Hopp til hovedinnhold

Aktuelt og fagblogg

Microsoft Information Protection Del I

Logo letter
Evelon AS
Jon-Alfred Smith
lås i en bok

Microsoft Information Protection viderefører og forbedrer egenskapene i Azure Information Protection. Det er bred plattformstøtte og ikke nødvendig med programtillegg lenger. Klient-funksjonen er bygd inn i Microsoft 365 Apps, Microsoft 365 for Mac, mobilappene for iOS og Android, samt nettversjonene. For Windows finnes det en valgfri Azure Information Protection-klient for enhetlig merking, om du har mer spesielle behov. Tjenesten er flyttet fra Azure til Sikkerhets- og samsvarssentret i Microsoft 365.

Merkelappene du knytter policyer til, omtales som følsomhetsetiketter for å holde dem atskilt fra oppbevaringsetiketter – en mekanisme for å holde styr på data som må bevares eller som kan slettes. Informasjonsbeskyttelsen lar deg klassifisere og merke e-post, dokumenter og følsomme data. Du kan kryptere dem, så de er sikret uansett hvor de er lagret og hvem de deles med. Merkingen kan være brukerstyrt eller automatisert. Du kan beskytte tilgangen til Microsoft 365-grupper og Teams- og SharePoint-nettsteder.

Brukeropplevelsen

azureif1

Outlook i Microsoft 365 Apps (tidl. Office ProPlus) har innebygd støtte for Microsoft Information Protection. Det viser knappen på båndet. I stedet for Beskytt står det Følsomhet. Vi har valgt å installere den nye klienten for Azure Information Protection for å gjøre overgangen mykere. Den vante knapperaden med etiketter blir synlig ved å huke av for Vis linje på nedtrekksmenyen.

azureif2

Her er Word Online og Excel for Mac med de samme etikettene. De er overført fra Azure Information Protection og er basert på anbefalinger fra Microsoft i sin tid. Enkelte legger bare til bunn- eller topptekster, eventuelt et vannmerke, andre krypterer og tildeler rettigheter, samt styrer tilgangen til bestemte områder.

Beskyttelse av sensitiv informasjon

Folk jobber i dag på tvers av virksomheter og lagrer data i forskjellige skytjenester. Da kan du ikke lenger feste lit til brannmurer og beskyttede lagringsområder. Beskyttelsen må knyttes direkte til data og bli der. Datalekkasje blir et stadig større problem. De ansatte må få klare begreper om hvilke data som kan deles, og hvilke som aldri må sive ut av huset. Endelig har virksomheter store mengder mørke bedriftsdata som verken er kategorisert, sikret eller styrt. Informasjonsbeskyttelsen kan hjelpe deg i alle disse tre scenarioene.

Følsomhetsetiketter

Følsomhetsetiketter er metadata som skrives til filer. Etikettene gir brukere anledning til å markere og beskytte data uten at det griper forstyrrende inn i arbeidet deres. De kan tilpasses. Du oppretter forskjellige kategorier som definerer graden av sensitiv informasjon. Merkelappene er i klartekst og kan leses av andre applikasjoner og tjenester, som for eksempel funksjoner for å hindre datatap. De er vedvarende knyttet til dataene under hele deres levetid, om eieren ikke fjerner dem. Med etikettene kan du:

  • Klassifisere innhold uten å bruke beskyttelsesinnstillinger.
  • Hindre at sensitiv informasjon lekker ut av virksomheten.
  • Håndheve beskyttelsesinnstillinger som kryptering og vannmerker.
  • Sikre data i Office-apper på tvers av plattformer og enheter.
  • Beskytte innhold i tredjepartsapper og -tjenester.

Du merker et dokument idet du oppretter det, for Outlook idet meldingen sendes eller lagres. Tankegangen er at bruker vet mest om innholdet. Men dette behøver ikke alltid være tilfellet. Da kan det være nyttig med automatisk merking basert på regulære uttrykk (RegEx). Det kan dreie seg om filer med personlig identifiserbar informasjon og Visa-kort. Alternativt kan bruker få opp et forslag til hvordan dokumentet bør markeres.

Definere og organisere etiketter

Hver organisasjon har sine egne behov. Definisjonene bør i mindre grad styres av IT-avdelingen enn av folk med innsikt i forretningsprosessene. Anbefalingen er å nøye seg med færrest mulig etiketter for ikke å forvirre brukere. Et godt råd er å ha ett grunnleggende sett for alle og legge til egne for avdelinger, som økonomi og ledelse. Disse flettes inn i menyen, eventuelt knapperaden.

Våre første tre etiketter er inndelt i Privat, Offentlig og Generelt. Hensikten er å kunne skjelne mellom personlige data, opplysninger som kan deles, og bedriftsintern informasjon. Her benyttes bare bunntekster. Det gjør medarbeidere oppmerksom på hvordan dataene skal håndteres. I menyene under Konfidensielt og Høyst konfidensielt er det etiketter som markerer dokumenter med vannmerke eller som krypterer og rettighetsstyrer dem.

Fordeler med Microsoft Information Protection

For eksisterende organisasjoner med Azure Information Protection anbefales det at de går over til Microsoft Information Protection. For nye kunder er dette det beste – i praksis det eneste – valg. De viktigste fordelene er:

  • Innebygd Office-støtte. De færreste brukere trenger den valgfrie klienten. Det er dyrere å distribuere, vedlikeholde og støtte tilleggsprogramvare enn å bruke innebygd funksjonalitet.
  • Ytelse og sikkerhet. Innebygd programvare fungerer generelt bedre enn et tillegg. Jo flere programmer på enheten, desto større er angrepsoverflaten.
  • Enhetlig opplevelse. Etikettene kan brukes på tvers av Office 365-applikasjoner og -tjenester. Funksjonene lar seg utvide til andre Microsoft-apper og tredjeparter. Eksempler er integrasjonen av følsomhetsetikker i Power BI og Adobes arbeid med PDF-filer.
  • Bred plattformstøtte. Tilgang til informasjonsbeskyttelse på mobilenheter og Mac.
  • Innovasjon. All fremtidig utvikling vil bruke rammeverket for Microsoft Information Protection.

Azure Information Protection-klienten

Den klassiske klienten kan ikke lenger lastes ned fra Microsoft uten å kontakte dem og avvikles 31. mars 2021. Den nye kalles Azure Information Protection-klient for enhetlig merking og kommer med en PowerShell-modul. Klienten er nødvendig om du oppretter etiketter som lar brukere tilordne tillatelser når de benytter dem i Word, Excel og PowerPoint. Dette fungerer på tilsvarende måte som i eksemplet nedenfor på filsystemet. Da kommer samme dialog opp.

azureif3

I likhet med den gamle klienten legger den nye til en utvidelse i Filutforsker. Du kan høyreklikke på et dokument eller en mappe og velge Klassifiser og beskytt. Da får du dialogen nedenfor.

azureif4

Det gir deg muligheten til å sikre data med egendefinerte tillatelser. Du kan velge hvilke brukere, grupper eller organisasjoner som skal ha tilgang. Du kan la den være tidsbegrenset. Om du har brukt den klassiske klienten, ser du at den nye mangler et menypunkt øverst: Spor og tilbakekall. Her har du kunnet se et sammendrag, en liste over delte dokumenter og en tidslinje, pluss et kart og innstillinger. Det er dessverre ingen planer om å legge til denne funksjonaliteten igjen.

Azure Information Protection

Enn så lenge er det ingenting i veien for å benytte Azure Information Protection med den klassiske klienten og redigere etiketter med policyer og beskyttelsesmaler i Azure-portalen. Betegnelsen brukes fortsatt som paraply for lisensiering og tjenestene som omfattes av informasjonsbeskyttelsen.

Lisensiering

Det er gratis å konsumere Azure Information Protection-innhold. Office 365 Meldingskryptering inngår i lisensen på Office 365 E3 og høyere. Premium P1 lar deg foreta manuell merking og kryptering. Med Premium P2 kan du konfigurere betingelser for automatisk og anbefalt klassifisering. Her er det også en AIP-skanner for automatisert klassifisering, markering og beskyttelse av lokale filer. Du får AIP Premium P1 med blant annet Microsoft 365 Business Premium. For Premium P2 må du opp i en E5-versjon av Microsoft 365, Office 365 eller Enterprise Mobility + Security. Alternativt kan du tegne en tilleggslisens.

Azure Information Protection-tjenesten

azureif5

Microsoft Information Protection lar oss bruke etiketter for visuell merking og kryptering av e-post og dokumenter. Når vi beskytter data ved hjelp av dem, brukes Azure Rights Management (Azure RMS) som underliggende teknologi. Azure RMS benyttes også av Office 365 Meldingskryptering, enten direkte i Outlook eller sammen med transportregler i Exchange. Beskyttelsesmekanismene i SharePoint er basert på Information Rights Management, som er en beslektet teknologi, men med flere svakheter. Her bør du gå over til følsomhetsetiketter.

Azure Rights Management

azureif6

Azure RMS fungerer sånn: Her deles et ubeskyttet dokument som inneholder den hemmelige oppskriften for cola. En policy definerer den godkjente bruken av det. Dokumentet er beskyttet av en symmetrisk innholdsnøkkel (grønn nøkkel i figuren) som er unik for hver fil, og som krypteres ved hjelp av rotnøkkelen for organisasjonen din (rød nøkkel). Når et beskyttet dokument åpnes av en legitim bruker eller det behandles av en autorisert tjeneste, dekrypteres dataene. Så håndheves rettighetene som er definert i retningslinjene. Ingen andre kan få tilgang til innholdet i dokumentet. Sentralt er at begge parter autentiseres og autoriseres av Azure RMS. Dette fungerer også på tvers av Microsoft 365-organisasjoner og blant annet med Google- og Yahoo-kontoer fordi Microsoft har opprettet føderasjoner med deres identitetstjenester.

Office 365 Meldingskryptering

azureif7

Krypter og Ikke videresend er to spesialtilfeller av følsomhetsetiketter. Her vises de i Outlook på nettet. Du finner dem under Alternativer i skrivebordsversjonene for Windows og Mac. Krypter oppretter beskyttet ende-til-ende-kommunikasjon mellom avsender og mottaker. Avsender krypterer meldingen og gir mottaker retten til å åpne den og gjøre med den hva hun eller han vil. Ikke videresend begrenser rettighetene for mottaker. Vedlegg omfattes også av beskyttelsen.

Outlook er en såkalt opplyst klient som automatisk dekrypterer meldinger som er sendt på denne måten. E-postprogrammet på en Mac er ikke opplyst. Her får mottaker beskjed om å logge seg på en nedskalert versjon av Outlook på nettet, og kan selv uten en gyldig brukerkonto logge på med en engangskode. Alle videre meldinger i tråden er beskyttet. Dette foregår uten at du trenger sertifikater, programutvidelser eller tillegg – ganske imponerende og helt forskjellig fra S/MIME.

Bakgrunn for Microsoft Information Protection

Microsoft introduserte merking med Azure Information Protection i 2016. Etiketter ble lagt på Azure RMS-tjenesten med tanke på å klassifisere og beskytte dokumenter og e-postmeldinger. I 2017 kom Microsoft med oppbevaringsetiketter for Office 365, som ledd i deres avanserte informasjonsstyring (Data Governance). Det hjelper virksomheter med å finne og beholde viktige data og slette informasjon som ikke er det. Microsoft bestemte seg for å integrere merkingsfunksjonene tettere i Microsoft 365 og andre Microsoft-tjenester.

Tredjeparter skulle få anledning til å innlemme informasjonsbeskyttelse og styringsfunksjonalitet i sine produkter. Microsoft lanserte et utviklingskitt for Microsoft Information Protection. Sikkerhets- og samsvarssentret ble utvidet til å håndtere etiketter for informasjonsbeskyttelse, en funksjon som tidligere bare var tilgjengelig i Azure Information Protection. Endringene resulterte i en ny enhetlig administrasjon av etiketter. Klientstøtten er nå basert på Microsoft Information Protection SDK. Dermed er følsomhets- og oppbevaringsetiketter tilgjengelig på tvers av Microsoft 365.

Gangen videre i neste del

azureif8

Vi tar for oss hvordan vi kan komme oss over fra Azure Information Protection til Microsoft Information Protection. Trinnene er å aktivere enhetlig merking og overfør etiketter fra Azure-portalen til Sikkerhets- og samsvarssentret i Microsoft 365. Så må du kopiere eksisterende Azure Information Protection-policyer eller opprette nye i samme portal. Her administrer du etiketter med etikettregler. Installer eller distribuer den nyeste enhetlige merkeklienten om nødvendig.

azureif9

Vi skal også vise hvordan du oppretter en ny etikett og policyer for følsomhetsetiketter for å publisere én eller flere i brukernes Office-apper. Når de er publisert, kan brukere benytte dem til å beskytte innhold. Til slutt kommer vi inn på hvordan du erstatter Information Rights Management i SharePoint med følsomhetsetiketter. På den måten får du indeksert innholdet i filer og ikke bare metadata. Du kan endelig samarbeide med andre i beskyttede dokumenter. Dessverre fungerer det fortsatt ikke med automatisk lagring i skrivebordsversjonene av Microsoft 365 Apps.

Koblinger

Her finner du en detaljert gjennomgang av Azure Information Protection:

Beskytt data med Azure Information Protection – Del I

Beskytt data med Azure Information Protection – Del II

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt