AIP-implementatieschema voor classificatie, labels en beveiliging
Notitie
Zoekt u Microsoft Purview Informatiebeveiliging, voorheen Microsoft Information Protection (MIP)?
De Azure Information Protection-invoegtoepassing wordt buiten gebruik gesteld en vervangen door labels die zijn ingebouwd in uw Microsoft 365-apps en -services. Meer informatie over de ondersteuningsstatus van andere Azure Information Protection-onderdelen.
De nieuwe Microsoft Information Protection-client (zonder de invoegtoepassing) is momenteel beschikbaar als preview-versie en is gepland voor algemene beschikbaarheid.
Gebruik de volgende stappen als aanbevelingen om u voor te bereiden op, implementeren en beheren van Azure Information Protection voor uw organisatie, wanneer u uw gegevens wilt classificeren, labelen en beveiligen.
Deze roadmap wordt aanbevolen voor klanten met een ondersteuningsabonnement. Aanvullende mogelijkheden zijn onder andere het detecteren van gevoelige informatie en het labelen van documenten en e-mailberichten voor classificatie.
Labels kunnen ook beveiliging toepassen, waardoor deze stap voor uw gebruikers wordt vereenvoudigd.
Tip
U kunt ook een van de volgende artikelen zoeken:
- AIP-roadmap voor alleen gegevensbeveiliging
- How-to guides for common scenarios that use Azure Information Protection (Handleidingen voor algemene scenario's die gebruikmaken van Azure Information Protection)
- Roadmap voor release van Azure Information Protection
Implementatieproces
Voer de volgende stappen uit:
- Bevestig uw abonnement en wijs gebruikerslicenties toe
- Uw tenant voorbereiden op het gebruik van Azure Information Protection
- Classificatie en labeling configureren en implementeren
- Voorbereiden op gegevensbescherming
- Labels en instellingen, toepassingen en services configureren voor gegevensbeveiliging
- Uw oplossingen voor gegevensbescherming gebruiken en bewaken
- Beheer ister de beveiligingsservice voor uw tenantaccount indien nodig
Tip
Gebruikt u al de beveiligingsfunctionaliteit van Azure Information Protection? U kunt veel van deze stappen overslaan en zich richten op stap 3 en 5.1.
Bevestig uw abonnement en wijs gebruikerslicenties toe
Controleer of uw organisatie een abonnement heeft dat de functionaliteit en functies bevat die u verwacht. Zie de microsoft 365-licentierichtlijnen voor beveiligings- en nalevingspagina voor meer informatie.
Wijs vervolgens licenties van dit abonnement toe aan elke gebruiker in uw organisatie die documenten en e-mailberichten classificeert, labelt en beveiligt.
Belangrijk
Wijs geen gebruikerslicenties handmatig toe vanuit het gratis RMS-abonnement voor personen en gebruik deze licentie niet om de Azure Rights Management-service voor uw organisatie te beheren.
Deze licenties worden weergegeven als Rights Management Adhoc in de Microsoft 365-beheercentrum en RIGHTSMANAGEMENT_ADHOC wanneer u de Azure AD PowerShell-cmdlet Get-MsolAccountSku uitvoert.
Zie RMS voor personen en Azure Information Protection voor meer informatie.
Notitie
Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.
Uw tenant voorbereiden op het gebruik van Azure Information Protection
Voordat u Azure Information Protection gaat gebruiken, moet u ervoor zorgen dat u gebruikersaccounts en groepen hebt in Microsoft 365 of Microsoft Entra-id die AIP kan gebruiken om uw gebruikers te verifiëren en autoriseren.
Maak indien nodig deze accounts en groepen of synchroniseer ze vanuit uw on-premises adreslijst.
Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.
Classificatie en labeling configureren en implementeren
Voer de volgende stappen uit:
Uw bestanden scannen (optioneel maar aanbevolen)
Implementeer de Azure Information Protection-client en installeer en voer de scanner uit om de gevoelige informatie te detecteren die u hebt op uw lokale gegevensarchieven.
De informatie die de scanner vindt, kan u helpen bij uw classificatietaxonomie, waardevolle informatie geven over welke labels u nodig hebt en welke bestanden moeten worden beveiligd.
De detectiemodus van de scanner vereist geen labelconfiguratie of taxonomie en is daarom geschikt in deze vroege fase van uw implementatie. U kunt deze scannerconfiguratie ook parallel gebruiken met de volgende implementatiestappen totdat u aanbevolen of automatisch labelen configureert.
Het standaard-AIP-beleid aanpassen.
Als u nog geen classificatiestrategie hebt, gebruikt u een standaardbeleid als basis om te bepalen welke labels u nodig hebt voor uw gegevens. Pas deze labels zo nodig aan uw behoeften aan.
U kunt bijvoorbeeld uw labels opnieuw configureren met de volgende details:
- Zorg ervoor dat uw labels uw classificatiebeslissingen ondersteunen.
- Beleid configureren voor handmatig labelen door gebruikers
- Schrijf gebruikersrichtlijnen om uit te leggen welk label in elk scenario moet worden toegepast.
- Als uw standaardbeleid is gemaakt met labels die automatisch beveiliging toepassen, kunt u de beveiligingsinstellingen tijdelijk verwijderen of het label uitschakelen terwijl u uw instellingen test.
Vertrouwelijkheidslabels en labelbeleidsregels voor de geïntegreerde labelclient worden geconfigureerd in de Microsoft Purview-nalevingsportal. Zie Meer informatie over vertrouwelijkheidslabels voor meer informatie.
Uw client implementeren voor uw gebruikers
Nadat u een beleid hebt geconfigureerd, implementeert u de Azure Information Protection-client voor uw gebruikers. Geef gebruikerstraining en specifieke instructies op wanneer u de labels wilt selecteren.
Zie de beheerdershandleiding voor de clientbeheerder voor geïntegreerde labels voor meer informatie.
Geavanceerdere configuraties introduceren
Wacht tot uw gebruikers vertrouwd raken met labels op hun documenten en e-mailberichten. Wanneer u klaar bent, introduceert u geavanceerde configuraties, zoals:
- Standaardlabels toepassen
- Gebruikers vragen om een reden als ze een label met een lager classificatieniveau hebben gekozen of een label verwijderen
- De vraag of alle documenten en e-mailberichten een label hebben
- Kopteksten, voetteksten of watermerken aanpassen
- Aanbevolen en automatisch labelen
Zie Beheer Handleiding: Aangepaste configuraties voor meer informatie.
Tip
Als u labels voor automatisch labelen hebt geconfigureerd, voert u de Azure Information Protection-scanner opnieuw uit op uw lokale gegevensarchieven in de detectiemodus en past u aan uw beleid.
Als u de scanner uitvoert in de detectiemodus, wordt aangegeven welke labels worden toegepast op bestanden, zodat u de labelconfiguratie kunt verfijnen en u voorbereidt op het bulksgewijs classificeren en beveiligen van bestanden.
Voorbereiden op gegevensbescherming
Introduceer gegevensbescherming voor uw meest gevoelige gegevens zodra gebruikers vertrouwd raken met het labelen van documenten en e-mailberichten.
Voer de volgende stappen uit om gegevensbeveiliging voor te bereiden:
Bepaal hoe u uw tenantsleutel wilt beheren.
Bepaal of u wilt dat Microsoft uw tenantsleutel (de standaardinstelling) beheert of zelf uw tenantsleutel genereert en beheert (ook wel Bring Your Own Key of BYOK genoemd).
Zie Uw Azure Information Protection-tenantsleutel plannen en implementeren voor meer informatie en opties voor aanvullende on-premises beveiliging.
Installeer PowerShell voor AIP.
Installeer de PowerShell-module voor AIPService op ten minste één computer met internettoegang. U kunt deze stap nu of later uitvoeren.
Zie De AIPService PowerShell-module installeren voor meer informatie.
Alleen AD RMS: migreer uw sleutels, sjablonen en URL's naar de cloud.
Als u momenteel AD RMS gebruikt, voert u een migratie uit om de sleutels, sjablonen en URL's naar de cloud te verplaatsen.
Zie Migreren van AD RMS naar Information Protection voor meer informatie.
Beveiliging activeren.
Zorg ervoor dat de beveiligingsservice is geactiveerd, zodat u documenten en e-mailberichten kunt beveiligen. Als u in meerdere fasen implementeert, configureert u besturingselementen voor onboarding van gebruikers om de mogelijkheid van gebruikers om beveiliging toe te passen te beperken.
Zie De beveiligingsservice activeren vanuit Azure Information Protection voor meer informatie.
Overweeg gebruikslogboekregistratie (optioneel).
Overweeg het gebruik van logboekregistratie om te controleren hoe uw organisatie de beveiligingsservice gebruikt. U kunt deze stap nu of later uitvoeren.
Zie Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection voor meer informatie.
Labels en instellingen, toepassingen en services configureren voor gegevensbeveiliging
Voer de volgende stappen uit:
Uw labels bijwerken om beveiliging toe te passen
Zie Toegang tot inhoud beperken met behulp van versleuteling in vertrouwelijkheidslabels voor meer informatie.
Belangrijk
Gebruikers kunnen labels toepassen in Outlook die Rights Management-beveiliging toepassen, zelfs als Exchange niet is geconfigureerd voor Information Rights Management (IRM).
Totdat Exchange is geconfigureerd voor IRM of Microsoft 365 Message Encryption met nieuwe mogelijkheden, krijgt uw organisatie echter niet de volledige functionaliteit van het gebruik van Azure Rights Management-beveiliging met Exchange. Deze extra configuratie is opgenomen in de volgende lijst (2 voor Exchange Online en 5 voor Exchange On-Premises).
Office-app licaties en services configureren
Configureer Office-app licenties en services voor de IRM-functies (Information Rights Management) in Microsoft SharePoint of Exchange Online.
Zie Toepassingen configureren voor Azure Rights Management voor meer informatie.
De functie supergebruiker configureren voor gegevensherstel
Als u bestaande IT-services hebt die bestanden moeten inspecteren die door Azure Information Protection worden beveiligd, zoals oplossingen voor preventie van gegevenslekken (DLP), gateways voor inhoudsversleuteling (CEG) en antimalwareproducten, configureert u de serviceaccounts als supergebruikers voor Azure Rights Management.
Zie Supergebruikers configureren voor Azure Information Protection en detectieservices of gegevensherstel voor meer informatie.
Bestaande bestanden bulksgewijs classificeren en beveiligen
Voor uw on-premises gegevensarchieven voert u nu de Azure Information Protection-scanner uit in de afdwingingsmodus, zodat bestanden automatisch worden gelabeld.
Voor bestanden op pc's gebruikt u PowerShell-cmdlets om bestanden te classificeren en te beveiligen. Zie PowerShell gebruiken met de geïntegreerde Labelclient van Azure Information Protection voor meer informatie.
Gebruik Microsoft Defender voor Cloud Apps voor gegevensarchieven in de cloud.
Tip
Hoewel het bulksgewijs classificeren en beveiligen van bestaande bestanden niet een van de belangrijkste use cases is voor Defender voor Cloud Apps, kunnen gedocumenteerde tijdelijke oplossingen u helpen uw bestanden geclassificeerd en beveiligd te krijgen.
De connector implementeren voor met IRM beveiligde bibliotheken op SharePoint Server en met IRM beveiligde e-mailberichten voor Exchange On-Premises
Als u SharePoint en Exchange on-premises hebt en de IRM-functies (Information Rights Management) wilt gebruiken, installeert en configureert u de Rights Management-connector.
Zie De Microsoft Rights Management-connector implementeren voor meer informatie.
Uw oplossingen voor gegevensbescherming gebruiken en bewaken
U bent nu klaar om te controleren hoe uw organisatie de labels gebruikt die u hebt geconfigureerd en bevestig dat u gevoelige informatie beveiligt.
Zie de volgende pagina's voor meer informatie:
- Centrale rapportage voor Azure Information Protection - momenteel in preview
- Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection
Beheer ister de beveiligingsservice voor uw tenantaccount indien nodig
Wanneer u begint met het gebruik van de beveiligingsservice, is PowerShell mogelijk handig om te helpen bij het uitvoeren van scripts of het automatiseren van beheerwijzigingen. PowerShell is mogelijk ook nodig voor enkele van de geavanceerde configuraties.
Zie Beheer istering protection van Azure Information Protection met behulp van PowerShell voor meer informatie.
Volgende stappen
Wanneer u Azure Information Protection implementeert, kan het handig zijn om de veelgestelde vragen, bekende problemen en de informatie- en ondersteuningspagina voor aanvullende resources te controleren.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor