Hopp til hovedinnhold

Microsoft Information Protection Del II

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av en bok og en telefon med kjetting rundt

Med Microsoft Information Protection (MIP) flyttes informasjonsbeskyttelsen fra Azure til Microsoft 365. Dermed samles funksjoner for å kontrollere bedriftsdata på ett sted. MIP lar deg merke og beskytte dokumenter og meldinger, samt sikre tilganger til Microsoft 365-grupper, SharePoint og Teams. Informasjonsstyring sørger for at innhold oppbevares eller slettes etter en tid. Hindring av datatap (DLP) bidrar til å forebygge at sensitiv informasjon lekker ut av virksomheten.

MIP viderefører egenskapene i Azure Information Protection (AIP) og legger til en rekke nye, blant dem bred plattformstøtte og innebygde funksjoner for enhetlig merking i Office. Den klassiske AIP-klienten som benytter portalen i Azure, avvikles i slutten av mars neste år. Dermed må du planlegge eller foreta overgangen fra AIP til MIP. Her vises fremgangsmåten for eksisterende brukere. Nye kunder får også hjelp til å sette opp beskyttelsen.

Beskyttelse på tvers av miljøer

aip21

Microsoft Information Protection er ikke et produkt i seg selv, snarere et rammeverk for tjenester som Azure Information Protection, Windows Information Protection og Microsoft Cloud App Security. Her inngår funksjoner for enhetlig merking og Microsoft Information Protection SDK, et sett med verktøy for utviklere. Merkelappene i Azure omtales nå som følsomhetsetiketter i Microsoft 365 for å atskille dem fra oppbevaringsetiketter.

Grunnbegreper og forutsetninger

  • Den klassiske Azure Information Protection-klienten kommuniserer med Azure-portalen og laster ned etiketter med innstillinger derfra. Du får ikke tak i den lenger uten at du åpner en supportsak med Microsoft, og den avvikles 31. mars 2021.
  • Det er så vidt oss bekjent ikke gitt noen offisiell sluttdato for AIP-portalen i Azure ennå. Men den skal fases ut. Microsoft samler disse funksjonene i Microsoft 365.
  • Azure Information Protection Unified Labelling Client (AzInfoProtection_UL) erstatter den klassiske klienten. Den henter etiketter og konfigurasjoner fra Microsoft 365.
  • Denne AIP-klienten for enhetlig merking kjører bare på Windows og er ikke nødvendig lenger, annet enn ved spesielle behov (knapperad, integrasjon med Filutforsker osv.)
  • I universell merking ligger et ønske om å bringe funksjonene for oppbevaringsetiketter og følsomhetsetikker nærmere hverandre. AIP-klienten for enhetlig merking har ikke noe forhold til oppbevaringsetiketter, som angir hvilke data som skal bevares, og hvilke som kan slettes.
  • Det er innebygd støtte for enhetlig merking (å anvende følsomhetsetiketter) i Microsoft 365 Apps, Office for Mac, mobilappene for iOS og Android, samt nettversjonene. De har innlemmet funksjonaliteten som kommer med Microsoft Information Protection SDK.
  • All videreutvikling av informasjonsbeskyttelsen foregår i Microsoft Information Protection. Blant nyhetene er støtte for Power BI ved eksport av filer og Adobe Acrobat.
  • Fremgangsmåten som beskrives her for å overføre etiketter fra Azure til Microsoft 365, forholder seg til standardoppsett. For mer avanserte konfigurasjoner må du kontrollere støtten i teknisk orientert dokumentasjon.

Portalene for informasjonsbeskyttelse I Microsoft 365

Opprinnelig var det bare ett administrasjonssenter for Sikkerhet og samsvar for Office 365. Microsoft holder på å atskille dem i Microsoft 365-sikkerhet og Microsoft 365-samsvar. I de første to tilfellene ligger følsomhetsetikker under Klassifisering. I sistnevnte under Informasjonsbeskyttelse.

Målet for migreringen av AIP-etiketter

aip22

Vi ønsker å foreta en smidig overgang fra AIP til MIP som ikke ødelegger for miljøet. Det gjør vi ved å etablere en sameksistens mellom den klassiske AIP-klienten som henter innstillingene fra Azure-portalen, og klienten for enhetlig merking som får konfigurasjonene fra Microsoft 365. Dette er den innebygde funksjonalitet eller den valgfrie nye AIP-klienten. Merker og beskyttelsesmaler blir felles.

Etiketter i Azure Information Protection

aip23

For å overføre etiketter må vi ta utgangspunkt i portalen for AIP og den klassiske AIP-klienten. I portalen oppretter og redigerer du etiketter og knytter handlinger til dem. Policyene bestemmer hvilke etiketter med innstillinger som skal lastes ned av AIP-klienten. Hos oss er det bare en standard global policy for alle i organisasjonen. Du kan ha flere for spesifikke brukere og grupper. Merkene og innstillingene i den globale policyen gjelder for alle.

aip24

Sånn vises knappene i Windows-versjonene av Word, Excel, PowerPoint og Outlook. Når du klikker på én av dem, utføres en handling. Det kan være alt fra å legge til metadata i et dokument eller en melding, sette inn topp- eller bunntekster, eventuelt et vannmerke, til å kryptere og beskytte data.

Overføre etiketter fra AIP til MIP

aip25

Overfør etikettene med konfigurasjoner til Microsoft 365. Migreringen ødelegger ikke for noe i ditt eksisterende miljø. Bla deg ned til Manage på samme blad. Velg Unified labeling. Klikk på Activate.

aip26

Dermed er merkene med innstillinger overført. Du kan opprette og redigere etikettene begge steder. Det er full toveissynkronisering. Men det anbefales at du gjør dette for den klassiske klienten i Azure-portalen og for enhetlig merking i en av Microsoft 365-portalene. Dette blir klarere nedenfor.

For å laste ned følsomhetsetiketten til klientene må de publiseres. Det kan du gjøre på to måter, enten her under fanen Etikettpolicyer eller i Azure-portalen. I Microsoft 365-portalene får du bedre kontroll. Om du velger å foreta operasjonen via Azure, kopieres alle policyer over og publiseres til klientene. Dette er en engangshandling til forskjell fra synkroniseringen av etikettene. Du bør tenke deg nøye om før du bestemmer deg for fremgangsmåten, og forstå konsekvensene.

Publisere følsomhetsetiketter via Azure

aip27

Vi er rimelig sikre og foretar publiseringen via Azure. Gå tilbake til AIP-portalen i Azure. Velg Unified labeling. Klikk på Copy policies (Preview). Bekreft valget. Legg merke til at det finnes en opsjon for Publish her. Den skal ikke benyttes i denne sammenheng. Den brukes når du har opprettet merker i en av Microsoft 365-portalene og skal publisere dem til Azure AIP-klienter.

aip28

Vi har bare én policy. Den dukker opp med prefikset AIP_. Da er vi veis ende. Office-programmer med den klassiske klienten fortsetter å hente merker og innstillinger fra AIP-portalen. Appene med innebygde enhetlige merkeklienter får sine følsomhetsetiketter fra Microsoft 365. Det samme gjelder den nye AIP-klienten.

aip29

Word med den klassiske AIP-klienten kommuniserer med AIP-portalen i Azure. Her ser du knappen Beskytt.

aip210

Word med den nye AIP-klienten for enhetlig merking henter etiketter og innstillinger fra Microsoft 365. Her heter knappen Følsomhet. Samtidig er informasjonsbeskyttelsen tilgjengelig for macOS, iOS, Android og nett-appene.

Publisere følsomhetsetiketter i Microsoft 365

aip211

Om du ikke har kopiert policyer fra AIP-portalen, vil feltet for etikettpolicyer være tomt. Klikk på Publiser etiketter under fanen Etikettpolicyer.

aip212

Her guider en veiviser deg gjennom følsomhetsetikettene som skal publiseres. Du velger etikettene, så hvem de skal være tilgjengelige for. Det kan være brukere, distribusjonsgrupper, e-postaktiverte sikkerhetsgrupper og Microsoft 365-grupper.

aip213

Under Policyinnstillinger kan du velge å ha en standardetikett, en obligatorisk etikett eller kreve at brukerne skal begrunne handlingene sine. Standardetikett er hendig. Det er derfor Generelt på knapperadene ovenfor er i grått. Det var et valg som allerede var gjort i Azure-portalen. Da slipper bruker å legge til en etikett for all intern kommunikasjon. På den annen side kan det føre til at hun eller han ikke tenker når en melding eller et dokument skal merkes. Så gjenstår det å gi et navn og en beskrivelse og se gjennom innstillingene før du klikker på Fullfør.

Følsomhetsetiketter for nye kunder

Fra april i 2019 sluttet Microsoft med å opprette standardetikettene automatisk for nye kunder i Azure-portalen. Disse leietakerne klargjøres automatisk for den enhetlige merkingsplattformen. Om det ikke er noen følsomhetetikker for dem i Microsoft 365, kan du gå til AIP-portalen i Azure.

aip214

Klikk på Generate default labels for å legge til etikettene i den globale policyen. Hvis du ikke ser muligheten til å generere standardetiketter, må du kanskje først aktivere enhetlig merking. Så kan du migrere dem. Det er egentlig ikke dumt, for Microsoft har gang på gang presisert at oppsettet er nøye gjennomtenkt.

Opprette følsomhetsetiketter

aip215

Velg Informasjonsbeskyttelse, Etiketter. Klikk på Opprett en etikett. Dermed rettledes du med en veiviser. Beskyttelsesinnstillingene du velger for denne etiketten, benyttes umiddelbart på filer, e-postmeldinger eller nettsteder der den blir brukt. Filer som er merket med etiketten, beskyttes uansett hvor de er, enten de lagres i skyen eller lastes ned på en datamaskin. Med Kryptering kontrollerer du hvem som har tilgang til filer og e-postmeldinger som bruker denne etiketten. Merking av innhold lar deg legge til egendefinerte topptekster, bunntekster og vannmerker i innhold som bruker denne etiketten.

Automatisk merking for Office-apper støttes bare i Office-apper for brukere som enten har Microsoft 365 Apps (Office 365 ProPlus) eller Azure Information Protection-klienten for enhetlig merking installert. Når det oppdages sensitivt innhold i e-post eller dokumenter som samsvarer med betingelsene du velger, kan denne etiketten automatisk anvendes eller vise en melding til brukerne med en anbefaling om at de skal benytte den. For at dette skal virke, må du legge til forhånds- eller egendefinerte informasjonstyper, som norsk personnummer eller «Hemmelig prosjekt».

aip216

Etiketter du definerer i Microsoft 365, synkroniseres automatisk med AIP-portalen i Azure. Men de publiseres ikke uten at du klikker på Publish her.

Avsluttende ord

Hensikten var å vise mulighetene. Migreringen av etiketter fungerer godt med standardoppsett. For mer avanserte scenarioer anbefales det at du fordyper deg i mer teknisk dokumentasjon. Det er et poeng i noe Abraham Lincoln sa: «Gi meg seks timer til å hugge ned et tre, og jeg skal bruke de første fire på å slipe øksen.» Analyser miljøet ditt godt. Se om du finner noen begrensninger og eventuelle snublesteiner. Ideelt sett bør man prøve ut alt i et testmiljø. Fremstillingen her demonstrerer gangen.

Nyttige koblinger

How to migrate Azure Information Protection labels to unified sensitivity labels

Create and configure sensitivity labels and their policies

Microsoft Information Protection – Del I

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!