Hopp til hovedinnhold

Dataklassifisering og informasjonsbeskyttelse i Microsoft 365

Logo letter
Evelon AS
Jon-Alfred Smith

Datamengden eksplorer. Filer opprettes, lagres og deles nær sagt overalt. Mye av dette er mørkt. Dataene er verken systematisert, beskyttet eller styrt. Samtidig øker kravene om å være i samsvar med offentlige reguleringer og bransjestandarder. Særlig viktig er personopplysningsloven, som gjennomfører EUs personvernforordning (GDPR). Virksomheter må få kontroll over kritiske og sensitive data. Microsoft leverer en rekke verktøy som hjelper deg på reisen, både lokalt og i skyen. Informasjonsbeskyttelse lar deg klassifisere, merke og rettighetsstyre dokumenter og e-post, foruten beskytte områder som Teams og SharePoint. Hindring av datatap bidrar til å stanse lekkasje av følsomme opplysninger. Med Informasjonsstyring setter du opp oppbevaringspolicyer.

Microsoft Information Protection

Microsoft tilbyr integrerte løsninger for å beskytte og forvalte dataene dine på en strukturert måte gjennom hele livssyklusen – uansett hvor de er lagret eller beveger seg hen. Det dreier ikke bare om Microsoft 365-tjenester som Exchange, Microsoft Teams og SharePoint. Sensitive data ligger også i datavisualiseringsverktøy, som Power BI. De kan befinne seg på lokale nettsteder og filtjenere. Virksomheter benytter ofte også andre skytjenester som Dropbox og Salesforce. La oss heller ikke glemme bedriftens tilstedeværelse i sosiale nettverk.

klassifisering1

Microsoft Information Protection (MIP) står i sentrum og sørger for dataklassifisering. Den kommer med over 200 forhåndsdefinerte sensitive informasjonstyper, som kredittkort og personnummer. Du kan opprette tilpassede typer basert på regulære uttrykk, ordbøker, fingeravtrykk for skjemaer, samt eksakt datamatch. I tillegg kan du ta i bruk maskinlæring for å trene klassifiserere. Disse datatypene danner utgangspunktet for å automatisere oppdagelsen av viktig materiale. Følsomhetsetiketter lar deg merke data og beskytte områder. Etikettene kan legge til vannmerker og topp- eller bunntekster. De kan også kryptere og rettighetsstyre dokumenter og e-post.

Office 365 er som kjent samarbeidsplattformen som hviler på to søyler: Exchange og SharePoint. Oppå dem kjører Teams i et flettverk av mikrotjenester. Det er innebygd støtte for etiketter i Office-appene for Windows, macOS, iOS/iPadOS og Android, så du kan merke data. Endpoint DLP er ment å hindre datatap på Windows- og Mac-enheter. MCAS står for Microsoft Cloud App Security, som nå er omdøpt til Microsoft Defender for Cloud Apps. Det er selskapets sikkerhetsmegler for skytilgang, som kan forebygge datalekkasje og kreve beskyttelse for dokumenter i tredjeparts applikasjoner. AIP Scanner skanner data i din lokale infrastruktur.

Azure Purview lar deg bruke etikker på objekter i Azure og AWS S3, så som SQL-kolonner og filer i Blob-lagre. Mellom alle disse tjenestene er det toveiskommunikasjon, mens Avansert eDiscovery, Insider risikostyring og Kommunikasjonssamsvar står i en løsere tilknytning. Om du skal stoppe datalekkasje via e-post, kryptere filer i transitt og hvile eller bruke etiketter for å beskytte innhold via policyer, omfatter Microsoft Information Protection et vell av løsninger som kan bidra til å sikre data som ligger i Microsoft 365 eller deles med verden utenfor. Det vanskeligste er å komme i gang. En god begynnelse er å merke dokumenter og e-post med følsomhetsetiketter.

Merking med følsomhetsetiketter

klassifisering2

Word, Excel, PowerPoint og Outlook har innebygd støtte for etiketter på Windows, macOS, Android og iOS/iPadOS, samt i nettappene. På Windows kan du installere en egen klient som gir noe mer funksjonalitet. Den viser en linje under båndet i Office-appene med etikkene du har definert. Når du klikker på ett av merkene, utføres det en handling på dokumentet eller meldingen. Layoutet følger Microsofts anbefalinger, er nøye gjennomtenkt fra deres side og er et godt utgangspunkt. Personlig, Offentlig og Internt gir de grunnleggende bruksområdene. Konfidensielt og Høyst konfidensielt inneholder nedtrekksmenyer som gir mer spesifikke alternativer for beskyttelse.

klassifisering3

I portalen for Microsoft 365-Samsvar ser etikettene sånn ut. De første tre legger til en bunntekst og krypterer ikke. Hensikten er å skjelne mellom tre kategorier. Personlig er for private dokumenter og e-poster. Offentlig er ment for bedriftsdata som er spesielt forberedt og godkjent for allmenn bruk. Internt er beregnet på interne data, men som ved behov kan deles med partnere. Konfidensielt og Høyst konfidensielt anvendes på følsomme bedriftsdata som kan være til skade for virksomheten om uautoriserte personer får tilgang til dem. Begge har samme underetiketter:

  • Alle ansatte: Konfidensielle data som krever beskyttelse (kryptering), og som gir alle ansatte samtlige tillatelser. Dataeierne kan spore og tilbakekalle innhold.
  • Enhver (ikke beskyttet): Data som ikke må ha rettighetsstyring. Bruk dette alternativet med forsiktighet og med god begrunnelse for bedriftsdata.
  • Bare mottakere: Fortrolige data som krever beskyttelse (kryptering), og som kun kan leses av mottakerne.

Beskyttelse med hindring av datatap

Policyer for hindring av datatap kan ta utgangspunkt i følsomhetsetikker. For Enhver (ikke beskyttet) hindrer vi ekstern deling i Exchange, SharePoint, OneDrive og Teams. Sånn blir disse dokumentene eller e-postmeldingene ikke tilgjengelig for personer utenfor virksomheten. Det samme gjør vi med Internt, men her åpner vi for at brukere kan overstyre regelsettet men en forretningsbegrunnelse, i og med at merkelappen også kan benyttes overfor eksterne partnere.

Beskyttelse med rettighetsstyring

klassifisering

Alle ansatte vil typisk være en Microsoft 365-gruppe, en distribusjonsliste eller en e-postaktivert sikkerhetsgruppe. Bare mottakere (vist ovenfor) lar deg angi hvem som skal ha tilgang, både interne og eksterne adressater. Dokumentene blir alltid kryptert, men verken mottaker eller rettigheter er forhåndsdefinert. Det gjør denne merkelappen til et svært anvendelig alternativ. Du angir hvem som skal ha tillatelser til dataene og hva slags, som lese, endre eller full kontroll. Du kan også sette en utløpsdato. Brukere kan be om flere tillatelser. Det er dette som ligger i rettighetsstyring, noe du vil kjenne igjen fra videoer du leier på nettet (DRM). Du har lesetilgang for et begrenset tidsrom.

Tilpasse Microsofts mal

Da selskapet presenterte det som det gang het Azure Information Protection, kom de stadig tilbake til at malen ovenfor var grundig gjennomtenkt fra deres side. Etter å ha benyttet meg av den i fem år er jeg fullstendig enig. Opprinnelig var det ikke støtte for følsomhetsetiketter i Office-appene, men krevde en klient som også i dag bare er tilgjengelig for Windows. Den legger til en rad for etikettene. Microsoft kom frem til at det ikke skulle være mer enn fem for å ta hensyn til alle skjermstørrelser og -oppløsninger. Du kan ha opptil 500 merkelapper, men en praktisk grense ligger på rundt ti. Mer vil forvirre brukere.

Men fjerde og femte etikett med rullegardinmenyene for Konfidensielt og Høyst konfidensielt kan virke noe redundante. Hold fast ved de første fire merkelappene og fjern nummer fem. Publiser malen til alle brukere. Legg til nye tilpassede etiketter for forskjellige avdelinger og bruksområder. Sørg så for at de tildeles dem det gjelder. Bruk korte navn – de skal også sees på mobilenheter. Vær nøye med forklaringer på hvordan de bør benyttes, noe som vises som verktøytips når du fører musen over dem. Du bør også opprette et SharePoint-nettsted der du redegjør for dem. Sett opp en regel om at brukere alltid må velge en etikett når de lagrer et dokument eller sender en e-post.

Bruke følsomhetsetiketter

klassifisering4

Du klikker på Følsomhet. Til venstre er Word for Windows, til høyre Word for Mac. Her vises også opplysninger om bruksmåter. Tilsvarende er det på mobilenheter, men uten forklaring. Det gir en enhetlig opplevelse.

klassifisering5

På Windows kan du benytte klienten for Azure Information Protection (Microsoft er i ferd med å omdøpe produktet), som blir integrert i Filutforsker. Den lar deg rettighetsbeskytte andre filer enn bare Office-dokumenter. Men installer den bare om du virkelig trenger den. Uten får du økt ytelse, lavere minnebehov og ingen problemer som kan oppstå når apper som Word eller PowerPoint laster inn tillegg. Dessuten er innebygd støtte for sensitivitetsetiketter inkludert i oppdateringene som utstedes for Office-appene. Sånn slipper du å oppgradere en separat komponent hver gang en ny er tilgjengelig.

Automatisk merking

klassifisering6

Manuell merking er basert på at bruker vet best hva slags data hun eller han jobber med, noe som ikke alltid er tilfellet. Automatisk merking kan komme opp med forslag eller bestemme etiketten. Utgangspunktet er gjenkjennelse av datamønstre i dokumenter og e-post som defineres ved sensitive informasjonstyper og opplærbare klassifiserere; sistnevnte funger bare på engelsk og kan med fordel brukes på kildekode, med støtte for rundt 25 programmeringsspråk. Microsoft 365 Business Premium, som er det produktet vi anbefaler for små og mellomstore bedrifter, kan bare håndtere manuell merking.

Opprinnelig fantes det en tilleggslisens for automatisering, Azure AIP Plan 2. Men den er borte nå. Microsoft 365 E3 ligger heller ikke bedre an. Men her kan du legge til Microsoft 365 E5 Information Protection and Governance. Med eldre versjoner av Microsoft 365 Apps og Azure Information Protection-klienten automatiserer du på klientsiden ved lagring og avsendelse av e-post. Et bedre alternativ er automatisk gjenkjennelse på serversiden. Den kråler seg gjennom lagrede filer i SharePoint Online og OneDrive for Business og utstyrer dem med følsomhetsetiketter. En tilsvarende metode anvendes på lokale SharePoint-servere og filtjenere med Azure Information Protection Scanner. I Exchange Online merkes data idet de transporteres.

Kryptering og rettighetsstyring

Microsoft Information Protection bruker Azure Rights Management (Azure RMS) i bakgrunnen for å kryptere og rettighetsstyre data. De er uleselige for alle som ikke har rettigheter til dem. Til vanlig har ikke filer en innebygd sikkerhet; de sikres i kraft av beskyttelsesmekanismene på lagringsområdene. Nå foretas det en kopernikansk dreining. Dataene får en vedvarende beskyttelse som omfatter hele deres levetid, og kan lagres hvor som helst. Men du bør ikke benytte deg av denne funksjonaliteten i utrengsmål. Det tar lengre tid å åpne og lagre sikrede dokumenter fordi brukerne må autentiseres for å kontrollere tilganger, og så må filene de- og rekrypteres. Det kan også skape vanskeligheter for personer som ikke er i Microsoft 365. Her er ofte en bedre løsning å benytte beskyttelsesmalene i Outlook: Bare krypter og Ikke videresend.

klassifisering7

Til gjengjeld er én bøyg fjernet. Det har lenge vært mulig å redigere rettighetsstyrte dokumenter samtidig i nettappene for Word, Excel og PowerPoint. Nå støttes også skrivebordsversjonene. Du må slå på funksjon. Velg Innstillinger og Samtidig redigering for filer med følsomhetsetikett. Vær forberedt på at det kan ta over to døgn før funksjonen trer i kraft.

Etiketter for containere

klassifisering8

Du kan også opprette følsomhetsetiketter for containere, nærmere bestemt SharePoint, Teams og Microsoft 365-grupper. De krypterer ikke data, men styrer tilgangen til nettsteder, kanaler og grupper. Ovenfor er vårt forslag, basert på standardverket Office 365 for IT Pros.

Dataklassifisering

klassifisering9

I portalen for Microsoft 365-Samsvar finner du Dataklassifisering, som hjelper deg med å klassifisere data og rapportere resultatene. Den identifiserer eksponering og risiko for å informere om policyer som bidrar til å beskytte og styre dataene dine. Det inkluderer verktøy for å administrere to metoder for å klassifisere innhold – sensitive informasjonstyper og trenbare klassifiseringer.

  • Oversikt gir øyeblikksbilder av hvordan sensitive informasjonstyper og etiketter brukes i virksomheten.
  • Opplærbare klassifiserere lar deg administrere dem for å identifisere innhold basert på hva et element er, ikke for hva det inneholder.
  • Typer sensitive informasjon tar seg av innebygde og tilpassede sensitive informasjonstyper som er tilgjengelige for å klassifisere data.
  • Innholdsutforsker lar deg utforske e-posten og dokumentene i organisasjonen din som inneholder følsomme opplysninger eller har etiketter.
  • Aktivitetsutforsker gir anledning til å gjennomgå aktiviteter knyttet til innhold med sensitiv informasjon eller bruken av etiketter, som hvilke merkelapper eller filer som er blitt endret.

Superbrukere

klassifisering10

Ansatte blir borte. Enkelte ganger må du ha tak i deres beskyttede filer. Da må du inn med PowerShell. Installer og importer modulen AipService og koble deg til tjenesten. Så må du aktivere AipServiceSuperUserFeature. Legg til bruker med Add-AipServiceSuperUser. Superbrukeren har ubegrensede rettigheter og kan dekryptere dataene. Når du er ferdig, bør du fjerne brukeren igjen og koble deg fra. Funksjonaliteten er ikke eksponert i det grafiske brukergrensesnittet.

Avsluttende ord

klassifisering11

Med Microsoft Information Protection kan du beskytte og administrere data uansett hvor de befinner seg – lokalt, på tvers av Office-appene, i Exchange og SharePoint (med OneDrive), Power BI og tredjeparts sky- og SaaS-apper. I tillegg kan du begrense adgangen til SharePoint-nettsteder, Teams-kanaler og Microsoft 365-grupper. Tilnærmingen til oppdagelse og klassifisering av data er enhetlig og balanserer sikkerhet med produktivitet og mobilitet. Du håndhever betinget tilgang til sensitiv informasjon. Med hindring av datatap blokkerer du deling. Dokumenter og e-post krypteres basert på følsomhetsetiketter. Du blir kjent med dataene dine, sikrer dem, forhindrer lekkasje og forvalter dem.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!