Beheerdershandleiding: Bestandstypen die worden ondersteund door de klassieke Azure Information Protection-client
De klassieke Azure Information Protection-client kan het volgende toepassen op documenten en e-mailberichten:
Alleen classificatie
Classificatie en beveiliging
Alleen beveiliging
De Azure Information Protection-client kan ook de inhoud van sommige bestandstypen inspecteren met behulp van bekende typen gevoelige informatie of reguliere expressies die u definieert.
Gebruik de volgende informatie om te controleren welke bestandstypen de Azure Information Protection-client ondersteunt, inzicht te krijgen in de verschillende beveiligingsniveaus en hoe u het standaardbeveiligingsniveau wijzigt en om te bepalen welke bestanden automatisch worden uitgesloten (overgeslagen) van classificatie en beveiliging.
Voor de vermelde bestandstypen worden WebDav-locaties niet ondersteund.
Bestandstypen die alleen worden ondersteund voor classificatie
De volgende bestandstypen kunnen zelfs worden geclassificeerd wanneer ze niet zijn beveiligd.
Adobe Portable Document Format: .pdf
Microsoft Project: .mpp, .mpt
Microsoft Publisher: .pub
Microsoft XPS: .xps .oxps
Afbeeldingen: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff
Autodesk Design Review 2013: .dwfx
Adobe Photoshop: .psd
Digital Negative: .dng
Microsoft Office: Bestandstypen in de volgende tabel.
De ondersteunde bestandsindelingen voor deze bestandstypen zijn de bestandsindelingen 97-2003 en Office Open XML-indelingen voor de volgende Office programma's: Word, Excel en PowerPoint.
Office bestandstype Office bestandstype .doc
.docm
.docx
.dot
.dotm
.dotx
.potm
.potx
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.vdw
.vsd.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx
.vstx
.xls
.xlsb
.xlt
.xlsm
.xlsx
.xltm
.xltx
Aanvullende bestandstypen ondersteunen classificatie wanneer ze ook worden beveiligd. Zie de sectie Ondersteunde bestandstypen voor classificatie en beveiliging voor deze bestandstypen.
In het huidige standaardbeleid past het algemene label bijvoorbeeld classificatie toe en wordt geen beveiliging toegepast. U kunt het label Algemeen toepassen op een bestand met de naam sales.pdf, maar u kunt dit label niet toepassen op een bestand met de naam sales.txt.
Ook in het huidige standaardbeleid past vertrouwelijk \ Alle werknemers classificatie en beveiliging toe. U kunt dit label toepassen op een bestand met de naam sales.pdf en een bestand met de naam sales.txt. U kunt ook alleen beveiliging toepassen op deze bestanden, zonder classificatie.
Bestandstypen die worden ondersteund voor beveiliging
Azure Information Protection-client ondersteunt beveiliging op twee verschillende niveaus, zoals beschreven in de volgende tabel.
| Type beveiliging | Systeemeigen | Algemeen |
|---|---|---|
| Beschrijving | Voor tekst-, afbeelding-, Microsoft Office- (Word, Excel, PowerPoint), .pdf-bestanden en andere bestandstypen van toepassingen die een Rights Management-service ondersteunen, biedt systeemeigen beveiliging een hoog beveiligingsniveau met zowel versleuteling als handhaving van rechten (machtigingen). | Voor andere ondersteunde bestandstypen biedt algemene beveiliging een beveiligingsniveau met zowel bestandsinkapseling als het .pfile-bestandstype en verificatie om te controleren of een gebruiker gemachtigd is om het bestand te openen. |
| Beveiliging | Bestandsbeveiliging wordt afgedwongen op de volgende manieren: - Voordat beveiligde inhoud wordt weergegeven, moet de verificatie zonder fouten zijn voltooid voor degenen die het bestand via e-mail ontvangen of toegang krijgen tot het bestand via bestandsmachtigingen of machtigingen voor delen. - Daarnaast worden gebruiksrechten en beleid die zijn ingesteld door de eigenaar van de inhoud wanneer de bestanden zijn beveiligd, afgedwongen wanneer de inhoud wordt weergegeven in de Azure Information Protection viewer (voor beveiligde tekst- en afbeeldingsbestanden) of de bijbehorende toepassing (voor alle andere ondersteunde bestandstypen). |
Bestandsbeveiliging wordt afgedwongen op de volgende manieren: - Voordat beveiligde inhoud wordt weergegeven, moet geslaagde verificatie plaatsvinden voor personen die gemachtigd zijn om het bestand te openen en toegang tot het bestand te verlenen. Als de verificatie is mislukt, wordt het bestand niet geopend. - Gebruiksrechten en -beleid die door de eigenaar van de inhoud zijn ingesteld, worden weergegeven om de gemachtigde gebruikers te informeren over het beoogde gebruiksbeleid. - Controlegebeurtenissen worden vastgelegd van geverifieerde gebruikers die bestanden openen. De gebruiksrechten worden echter niet afgedwongen. |
| Standaard voor bestandstypen | Dit is het standaard beveiligingsniveau voor de volgende bestandstypen: - Tekst- en afbeeldingsbestanden - Microsoft Office-bestanden (Word, Excel en PowerPoint) - Portable document format (.pdf) Zie de sectie Ondersteunde bestandstypen voor classificatie en beveiliging voor meer informatie. |
Dit is de standaardbeveiliging voor alle andere bestandstypen (zoals .vsdx en .rtf) die niet worden ondersteund door systeemeigen beveiliging. |
U kunt het standaard beveiligingsniveau wijzigen dat door de Azure Information Protection-client wordt toegepast. U kunt het standaardniveau wijzigen van systeemeigen naar algemeen, van algemeen naar systeemeigen en u kunt zelfs voorkomen dat de Azure Information Protection-client beveiliging toepast. Zie voor meer informatie de sectie Het standaardbeveiligingsniveau van bestanden wijzigen in dit artikel.
Deze beveiliging kan automatisch worden toegepast wanneer een gebruiker een label selecteert dat door de beheerder is geconfigureerd. Gebruikers kunnen ook hun eigen aangepaste beveiligingsinstellingen opgeven door gebruik te maken van machtigingsniveaus.
Bestandsgrootten die worden ondersteund voor de beveiliging
Er zijn maximale bestandsgrootten die door de Azure Information Protection-client worden ondersteund voor de beveiliging.
Voor Office bestanden:
Office-toepassing Maximale bestandsgrootte die wordt ondersteund Word 2007 (alleen ondersteund door AD RMS)
Word 2010
Word 2013
Word 201632-bits: 512 MB
64-bits: 512 MBExcel 2007 (alleen ondersteund door AD RMS)
Excel 2010
Excel 2013
Excel 201632-bits: 2 GB
64-bits: alleen beperkt door de beschikbare schijfruimte en het geheugenPowerPoint 2007 (alleen ondersteund door AD RMS)
PowerPoint 2010
PowerPoint 2013
PowerPoint 201632-bits: alleen beperkt door de beschikbare schijfruimte en het geheugen
64-bits: alleen beperkt door de beschikbare schijfruimte en het geheugenVoor alle andere bestanden:
Als u andere bestandstypen wilt beveiligen en deze bestandstypen wilt openen in de Azure Information Protection viewer: de maximale bestandsgrootte is alleen beperkt door beschikbare schijfruimte en geheugen.
Als u de beveiliging van bestanden wilt opheffen met de cmdlet Beveiliging RMSFile opheffen : de maximale bestandsgrootte die wordt ondersteund voor PST-bestanden is 5 GB. Andere bestandstypen zijn alleen beperkt door beschikbare schijfruimte en geheugen
Tip
Zie Beveiliging voor PST-bestanden verwijderen als u beveiligde items in grote PST-bestanden wilt zoeken of herstellen.
Ondersteunde bestandstypen voor classificatie en beveiliging
In de volgende tabel vindt u een deel van de bestandstypen die systeemeigen beveiliging ondersteunen door de Azure Information Protection-client en die tevens kunnen worden geclassificeerd.
Deze bestandstypen worden afzonderlijk geïdentificeerd, omdat met systeemeigen beveiliging de oorspronkelijke bestandsextensie wordt gewijzigd en de bestanden alleen-lezen worden. Voor bestanden die algemeen worden beveiligd, wordt de originele bestandsextensie altijd gewijzigd naar .pfile.
Waarschuwing
Als u firewalls, webproxy's of beveiligingssoftware hebt die de bestandsextensies inspecteren en actie ondernemen, moet u deze netwerkapparaten en software mogelijk opnieuw configureren om deze nieuwe bestandsnaamextensies te ondersteunen.
| Oorspronkelijke bestandsnaamextensie | Beveiligde bestandsextensie |
|---|---|
| .txt | .ptxt |
| .xml | .pxml |
| .jpg | .pjpg |
| .jpeg | .pjpeg |
| .ppdf [1] | |
| .png | .ppng |
| .tif | .ptif |
| .tiff | .ptiff |
| .bmp | .pbmp |
| .gif | .pgif |
| .jpe | .pjpe |
| .jfif | .pjfif |
| .jt | .pjt |
Voetnoot 1
Met de nieuwste versie van de Azure Information Protection-client blijft standaard de bestandsnaamextensie van het beveiligde PDF-document ongewijzigd als .pdf.
In de volgende tabel vindt u de overige bestandstypen die systeemeigen beveiliging ondersteunen door de Azure Information Protection-client en die tevens kunnen worden geclassificeerd. U herkent ze als bestandstypen voor Microsoft Office-apps. De ondersteunde bestandsindelingen voor deze bestandstypen zijn de bestandsindelingen 97-2003 en Office Open XML-indelingen voor de volgende Office programma's: Word, Excel en PowerPoint.
Voor deze bestanden blijft de bestandsnaamextensie dezelfde nadat het bestand is beveiligd door een Rights Management-service.
| Bestandstypen die worden ondersteund door Office | Bestandstypen die worden ondersteund door Office |
|---|---|
| .doc .docm .docx .dot .dotm .dotx .potm .potx .pps .ppsm .ppsx .ppt .pptm .pptx .vsdm |
.vsdx .vssm .vssx .vstm .vstx .xla .xlam .xls .xlsb .xlt .xlsm .xlsx .xltm .xltx .xps |
Het standaard beveiligingsniveau van bestanden wijzigen
U kunt wijzigen hoe de Azure Information Protection-client bestanden beveiligt door het register te bewerken. U kunt bijvoorbeeld bestanden die systeemeigen beveiliging ondersteunen forceren om algemeen beveiligd te worden door de Azure Information Protection-client.
Redenen waarom u dit zou willen:
Om ervoor te zorgen dat alle gebruikers het bestand kunnen openen als ze geen toepassing hebben die systeemeigen beveiliging ondersteunt.
Voor beveiligingssystemen die maatregelen nemen op bestanden vanwege de bestandsnaamextensie en opnieuw kunnen worden geconfigureerd voor de .pfile bestandsnaamextensie maar niet opnieuw kunnen worden geconfigureerd voor meerdere bestandsnaamextensies voor systeemeigen beveiliging.
Op deze manier kunt u de Azure Information Protection-client systeemeigen beveiliging laten afdwingen op bestanden die standaard algemene beveiliging zouden krijgen. Deze actie is mogelijk geschikt als u een toepassing hebt die ondersteuning biedt voor de RMS-API's. Bijvoorbeeld een line-of-business-toepassing die is geschreven door uw interne ontwikkelaars of een toepassing die is gekocht bij een onafhankelijke softwareleverancier (ISV).
U kunt de Azure Information Protection-client ook de beveiliging van bestanden laten afdwingen (geen systeemeigen of algemene beveiliging toepassen). Deze actie kan bijvoorbeeld vereist zijn als u een geautomatiseerde toepassing of service hebt die een specifiek bestand moet kunnen openen om de inhoud ervan te verwerken. Als u de beveiliging voor een bestandstype blokkeert, dan kunnen gebruikers de Azure Information Protection-client niet gebruiken om een bestand te beveiligen welke dat bestandstype heeft. Wanneer dit wordt geprobeerd, wordt een bericht weergegeven dat de beheerder beveiliging heeft voorkomen en dat de actie moet worden geannuleerd om het bestand te beveiligen.
Voer de volgende registerbewerkingen uit om de Azure Information Protection-client algemene beveiliging toe te laten passen op alle bestanden die standaard algemene beveiliging zouden krijgen. Als de sleutel FileProtection niet bestaat, moet u deze handmatig maken.
Maak een nieuwe sleutel met de naam * voor het volgende registerpad, die bestanden aangeeft met elke willekeurige bestandsextensie:
Voor de 32-bits versie van Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Voor 64-bits versie van Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection en HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Maak in de zojuist toegevoegde sleutel (bijvoorbeeld HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), een nieuwe tekenreekswaarde (REG_SZ) met de naam Versleuteling met de gegevenswaarde van Pfile.
Met deze instelling wordt er een algemene beveiliging door de Azure Information Protection-client.
Deze twee instellingen zorgen ervoor dat de Azure Information Protection-client algemene beveiliging toepast op alle bestanden die een bestandsextensie hebben. Als dit het doel is, is er geen verdere configuratie vereist. U kunt echter ook uitzonderingen definiëren voor specifieke bestandstypen zodat deze nog steeds systeemeigen worden beveiligd. Hiervoor moet u drie (voor 32-bits Windows) of 6 (voor 64-bits Windows) extra registerbewerkingen maken voor elk bestandstype:
Voor HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection en HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (indien van toepassing): Voeg een nieuwe sleutel toe met de naam van de bestandsnaamextensie (zonder de voorgaande periode).
Maak bijvoorbeeld voor bestanden met de bestandsextensie .docx een sleutel met de naam DOCX.
Maak in de toegevoegde bestandstypesleutel (bijvoorbeeld HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) een nieuwe DWORD-waarde met de naam AllowPFILEEncryption en de waarde 0.
Maak in de toegevoegde bestandstypesleutel (bijvoorbeeld HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX) een nieuwe tekenreekswaarde met de naam Encryption en de waarde Native.
Als gevolg van deze instellingen worden alle bestanden algemeen beveiligd, behalve bestanden met een .docx bestandsnaamextensie. Deze bestanden worden systeemeigen beveiligd door de Azure Information Protection-client.
Herhaal deze drie stappen voor andere bestandstypen die u wilt definiëren als uitzonderingen omdat ze systeemeigen beveiliging ondersteunen en u deze niet algemeen wilt beveiligen met de Azure Information Protection-client.
U kunt vergelijkbare registerwijzigingen maken voor andere scenario's door de waarde te wijzigen van de tekenreeks Encryption, die ondersteuning biedt voor de volgende waarden:
Pfile: algemene beveiliging
Native: systeemeigen beveiliging
Off: beveiliging blokkeren
Nadat u deze registerwijzigingen hebt aangebracht, hoeft u de computer niet opnieuw op te starten. Als u echter PowerShell-opdrachten gebruikt om bestanden te beveiligen, moet u een nieuwe PowerShell-sessie starten om de wijzigingen van kracht te laten worden.
In deze documentatie voor ontwikkelaars wordt de algemene beveiliging ook wel PFile genoemd.
Bestandstypen die zijn uitgesloten van classificatie en beveiliging
Bepaalde bestandstypen en mappen worden automatisch uitgesloten voor classificatie en beveiliging. Zodoende wordt voorkomen dat gebruikers bestanden wijzigen die essentieel zijn voor de werking van de computer. Als gebruikers deze bestanden proberen te classificeren of beveiligen met behulp van de Azure Information Protection-client, zien ze een bericht dat ze worden uitgesloten.
Uitgesloten bestandstypen: .lnk, .exe, .com, .cmd, .bat, .dll, .ini, .pst, .sca, .drm, .sys, .cpl, .inf, .drv, .dat, .tmp, .msg,.msp, .msi, .pdb, .jar
Uitgesloten mappen:
- Windows
- Program Files (\Program Files en \Program Files (x86))
- \ProgramData
- \AppData (voor alle gebruikers)
Bestandstypen die zijn uitgesloten van classificatie en beveiliging door de Azure Information Protection-scanner
Standaard sluit de scanner ook dezelfde bestandstypen uit als de Azure Information Protection-client met de volgende uitzonderingen:
- .rtf en .rar worden ook uitgesloten
U kunt de bestandstypen wijzigen die zijn opgenomen of uitgesloten voor bestandsinspectie door de scanner:
- Configureer bestandstypen om te scannen in het scannerprofiel met behulp van de Azure Portal.
Notitie
Als u .rtf-bestanden voor scannen opneemt, moet u de scanner zorgvuldig bewaken. Sommige RTF-bestanden kunnen niet worden gecontroleerd door de scanner en voor deze bestanden wordt de inspectie niet voltooid en moet de service opnieuw worden opgestart.
Standaard beveiligt de scanner alleen Office bestandstypen en PDF-bestanden wanneer ze worden beveiligd met behulp van de ISO-standaard voor PDF-versleuteling. Als u dit gedrag voor de scanner wilt wijzigen, bewerkt u het register en geeft u de aanvullende bestandstypen op die u wilt beveiligen. Zie Het register gebruiken om te wijzigen welke bestandstypen worden beveiligd tegen de implementatie-instructies van de scanner.
Bestanden die standaard niet kunnen worden beveiligd
Elk bestand dat met een wachtwoord is beveiligd, kan niet systeemeigen worden beveiligd door de Azure Information Protection-client, tenzij het bestand momenteel is geopend in de toepassing die de beveiliging toepast. U ziet meestal PDF-bestanden die met een wachtwoord zijn beveiligd, maar andere toepassingen, zoals Office apps, bieden deze functionaliteit ook.
Als u het standaardgedrag van de Azure Information Protection-client wijzigt, zodat PDF-bestanden worden beveiligd met de extensie .ppdf, kan de client PDF-bestanden in een van de volgende omstandigheden niet systeemeigen beveiligen of de beveiliging ervan opheffen:
Een PDF-bestand dat is gebaseerd op formulieren.
Een beveiligd PDF-bestand met de bestandsextensie .pdf.
De Azure Information Protection-client kan een niet-beveiligd PDF-bestand beveiligen en kan een beveiligd PDF-bestand opheffen en opnieuw beveiligen wanneer het een .ppdf-bestandsnaamextensie heeft.
Beperkingen voor containerbestanden, zoals .zip bestanden
Zie de verzameling beperkingen van Azure Information Protection voor meer informatie.
Bestandstypen die worden ondersteund voor inspectie
Zonder extra configuratie gebruikt de Azure Information Protection-client Windows IFilter om de inhoud van documenten te controleren. Windows IFilter wordt gebruikt door Windows Zoeken naar indexering. Als gevolg hiervan kunnen de volgende bestandstypen worden gecontroleerd wanneer u de Azure Information Protection-scanner of de PowerShell-opdracht Set-AIPFileClassification gebruikt.
| Toepassingstype | Bestandstype |
|---|---|
| Word | .doc; docx; .docm; .dot; .dotm; .dotx |
| Excel | .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb |
| PowerPoint | .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm |
| Tekst | .txt; .xml; .csv |
Met extra configuratie kunnen andere bestandstypen ook worden gecontroleerd. U kunt bijvoorbeeld een aangepaste bestandsnaamextensie registreren om de bestaande Windows filterhandler voor tekstbestanden te gebruiken en u kunt extra filters van softwareleveranciers installeren.
Als u wilt controleren welke filters zijn geïnstalleerd, raadpleegt u de sectie Een filterhandler zoeken voor een bepaalde bestandsextensie in de handleiding voor zoekontwikkelaars Windows.
De volgende secties bevatten configuratie-instructies voor het controleren van .zip bestanden en .tiff-bestanden.
.zip-bestanden inspecteren
De Azure Information Protection-scanner en de PowerShell-opdracht Set-AIPFileClassification kunnen .zip bestanden inspecteren wanneer u deze instructies volgt:
Installeer het Office 2010 Filter Pack SP2 voor de computer waarop de scanner of de PowerShell-sessie wordt uitgevoerd.
Voor de scanner: Voeg na het vinden van gevoelige informatie, als het .zip bestand moet worden geclassificeerd en beveiligd met een label, een registervermelding voor deze bestandsnaamextensie toe om algemene beveiliging (pfile) te hebben, zoals wordt beschreven in het register om te wijzigen welke bestandstypen zijn beveiligd vanuit de implementatie-instructies van de scanner.
Voorbeeldscenario na het uitvoeren van deze stappen:
Een bestand met de naam accounts.zip bevat Excel spreadsheets met creditcardnummers. Uw Azure Information Protection-beleid heeft een label met de naam Vertrouwelijk \ Finance, dat is geconfigureerd voor het detecteren van creditcardnummers en automatisch het label toepast met beveiliging waarmee de toegang tot de groep Financiën wordt beperkt.
Nadat het bestand is gecontroleerd, classificeert de scanner dit bestand als Vertrouwelijk \ Finance, past algemene beveiliging toe op het bestand, zodat alleen leden van de financiële groepen het bestand uitpakken en de naam van het bestand accounts.zip.pfile wijzigen.
.tiff-bestanden inspecteren met OCR
De Azure Information Protection-scanner en de PowerShell-opdracht Set-AIPFileClassiciation kunnen OCR (Optical Character Recognition) gebruiken om TIFF-afbeeldingen te inspecteren met de bestandsextensie .tiff wanneer u de functie Windows TIFF IFilter installeert en vervolgens Windows TIFF IFilter-Instellingen op de computer waarop de scanner of de PowerShell-sessie wordt uitgevoerd.
Voor de scanner: Als het TIFF-bestand na het vinden van gevoelige informatie moet worden geclassificeerd en beveiligd met een label, voegt u een registervermelding voor deze bestandsnaamextensie toe om systeemeigen beveiliging te hebben, zoals wordt beschreven in het register gebruiken om te wijzigen welke bestandstypen worden beveiligd tegen de implementatie-instructies van de scanner.
Volgende stappen
Nu u de bestandstypen hebt geïdentificeerd die worden ondersteund door de Azure Information Protection-client, raadpleegt u de volgende bronnen voor aanvullende informatie die u mogelijk nodig hebt om deze client te ondersteunen: