Vertrouwelijkheidslabels in Office-apps beheren
Richtlijnen voor Microsoft 365-licenties voor beveiliging en compliance.
Als u gevoeligheidslabels hebt gepubliceerd vanuit het Microsoft 365-compliancecentrum of een soortgelijk labelcentrum, verschijnen ze in Office-apps, zodat gebruikers inhoud kunnen classificeren en beschermen terwijl deze wordt gemaakt of bewerkt.
Gebruik de informatie in dit artikel voor het beheren van vertrouwelijkheidslabels in Office-apps. Bepaal bijvoorbeeld welke minimale versies van apps u nodig hebt voor het ondersteunen van ingebouwd labelen en krijg inzicht in interacties met de geïntegreerde labelclient van Azure Information Protection en de compatibiliteit met andere apps en services.
Labelclient voor desktop-apps
Als u vertrouwelijkheidslabels wilt gebruiken die zijn ingebouwd in Office-desktop-apps voor Windows en Mac, moet u een abonnementsversie van Office gebruiken. Deze labelclient biedt geen ondersteuning voor zelfstandige versies van Office, zoals Office 2016 of Office 2019.
Als u vertrouwelijkheidslabels wilt gebruiken voor deze zelfstandige versies van Office op Windows-computers, installeert u de geïntegreerde labelclient van Azure Information Protection.
Ondersteuning voor functies van vertrouwelijkheidslabels in apps
In de volgende tabellen wordt voor elke functie de minimale Office-versie vermeld die u nodig hebt om vertrouwelijkheidslabels te ondersteunen met behulp van ingebouwd labelen. Of als de labelfunctie in openbare preview is of wordt beoordeeld voor een toekomstige versie. Gebruik de Microsoft 365-roadmap voor meer informatie over nieuwe mogelijkheden die zijn gepland voor toekomstige releases.
Nieuwe versies van Office-apps worden op verschillende tijdstippen beschikbaar gemaakt voor verschillende updatekanalen. Voor Windows krijgt u de nieuwe mogelijkheden eerder wanneer u op het Huidig kanaal of Maandelijks ondernemingskanaal zit in plaats van op het Halfjaarlijks ondernemingskanaal. De minimale versienummers kunnen ook verschillen tussen updatekanalen. Zie Overzicht van updatekanalen voor Microsoft 365-apps en Updategeschiedenis voor Microsoft 365-apps voor meer informatie.
Nieuwe functies in privépreview zijn niet in de tabel opgenomen, maar u kunt mogelijk deelnemen aan deze previews door uw organisatie te nomineren voor het Microsoft Information Protection private preview program (Microsoft Information Protection-privépreviewprogramma).
Office voor iOS en Office voor Android: vertrouwelijkheidslabels zijn ingebouwd in de Office-app.
Er zijn extra functies beschikbaar wanneer u de geïntegreerde labelclient van Azure Information Protection installeert, die alleen op Windows-computers wordt uitgevoerd. Zie De labelclients voor Windows-computers vergelijken voor deze details.
Tip
Onthoud dat voorloopnullen meestal worden weggelaten wanneer u de minimale versies in de tabellen vergelijkt met de versies die u hebt.
U hebt bijvoorbeeld versie 4.2128.0 en leest dat 4.7.1+ de minimale versie is. Lees voor een eenvoudigere vergelijking 4.7.1 (geen voorloopnullen) als 4.0007.1 (en niet als 4.7000.1). De versie 4.2128.0 die u hebt is hoger dan 4.0007.1, dus uw versie wordt ondersteund.
Functies van vertrouwelijkheidslabels in Word, Excel en PowerPoint
De weergegeven nummers zijn de minimale versies van Office-toepassingen die voor elke functie zijn vereist.
Notitie
Voor Windows en het Halfjaarlijks ondernemingskanaal zijn de minimaal ondersteunde versienummers mogelijk nog niet uitgebracht. Meer informatie
| Functie | Windows | Mac | iOS | Android | Web |
|---|---|---|---|---|---|
| Label handmatig toepassen, wijzigen of verwijderen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| Een standaardlabel toepassen op nieuwe documenten | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| Een standaardlabel toepassen op bestaande documenten | Preview: Bèta-kanaal | Preview: Bèta-kanaal | Ter beoordeling | Ter beoordeling | Implementatie: Ja - opt-in |
| Een geldige reden vereisen om een label te wijzigen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| Help-koppeling naar een aangepaste Help-pagina opgeven | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| De inhoud markeren | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| Dynamische markeringen met variabelen | Huidig kanaal: 2010+ Maandelijks ondernemingskanaal: 2010+ Halfjaarlijks ondernemingskanaal: 2102+ |
16.42+ | 2.42+ | 16.0.13328+ | Ja, inschrijven |
| Nu machtigingen toewijzen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 2.21+ | 16.0.11231+ | Ja, deelnemen |
| Gebruikers machtigingen laten toewijzen: - Gebruikers vragen |
Huidig kanaal: 2004+ Maandelijks ondernemingskanaal: 2004+ Halfjaarlijks ondernemingskanaal: 2008+ |
16.35+ | Ter beoordeling | Ter beoordeling | Ter beoordeling |
| Activiteit van gebruikers in verband met labels controleren | Huidig kanaal: 2011+ Maandelijks ondernemingskanaal: 2011+ Halfjaarlijks ondernemingskanaal: 2108+ |
16.43+ | 2.46+ | 16.0.13628+ | Ja * |
| Vereisen dat gebruikers een label toepassen op hun e-mail en documenten | Huidig kanaal: 2101+ Maandelijks ondernemingskanaal: 2101+ Halfjaarlijks ondernemingskanaal: 2108+ |
16.45+ | 2.47+ | 16.0.13628+ | Ja, deelnemen |
| Een vertrouwelijkheidslabel automatisch op inhoud toepassen - Typen gevoelige informatie gebruiken |
Huidig kanaal: 2009+ Maandelijks ondernemingskanaal: 2009+ Halfjaarlijks ondernemingskanaal: 2102+ |
16.44+ | Ter beoordeling | Ter beoordeling | Ja, deelnemen |
| Een vertrouwelijkheidslabel automatisch op inhoud toepassen - Trainbare classificaties gebruiken |
Huidig kanaal: 2105+ Maandelijks ondernemingskanaal: 2105+ Halfjaarlijks ondernemingskanaal: 2018+ |
Ter beoordeling | Ter beoordeling | Ter beoordeling | Ja, deelnemen |
| Ondersteuning voor cocreatie en automatisch opslaan voor gelabelde en versleutelde documenten | Huidig kanaal: 2107+ Maandelijks ondernemingskanaal: 2107+ Halfjaarlijks ondernemingskanaal: Wordt beoordeeld |
16.51+ | Ter beoordeling | Ter beoordeling | Ja, deelnemen |
Voetnoten:
* Bevat momenteel geen tekst met geldige reden om een label te verwijderen of het classificatieniveau te verlagen
Functies van gevoeligheidslabels in Outlook
De weergegeven nummers zijn de minimale versies van Office-toepassingen die voor elke functie zijn vereist.
Notitie
Voor Windows en het Halfjaarlijks ondernemingskanaal zijn de minimaal ondersteunde versienummers mogelijk nog niet uitgebracht. Meer informatie
| Functie | Outlook voor Windows | Outlook voor Mac | Outlook voor iOS | Outlook voor Android | Webversie van Outlook |
|---|---|---|---|---|---|
| Label handmatig toepassen, wijzigen of verwijderen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Een standaardlabel toepassen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Een geldige reden vereisen om een label te wijzigen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Help-koppeling naar een aangepaste Help-pagina opgeven | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| De inhoud markeren | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Dynamische markeringen met variabelen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Nu machtigingen toewijzen | Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Gebruikers machtigingen laten toewijzen: - Niet doorsturen |
Huidig kanaal: 1910+ Maandelijks ondernemingskanaal: 1910+ Halfjaarlijks ondernemingskanaal: 2002+ |
16.21+ | 4.7.1+ | 4.0.39+ | Ja |
| Gebruikers machtigingen laten toewijzen: - Alleen-versleutelen |
Huidig kanaal: 2011+ Maandelijks ondernemingskanaal: 2011+ Halfjaarlijks ondernemingskanaal: 2108+ |
16.48+ * | 4.2112.0+ | 4.2112.0+ | Ja |
| Vereisen dat gebruikers een label toepassen op hun e-mail en documenten | Huidig kanaal: 2101+ Maandelijks ondernemingskanaal: 2101+ Halfjaarlijks ondernemingskanaal: 2108+ |
16.43+ * | 4.2111+ | 4.2111+ | Ja |
| Activiteit van gebruikers in verband met labels controleren | Huidig kanaal: 2011+ Maandelijks ondernemingskanaal: 2011+ Halfjaarlijks ondernemingskanaal: Wordt beoordeeld |
16.51+ * | 4.2126+ | 4.2126+ | Ja |
| Een vertrouwelijkheidslabel automatisch op inhoud toepassen - Typen gevoelige informatie gebruiken |
Huidig kanaal: 2009+ Maandelijks ondernemingskanaal: 2009+ Halfjaarlijks ondernemingskanaal: 2102+ |
16.44+ * | Ter beoordeling | Ter beoordeling | Ja |
| Een vertrouwelijkheidslabel automatisch op inhoud toepassen - Trainbare classificaties gebruiken |
Huidig kanaal: 2105+ Maandelijks ondernemingskanaal: 2105+ Halfjaarlijks ondernemingskanaal: 2108+ |
Ter beoordeling | Ter beoordeling | Ter beoordeling | Ja |
| Verschillende instellingen voor standaardlabels en verplicht labelen | Huidig kanaal: 2105+ Maandelijks ondernemingskanaal: 2105+ Halfjaarlijks ondernemingskanaal: 2108+ |
16.43+ * | 4.2111+ | 4.2111+ | Ja |
Voetnoten:
* Hiervoor is het nieuwe Outlook voor Mac vereist
Ingebouwde Office-labelclient en andere labeloplossingen
Met de ingebouwde Office-labelclient worden vertrouwelijkheidslabels en beleidsinstellingen voor vertrouwelijkheidslabels gedownload van het Microsoft 365-beheercentrum.
Als u de ingebouwde Office-labelclient wilt gebruiken, moet u een of meer labelbeleidsregels voor gebruikers hebben gepubliceerd vanuit het beheercentrum en beschikken over een ondersteunde versie van Office.
Als aan beide voorwaarden wordt voldaan, maar u de ingebouwde labels in Office-apps moet uitschakelen, gebruikt u de volgende groepsbeleidsinstelling:
Ga naar Gebruikersconfiguratie/Beheersjablonen/Microsoft Office 2016/Beveiligingsinstellingen.
Stel De functie Vertrouwelijkheid in Office gebruiken om vertrouwelijkheidslabels toe te passen en weer te geven in op 0.
Implementeer deze instelling via groepsbeleid of met behulp van de Office-cloudbeleidsservice. De instelling wordt van kracht wanneer Office-apps opnieuw worden gestart.
De ingebouwde Office-labelclient en de Azure Information Protection-client
Als gebruikers de Azure Information Protection-client hebben geïnstalleerd op hun Window-computer, zijn ingebouwde labels standaard uitgeschakeld in Office-apps die ze ondersteunen. Omdat ingebouwde labels geen Office-invoegtoepassing gebruiken, zoals gebruikt door de Azure Information Protection-client, hebben ze het voordeel van meer stabiliteit en betere prestaties. Ze ondersteunen ook de nieuwste functies, zoals geavanceerde classificaties.
In plaats van de Azure Information Protection-client te verwijderen, raden we u aan te voorkomen dat de Azure Information Protection-invoegtoepassing wordt geladen in Office-apps. Vervolgens profiteert u van de voordelen van ingebouwde labeling in Office-apps en de voordelen van de Azure Information Protection-clientlabelbestanden buiten Office-apps. De Azure Information Protection-client kan bijvoorbeeld alle bestandstypen labelen met Verkenner en PowerShell. Zie Vertrouwelijkheidslabels en Azure Information Protection voor meer informatie over de labelfuncties die buiten Office-ityapps worden ondersteund.
Als u wilt voorkomen dat invoegtoepassingen van de Azure Information Protection-client worden geladen in Office-apps, gebruikt u de Lijst met beheerde invoegtoepassingen zoals gedocumenteerd in Geen invoegvoegingen geladen vanwege groepsbeleidsinstellingen voor Office 2013- en Office 2016-programma's.
Voor uw Office-apps die ingebouwde labels ondersteunen, gebruikt y de configuratie voor Microsoft Word 2016, Excel 2016, PowerPoint 2016 en Outlook 2016, geeft u de volgende programmatische id's (ProgID) op voor de Azure Information Protection-client en stelt u de optie in op 0: de invoegtoepassing is altijd uitgeschakeld (geblokkeerd)
| Toepassing | ProgID |
|---|---|
| Word | MSIP.WordAddin |
| Excel | MSIP.ExcelAddin |
| PowerPoint | MSIP.PowerPointAddin |
| Outlook | MSIP.OutlookAddin |
Implementeer deze instelling via groepsbeleid of met behulp van de Office-cloudbeleidsservice.
Belangrijk
Als u de groepsbeleidsinstelling De functie Vertrouwelijkheid in Office gebruiken om vertrouwelijkheidslabels toe te passen en weer te geven gebruikt en deze instelt op 1, zijn er situaties waarin de Azure Information Protection-client mogelijk nog steeds wordt geladen in Office-apps. Door het laden van de invoegtoepassing in elke app te blokkeren, wordt dit voorkomen.
U kunt de Office-invoegtoepassing van Microsoft Azure Information Protection ook interactief uitschakelen of verwijderen uit Word, Excel, PowerPoint en Outlook. Deze methode is geschikt voor één computer en ad-hoctests. Zie Invoegtoepassingen in Office-programma's weergeven, beheren en installeren voor instructies.
Welke methode u ook kiest, de wijzigingen worden doorgevoerd wanneer Office-apps opnieuw worden gestart.
Zie Uw Windows-labeloplossing kiezen in de documentatie van Azure Information Protection voor gedetailleerde informatie over de functies die worden ondersteund door Azure Information Protection-client en de ingebouwde Office-labelclient.
Ondersteunde Office-bestandstypen
Office-apps met ingebouwd labelen voor Word-, Excel- en PowerPoint-bestanden ondersteunen de Open XML-indeling (zoals .docx en .xlsx), maar niet de Microsoft Office 97-2003-indeling (zoals .doc en .xls), de Open Document Format (zoals .odt en .ods) of andere indelingen. Wanneer een bestandstype niet wordt ondersteund voor ingebouwd labelen, is de knop Vertrouwelijkheid niet beschikbaar in de Office-app.
De geïntegreerde Azure Information Protection-labelclient ondersteunt zowel de Open XML-indeling als de Microsoft Office 97-2003-indeling. Zie Bestandstypen die worden ondersteund door de geïntegreerde Azure Information Protection-labelclient in de beheerdershandleiding van die client voor meer informatie.
Voor andere labeloplossingen raadpleegt u de documentatie voor ondersteunde bestandstypen.
Beveiligingssjablonen en vertrouwelijkheidslabels
Door een beheerder gedefinieerde beveiligingssjablonen, zoals sjablonen die u definieert voor Office 365-berichtversleuteling, zijn niet zichtbaar in Office-apps wanneer u ingebouwd labelen gebruikt. Deze vereenvoudigde ervaring toont dat u geen beveiligingssjabloon hoeft te selecteren, omdat dezelfde instellingen zijn opgenomen in vertrouwelijkheidslabels waarvoor versleuteling is ingeschakeld.
U kunt een bestaande sjabloon converteren naar een vertrouwelijkheidslabel wanneer u de cmdlet New-Label gebruikt met de parameter EncryptionTemplateId.
IRM-opties (Information Rights Management) en vertrouwelijkheidslabels
Door vertrouwelijkheidslabels te configureren voor het toepassen van versleuteling, hoeven gebruikers hun eigen versleutelingsinstellingen niet meer op te geven. In veel Office-apps kunnen deze afzonderlijke versleutelingsinstellingen nog steeds handmatig door gebruikers worden geconfigureerd met behulp van IRM-opties (Information Rights Management). Bijvoorbeeld voor Windows-apps:
- Voor een document: Bestandsindeling > Info > Document beveiligen > Toegang beperken
- Voor een e-mailbericht: vanaf het tabblad Opties > Versleutelen
Wanneer gebruikers in eerste instantie een label aan een document of e-mail toevoegen, kunnen ze de instellingen voor de labelconfiguratie overschrijven met hun eigen versleutelingsinstellingen. Bijvoorbeeld:
Een gebruiker past het label Vertrouwelijk\Alle werknemers toe op een document. Dit label wordt zodanig geconfigureerd dat versleutelingsinstellingen worden toegepast op alle gebruikers in de organisatie. Deze gebruiker configureert vervolgens handmatig de IRM-instellingen om de toegang tot een gebruiker van buiten uw organisatie te beperken. Het eindresultaat is een document met het label Vertrouwelijk\Alle werknemers en het is versleuteld, maar gebruikers in uw organisatie kunnen het niet openen.
Een gebruiker past het label Vertrouwelijk/Alleen ontvangers toe op een e-mailbericht. Dit e-mailbericht wordt zodanig geconfigureerd zodat de versleutelingsinstelling Niet doorsturen wordt toegepast. In de Outlook-app selecteert deze gebruiker vervolgens handmatig de IRM-instelling voor Alleen versleutelen. Het eindresultaat is dat het e-mailbericht versleuteld blijft en door geadresseerden kan worden doorgestuurd, ook al bevat de e-mail het label Vertrouwelijk/Alleen ontvangers.
Voor de webversie van Outlook geldt een uitzondering. Hier zijn de opties in het menu Versleutelen niet beschikbaar voor een gebruiker om te selecteren wanneer door het huidige geselecteerde label versleuteling wordt toegepast.
Een gebruiker past het label Algemeen op een document toe en dit label wordt niet geconfigureerd om versleuteling toe te passen. Deze gebruiker configureert vervolgens handmatig de IRM-instellingen om de toegang tot het document te beperken. Het eindresultaat is een document met het label Algemeen, maar waarmee ook versleuteling wordt toegepast, zodat sommige gebruikers het niet kunnen openen zoals verwacht.
Als het document of e-mailbericht al een label heeft, kan een gebruiker een van deze acties uitvoeren als de inhoud nog niet is versleuteld of als de gebruiker het gebruiksrecht Exporteren of Volledig beheer heeft.
Voor een consistentere labelervaring met zinvolle rapportage moet u de juiste labels en richtlijnen opgeven zodat gebruikers alleen labels kunnen toepassen om documenten en e-mails te beveiligen. Bijvoorbeeld:
In uitzonderingsgevallen waarin gebruikers hun eigen machtigingen moeten kunnen toewijzen, moet u labels opgeven waarmee gebruikers hun eigen machtigingen kunnen toewijzen.
In plaats van dat gebruikers de versleuteling handmatig verwijderen nadat ze een label hebben geselecteerd waarmee versleuteling wordt toegepast, geeft u een alternatief sublabel op als gebruikers een label met dezelfde classificatie maar geen versleuteling nodig hebben. Zoals:
- Vertrouwelijk/Alle werknemers
- Vertrouwelijk\Iedereen (geen versleuteling)
U kunt IRM-instellingen uitschakelen om te voorkomen dat gebruikers deze selecteren:
- Outlook voor Windows:
- Registersleutels (DWORD:00000001) DisableDNF en DisableEO van HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
- Zorg ervoor dat de groepsbeleidsinstelling Standaardversleutelingsoptie configureren voor de knop Versleutelen niet is geconfigureerd
- Outlook voor Mac:
- Sleutels DisableEncryptOnly en DisableDoNotForward beveiligingsinstellingen beschreven in Voorkeuren instellen voor Outlook voor Mac
- Webversie van Outlook:
- Parameters SimplifiedClientAccessDoNotForwardDisabled en SimplifiedClientAccessEncryptOnlyDisabled gedocumenteerd voor Set-IRMConfiguration
- Outlook voor iOS en Android: Deze apps bieden geen ondersteuning voor gebruikers die versleuteling toepassen zonder labels, dus u hoeft niets uit te schakelen.
- Outlook voor Windows:
Notitie
Als gebruikers handmatig versleuteling verwijderen uit een gelabeld document dat is opgeslagen in SharePoint of OneDrive en u vertrouwelijkheidslabels voor Office-bestanden in SharePoint en OneDrive hebt ingeschakeld, wordt de labelversleuteling automatisch hersteld wanneer het document de volgende keer wordt geopend of gedownload.
Vertrouwelijkheidslabels toepassen op bestanden, e-mailberichten en bijlagen
Gebruikers kunnen slechts één label tegelijk toepassen op een document of e-mailbericht.
Wanneer u een label op een e-mailbericht met bijlagen toepast, nemen de bijlagen het label alleen over als het label dat u op het e-mailbericht toepast, versleuteling toepast en de bijlage een Office-document is dat nog niet is versleuteld. Omdat het overgenomen label versleuteling toepast, wordt de bijlage opnieuw versleuteld.
Een bijlage neemt de labels van het e-mailbericht niet over wanneer het label dat op het e-mailbericht is toegepast, geen versleuteling toepast of als de bijlage al is versleuteld.
Voorbeelden van overname van labels, waarbij het label Vertrouwelijk versleuteling toepast en het label Algemeen geen versleuteling toepast:
Een gebruiker maakt een nieuw e-mailbericht en past het label Vertrouwelijk op dit bericht toe. Vervolgens voegt de gebruiker een Word-document toe dat niet is gelabeld of versleuteld. Als gevolg van de overname wordt het document opnieuw voorzien van het label Vertrouwelijk en wordt er nu versleuteling door dit label op toegepast.
Een gebruiker maakt een nieuw e-mailbericht en past het label Vertrouwelijk op dit bericht toe. Vervolgens voegt de gebruiker een Word-document toe met het label Algemeen en wordt dit bestand niet versleuteld. Als gevolg van de overname wordt het document opnieuw voorzien van het label Vertrouwelijk en wordt er nu versleuteling door dit label op toegepast.
Compatibiliteit van vertrouwelijkheidslabels
Met RMS uitgebreide apps: als u een gelabeld en versleuteld document of e-mailbericht opent in een met RMS uitgebreide toepassing die geen vertrouwelijkheidslabels ondersteunt, dwingt de app nog steeds versleuteling en beheer van rechten af.
Met de Azure Information Protection-client: u kunt vertrouwelijkheidslabels die u met de ingebouwde Office-labelclient op documenten en e-mailberichten toepast, weergeven en wijzigen met behulp van de Azure Information Protection-client, en omgekeerd.
Met andere versies van Office: elke gemachtigde gebruiker kan gelabelde documenten en e-mailberichten openen in andere versies van Office. U kunt het label echter alleen weergeven of wijzigen in ondersteunde Office-versies of met behulp van de Azure Information Protection-client. Ondersteunde versies van Office-apps staan in de vorige sectie vermeld.
Ondersteuning voor SharePoint- en OneDrive-bestanden die door vertrouwelijkheidslabels zijn beveiligd
Als u de ingebouwde Office-labelclient met de webversie van Office wilt gebruiken voor documenten in SharePoint of OneDrive, moeten de vertrouwelijkheidslabels voor Office-bestanden in SharePoint en OneDrive zijn ingeschakeld.
Ondersteuning voor externe gebruikers en gelabelde inhoud
Wanneer u een label op een document of e-mail toepast, wordt het label opgeslagen als metagegevens. Hierin zijn uw tenant en een label-GUID opgenomen. Wanneer een gelabeld document of e-mailbericht wordt geopend door een Office-app die vertrouwelijkheidslabels ondersteunt, worden deze metagegevens gelezen. Alleen als de gebruiker tot dezelfde tenant behoort, wordt het label in de app weergegeven. Voor bijvoorbeeld ingebouwd labelen voor Word, PowerPoint en Excel wordt de labelnaam weergegeven op de statusbalk.
Dit betekent dat als u documenten deelt met een andere organisatie die verschillende labelnamen gebruikt, die organisatie het eigen label op het document kan toepassen en dit toegepaste label kan zien. De volgende elementen van een toegepast label zijn echter zichtbaar voor gebruikers van buiten uw organisatie:
Inhoudsmarkeringen. Wanneer door een label een koptekst, voettekst of watermerk wordt toegepast, worden deze rechtstreeks aan de inhoud toegevoegd en blijven ze zichtbaar totdat iemand de inhoud wijzigt of verwijdert.
De naam en beschrijving van de onderliggende beveiligingssjabloon op basis van een label waarmee versleuteling is toegepast. Deze informatie wordt weergegeven op een berichtenbalk boven aan het document, met informatie over wie gemachtigd is om het document te openen, en de gebruiksrechten voor dat document van die persoon of personen.
Versleutelde documenten delen met externe gebruikers
Naast het beperken van de toegang tot gebruikers in uw eigen organisatie, kunt u de toegang uitbreiden voor elke andere gebruiker met een account in Azure Active Directory. Als uw organisatie echter gebruikmaakt van beleidsregels voor voorwaardelijke toegang, raadpleegt u de volgende sectie voor aanvullende overwegingen.
In alle Office-apps en andere met RMS uitgebreide toepassingen kunnen versleutelde documenten worden geopend nadat de gebruiker is geverifieerd.
Als externe gebruikers geen account hebben in Azure Active Directory, kunnen ze zich verifiëren met behulp van gastaccounts in uw tenant. Deze gastaccounts kunnen ook worden gebruikt om gedeelde documenten in SharePoint of OneDrive te openen wanneer u vertrouwelijkheidslabels hebt ingeschakeld voor Office-bestanden in SharePoint en OneDrive:
U kunt deze gastaccounts zelf maken. U kunt een e-mailadres opgeven dat deze gebruikers al gebruiken. Bijvoorbeeld hun Gmail-adres.
Het voordeel van deze optie is dat u de toegang en rechten tot specifieke gebruikers kunt beperken door hun e-mailadres op te geven in de versleutelingsinstellingen. Een nadeel is het extra beheer dat gepaard gaat met het maken en coördineren van het account met de labelconfiguratie.
Een andere mogelijkheid is om SharePoint- en OneDrive-integratie met Azure AD B2B te gebruiken, zodat gastaccounts automatisch worden gemaakt wanneer uw gebruikers koppelingen delen.
Het voordeel van deze optie is een minimale extra hoeveelheid beheer, omdat de accounts automatisch worden gemaakt en de labelconfiguratie eenvoudiger is. Voor dit scenario moet u de versleutelingsoptie Geverifieerde gebruiker toevoegen selecteren, omdat u de e-mailadressen niet van tevoren weet. Het nadeel is dat u met deze instelling geen toegangs- en gebruiksrechten tot specifieke gebruikers kunt beperken.
Externe gebruikers kunnen ook een Microsoft-account gebruiken om versleutelde documenten te openen wanneer ze Windows- en Microsoft 365-apps (voorheen Office 365-apps) of de zelfstandige editie van Office 2019 gebruiken. Microsoft-accounts die onlangs voor andere platforms worden ondersteund, worden ook ondersteund voor het openen van versleutelde documenten in macOS (Microsoft 365-apps, versie 16.42+), Android (versie 16.0.13029+) en iOS (versie 2.42+). Een gebruiker in uw organisatie deelt bijvoorbeeld een versleuteld document met een gebruiker van buiten uw organisatie. Met de versleutelingsinstellingen wordt een Gmail-adres voor de externe gebruiker opgegeven. Deze externe gebruiker kan een eigen Microsoft-account maken dat gebruikmaakt van het Gmail-adres. Nadat de gebruiker zich met dit account heeft aangemeld, kan deze het document openen en bewerken op basis van de gebruiksbeperkingen die voor hem of haar zijn opgegeven. Zie Het beveiligde document openen en bewerken voor een uitgebreid voorbeeld van dit scenario.
Notitie
Het e-mailadres voor het Microsoft-account moet overeenkomen met het e-mailadres dat is opgegeven om de toegang tot versleutelingsinstellingen te beperken.
Wanneer een gebruiker met een Microsoft-account op deze manier een versleuteld document opent, wordt automatisch een gastaccount voor de tenant gemaakt als er nog geen gastaccount met dezelfde naam bestaat. Wanneer het gastaccount bestaat, kan het vervolgens worden gebruikt om documenten te openen in SharePoint en OneDrive met behulp van de webversie van Office. Daarnaast kunnen versleutelde documenten worden geopend vanuit de ondersteunde Office-apps voor desktop en mobiel.
Vanwege replicatielatentie wordt het automatische gastaccount in dit scenario echter niet onmiddellijk gemaakt. Als u persoonlijke e-mailadressen opgeeft als onderdeel van de instellingen voor labelversleuteling, wordt u aangeraden corresponderende gastaccounts te maken in Azure Active Directory. Laat deze gebruikers vervolgens weten dat ze dit account moeten gebruiken om een versleuteld document van uw organisatie te openen.
Tip
Aangezien u niet zeker weet of externe gebruikers een ondersteunde Office-client-app gebruiken, is het delen van koppelingen vanuit SharePoint en OneDrive na het maken van gastaccounts (voor specifieke gebruikers) of wanneer u gebruikmaakt van integratie van SharePoint en OneDrive met Azure AD B2B (voor elke geverifieerde gebruiker) een betrouwbaardere methode ter ondersteuning van veilige samenwerking met externe gebruikers.
Beleidsregels voor voorwaardelijke toegang
Als uw organisatie beleid voor voorwaardelijke toegang van Azure Active Directory heeft geïmplementeerd, controleert u de configuratie van dat beleid. Als het beleid Microsoft Azure Information Protection omvat en het beleid van kracht is voor externe gebruikers, moeten deze externe gebruikers een gastaccount in uw tenant hebben, ook als ze een Azure AD-account in hun eigen tenant hebben.
Zonder dit gastaccount kunnen ze het versleutelde document niet openen en wordt een foutbericht weergegeven. De berichttekst kan gebruikers informeren dat hun account moet worden toegevoegd als een externe gebruiker in de tenant, met de onjuiste instructie voor dit scenario om zich af te melden en opnieuw aan te melden met een ander Azure Active Directory-gebruikersaccount.
Als u geen gastaccounts in uw tenant kunt maken en configureren voor externe gebruikers die documenten moeten openen die zijn versleuteld door uw labels, moet u Azure Information Protection verwijderen uit het beleid voor voorwaardelijke toegang of externe gebruikers uitsluiten van het beleid.
Zie de veelgestelde vraag Ik zie dat Azure Information Protection vermeld staat als een beschikbare cloud-app voor voorwaardelijke toegang. Hoe werkt dit? voor meer informatie over voorwaardelijke toegang en Azure Information Protection, de versleutelingsservice die door vertrouwlijkheidslabels wordt gebruikt.
Wanneer Office-apps markering en versleuteling van inhoud toepassen
Office-apps passen markering en versleuteling van inhoud met een gevoeligheidslabel anders toe, afhankelijk van de app die u gebruikt.
| App | Inhoudsmarkering | Versleuteling |
|---|---|---|
| Word, Excel, PowerPoint op alle platforms | Onmiddellijk | Onmiddellijk |
| Outlook voor pc en Mac | Nadat Exchange Online de e-mail heeft verzonden | Onmiddellijk |
| Webversie van Outlook, iOS en Android | Nadat Exchange Online de e-mail heeft verzonden | Nadat Exchange Online de e-mail heeft verzonden |
Oplossingen die gevoeligheidslabels toepassen op bestanden buiten Office-apps, doen dit door labelmetagegevens op het bestand toe te passen. In dit scenario wordt inhoudsmarkering op basis van de configuratie van het label niet in het bestand ingevoegd, maar wordt versleuteling toegepast.
Wanneer deze bestanden worden geopend in een Office-desktop-app, worden de inhoudsmarkeringen automatisch toegepast door de geïntegreerde labelclient van Azure Information Protection wanneer het bestand voor het eerst wordt opgeslagen. De inhoudsmarkeringen worden niet automatisch toegepast wanneer u ingebouwd labelen gebruikt voor desktop-, mobiele of web-apps.
Scenario's waarin vertrouwelijkheidslabels buiten Office-apps worden toegepast, omvatten onder andere:
De scanner, Verkenner en PowerShell van de geïntegreerde labelclient van Azure Information Protection
Beleid voor automatisch labelen voor SharePoint en OneDrive
Vanuit Power BI geëxporteerde gelabelde en versleutelde gegevens
Microsoft Defender for Cloud Apps
Voor deze scenario's kan een gebruiker met ingebouwd labelen vanuit de Office-apps de inhoudsmarkeringen van het label toepassen door het huidige label tijdelijk te verwijderen of te vervangen en vervolgens het oorspronkelijke label opnieuw toe te passen.
Dynamische markeringen met variabelen
Belangrijk
Momenteel ondersteunen niet alle apps op alle platforms dynamische inhoudsmarkeringen die u voor kopteksten, voetteksten en watermerken kunt opgeven. Voor apps die deze mogelijkheid niet ondersteunen, worden de markeringen toegepast op de oorspronkelijke tekst die is opgegeven in de labelconfiguratie, in plaats van dat de variabelen worden omgezet.
De geïntegreerde Azure Information Protection-labelclient ondersteunt dynamische markeringen. Voor labeling die is ingebouwd in Office, bekijkt u de tabellen in de sectie Mogelijkheden op deze pagina voor ondersteunde minimale versies.
Wanneer u een vertrouwelijkheidslabel configureert voor inhoudsmarkeringen, kunt u de volgende variabelen in de tekenreeks gebruiken voor de koptekst, voettekst of het watermerk:
| Variabele | Omschrijving | Voorbeeld van wanneer een label wordt toegepast |
|---|---|---|
${Item.Label} |
Weergavenaam van het toegepaste label | Algemeen |
${Item.Name} |
Bestandsnaam of e-mailonderwerp van de te labelen inhoud | Verkoop.docx |
${Item.Location} |
Pad- en bestandsnaam van het te labelen document of het e-mailonderwerp voor een te labelen e-mailbericht | \\Verkoop\2020\K3\Rapport.docx |
${User.Name} |
Weergavenaam van de gebruiker die het label toepast | Stefan Spel |
${User.PrincipalName} |
UPN (Azure AD-user principal name) van de gebruiker die het label toepast | sspel@contoso.com |
${Event.DateTime} |
Datum en tijd waarop de inhoud wordt gelabeld, in de lokale tijdzone van de gebruiker die het label toepast in Microsoft 365-apps, of UTC (Coordinated Universal Time) voor Office Online en beleid voor automatisch labelen | 10-8-2020 13:30 uur |
Notitie
De syntaxis voor deze variabelen is hoofdlettergevoelig.
Verschillende visuele markeringen instellen voor Word, Excel, PowerPoint en Outlook
Als extra variabele kunt u visuele markeringen configureren per type Office-toepassing met behulp van een variabele If.App-instructie in de tekenreeks en kunt u het toepassingstype identificeren met behulp van de waarden Word, Excel, PowerPoint of Outlook. U kunt deze waarden ook afkorten, wat nodig is als u meerdere waarden in dezelfde If.App-instructie wilt opgeven.
Gebruik de volgende syntaxis:
${If.App.<application type>}<your visual markings text> ${If.End}
Net als met de andere dynamische visuele markeringen, is de syntaxis hoofdlettergevoelig, wat ook geldt voor de afkortingen voor elk toepassingstype (WEPO).
Voorbeelden:
Alleen koptekst instellen voor Word-documenten:
${If.App.Word}This Word document is sensitive ${If.End}Alleen in kopteksten van Word-documenten wordt de koptekst 'Dit Word-document is gevoelig' toegepast. Er wordt geen koptekst toegepast op andere Office-toepassingen.
Voettekst instellen voor Word, Excel en Outlook en een andere voettekst voor PowerPoint:
${If.App.WXO}This content is confidential. ${If.End}${If.App.PowerPoint}This presentation is confidential. ${If.End}In Word, Excel en Outlook wordt de voettekst 'Deze inhoud is vertrouwelijk' toegepast. In PowerPoint wordt de voettekst 'Deze presentatie is vertrouwelijk' toegepast.
Specifieke watermerktekst instellen voor Word en PowerPoint en vervolgens een watermerktekst voor Word, Excel en PowerPoint:
${If.App.WP}This content is ${If.End}ConfidentialIn Word en PowerPoint wordt de watermerktekst 'Deze inhoud is vertrouwelijk' toegepast. In Excel wordt de watermerktekst 'Vertrouwelijk' toegepast. In Outlook wordt er geen watermerktekst toegepast, omdat watermerken niet als visuele markeringen in Outlook worden ondersteund.
Vereisen dat gebruikers een label toepassen op hun e-mail en documenten
Belangrijk
De geïntegreerde Azure Information Protection-labelclient ondersteunt deze configuratie, ook wel verplicht labelen genoemd. Voor in Office ingebouwd labelen, raadpleegt u de tabellen in de sectie Mogelijkheden op deze pagina voor ondersteunde minimale versies.
Als u verplicht labelen voor documenten maar niet voor e-mailberichten wilt gebruiken, volgt u de instructies in de volgende sectie, waarin wordt uitgelegd hoe u Outlook-specifieke opties configureert.
Als u verplicht labelen wilt gebruiken voor Power BI, raadpleegt u Beleid voor verplichte labels voor Power BI.
Wanneer de beleidsinstelling Gebruikers verplichten een label toe te passen op hun e-mail en documenten is geselecteerd, moeten gebruikers aan wie het beleid is toegewezen, een vertrouwelijkheidslabel selecteren en toepassen in de volgende scenario's:
Voor de geïntegreerde Azure Information Protection-labelclient:
- Voor documenten (Word, Excel, PowerPoint): wanneer een document zonder label wordt opgeslagen of wanneer gebruikers het document sluiten.
- Voor e-mailberichten (Outlook): op het moment dat gebruikers een bericht zonder label verzenden.
Voor in Office-apps ingebouwd labelen:
- Voor documenten (Word, Excel, PowerPoint): wanneer een document zonder label wordt geopend of opgeslagen.
- Voor e-mailberichten (Outlook): op het moment dat gebruikers een e-mailbericht zonder label verzenden.
Aanvullende informatie voor ingebouwd labelen:
Wanneer gebruikers wordt gevraagd een vertrouwelijkheidslabel toe te voegen omdat ze een document zonder label openen, kunnen ze een label toevoegen of het document openen in de modus alleen-lezen.
Wanneer verplicht labelen is doorgevoerd, kunnen gebruikers geen vertrouwelijkheidslabels uit documenten verwijderen, maar wel een bestaand label wijzigen.
Zie de informatie over beleidsinstellingen voor hulp bij het gebruik van deze instelling.
Notitie
Als u naast het verplichte labelen ook de standaardinstelling voor labelbeleid gebruikt voor documenten en e-mailberichten:
Het standaardlabel heeft altijd prioriteit boven verplicht labelen. Voor documenten wordt met de geïntegreerde Azure Information Protection-labelclient echter het standaardlabel toegepast op alle documenten zonder label. Met ingebouwd labelen wordt het standaardlabel op nieuwe documenten toegepast en niet op bestaande documenten zonder label. Deze wijziging betekent dat wanneer u verplicht labelen gebruikt met de standaardlabelinstelling, gebruikers vaker wordt gevraagd een vertrouwelijkheidslabel toe te passen wanneer ze ingebouwd labelen gebruiken dan wanneer ze de geïntegreerde Azure Information Protection labeling-client gebruiken.
Nu implementatie: Office-apps die gebruikmaken van ingebouwde labeling en ondersteuning bieden voor een standaardlabel voor bestaande documenten. Voor details, gaat u naar de mogelijkhedentabel voor Word, Excel en PowerPoint.
Outlook-specifieke opties voor standaardlabels en verplicht labelen
Voor ingebouwd labelen bepaalt u de minimale versies van Outlook die deze functies ondersteunen met behulp van de functietabel voor Outlook op deze pagina en de rij Verschillende instellingen voor standaardlabels en verplicht labelen. Alle versies van de geïntegreerde labelclient van Azure Information Protection ondersteunen deze Outlook-specifieke opties.
Wanneer de Outlook-app een standaard labelinstelling ondersteunt die verschilt van de standaard labelinstelling voor documenten:
- In de wizard voor labelbeleid kunt u op de pagina Een standaardlabel toepassen op e-mails uw keuze specificeren voor een gevoeligheidslabel dat wordt toegepast op alle niet-gelabelde e-mails of geen standaardlabel. Deze instelling is onafhankelijk van de instelling Dit label standaard toepassen op documenten op de vorige pagina Beleidsinstellingen voor documenten van de wizard.
Wanneer de Outlook-app geen standaardlabelinstelling ondersteunt die afwijkt van de standaardlabelinstelling voor documenten: Outlook gebruikt altijd de waarde die u opgeeft voor Dit label standaard toepassen op documenten op de pagina Beleidsinstellingen voor documenten van de wizard voor labelbeleid.
Wanneer de Outlook-app het uitschakelen van verplichte labeling ondersteunt:
- Selecteer in de wizard voor labelbeleid op de pagina Beleidsinstellingen de optie Vereisen dat gebruikers een label toepassen op hun e-mail en documenten. Selecteer vervolgens Volgende > Volgende en schakel het selectievakje Vereisen dat gebruikers een label toepassen op hun e-mails. Zorg dat het selectievakje is ingeschakeld als u wilt dat verplichte labels worden toegepast op e-mails en documenten.
Wanneer de Outlook-app geen ondersteuning biedt voor het uitschakelen van verplichte labeling: als u Vereisen dat gebruikers een label toepassen op hun e-mail of documenten als beleidsinstelling selecteert, wordt de gebruiker altijd gevraagd een label te selecteren voor e-mails zonder label.
Notitie
Als u de geavanceerde instellingen van PowerShell OutlookDefaultLabel en DisableMandatoryInOutlook hebt geconfigureerd met behulp van de cmdlets Set-LabelPolicy of New-LabelPolicy:
De gekozen waarden voor deze PowerShell-instellingen worden weergegeven in de wizard voor labelbeleid en werken automatisch voor Outlook-apps die deze instellingen ondersteunen. De overige geavanceerde PowerShell-instellingen blijven alleen ondersteund voor de Azure Information Protection-labelclient.