Hopp til hovedinnhold

Beskytt data med Azure Information Protection Del II

Logo letter
Evelon AS
Jon-Alfred Smith

Azure Information Protection er en skybasert tjeneste som lar deg klassifisere og beskytte data i Office 365. Du kan legge til en etikett idet du oppretter et dokument eller sender en e-post. Merket angir hva slags kategori dataene tilhører. Det kan dreie seg om privat korrespondanse, dokumenter ment til offentlig bruk, eller intern og følsom informasjon. Merkelappen er knyttet til en policy. Den kan sørge for bare å legge til metadata i filer for senere katalogisering. Den kan sette inn topp- og bunntekster eller et vannmerke for å tydeliggjøre bruken av opplysningene. Men regelen kan dessuten kreve at dataene skal krypteres og bare være tilgengelig for bestemte grupper med forskjellige tilganger. Ved hjelp av forhånds- og egendefinerte informasjonstyper kan du automatisere klassifiseringen og beskyttelsen. Del I av innlegget ga en innføring i Azure Information Protection, med eksempler knyttet til Office 365-meldingskryptering og et rettighetsbeskyttet Word-dokument. Her tar vi for oss etiketter og policyer.

Båndet for Azure Information Protection

AIPdel21

Klienten for Azure Information Protection legger til båndet med etiketter ovenfor i Word, Excel, PowerPoint og Outlook. Når du klikker på ett av merkene, utføres det en handling på dokumentet eller meldingen. Utgangspunktet her er siste oppdaterte globale policy.

Etiketter og policyer

AIPdel22

Etikettene på beskyttelsesbåndet korresponderer med merkelappene i portalen for Azure Information Protection. Enkelte av merkene sørger for at data markeres, andre for at de beskyttes. Den globale policyen kan ikke slettes, men du kan foreta endringer og legge til flere etiketter. Du kan også sette opp områdedefinerte regelsett for bestemte brukere eller grupper. Logg deg på https://portal.azure.com og søk etter Azure Information Protection for å komme i gang. Det er smart å feste en snarvei til portalen på favoritter eller som flis på dashbordet.

Den globale standardpolicyen

Microsoft legger vekt på å forklare at de har lagt mye arbeid i standardoppsettet for den globale policyen. Da gjelder det å forstå tankegangen. De er kommet frem til at fem knapper egner seg best for alle typer skjermoppløsning. Samtlige etiketter er aktivert. Teksten vises som verktøytips når du beveger musen over knappene.

Hovedetiketter

De atskiller seg i farge – som er heldig valgt. Ingen av dem er knyttet opp mot visuelle markeringer, betingelser for automatisering eller beskyttelse. Etikettene merker bare filer og meldinger.

Personlig: Ikke bedriftsdata, bare til privat bruk. Lysegrønn.
Offentlig: Bedriftsdata som er spesielt forberedt og godkjent for offentlig forbruk. Grønn.
Generelt: Bedriftsdata som ikke er beregnet til offentlig bruk. Men de kan ved behov deles med eksterne partnere. Eksempler er en intern telefonkatalog, organisasjonsdiagrammer, interne standarder og mest intern kommunikasjon. Blå.
Konfidensielt: Følsomme bedriftsdata som kan være til skade for virksomheten hvis de deles med uautoriserte personer. Eksempler omfatter kontrakter, sikkerhetsrapporter, prognoseoversikter og salgskontodata. Oransje.
Høyst konfidensielt: Svært følsomme bedriftssdata som kan forårsake skade på virksomheten dersom de ble delt med uautoriserte personer. Eksempler inkluderer arbeidstaker- og kundeinformasjon, passord, kildekode og forhåndsannonserte finansielle rapporter. Rød.

Underetiketter

Etiketten Enhver gir ingen beskyttelse. De andre krypterer og styrer tilganger. Du får bunntekster, klassifisert som Konfidensielt og Høyst konfidensielt, men ellers er det de samme tre kategoriene.

Konfidensielt \ Alle ansatte: Konfidensielle data som krever beskyttelse, og som gir alle ansatte samtlige tillatelser. Dataeierne kan spore og tilbakekalle innhold.

Konfidensielt \ Enhver (ikke beskyttet): Data som ikke krever beskyttelse. Bruk dette alternativet med forsiktighet og med god begrunnelse for bedriftsdata.

Konfidensielt \ Bare mottakere: Fortrolige data som krever beskyttelse, og som kun kan leses av mottakerne.

Standardetiketter og egendefinerte tillatelser

AIPdel23

Etikettene burde dekke nok behov for å komme i gang med klassifisering, merking og beskyttelse. Men det kan virke som om vi er altfor fastlåst til ferdige maler. Hva om vi ønsker å markere et dokument med Personlig og kryptere det? Da kan vi bruke egendefinerte tillatelser. Klikk på ikonet Beskytt. Her kan du velge mellom: Leser – Bare vise; Kontrollør – Vise, redigere; Medforfatter – Vise, redigere, kopiere og skrive ut; Medeier – Alle tillatelser; Bare for meg.

Opprette egne etiketter med policyer

Forhåpentlig har gjennomgangen hjulpet deg med å komme i gang (se også Teknisk tillegg). Begynn langsomt og forsiktig. Sørg for å gjøre det så enkelt som mulig. Prosessen er i langt mindre grad et spørsmål om teknologi enn om å møte virksomhetens behov. Du må trekke inn folk med innsikt i forskjellige sider ved bedriften. Oppgavefordelingen vil typisk være at de setter opp ønsker om klassifisering, og at du konfigurerer etikettene. Ikke all informasjon må beskyttes. Det holder å merke en god del data så du får en oversikt over alt som ligger lagret i skyen.

Spore og tilbakekalle dokumenter

AIPdel24

Et dokument er delt med min kone. Blant annet kan hun ikke kopiere fra det eller foreta en utskrift, men hun har rettigheter til å lese, redigere og lagre. Det er verdt å merke seg at manglende rett til kopiering også hindrer skjermdumper. Nå da filen er beskyttet og delt, kan det være et poeng å spore bruken. Benytt Azure Information Protection-appen. Du får tilgang til den fra dokumentet – ikonet Beskytt på Office-båndet – eller ved å høyreklikke på filen i Windows Filutforsker. Du kan ikke tilbakekalle kryptert e-post som er sendt utenfor organisasjonen – håpløst nok med vanlig e-post.

AIPdel25

Dokumentet er åpnet én gang. I listen kan vi se hvem som har gjort det. Tidslinjen viser når det skjedde. På kartet ser vi hvor. Under innstillinger kan du sett opp e-postvarsler. Du kan velge om du ønsker å bli underrettet når noen prøver å åpne et dokument, eller bare når det nektes tilgang. Du kan også velge at du overhodet ikke vil bli varslet. Herfra kan du også tilbakekalle tilgang.

Konklusjon

Folk må få jobben sin gjort. Vi samarbeider med andre både i og utenfor virksomheten. Dataene er ikke lenger trygt forvart bak en brannmur. De flakker omkring på tvers av enheter, apper og tjenester. Dét bør de gjøre på en trygg måte som oppfyller våre krav til sikkerhet og samsvar. Med Azure Information Protection kan du klassifisere og rettighetsbeskytte følsomt innhold, samtidig som du sørger for at det ikke legges hindringer i veien for produktivitet og samhandling.

Informasjonsbeskyttelsen er omfattende og imponerende godt integrert i Office 365-økosystemet. Den sørger for sikker ende-til-ende-kommunikasjon for e-post. Med transportregler i Exchange kan du kryptere meldinger til bestemte mottakere, grupper og domener. Høyreklikk på dokumenter i filsystemet og rettighetsbeskytt dem. Klikk på en etikett i Office-apper eller velge egendefinerte tillatelser – snart også i Adobe Acrobat. Automatiser sikringen av data. Spor og tilbakekall dokumenter. Du kan innlemme Information Rights Protection (IRM) i dokumentbiblioteker i SharePoint og OneDrive for Business.

For Microsoft er Azure Information Protection et strategisk produkt som stadig videreutvikles. Etikettene kommer til å fungere på tvers av andre Microsoft-apper og -tjenester. Du vil kunne styre brukertilgangen til bestemte områder og hindre at data lekker ut av virksomheten. Det legges til funksjoner for automatisk å skanne lagrede filer og merke dem. Overvåking og logging går over til å bruke Azure Log Analytics, med støtte for spørringer, oversiktlige grafer og Microsoft Power BI – som kan gi deg visuelt interaktiv innsikt. Ikke minst er det klienter for Windows, macOS, iOS og Android.

Koblinger

Beskytt data med Azure Information Protection – Del I

Teknisk tillegg

Her er det forslag om å tilpasse den globale policyen og legge til bedre synlighet for enkelte av merkelappene. Det vises hvordan en etikett er bygget opp. Til slutt demonstreres det hvordan du setter opp automatisert klassifisering fra bunnen av.

Tilpasse den globale policyen

AIPdel26

La oss legge til et standardvalg for etiketter om bruker ikke velger et merke. Velg Policies under Classifications. Klikk på policyen Global – Standard policy for alle brukere i Office 365-organisasjonen. Her settes Generelt som standardetikett. Overvåking er ikke konfigurert ennå. Alle andre opsjoner er slått på. Ikke glem å klikke på lagre om du har foretatt endringer.

Sette opp visuelle markeringer

AIPdel27

Gi mer synlighet til klassifiseringene Personlig, Offentlig og Generelt. Klikk på ett av merkene og bla deg ned til Documents with this label have a footer. Skriv inn teksten for bunnteksten. Klikk på Save.

Oppbygningen av etiketten Alle ansatte

Det er lettest å komme i gang ved å studere eksisterende etiketter. Det er en felles innstilling som navn og status. Det kan være knyttet en visuell markering eller beskyttelse til dem. Det kan være satt opp betingelser. For beskyttelsen gjelder at du velger nøkkel og tildeler rettigheter til grupper eller enkeltbrukere. Du kan velge en utløpsdato for innholdet og angi tilgang for frakoblet modus.

AIPdel28

Velg Alle ansatte og klikk på Protection. Venstre blad viser at merket er aktivert. Det er en beskrivelse som kommer frem når du beveger musen over merkelappen i en Office-applikasjon. Alle i domenet sildeviga.no er medeiere. Tilgangen til dataene utløper aldri og er tilgjengelig når du er frakoblet.

Sette opp en etikett med foreslått klassifisering

AIPdel29

Her vises det hvordan du setter opp en ny etikett fra bunnen av. Klassifiseringen, som er basert på innholdsanalyse, krever en lisens på Azure Information Protection Premium P2 (Enterprise Mobility + Security E5). Om du bare har lisens for Premium P1, må du droppe den automatiserte beskyttelsen. Men ellers er gangen den samme.

Velg Labels i portalen for Azure Information Protection. Klikk på Add a new label. Navngi den og legg til en beskrivelse. Klikk på Protect. Du får opp et nytt blad. Klikk på Add permissions. Velg en gruppe du ønsker å angi rettigheter til.

AIPdel210

For enkelthetens skyld lar vi alle være medeiere. Innholdet er tilgjengelig i sju dager uten Internett-tilkobling. Så må vi autentisere oss på nytt. Her kan det være vel verdt å bla seg nedover i tillatelser for å få en forståelse for mulighetene.

AIPdel211

Etter at etiketten er lagret, kan vi legge til en betingelse for automatisert klassifisering. Det må minst være én forekomst av et norsk personnummer.

AIPdel212

Til slutt angir vi hvordan etiketten skal brukes. Vi velger at den i første omgang skal komme med en anbefaling. Så sant det dukker opp et personnummer i en fil, blir denne etiketten foreslått.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!