als beheerder op de clientmachine.

  2. Als u wilt blokkeren dat niet-gelabelde inhoud wordt verzonden vanuit Outlook, vervangt u Global door de naam van uw beleid en voer u het volgende uit:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Block"}
    
  3. Als u het blokkeringsgedrag wilt beperken tot PowerPoint specifieke bestandstypen, vervangt u Globaal door de naam van uw beleid en voer u het volgende uit:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.POTX,.POTM,.POT,.PPTX"}
    
  4. Test uw instelling in Outlook:

    1. Open op de clientcomputer PowerPoint maak een nieuw.pptx-bestand, zorg ervoor dat het bestand niet is gelabeld.

    2. Open de app of Outlook om de bijgewerkte instellingen op te halen.

    3. Voeg uw niet-gelabelde PowerPoint toe aan een nieuw Outlook bericht.

    4. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend Testing sending unlabeled PowerPoint files het e-mailbericht.

      Outlook blokkeert het verzenden van het e-mailbericht en geeft het volgende bericht weer:

      Voorbeeldblokkeringsbericht voor een niet-gelabelde PowerPoint bijlage

Ga door met Het blokbericht aanpassen voor niet-gelabelde PowerPoint berichten.

Het blokbericht aanpassen voor niet-gelabelde PowerPoint berichten

In deze procedure wordt beschreven hoe u het bericht kunt aanpassen dat wordt weergegeven wanneer een gebruiker een niet-gelabeld PowerPoint verzenden naar externe gebruikers.

Belangrijk

Met deze procedure worden alle instellingen overschreven die u al hebt gedefinieerd met behulp van de geavanceerde eigenschap OutlookUnlabeledCollaborationAction. Deze wordt alleen voor zelfstudiedoeleinden weergegeven.

In productie raden we u aan problemen te voorkomen door de geavanceerde eigenschap OutlookUnlabeledCollaborationAction te gebruiken om uw regels te definiëren, of door complexe regels te definiëren met een JSON-bestand zoals hieronder is gedefinieerd, maar niet beide.

Definieer uw regel met behulp van een json-bestand:

  1. Maak een JSON-bestand met de naam OutlookCollaborationRule_1.json met de volgende code:

    {   
    "type" : "And",     
    "nodes" : [         
        {           
            "type" : "Except" ,             
            "node" :{               
                "type" : "SentTo",                  
                "Domains" : [                   
                    "contoso.com",                  
                ]               
            }       
        },
        {           
            "type" : "Or",          
            "nodes" : [                 
                {           
                    "type" : "AttachmentLabel",
                     "LabelId" : null,
                    "Extensions": [
                                    ".PPTX",
                                    ".PPTM",
                                    ".POTX",
                                    ".POTM",
                                    ".POT",
                                    ".PPTX"
                                 ]
    
                },
                {                   
                    "type" : "EmailLabel",
                     "LabelId" : null
                }
            ]
        },      
        {           
            "type" : "Email Block",             
            "LocalizationData": {               
                "en-us": {                
                    "Title": "Email Blocked",                 
                    "Body": "Sending PowerPoint files to external recipients requires that you label your files so that we can classify and protect Contoso content.<br><br>List of attachments that are not labeled:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso’s policies.<br><br>Label your document and send it again."              
                },          
            },          
            "DefaultLanguage": "en-us"      
        }   
      ] 
    }
    
  2. Sla het OutlookCollaborationRule_1.json op een locatie op die toegankelijk is voor uw clientmachine.

  3. Voer PowerShell uit als beheerder op de clientmachine.

  4. Als u het blokkeringsbericht wilt aanpassen, kopieert u de volgende code en vervangt u C:\OutlookCollaborationRule_1.json door het pad naar uw JSON-bestand en general door de naam van uw beleid.

    $filedata = Get-Content "C:\OutlookCollaborationRule_1.json”
    Set-LabelPolicy -Identity General -AdvancedSettings @{OutlookCollaborationRule_1 ="$filedata"}    
    

    Voer de code uit om de instellingen te implementeren die zijn gedefinieerd in uw JSON-bestand.

  5. Test uw instelling in Outlook:

    1. Open op de clientcomputer PowerPoint maak een nieuw.pptx-bestand, zorg ervoor dat het bestand niet is gelabeld.

    2. Open de app of Outlook om de bijgewerkte instellingen op te halen.

    3. Voeg uw niet-gelabelde PowerPoint toe aan een nieuw Outlook bericht.

    4. Definieer het veld Aan met uw eigen e-mailadres, het veld Onderwerp als: en verzend Testing customized blocking message for unlabeled PowerPoint files het e-mailbericht.

      Outlook blokkeert het verzenden van het e-mailbericht en geeft het volgende bericht weer:

      Aangepast blokbericht voor PowerPoint zonder label

Ga door met Gebeurtenislogboek gebruiken om de berichten en gebruikersacties voor het label Algemeen te identificeren.

Gebeurtenislogboek gebruiken om de berichten en gebruikersacties voor het label Algemeen te identificeren

In deze zelfstudie hebt u geleerd hoe u het gedrag van AIP in Outlook kunt aanpassen om te voorkomen dat er een aantal soorten oversharing worden gebruikt, waaronder waarschuwings-, reden- en blokberichten. U hebt ook het gedrag van de Outlook op uw lokale clientcomputer gecontroleerd.

U kunt nu de Windows Logboeken om de logboeken te controleren op de acties die zijn opgetreden.

Controleer de Logboeken gebeurtenissen voor AIP-logboekregistratie:

Open op uw clientmachine de Windows Logboeken toepassing en navigeer naar Logboeken toepassingen en > services Azure Information Protection.

U ziet een informatiegebeurtenis die wordt geregistreerd voor elke test die u hebt uitgevoerd, inclusief details over zowel het bericht als het antwoord van de gebruiker:

  • Berichten waarschuwen: informatie-id 301
  • Berichten rechtvaardigen: informatie-id 302
  • Berichten blokkeren: informatie-id 303

Bijvoorbeeld:

Controleer het gebeurtenislogboek op uw tests voor waarschuwingsbericht

De eerste test was om de gebruiker te waarschuwen en u hebt Annuleren geselecteerd. In dit geval wordt In het gebruikersreactie weergegeven Dat is afgewezen bij de eerste gebeurtenis 301:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Vervolgens hebt u bevestigen en verzenden geselecteerd. Dit wordt weergegeven in de volgende gebeurtenis 301, waarbij Het gebruikersreactie bevestigen wekt:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing a warning message for the General label.msg
Item Name: Testing a warning message for the General label
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Controleer het gebeurtenislogboek op uw rechtvaardigingsberichttests

Hetzelfde patroon wordt herhaald voor het rechtvaardigingsbericht, dat een gebeurtenis 302 heeft. De eerste gebeurtenis heeft een Gebruikersantwoord van Afgewezen en de tweede toont de reden die is geselecteerd. Bijvoorbeeld:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the justification message for unlabeled content.msg
Item Name: Testing the justification message for unlabeled content
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Controleer het gebeurtenislogboek op uw blokberichttests

Boven aan het gebeurtenislogboek ziet u het blokbericht dat is vastgelegd met gebeurtenis 303. Bijvoorbeeld:

Client Version: 2.8.85.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing sending unlabeled PowerPoint files.msg
Item Name: Testing sending unlabeled PowerPoint files
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 

Resources opschonen

Wanneer u klaar bent met deze zelfstudie, kunt u het testbeleid behouden voor verdere verwijzing of het verwijderen om uw resources op te schonen.

Als u uw beleid wilt verwijderen, doet u dit in de Microsoft 365-compliancecentrum.

Zie de documentatie voor Microsoft 365 informatie

Zodra de client is verwijderd, Outlook opnieuw op de clientmachine, zodat deze niet meer is geconfigureerd met de instellingen die in deze zelfstudie zijn gedefinieerd.

Volgende stappen

Voor een snellere test wordt in deze zelfstudie een e-mailbericht naar één ontvanger en zonder bijlagen gebruikt.

Pas dezelfde methoden toe met meerdere ontvangers en labels, of op bijlagen, waarbij labelstatus soms minder duidelijk is voor gebruikers.

U wilt bijvoorbeeld dat er een pop-upbericht wordt weergegeven in e-mailberichten met het label Openbaar, maar dat er een PowerPoint-presentatie is gekoppeld met het label Algemeen.

Zie Admin Guide: Custom configurationsfor the Azure Information Protection unified labeling client (Beheerdershandleiding: aangepaste configuraties voor Azure Information Protection client voor geïntegreerde labels) voor meer informatie over geavanceerde eigenschappen en Outlook aanpassingen.