Een label voor Rights Management-beveiliging configureren

  • Artikel

U kunt uw meest gevoelige documenten en e-mailberichten beveiligen met behulp van een Rights Management-service. Deze service maakt gebruik van beleid voor versleuteling, identiteit en autorisatie om gegevensverlies te voorkomen. De beveiliging wordt toegepast met een label dat is geconfigureerd voor het gebruik van Rights Management beveiliging voor documenten en e-mailberichten, en gebruikers kunnen ook de knop Niet doorsturen selecteren in Outlook.

Wanneer uw label is geconfigureerd met de beveiligingsinstelling van Azure (cloudsleutel), maakt en configureert deze actie een beveiligingssjabloon die vervolgens kan worden geopend door services en toepassingen die zijn geïntegreerd met Rights Management-sjablonen. Bijvoorbeeld regels voor Exchange Online en e-mailstromen en webversie van Outlook.

Hoe de beveiliging werkt

Wanneer een document of e-mailbericht wordt beveiligd door een Rights Management-service, wordt het inactief en onderweg versleuteld. Het kan vervolgens alleen worden ontsleuteld door geautoriseerde gebruikers. Deze versleuteling blijft van toepassing op het document of e-mailbericht, zelfs als de naam wordt gewijzigd. U kunt bovendien gebruiksrechten en -beperkingen configureren, zoals de volgende voorbeelden:

  • Alleen gebruikers binnen uw organisatie kunnen het document of e-mailbericht met vertrouwelijke bedrijfsinformatie openen.

  • Alleen gebruikers op de marketingafdeling kunnen het document of e-mailbericht met promotieaankondiging bewerken en afdrukken, terwijl alle andere gebruikers in uw organisatie dit document of e-mailbericht alleen kunnen lezen.

  • Gebruikers kunnen geen e-mailbericht doorsturen of informatie daaruit kopiëren dat nieuws bevat over een interne reorganisatie.

  • De huidige prijslijst die wordt verzonden naar zakenpartners, kan niet worden geopend na een opgegeven datum.

Zie Wat is Azure Rights Management voor meer informatie over de Azure Rights Management-beveiliging en hoe het werkt?

Belangrijk

Als u een label wilt configureren om deze beveiliging toe te passen, moet de Azure Rights Management-service worden geactiveerd voor uw organisatie. Zie De beveiligingsservice activeren vanuit Azure Information Protection voor meer informatie.

Wanneer het label beveiliging toepast, is een beveiligd document niet geschikt om te worden opgeslagen op SharePoint of OneDrive. Deze locaties bieden geen ondersteuning voor de volgende functies voor beveiligde bestanden: Cocreatie, webversie van Office, zoeken, documentvoorbeeld, miniatuur, eDiscovery en preventie van gegevensverlies (DLP).

Tip

Wanneer u uw labels migreert naar geïntegreerde vertrouwelijkheidslabels en deze publiceert vanuit het Microsoft 365 compliancecentrum, worden labels die beveiliging toepassen vervolgens ondersteund voor deze locaties. Zie Vertrouwelijkheidslabels inschakelen voor Office bestanden in SharePoint en OneDrive voor meer informatie.

Exchange hoeft niet te worden geconfigureerd voor Azure Information Protection voordat gebruikers labels in Outlook kunnen toepassen om hun e-mailberichten te beveiligen. Totdat Exchange is geconfigureerd voor Azure Information Protection, beschikt u echter niet over de volledige functionaliteit van het gebruik van Azure Rights Management-beveiliging met Exchange. Gebruikers kunnen bijvoorbeeld geen beveiligde e-mailberichten weergeven op mobiele telefoons of met webversie van Outlook, beveiligde e-mailberichten kunnen niet worden geïndexeerd voor zoekopdrachten en u kunt Exchange Online DLP niet configureren voor Rights Management beveiliging. Raadpleeg de volgende bronnen om ervoor te zorgen dat Exchange deze aanvullende scenario's kan ondersteunen:

Een label configureren voor beveiligingsinstellingen

  1. Als u dat nog niet hebt gedaan, opent u een nieuw browservenster en meldt u zich aan bij Azure Portal. Navigeer vervolgens naar het deelvenster Azure Information Protection.

    Bijvoorbeeld in het zoekvak voor resources, services en documenten: Startmenu gegevens typen en Azure Information Protection selecteren.

  2. Selecteer in de menuoptie Classificatielabels>: selecteer in het deelvenster Azure Information Protection - Labels het label dat u wilt wijzigen.

  3. Zoek in het deelvenster Labelde optie Machtigingen instellen voor documenten en e-mailberichten met dit label en selecteer een van de volgende opties:

    • Niet geconfigureerd: selecteer deze optie als het label momenteel is geconfigureerd voor het toepassen van beveiliging en u niet meer wilt dat beveiliging wordt toegepast met het geselecteerde label. Vervolgens gaat u naar stap 11.

      De eerder geconfigureerde beveiligingsinstellingen worden bewaard als een gearchiveerde beveiligingssjabloon en worden opnieuw weergegeven als u de optie weer wijzigt in Beveiligen. U ziet deze sjabloon niet in de Azure Portal, maar indien nodig kunt u de sjabloon nog steeds beheren met behulp van PowerShell. Dit gedrag betekent dat inhoud toegankelijk blijft als deze dit label heeft met de eerder toegepaste beveiligingsinstellingen.

      Wanneer een label met deze niet-geconfigureerde beveiligingsinstelling wordt toegepast:

      • Als de inhoud eerder is beveiligd zonder een label te gebruiken, blijft die beveiliging behouden.

      • Als de inhoud eerder is beveiligd met een label, wordt die beveiliging verwijderd als de gebruiker die het label toepast, machtigingen heeft om Rights Management beveiliging te verwijderen. Deze vereiste betekent dat de gebruiker het gebruiksrechtExporteren of Volledig beheer moet hebben. Of wees de Rights Management eigenaar (die automatisch het gebruiksrecht Volledig beheer verleent) of een supergebruiker voor Azure Rights Management.

        Als de gebruiker geen machtigingen heeft om beveiliging te verwijderen, kan het label niet worden toegepast en wordt het volgende bericht weergegeven: Azure Information Protection kan dit label niet toepassen. Als dit probleem zich blijft voordoen, neemt u contact op met de beheerder.

    • Beveiligen: selecteer deze optie om beveiliging toe te passen en ga vervolgens naar stap 4.

    • Beveiliging verwijderen: selecteer deze optie om beveiliging te verwijderen als een document of e-mailbericht is beveiligd. Vervolgens gaat u naar stap 11.

      Als de beveiliging is toegepast met een label of beveiligingssjabloon, worden de beveiligingsinstellingen bewaard als een gearchiveerde beveiligingssjabloon en worden ze opnieuw weergegeven als u de optie weer wijzigt in Beveiligen. U ziet deze sjabloon niet in de Azure Portal, maar indien nodig kunt u de sjabloon nog steeds beheren met behulp van PowerShell. Dit gedrag betekent dat inhoud toegankelijk blijft als deze dit label heeft met de eerder toegepaste beveiligingsinstellingen.

      Houd er rekening mee dat voor een gebruiker een label met deze optie kan worden toegepast, die gebruiker machtigingen moet hebben om Rights Management beveiliging te verwijderen. Deze vereiste betekent dat de gebruiker het gebruiksrechtExporteren of Volledig beheer moet hebben. Of wees de Rights Management eigenaar (die automatisch het gebruiksrecht Volledig beheer verleent) of een supergebruiker voor Azure Rights Management.

      Als de gebruiker die het label toepast met deze instelling geen machtigingen heeft om Rights Management beveiliging te verwijderen, kan het label niet worden toegepast en wordt het volgende bericht weergegeven: Azure Information Protection kan dit label niet toepassen. Als dit probleem zich blijft voordoen, neemt u contact op met de beheerder.

  4. Als u Beveiligen hebt geselecteerd, wordt het deelvenster Beveiliging automatisch geopend als een van de andere opties eerder is geselecteerd. Als dit nieuwe deelvenster niet automatisch wordt geopend, selecteert u Beveiliging:

    Configure protection for an Azure Information Protection label

  5. Selecteer Azure (cloudsleutel) of HYOK (AD RMS) in het deelvenster Beveiliging.

    Selecteer in de meeste gevallen Azure (cloudsleutel) voor uw machtigingsinstellingen. Selecteer HYOK (AD RMS) alleen als u de informatie over de vereisten en beperkingen van deze configuratie voor Hold Your Own Key (HYOK) hebt gelezen en begrijpt. Zie HYOK-vereisten (Hold Your Own Key) en -beperkingen voor AD RMS-beveiliging voor meer informatie. Als u wilt doorgaan met de configuratie voor HYOK (AD RMS), gaat u naar stap 9.

  6. Selecteer één van de volgende opties:

    • Machtigingen instellen: nieuwe beveiligingsinstellingen definiëren in deze portal.

    • Door de gebruiker gedefinieerde machtigingen instellen (preview):om gebruikers te laten opgeven wie machtigingen moeten krijgen en wat deze machtigingen zijn. U kunt deze optie vervolgens verfijnen en alleen Outlook kiezen, of Word, Excel, PowerPoint en Bestandenverkenner. Deze optie wordt niet ondersteund en werkt niet wanneer een label is geconfigureerd voor automatische classificatie.

      Als u de optie voor Outlook kiest: het label wordt weergegeven in Outlook en het resulterende gedrag wanneer gebruikers het label toepassen, zijn hetzelfde als de optie Niet doorsturen.

      Als u de optie voor Word, Excel, PowerPoint en Bestandenverkenner kiest: wanneer deze optie is ingesteld, wordt het label weergegeven in deze toepassingen. Het resulterende gedrag wanneer gebruikers het label toepassen, is het weergeven van het dialoogvenster voor gebruikers om aangepaste machtigingen te selecteren. In dit dialoogvenster kiezen gebruikers een van de vooraf gedefinieerde machtigingsniveaus, bladeren naar of opgeven van de gebruikers of groepen en eventueel een vervaldatum instellen. Zorg ervoor dat gebruikers instructies en richtlijnen hebben voor het opgeven van deze waarden.

      Notitie

      Ondersteuning voor Azure Information Protection voor het instellen van door de gebruiker gedefinieerde machtigingen is momenteel beschikbaar in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

    • Een vooraf gedefinieerde sjabloon selecteren: als u een van de standaardsjablonen of een aangepaste sjabloon wilt gebruiken die u hebt geconfigureerd. Houd er rekening mee dat deze optie niet wordt weergegeven voor nieuwe labels of als u een label bewerkt dat eerder de optie Machtigingen instellen heeft gebruikt.

      Als u een vooraf gedefinieerde sjabloon wilt selecteren, moet de sjabloon worden gepubliceerd (niet gearchiveerd) en mag deze nog niet zijn gekoppeld aan een ander label. Wanneer u deze optie selecteert, kunt u de knop Sjabloon bewerken gebruiken om de sjabloon te converteren naar een label.

      Als u gewend bent om aangepaste sjablonen te maken en te bewerken, kan het handig zijn om te verwijzen naar taken die u hebt gebruikt om te doen met de klassieke Azure-portal.

  7. Als u Machtigingen instellen voor Azure (cloudsleutel) hebt geselecteerd, kunt u met deze optie gebruikers en gebruiksrechten selecteren.

    Als u geen gebruikers selecteert en OK selecteert in dit deelvenster, gevolgd door Opslaan in het deelvenster Label : het label is geconfigureerd om beveiliging toe te passen, zodat alleen de persoon die het label toepast het document of e-mailbericht zonder beperkingen kan openen. Deze configuratie wordt soms 'Just for me' genoemd en kan het vereiste resultaat zijn, zodat een gebruiker een bestand op elke locatie kan opslaan en er zeker van kan zijn dat alleen hij of zij het kan openen. Als dit resultaat overeenkomt met uw behoeften en anderen niet verplicht zijn om samen te werken aan de beveiligde inhoud, selecteert u geen machtigingen toevoegen. Nadat u het label hebt opgeslagen, ziet u de volgende keer dat u dit deelvenster Beveiliging opent , IPC_USER_ID_OWNER weergegeven voor gebruikers en mede-eigenaar weergegeven voor machtigingen om deze configuratie weer te geven.

    Als u de gebruikers wilt opgeven die u beveiligde documenten en e-mailberichten wilt kunnen openen, selecteert u Machtigingen toevoegen. Selecteer vervolgens in het deelvenster Machtigingen toevoegen de eerste set gebruikers en groepen die rechten hebben om de inhoud te gebruiken die wordt beveiligd door het geselecteerde label:

    • Kies Selecteren in de lijst waar u vervolgens alle gebruikers van uw organisatie kunt toevoegen door de naam> van de organisatie toevoegen <te selecteren : alle leden. Deze instelling sluit gastaccounts uit. U kunt ook geverifieerde gebruikers toevoegen selecteren of door de map bladeren.

      Wanneer u alle leden kiest of door de map bladert, moeten de gebruikers of groepen een e-mailadres hebben. In een productieomgeving hebben gebruikers en groepen vrijwel altijd een e-mailadres, maar in een eenvoudige testomgeving moet u mogelijk e-mailadressen toevoegen aan gebruikersaccounts of groepen.

      Meer informatie over het toevoegen van geverifieerde gebruikers

      Met deze instelling wordt niet beperkt wie toegang heeft tot de inhoud die het label beveiligt, terwijl de inhoud nog steeds wordt versleuteld en u opties krijgt om te beperken hoe de inhoud kan worden gebruikt (machtigingen) en toegankelijk (verlopen en offlinetoegang). De toepassing die de beveiligde inhoud opent, moet echter ondersteuning kunnen bieden voor de verificatie die wordt gebruikt. Daarom moeten federatieve sociale providers, zoals Google, en eenmalige wachtwoordcodeverificatie alleen worden gebruikt voor e-mail, en alleen wanneer u Exchange Online en de nieuwe mogelijkheden van Office 365 Berichtversleuteling gebruikt. Microsoft-accounts kunnen worden gebruikt met de Azure Information Protection viewer en Office 365-apps (Klik-en-Klaar).

      Enkele typische scenario's voor de instelling geverifieerde gebruikers:

      • U vindt het niet erg wie de inhoud bekijkt, maar u wilt beperken hoe deze wordt gebruikt. U wilt bijvoorbeeld niet dat de inhoud wordt bewerkt, gekopieerd of afgedrukt.
      • U hoeft niet te beperken wie toegang heeft tot de inhoud, maar u wilt bijhouden wie deze opent en mogelijk intrekken.
      • U hebt een vereiste dat de inhoud at-rest en in transit moet worden versleuteld, maar hiervoor zijn geen toegangsbeheer vereist.

    • Kies Details invoeren om handmatig e-mailadressen op te geven voor afzonderlijke gebruikers of groepen (intern of extern). Of gebruik deze optie om alle gebruikers in een andere organisatie op te geven door een domeinnaam van die organisatie in te voeren. U kunt deze optie ook gebruiken voor sociale providers door hun domeinnaam in te voeren, zoals gmail.com, hotmail.com of outlook.com.

      Notitie

      Als een e-mailadres wordt gewijzigd nadat u de gebruiker of groep hebt geselecteerd, raadpleegt u de sectie Overwegingen als e-mailadressen worden gewijzigd in de planningsdocumentatie.

      Gebruik als best practice groepen in plaats van gebruikers. Deze strategie houdt uw configuratie eenvoudiger en maakt het minder waarschijnlijk dat u de labelconfiguratie later moet bijwerken en vervolgens inhoud opnieuw moet beveiligen. Als u echter wijzigingen aanbrengt aan de groep, slaat Azure Rights Management het groepslidmaatschap op in de cache om prestatieredenen.

    Wanneer u de eerste set gebruikers en groepen hebt opgegeven, selecteert u de machtigingen om deze gebruikers en groepen te verlenen. Zie Gebruiksrechten configureren voor Azure Information Protection voor meer informatie over de machtigingen die u kunt selecteren. Toepassingen die deze beveiliging ondersteunen, kunnen echter verschillen in hoe ze deze machtigingen implementeren. Raadpleeg de bijbehorende documentatie en voer uw eigen tests uit met de toepassingen waar gebruikers mee werken, om het gedrag ervan te controleren voordat u de sjabloon voor gebruikers implementeert.

    Indien nodig kunt u nu een tweede set gebruikers en groepen toevoegen met gebruiksrechten. Herhaal dit totdat u alle gebruikers en groepen met hun respectieve machtigingen hebt opgegeven.

    Tip

    Overweeg om de aangepaste machtiging Opslaan als, Exporteren (EXPORT) toe te voegen en deze machtiging te verlenen aan beheerders of medewerkers van gegevensherstel in andere rollen die verantwoordelijk zijn voor gegevensherstel. Indien nodig kunnen deze gebruikers de beveiliging verwijderen van bestanden en e-mailberichten die worden beveiligd met behulp van dit label of deze sjabloon. Deze mogelijkheid om beveiliging op machtigingsniveau voor een document of e-mail te verwijderen, biedt meer verfijnde controle dan de functie supergebruiker.

    Voor alle gebruikers en groepen die u hebt opgegeven, controleert u nu in het deelvenster Beveiliging of u wijzigingen wilt aanbrengen in de volgende instellingen. Deze instellingen zijn, net als bij de machtigingen, niet van toepassing op de Rights Management-verlener of de Rights Management-eigenaar, of een supergebruiker die u hebt toegewezen.

    Informatie over de beveiligingsinstellingen
    Instelling Meer informatie Aanbevolen instelling
    Vervaldatum van bestandsinhoud Definieer een datum of aantal dagen voor wanneer documenten die worden beveiligd door deze instellingen niet mogen worden geopend voor de geselecteerde gebruikers. Voor e-mailberichten wordt vervaldatum niet altijd afgedwongen vanwege cachingmechanismen die door sommige e-mailclients worden gebruikt.

    U kunt een datum opgeven of een aantal dagen vanaf het moment dat de beveiliging op de inhoud wordt toegepast.

    Wanneer u een datum opgeeft, gaat deze in om middernacht in uw huidige tijdzone.    		 Inhoud verloopt nooit, tenzij de inhoud een specifieke tijdsgebonden vereiste heeft.
    Offlinetoegang toestaan Gebruik deze instelling om de beveiligingsvereisten te verdelen die u hebt (inclusief toegang na intrekking) met de mogelijkheid voor de geselecteerde gebruikers om beveiligde inhoud te openen wanneer ze geen internetverbinding hebben.

    Als u opgeeft dat inhoud niet beschikbaar is zonder internetverbinding of dat inhoud alleen beschikbaar is gedurende een opgegeven aantal dagen, moeten deze gebruikers opnieuw worden geverifieerd en hun toegang wordt geregistreerd. Wanneer dit gebeurt en hun referenties niet in het cachegeheugen zijn opgeslagen, wordt gebruikers gevraagd zich aan te melden voordat ze het document of e-mailbericht kunnen openen.

    Naast herauthenticatie wordt het beleid en het lidmaatschap van de gebruikersgroep opnieuw geëvalueerd. Dit betekent dat gebruikers verschillende toegangsresultaten voor hetzelfde document of e-mailbericht kunnen krijgen als het beleid of groepslidmaatschap is gewijzigd sinds de laatste keer dat ze toegang hadden tot de inhoud. Dat kan ook betekenen dat ze geen toegang krijgen als het document is ingetrokken.    		 Afhankelijk van hoe gevoelig de inhoud is:

    - Aantal dagen dat de inhoud beschikbaar is zonder internetverbinding = 7 voor gevoelige bedrijfsgegevens die schade kunnen veroorzaken aan het bedrijf als ze worden gedeeld met onbevoegden. Met deze aanbeveling profiteert u van een goede balans tussen flexibiliteit en beveiliging. Voorbeelden hiervan zijn contracten, beveiligingsrapporten, samenvattingen van prognoses en verkoopgegevens.

    - Nooit voor uiterst gevoelige bedrijfsgegevens die schade voor het bedrijf kunnen opleveren indien deze met niet-geautoriseerde personen worden gedeeld. Met deze aanbeveling wordt de beveiliging boven de flexibiliteit gesteld en wordt ervoor gezorgd dat bij het intrekken van het document alle geautoriseerde gebruikers met onmiddellijke ingang geen toegang meer hebben tot het document. Voorbeelden hiervan zijn gegevens over werknemers en klanten, wachtwoorden, broncode en vooraf aangekondigde financiële rapporten.

    Wanneer u klaar bent met het configureren van de machtigingen en instellingen, klikt u op OK.

    Met deze groep instellingen wordt een aangepaste sjabloon gemaakt voor de Azure Rights Management-service. Deze sjablonen kunnen worden gebruikt met toepassingen en services die zijn geïntegreerd met Azure Rights Management. Zie Sjablonen voor gebruikers en services vernieuwen voor informatie over het downloaden en vernieuwen van deze sjablonen door computers en services.

  8. Als u een vooraf gedefinieerde sjabloon voor Azure (cloudsleutel) hebt geselecteerd, klikt u op de vervolgkeuzelijst en selecteert u de sjabloon die u wilt gebruiken om documenten en e-mailberichten met dit label te beveiligen. U ziet geen gearchiveerde sjablonen of sjablonen die al zijn geselecteerd voor een ander label.

    Als u een afdelingssjabloon selecteert of als u onboarding-besturingselementen hebt geconfigureerd:

    • Gebruikers die zich buiten het geconfigureerde bereik van de sjabloon bevinden of die zijn uitgesloten van het toepassen van Azure Rights Management-beveiliging, zien het label nog steeds, maar kunnen het niet toepassen. Als ze het label selecteren, zien ze het volgende bericht: Azure Information Protection kan dit label niet toepassen. Als dit probleem zich blijft voordoen, neemt u contact op met de beheerder.

      Houd er rekening mee dat alle gepubliceerde sjablonen altijd worden weergegeven, zelfs als u een scoped beleid configureert. Stel dat u een scoped beleid voor de groep Marketing configureert. De sjablonen die u kunt selecteren, zijn niet beperkt tot sjablonen die zijn afgestemd op de groep Marketing en het is mogelijk om een afdelingssjabloon te selecteren die uw geselecteerde gebruikers niet kunnen gebruiken. Om de configuratie te vereenvoudigen en probleemoplossing tot een minimum te beperken, kunt u overwegen de naam van de afdelingssjabloon te wijzigen zodat deze overeenkomt met het label in het scoped beleid.

  9. Als u HYOK (AD RMS) hebt geselecteerd, selecteert u Details van AD RMS-sjablonen instellen of Door de gebruiker gedefinieerde machtigingen instellen (preview). Geef vervolgens de licentie-URL van uw AD RMS-cluster op.

    Zie Voor instructies voor het opgeven van een sjabloon-GUID en uw licentie-URL de informatie om AD RMS-beveiliging op te geven met een Azure Information Protection-label.

    Met de door de gebruiker gedefinieerde machtigingsoptie kunnen gebruikers opgeven wie machtigingen moet krijgen en wat deze machtigingen zijn. U kunt deze optie vervolgens verfijnen en alleen Outlook (de standaardinstelling) of Word, Excel, PowerPoint en Bestandenverkenner kiezen. Deze optie wordt niet ondersteund en werkt niet wanneer een label is geconfigureerd voor automatische classificatie.

    Als u de optie voor Outlook kiest: het label wordt weergegeven in Outlook en het resulterende gedrag wanneer gebruikers het label toepassen, zijn hetzelfde als de optie Niet doorsturen.

    Als u de optie voor Word, Excel, PowerPoint en Bestandenverkenner kiest: wanneer deze optie is ingesteld, wordt het label weergegeven in deze toepassingen. Het resulterende gedrag wanneer gebruikers het label toepassen, is het weergeven van het dialoogvenster voor gebruikers om aangepaste machtigingen te selecteren. In dit dialoogvenster kiezen gebruikers een van de vooraf gedefinieerde machtigingsniveaus, bladeren naar of opgeven van de gebruikers of groepen en eventueel een vervaldatum instellen. Zorg ervoor dat gebruikers instructies en richtlijnen hebben voor het opgeven van deze waarden.

  10. Klik op OK om het deelvenster Beveiliging te sluiten en uw keuze voor de door de gebruiker gedefinieerde sjabloon weer te geven voor de optie Beveiliging in het deelvenster Label .

  11. Klik in het deelvenster Label op Opslaan.

  12. Gebruik in het deelvenster Azure Information Protection de kolom PROTECTION om te bevestigen dat uw label nu de gewenste beveiligingsinstelling weergeeft:

    • Een vinkje als u beveiliging hebt geconfigureerd.

    • Een x-markering om annulering aan te geven als u een label hebt geconfigureerd om de beveiliging te verwijderen.

    • Een leeg veld wanneer de beveiliging niet is ingesteld.

Wanneer u op Opslaan hebt geklikt, zijn uw wijzigingen automatisch beschikbaar voor gebruikers en services. Er is geen afzonderlijke publicatieoptie meer.

Voorbeeldconfiguraties

De sublabels All Employees and Recipients Only van de labels Vertrouwelijk en Hoog vertrouwelijk van het standaardbeleid bieden voorbeelden van hoe u labels kunt configureren die beveiliging toepassen. U kunt ook de volgende voorbeelden gebruiken om u te helpen bij het configureren van beveiliging voor verschillende scenario's.

Selecteer Beveiligen in < het deelvenster Labelnaam> voor elk voorbeeld dat volgt. Als het deelvenster Beveiliging niet automatisch wordt geopend, selecteert u Beveiliging om dit deelvenster te openen waarmee u uw beveiligingsconfiguratieopties kunt selecteren:

Configuing an Azure Information Protection label for protection

Voorbeeld 1: Label dat niet doorsturen toepast om een beveiligde e-mail te verzenden naar een Gmail-account

Dit label is alleen beschikbaar in Outlook en is geschikt wanneer Exchange Online is geconfigureerd voor de nieuwe mogelijkheden in Office 365 Berichtversleuteling. Gebruikers instrueren dit label te selecteren wanneer ze een beveiligde e-mail moeten verzenden naar personen die een Gmail-account gebruiken (of een ander e-mailaccount buiten uw organisatie).

Uw gebruikers typen het e-mailadres van Gmail in het vak Aan . Vervolgens selecteren ze het label en wordt de optie Niet doorsturen automatisch toegevoegd aan het e-mailbericht. Het resultaat is dat ontvangers het e-mailbericht niet kunnen doorsturen of afdrukken, kopiëren of het e-mailbericht buiten hun postvak opslaan met behulp van de optie Opslaan als .

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Selecteer Door de gebruiker gedefinieerde machtigingen instellen (preview).

  3. Zorg ervoor dat de volgende optie is geselecteerd: Pas in Outlook Niet doorsturen toe.

  4. Als deze optie is geselecteerd, schakelt u de volgende optie uit: in Word Excel, PowerPoint en Bestandenverkenner gebruiker om aangepaste machtigingen vragen.

  5. Klik op OK in het deelvenster Beveiliging en klik vervolgens op Opslaan in het deelvenster Label .

Voorbeeld 2: Label waarmee alleen-lezenmachtigingen worden beperkt voor alle gebruikers in een andere organisatie en die onmiddellijke intrekking ondersteunt

Dit label is geschikt voor het delen van zeer gevoelige documenten (alleen-lezen) waarvoor altijd een internetverbinding is vereist om het te bekijken. Als het document wordt ingetrokken, kunnen gebruikers het document niet bekijken wanneer ze het de volgende keer proberen te openen.

Dit label is niet geschikt voor e-mailberichten.

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Zorg ervoor dat de optie Machtigingen instellen is geselecteerd en selecteer vervolgens Machtigingen toevoegen.

  3. Selecteer details invoeren in het deelvenster Machtigingen toevoegen.

  4. Voer de naam van een domein uit de andere organisatie in, bijvoorbeeld fabrikam.com. Selecteer vervolgens Toevoegen.

  5. Selecteer In Kies machtigingen van vooraf ingestelde instellingen Viewer en selecteer vervolgens OK.

  6. Selecteer Nooit in het deelvenster Beveiliging voor de instelling Offlinetoegang toestaan.

  7. Klik op OK in het deelvenster Beveiliging en klik vervolgens op Opslaan in het deelvenster Label .

Voorbeeld 3: Externe gebruikers toevoegen aan een bestaand label dat inhoud beveiligt

De nieuwe gebruikers die u toevoegt, kunnen documenten en e-mailberichten openen die al met dit label zijn beveiligd. De machtigingen die u aan deze gebruikers toewijst, kunnen afwijken van de machtigingen die de bestaande gebruikers hebben.

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Zorg ervoor dat Machtigingen instellen is geselecteerd en selecteer Machtigingen toevoegen.

  3. Selecteer details invoeren in het deelvenster Machtigingen toevoegen.

  4. Voer het e-mailadres in van de eerste gebruiker (of groep) die u wilt toevoegen en selecteer vervolgens Toevoegen.

  5. Selecteer de machtigingen voor deze gebruiker (of groep).

  6. Herhaal stap 4 en 5 voor elke gebruiker (of groep) die u aan dit label wilt toevoegen. Klik vervolgens op OK.

  7. Klik op OK in het deelvenster Beveiliging en klik vervolgens op Opslaan in het deelvenster Label .

Voorbeeld 4: Label voor beveiligde e-mail die minder beperkende machtigingen ondersteunt dan Niet doorsturen

Dit label kan niet worden beperkt tot Outlook, maar biedt wel minder beperkende besturingselementen dan het gebruik van Niet doorsturen. U wilt bijvoorbeeld dat de geadresseerden vanuit het e-mailbericht of een bijlage kunnen kopiëren of een bijlage kunnen opslaan en bewerken.

Als u externe gebruikers opgeeft die geen account hebben in Azure AD:

  • Het label is geschikt voor e-mail wanneer Exchange Online gebruikmaakt van de nieuwe mogelijkheden in Office 365 Berichtversleuteling.

  • Voor Office bijlagen die automatisch worden beveiligd, zijn deze documenten beschikbaar voor weergave in een browser. Als u deze documenten wilt bewerken, downloadt en bewerkt u deze met Office 365-apps (Klik-en-Klaar) en een Microsoft-account dat hetzelfde e-mailadres gebruikt. Meer informatie

Notitie

Exchange Online een nieuwe optie uitrolt, alleen versleutelen. Deze optie is niet beschikbaar voor labelconfiguratie. Wanneer u echter weet wie de geadresseerden zijn, kunt u dit voorbeeld gebruiken om een label te configureren met dezelfde set gebruiksrechten.

Wanneer uw gebruikers de e-mailadressen in het vak Aan opgeven, moeten de adressen voor dezelfde gebruikers zijn die u opgeeft voor deze labelconfiguratie. Omdat gebruikers tot groepen kunnen behoren en meer dan één e-mailadres hebben, hoeft het e-mailadres dat ze opgeven niet overeen te komen met het e-mailadres dat u opgeeft voor de machtigingen. Het opgeven van hetzelfde e-mailadres is echter de eenvoudigste manier om ervoor te zorgen dat de geadresseerde met succes wordt geautoriseerd. Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie over hoe gebruikers zijn gemachtigd voor machtigingen.

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Zorg ervoor dat Machtigingen instellen is geselecteerd en selecteer Machtigingen toevoegen.

  3. Selecteer in het deelvenster Machtigingen toevoegen: Als u machtigingen wilt verlenen aan gebruikers in uw organisatie, selecteert u Organisatienaam> toevoegen<- Alle leden om alle gebruikers in uw tenant te selecteren. Deze instelling sluit gastaccounts uit. U kunt ook bladeren selecteren om een specifieke groep te selecteren. Als u machtigingen wilt verlenen aan externe gebruikers of als u liever het e-mailadres typt, selecteert u Details invoeren en typt u het e-mailadres van de gebruiker, of Azure AD groep of een domeinnaam.

    Herhaal deze stap om extra gebruikers op te geven die dezelfde machtigingen moeten hebben.

  4. Als u machtigingen wilt kiezen uit vooraf ingestelde instellingen, selecteert u Mede-eigenaar, Cocreatie, Revisor of Aangepast om de machtigingen te selecteren die u wilt verlenen.

    Opmerking: Selecteer Viewer niet voor e-mailberichten en als u Aangepast selecteert, moet u Bewerken en Opslaan opnemen.

    Als u dezelfde machtigingen wilt selecteren die overeenkomen met de optie Versleutelen in Exchange Online, waarmee versleuteling zonder aanvullende beperkingen wordt toegepast, selecteert u Aangepast. Selecteer vervolgens alle machtigingen behalve Opslaan als, Exporteren (EXPORTEREN) en Volledig beheer (EIGENAAR).

  5. Als u extra gebruikers wilt opgeven die verschillende machtigingen moeten hebben, herhaalt u stap 3 en 4.

  6. Klik op OK in het deelvenster Machtigingen toevoegen .

  7. Klik op OK in het deelvenster Beveiliging en klik vervolgens op Opslaan in het deelvenster Label .

Voorbeeld 5: Label dat inhoud versleutelt, maar niet beperkt wie er toegang heeft tot de inhoud

Deze configuratie heeft het voordeel dat u geen gebruikers, groepen of domeinen hoeft op te geven om een e-mail of document te beveiligen. De inhoud wordt nog steeds versleuteld en u kunt nog steeds gebruiksrechten, een vervaldatum en offlinetoegang opgeven. Gebruik deze configuratie alleen als u niet hoeft te beperken wie het beveiligde document of e-mailbericht kan openen. Meer informatie over deze instelling

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Zorg ervoor dat Machtigingen instellen is geselecteerd en selecteer Machtigingen toevoegen.

  3. Selecteer in het deelvenster Machtigingen toevoegen op het tabblad Selecteren op het tabblad Selecteren in de lijst de optie Geverifieerde gebruikers toevoegen.

  4. Selecteer de gewenste machtigingen en klik op OK.

  5. Ga terug naar het deelvenster Beveiliging , configureer instellingen voor verlopen van bestandsinhoud en sta offlinetoegang toe, indien nodig, en klik op OK.

  6. Selecteer Opslaan in het deelvenster Label.

Voorbeeld 6: Label dat beveiliging 'Alleen voor mij' toepast

Deze configuratie biedt het tegenovergestelde van veilige samenwerking voor documenten: met uitzondering van een supergebruiker, kan alleen de persoon die het label toepast, de beveiligde inhoud openen, zonder enige beperkingen. Deze configuratie wordt vaak 'Just for me' -beveiliging genoemd en is geschikt wanneer een gebruiker een bestand op een willekeurige locatie wil opslaan en er zeker van is dat alleen ze het kunnen openen.

De labelconfiguratie is misleidend eenvoudig:

  1. Zorg ervoor dat Azure (cloudsleutel) is geselecteerd in het deelvenster Beveiliging.

  2. Selecteer OK zonder gebruikers te selecteren of instellingen in dit deelvenster te configureren.

    Hoewel u instellingen kunt configureren voor het verlopen van bestandsinhoud en offlinetoegang toestaan, zijn deze toegangsinstellingen niet van toepassing wanneer u gebruikers en hun machtigingen niet opgeeft. Dat komt doordat de persoon die de beveiliging toepast, de Rights Management uitgever voor de inhoud is en deze rol is vrijgesteld van deze toegangsbeperkingen.

  3. Selecteer Opslaan in het deelvenster Label.

Volgende stappen

Gebruik de koppelingen in de sectie Het beleid van uw organisatie configureren voor meer informatie over het configureren van uw Azure Information Protection-beleid.

Exchange regels voor e-mailstromen kunnen ook beveiliging toepassen op basis van uw labels. Zie Exchange Online regels voor e-mailstromen configureren voor Azure Information Protection labels voor meer informatie en voorbeelden.