Hoe u documenten kunt beschermen met vertrouwelijkheidslabels

Samenwerking vindt niet langer plaats achter een firewall: bestanden vliegen heen en weer apparaten, apps en diensten, zowel binnen als buiten de organisatie. Tijdens deze reis moet informatie veilig worden bewaard, moet het voldoen aan het interne beleid en mag het tegelijkertijd de gebruikers niet vertragen.

Dat is waar de gevoeligheidslabels van Microsoft Purview Information Protection in het spel komen, waardoor classificeren en beschermen van gegevens op een samenhangende manier in Microsoft 365, Power BI en meer, zonder dat dit ten koste gaat van productiviteit of samenwerking. Ik leg je uit hoe ze werken en hoe je ze effectief kunt toepassen.

Wat zijn privacylabels?

Een gevoeligheidslabel fungeert als een zegel dat is ingebed in de metadata van het bestand of de e-mail: het is aanpasbaar, persistent en leesbaar per applicatie en dienst. Dit betekent dat we niveaus kunnen creëren zoals Persoonlijk, Openbaar, Algemeen, Vertrouwelijk of Zeer Vertrouwelijk, afgestemd op de behoeften van het bedrijf.

Deze tags worden opgeslagen in platte tekst in de metadata, zodat apps en services (inclusief die van derden) ze kunnen herkennen en verdere actie kunnen ondernemen. De bescherming die het label biedt (bijvoorbeeld encryptie) reist echter met de content mee en blijft overal waar deze zich bevindt.

Voor gebruikers in dezelfde organisatie is het label zichtbaar in toepassingen (bijvoorbeeld in de titelbalk van Word/Excel/PowerPoint/Outlook) en kunnen ze zelfs de beschrijving geconfigureerd door de beheerderGasten en externe gebruikers zien deze labels echter niet in hun interface.

In elk compatibel element kan er slechts één zijn een vertrouwelijkheidslabel toegepast door de organisatie. Documenten en e-mails kunnen ook een retentielabel hebben, aangezien beide classificaties met elkaar compatibel zijn.

In scenario's zoals Excel of Outlook kunnen gebruikers het label eenvoudig wijzigen vanuit de vertrouwelijkheidsbalk of de knop Vertrouwelijkheid op het tabblad Start, op voorwaarde dat het beleid dit toestaat en, indien van toepassing, met vermelding van de rechtvaardiging voor het verlagen van de classificatie.

Waar ze voor zijn en wat ze kunnen doen

Gevoeligheidslabels kunnen van toepassing zijn encryptie en toestemmingscontrole aan documenten, e-mails en vergaderuitnodigingen. U kunt bepalen wie de documenten mag bekijken, bewerken, afdrukken of doorsturen, en hoelang. U kunt de gebruiker zelfs toestemming geven om het label toe te passen.

Het is ook mogelijk om toe te voegen inhoudsmerken (watermerken, kopteksten en voetteksten) in documenten, e-mails, uitnodigingen voor vergaderingen en Loop-pagina's of -componenten, met variabelen zoals het label of de documentnaam. Let op de limieten: het watermerk ondersteunt maximaal 255 tekens; kopteksten en voetteksten maximaal 1024 tekens, behalve in Excel, waar een limiet van in totaal 255 tekens geldt (inclusief opmaakcodes).

Labels helpen de bescherming van SharePoint bij het downloaden van bestanden uit bibliotheken met een standaardlabel; wanneer u deze documenten downloadt, worden de huidige SharePoint-machtigingen met het getagde bestand meegestuurd, waardoor de offsite-beveiliging wordt versterkt.

U kunt de inhoud van Teams, Microsoft 365-groepen, SharePoint-sites en Loop-werkruimten Met labels die privacy, extern delen, gasttoegang, bedieningselementen voor onbeheerde apparaten en opties voor gedeelde kanalen configureren. Deze labels beschermen de container; ze labelen niet automatisch de items erin.

Daarnaast is er ondersteuning voor Teamvergaderingen en chat het taggen van oproepen en antwoorden, met de mogelijkheid om te versleutelen en vergadering-/chatspecifieke opties toe te passen. En laten we de detectie in eDiscoveryMet de voorwaardengenerator kunt u zoeken op tags, waarbij u inhoud kunt opnemen of uitsluiten op basis van de classificatie.

Met Microsoft Defender voor Cloud Apps kunt u inhoud detecteren, classificeren en beschermen in diensten van derden (Salesforce, Box, Dropbox, enz.), zelfs als die apps geen labels automatisch lezen. En met de Microsoft Information Protection SDK kunnen apps van derden lees etiketten en breng bescherming aan op een geïntegreerde manier.

Labels kunnen ook puur classificatie zijn (zonder encryptie) om visuele context te geven en analyses verzamelen van gebruik en activiteit, en zo beslissen of het passend is om later bescherming toe te voegen. Daarnaast kunt u uitbreiden naar Power BI al gegevensbronnen binnen de Microsoft Purview Data Map (bijvoorbeeld SQL, Azure SQL, Azure Synapse, Azure Cosmos DB en AWS RDS).

Toepassingsgebieden van label, prioriteit en structuur

Wanneer u een label maakt, definieert u de strekking, waarmee wordt bepaald welke beveiligingsopties u kunt configureren en in welke services/toepassingen deze beschikbaar zijn. Het bereik omvat: bestanden en andere gegevensbronnen (Office, Loop, Power BI, Fabric en meer), e-mails, vergaderingen en groepen en sites.

Ze worden meestal samen geselecteerd Bestanden en e-mails Om de consistentie tussen het document en de via e-mail verzonden bijlage te behouden. Om Teams-vergaderingen (agenda, opties en chat) te beveiligen, moet u ook Bestanden en E-mail selecteren. Voor Groepen en Sites moet u eerst het gebruik van gevoeligheidslabels voor containers inschakelen.

De volgorde in de taglijst markeert hun prioriteit: Het is een goed idee om de meest restrictieve (Zeer vertrouwelijk) als laatste te plaatsen en de minst restrictieve (Openbaar/Persoonlijk) als eerste. Dit beïnvloedt het autotagging-gedrag, de degradatie-rechtvaardiging en de overerving in e-mailbijlagen.

Om schema's met twee niveaus te organiseren (bijvoorbeeld Vertrouwelijk → Alle werknemers/Vertrouwde personen), gebruikt u taggroepen Deze vervangen de oude primaire tags. Deze groeperingen hebben namen, kleuren, beschrijvingen en prioriteiten, maar geen eigen beveiligingsopties; de tags worden binnen de groep gepubliceerd, niet binnen de groep zelf.

Als u een tag op het portaal verwijdert, wordt deze niet verwijderd uit reeds getagde inhoud: de bescherming blijftAls u een label bewerkt, behoudt de inhoud de versie die oorspronkelijk was toegepast. Er zijn verschillen tussen het verwijderen van een label en het verwijderen ervan uit een gepubliceerd beleid. Deze verschillen moeten worden bekeken voordat u wijzigingen aanbrengt.

Publicatie- en labelbeleid

Nadat u ze hebt gemaakt, is het tijd om ze te publiceren gebruikers en groepen (geen locaties) via beleid. Op deze manier zien ze deze in hun apps en kunnen ze deze toepassen. Je kunt meerdere beleidsregels hebben voor verschillende groepen (bijvoorbeeld: iedereen ziet Openbaar/Algemeen/Vertrouwelijk, maar Juridisch ziet ook Zeer vertrouwelijk).

Richtlijnen maken het mogelijk om: standaardlabels voor documenten (inclusief Loop-componenten en -pagina's), e-mails en uitnodigingen, nieuwe containers (Teams, Groepen, SharePoint) en Power BI-inhoud. Zorg ervoor dat u geen standaardlabel instelt dat versleutelt, omdat u hiermee onbedoeld externe samenwerkingen kunt blokkeren.

Het is mogelijk om te eisen rechtvaardiging door een label te verwijderen of te downgraden (van toepassing op bestanden, e-mails en vergaderingen) en de verplichte etikettering in documenten/e-mails, containers en Power BI. U kunt ook een link opnemen naar een aangepaste helppagina om gebruikersvragen te beantwoorden.

De volgorde van de richtlijnen heeft ook voorrang: als een gebruiker in meerdere categorieën valt, degene met de hoogste orde wint (hoogste). Het kan tot 24 uur duren voordat wijzigingen zijn gerepliceerd. Er is geen limiet aan het aantal tags, tenzij ze met specifieke machtigingen worden versleuteld: in dat geval is er een maximum van 500 per huurderHet beste is om uw tagcatalogus zo eenvoudig mogelijk te houden.

In de publicatiewizard kunt u de reikwijdte beperken met administratieve eenheden (preview), kies welke tags worden gepubliceerd, definieer beleidsinstellingen (rechtvaardiging, handhaving, hulpmiddelen) en stel standaardwaarden in voor documenten. Als u geen RMS-licenties meer heeft, kunt u een EMS-proefversie activeren om de creatie en implementatie te voltooien.

App in Microsoft 365: Windows, Mac, web en mobiel

Op kantoor voor Windows y Mac, labels worden aangebracht vanaf de vertrouwelijkheidsbalk (naast de bestandsnaam) of via de knop Vertrouwelijkheid op het startscherm. Als labelen vereist is, verschijnt er een prompt om een ​​label te selecteren voordat u het bestand opslaat of verzendt.

Bij nieuwe bestanden kan de tag de eerste keer dat u deze opslaat, worden opgevraagd of toegepast. standaard Geconfigureerd door de beheerder. Wanneer een tag automatisch wordt toegepast (op basis van regels) of wordt aanbevolen, verschijnt er een melding onder het lint met de details.

Om een ​​label te verwijderen, selecteert u eenvoudigweg 'Geen label' in het menu, tenzij het beleid dit vereist. verplichte etiketteringHet huidige label wordt weergegeven in de titelbalk en u kunt uw machtigingen controleren via het overeenkomstige pictogram in de statusbalk (dialoogvenster 'Mijn machtigingen').

En Android e iOS U kunt taggen via het tabblad Home → Vertrouwelijkheid of via het menu Meer opties, afhankelijk van het apparaat. Als de tag door de gebruiker gedefinieerde rechten heeft, ziet u een informatiebalk wanneer u het bestand opent om de rechten te controleren.

In Microsoft 365 voor het web is het vandaag de dag gedetailleerde toestemmingen van de tag; om ze te bekijken, gebruikt u de desktop-apps. En als er verplichte tagging is, kunt u ervoor kiezen om het als alleen-lezen te openen als u een specifiek bestand niet wilt taggen.

Power BI: Classificatie en beveiliging bij exporteren

In Power BI worden labels gebruikt om classificeren en beschermen datasets, rapporten, dashboards en stromen. Binnen de service veranderen ze de toegang tot de inhoud niet (dit is afhankelijk van de Power BI-, RLS- en OLS-machtigingen), maar wanneer u exporteert naar Excel, PowerPoint of PDFeen downloads Bij een .pbix reizen het label en de beveiliging ervan met het bestand mee.

Vereisten: licenties Azure Information Protection P1 of P2 en Power BI Pro/PPU, en gepubliceerde labels voor de juiste gebruikers/groepen. Schakel eerst labeling in via de tenantbeheerportal (Information Protection → Toestaan ​​dat labels worden toegepast in Power BI).

Wanneer u in Power BI Desktop een .pbix-bestand opslaat, worden het label en de bijbehorende encryptie ingebed in het bestand. In de service nemen rapporten en dashboards het label over van de hoofddataset of het hoofdrapport. U kunt dit wijzigen via de instellingen van het item.

Elke labelwijziging in datasets, rapporten, dashboards of stromen wordt vastgelegd in de auditlogboek, zodat u kunt bijhouden wie, wanneer en welke tag is toegepast of gewijzigd. Zeer nuttig voor governance en compliance.

Copiloot en AI: erkenning en respect voor rechten

Microsoft 365 Copilot en Copilot Chat herkennen en vertrouwelijkheidslabels integreren in hun antwoorden. Als een conversatie meerdere items bevat, wordt het label met de hoogste prioriteit weergegeven (of overgenomen) om de contextuele beveiliging te versterken.

Als het label Microsoft Purview-versleuteling toepast, valideert Copilot de GebruiksrechtenHet retourneert alleen gegevens als de gebruiker bijvoorbeeld het recht EXTRACT (kopieerrecht) heeft. Geen rechten, geen lekken: de wizard respecteert end-to-end toegangscontrole.

Geavanceerde integratie en ontwikkeling: MIP SDK en labelclient

Omdat tags in metadata staan, kunnen applicaties en services deze lezen en schrijven naar automatiseer processenMet de Microsoft Information Protection SDK kunnen ontwikkelaars labeling en encryptie implementeren op meerdere platforms en workflows integreren met oplossingen van derden.

De klassieke AIP-taggingclient is vervangen door de Microsoft Purview Information Protection-client voor Windows, dat tagging uitbreidt naar de Verkenner, PowerShell, lokale analyse en viewer voor versleutelde bestanden. Abonnement-Office-apps worden volledig ondersteund.

Een typisch ontwikkelingsvoorbeeld is het maken van een consoletoepassing (.NET 6) die een label verwijdert voor een document verwerken en pas het aan het einde opnieuw toe. Registreer hiervoor een applicatie met Entra ID, verleen de rechten "Content.SuperUser", "Content.Writer" en "UnifiedPolicy.Tenant.Read", configureer authenticatie (clientgeheim) en gebruik de pakketten Microsoft.InformationProtection.File en Microsoft.Identity.Client, naast de benodigde bibliotheek voor documentverwerking.

De gebruikelijke teststroom is om een ​​document te maken in Woord, pas er een label op toe (bijvoorbeeld Vertrouwelijk → Alle medewerkers), sla het op in OneDrive, download het en controleer of het correct is. respecteer de beperkingen, voer uw app uit om de inhoud te transformeren en controleer of het uitvoerbestand de beveiliging behoudt.

Datalekpreventie met FortiSASE en MPIP-tags

FortiSASE kan MPIP-tags (Microsoft Purview Information Protection) gebruiken om HTTPS-uploads blokkeren van getagde bestanden. Dit gebeurt door de GUID van de tag die op het bestand is toegepast te vergelijken met een woordenboek/configuratie op het platform.

De praktische procedure: maak een DLP-profiel aan in FortiSASE, schakel beveiligingsfuncties uit die niet nodig zijn voor testen, schakel inspectie in diepVoeg een DLP-regel toe met de MPIP Label-voorwaarde en een woordenboek dat de labelnaam toewijst aan de GUID, en koppel dat profiel aan een beleid voor de doelgebruikersgroep.

Om te valideren registreert u het eindpunt bij FortiSASE, opent u de browser in de incognitomodus en uploadt u een Word-document met de MPIP-tag naar https://dlptest.com/https-post/. belasting moet falen voor en na indiening en in Analytics → Beveiliging → DLP ziet u de crashlogs, met details zoals de bestandsnaam.

Deze aanpak maakt het mogelijk de bescherming van Microsoft Purview op netwerklaag, zodat vertrouwelijke gegevens de organisatie niet via ongeautoriseerde kanalen verlaten.

Goede praktijken, vergunningen en exploitatie

Voordat u gaat implementeren, moet u licenties en vergunningen plannen en uw adoptiestrategieBekijk de ondersteunde scenario's en bereid de communicatie met eindgebruikers voor. De implementatiedocumentatie van Purview behandelt deze punten en bespaart u veel moeite.

Etikettenmanier eenvoudigMinder is meer. Beperk het aantal tags tot het minimale dat nuttig is om verwarring en administratiekosten te voorkomen. Gebruik de analyses van het Purview-portaal om het gebruik en de activiteit te bekijken en uw taxonomie te verfijnen met data binnen handbereik.

Vermijd het instellen van een standaardlabel dat cijfers In documenten: Veel organisaties werken samen met externe partijen die mogelijk geen beveiligde content kunnen openen. Configureer ook het standaardtype voor het delen van links in SharePoint/OneDrive om overmatig delen te minimaliseren.

Onthoud dat tags ook werken met toepassingen van derden via Defender voor Cloud Apps en de SDK, en u kunt ze overbrengen naar gegevensbronnen (SQL, Synapse, Cosmos DB, AWS RDS) met behulp van de Purview Data Map.

Zorg bij desktopautomatiseringen (bijvoorbeeld kantooractiviteiten in RPA) dat de verbinding lees-/schrijfrechten Getagde bestanden; anders wordt er een uitzondering gegenereerd. En zoals altijd: test sjablonen en flows met uw daadwerkelijke content-opmaak voordat u ze openbaar maakt voor de hele organisatie.

Gevoeligheidslabels bieden een consistent raamwerk voor classificeren, beschermen en besturen Data in Microsoft 365, Power BI en services van derden: encryptie met machtigingsbeheer, dynamische contentbranding, container- en vergaderbeveiliging, automatische tagging en auditing, integratie met Copilot en oplossingen zoals FortiSASE. Als u deze goed plant, prioriteert, verstandig publiceert en training biedt, weet u zeker dat uw data veilig wordt verzonden zonder dat dit uw dagelijkse werk vertraagt.