Hopp til hovedinnhold

Følsomhetsetiketter i Microsoft 365 Business Premium

computer with security

Microsoft 365 Business Premium er et godt balansert produkt. Det leverer en overlegen plattform for produktivitet og samarbeid, avansert identitets- og tilgangsstyring, sikkerhet og trusselbeskyttelse i foretaksklassen og markedsledende enhets- og applikasjonsbehandling. Derimot er mekanismene for informasjonsbeskyttelse av mer grunnleggende natur. De støtter bare manuell merking av data, ikke automatisert oppdagelse og klassifisering av sensitiv informasjon.

Til gjengjeld kan det være alt du trenger, og la oss få mest mulig ut av det. Nytt er samtidig redigering av kryptert innhold på alle versjoner av Microsoft 365 Apps, også på Android og iOS. Beskyttelsen i Business Premium er basert på Azure Information Protection Plan 1, Office 365 Hindring av datatap og Office Meldingskryptering Standard. Om du har mer omfattende behov for informasjonsstyring og samsvar, kan du tegne en tilleggslisens på E5 Info Protection and Governance.

Microsoft Purview Informasjonsbeskyttelse

etiketter

Lisensen Azure Information Protection (AIP) har beholdt sitt gamle navn. Produktet ble omdøpt til Microsoft Informasjonsbeskyttelse da funksjonen ble flyttet fra Azure-portalen til Microsoft 365. Så fikk det tilføyelsen Purview (myndighets- el. ansvarsområde). AIP ble lansert høsten 2016 med en klient for Windows som la inn en knapperad i Word, Excel, PowerPoint og Outlook. Med den kunne du klassifisere og merke dokumenter og e-post med topp- og bunntekster og vannmerker (bare for filer). Samtidig forenklet den håndteringen av informasjonsbeskyttelse i betydelig grad.

Angi tillatelser

AIP fungerte som en overbygning for Azure Rights Management (Azure RMS), en teknologi for å styre rettigheter til data. Denne har flere fellestrekk med digital rettighetsadministrasjon (DRA), som har som mål å begrense bruksmulighetene til opphavsrettsbeskyttet informasjon. Når du leier en film på nettet, får du lesetilgang i en begrenset tidsperiode. Azure RMS opererer på samme vis. Du kan på en finmasket måte angi hva andre kan gjøre med et dokument eller en e-post. Dataene er alltid kryptert når du bruker Azure RMS, og er utilgjengelig for uvedkommende.

Du angir hvem som skal ha tilgang, og hva slags: lese, endre eller full kontroll. Du kan la tilgangen til dokumenter utløpe på en bestemt dato. Du kan tillate eller nekte at personer kan skrive ut eller kopiere innhold. Du kan kreve at bruker er tilkoblet når dokumentet åpnes, og du kan tilbakekalle rettighetene. Azure RMS var tungvint å bruke og krevde mye forarbeid. Med AIP ble det enkelt å rettighetsstyre tilganger. All funksjonalitet er bevart i Microsoft Purview Informasjonsbeskyttelse, men nå må du bruke de innebygde mekanismene i Microsoft 365 Apps. Det finnes fortsatt en klient for Windows, AIP enhetlig merkingsklient. Den deaktiveres riktig nok i nyere versjoner av Office-appene, men har en del andre egenskaper enkelte kan ha nytte av.

Følsomhetsetiketter

etiketter i word

Det du skal benytte, er innebygde følsomhetsetiketter, som er hjørnesteinen i Microsoft Purview Informasjonsbeskyttelse. Merketeknologien strekker seg på tvers av plattformer (Windows, macOS, iOS, Android og nett), samt på tvers av Microsofts apper og tjenester. Innebygd merking er også utformet for å fungere med andre Microsoft Purview-funksjoner, som dataklassifisering, hindring av datatap (DLP) og opplærbare klassifiserere. Uten et Office-tillegg drar du nytte av mer stabilitet, bedre ytelse og en modul mindre som må holdes oppdatert og inngår i din angrepsflate.

AIP enhetlig merkingsklient

Etiketter i onedrive

Selv om AIP-klienten for enhetlig merking er deaktivert i Office-apper, støttes de andre funksjonene:

  • Høyreklikk på Alternativer i Windows Filutforsker for å bruke etiketter på alle filtyper.
  • Et visningsprogram som viser krypterte filer for tekst-, bilde- eller PDF-dokumenter.
  • En PowerShell-modul for å oppdage sensitiv informasjon i filer lokalt og for å bruke eller fjerne etiketter og kryptering fra disse filene.
  • En skanner for å oppdage sensitiv informasjon i lokale datalagre for så å merke innholdet.

PowerShell-modulen AIPService lar deg administrere krypteringstjenesten på organisasjonsnivå. Du setter opp superbrukertilgang når du må fjerne kryptering for gjenoppretting, spore og tilbakekalle filer og konfigurere gyldighetsperioden for brukslisensen for frakoblet tilgang.

Konfigurere følsomhetsetiketter

Konfigurer beskyttelse

Med et abonnement på E5 Information Protection and Governance finner du en forenklet metode for å sette opp følsomhetsetiketter under menypunktet Informasjonsbeskyttelse. Det konfigurerer tolv etiketter som er anbefalt av Microsoft for klassifisering av innhold – med verktøytips på norsk. La oss bruke det som mal for Business Premium og manuell merking.

Informasjonsbeskyttelse

Dette er etikettene som ble opprettet. Under Svært hemmelig finner vi Alle ansatte nok en gang pluss Bestemte personer. Et interessant moment er at merkelappene ikke er særlig forskjellig fra de opprinnelige. Microsoft gjorde i sin tid stort vesen av å vise hvor godt de hadde gjennomtenkt dem. De går igjen i selskapets dokumentasjon og presentasjoner. Det ble sagt at man ikke skulle ha mer enn fem etiketter ved siden av hverandre på knapperaden av hensyn til skjermstørrelse og -oppløsning på bærbare. Under knappene kunne man legge undergrupper.

Siden vi nå har å gjøre med nedtrekksmenyer, kan man se bort fra denne layout-begrensningen. Microsoft fastholdt at det aldri skulle være mer enn 25 etiketter som hver enkelt bruker må forholde seg til. Andre spesialister på området setter smertegrensen til tolv. Etikettene og bruksområdene bør dokumenteres på intranettet (kommunikasjonsområde i SharePoint). Én ting er hvilke etiketter du har satt opp i hele organisasjonen, en annen er hvem du publiserer dem til med etikettpolicyer. Du kan eksempelvis angi at de første fire bolkene skal ut til alle og den femte skal tilpasses ulike grupper.

Microsofts anbefalte etiketter

Før vi går i gang med våre egne etiketter, er det en god idé å forstå hvordan Microsoft har tenkt. Ettersom merkingen bare er manuell, må vi overlate det til sluttbrukere å foreta vurderingene. Derfor må vi gjøre etikettene intuitive; navnet på hver merkelapp bør være kort og konsist.

Privat er for ikke-bedriftsdata, bare til personlig bruk. Offentlig er for organisasjonsdata som er spesielt klargjort og godkjent for offentlig bruk. Generelt omfatter forretningsdata som ikke er ment for offentlig forbruk, men som deles med eksterne partnere etter behov. Nytt her er at det er to underetiketter: Alle (ubegrenset) gjelder for partnere; Alle ansatte (ubegrenset) er bare for medlemmer av virksomheten – trenger du å dele dette innholdet med partnere, må du bekrefte det med andre dataeiere og så endre etiketten til Alle (ubegrenset).

Hemmelig skal brukes på sensitive forretningsdata som kan forårsake skade på virksomheten hvis de deles med uautoriserte personer. Det er tre undergrupper: Alle (ubegrenset) benyttes på konfidensielle data som ikke trenger å krypteres. Alle ansatte er for konfidensielle data som krever beskyttelse, og som gir alle ansatte fullstendige tillatelser; dataeiere kan spore og tilbakekalle innhold. Klarerte personer skal anvendes på konfidensielle data som kan deles med klarerte personer i og utenfor organisasjonen; disse personene kan også dele dataene på nytt etter behov. Brukere kan tilordne tillatelser.

Svært hemmelig angår forretningsdata som ville forårsake skade på virksomheten hvis de ble delt med uautoriserte personer. Her er det to underkategorier: Alle ansatte gjør det mulig for alle ansatte å vise, redigere og svare på tillatelser til dette innholdet; dataeiere kan spore og tilbakekalle innhold. Bestemte personer er for svært konfidensielle data som krever beskyttelse, og som bare kan vises av personer du angir, og med tilgangsnivået du velger.

Kommentar til etikettene

Privat, Offentlig og Generelt burde være grei skuring. Å inndele Generelt i to grupper gir mening, sammen med anbefalingen om å endre merkelappen hvis dataene deles med partnere. I gruppene Hemmelig og Svært hemmelig er det bare én etikett som ikke krypterer: Alle (ubegrenset). Disse dataene bør til gjengjeld sikres med et regelsett for hindring av datatap.

Så er neste spørsmål: Hvem har tilgang til krypterte data? For Alle ansatte er det medlemskap i en e-postaktivert sikkerhetsgruppe, en statisk distribusjonsgruppe eller en Microsoft 365-gruppe som omfatter alle som jobber i virksomheten (brukere og grupper trenger to attributter i Azure AD for å autoriseres: proxyAddresses og userPrincipalName). Klarerte personer og Bestemte personer er fleksibelt. Brukere angir selv hvem som skal ha tilgang, og hva slags tilgang de skal ha. Se skjermbildet under avsnittet Microsoft Purview Informasjonsbeskyttelse.

Verktøytips for etikettene

Verktøytips bør være med som beskrivelse for brukere. Samtidig tydeliggjør de ytterligere hvordan etikettene er tenkt. Om du følger Microsofts anbefalinger og oppretter etikettene manuelt, kan du kopiere innholdet.

Personlig: Ikke-bedriftsdata, bare til personlig bruk.

Offentlig: Organisasjonsdata som er spesielt utarbeidet og godkjent for offentlig bruk.

Generelt: Organisasjonsdata som ikke er ment for offentlig bruk. De kan imidlertid deles med eksterne partnere etter behov. Eksempler inkluderer en intern telefonkatalog for firmaet, organisasjonskart, interne standarder og det meste av intern kommunikasjon.

Generelt/Alle (ubegrenset): Organisasjonsdata som ikke er ment for offentlig bruk, men som kan deles med eksterne partnere hvis det er aktuelt. Eksempler inkluderer kundesamtaler som ikke inkluderer sensitiv informasjon eller markedsføringsmateriell som allerede er utgitt.

Generelt/Alle ansatte (ubegrenset): Organisasjonsdata som ikke er ment for offentlig bruk. Hvis du trenger å dele dette innholdet med eksterne partnere, må du kontrollere at det tillates av dataeiere og merke innholdet på nytt som Generelt/Alle (ubegrenset). Eksempler inkluderer en intern telefonkatalog for firmaet, organisasjonskart, interne standarder og det meste av intern kommunikasjon.

Hemmelig: Sensitive bedriftsdata som kan forårsake skade på bedriften hvis de deles med uautoriserte personer. Eksempler inkluderer kontrakter, sikkerhetsrapporter, prognosesammendrag og salgskontodata.

Hemmelig/Alle (ubegrenset): Hemmelige data som ikke trenger å krypteres. Bruk dette alternativet med forsiktighet og med passende forretningsmessig begrunnelse. Sørg for å beskytte dataene på andre måter, for eksempel gjennom hindring av datatap.

Hemmelig/Alle ansatte: Konfidensielle data som krever beskyttelse, som gir alle ansatte full tillatelse. Dataeiere kan spore og tilbakekalle innhold.

Hemmelig/Klarerte personer:Hemmelige data for intern/ekstern deling som kan deles på nytt av klarerte mottakere.

Svært hemmelig/Alle ansatte: Svært hemmelige data som gir alle ansatte tillatelse til å vise, redigere og svare på dette innholdet. Dataeiere kan spore og tilbakekalle innhold.

Svært hemmelig/Bestemte personer:Svært hemmelige data som krever beskyttelse og som bare kan vises av personer du angir, og med tilgangsnivået du velger.

Superbrukere

Powershell

Ansatte blir borte. Enkelte ganger må du ha tak i deres beskyttede filer. Da må du inn med PowerShell. Installer og importer modulen AipService og koble deg til tjenesten. Så må du aktivere AipServiceSuperUserFeature. Legg til bruker med Add-AipServiceSuperUser. Superbrukeren har ubegrensede rettigheter og kan dekryptere dataene. Når du er ferdig, bør du fjerne brukeren igjen og koble deg fra. Funksjonaliteten er ikke eksponert i det grafiske brukergrensesnittet.

Kryptere eller ikke kryptere

Både IT-folk og sluttbrukere har fra gammelt av hatt blandede følelser i forhold til krypterte data. Kryptering foregår med sertifikater, noe som kan være innviklet. I Microsoft 365 ser du ikke noe til dem. Det skjer i bakgrunnen uten at brukere er klar over det. Hva skjer om jeg skal ha tak i uleselige dokumenter og e-post fra en ansatt som har sluttet? Du oppretter en superbruker som har alle tilganger. Foregår ikke alt mye tregere? Med små filer vil du knapt legge merke til det; med store dokumenter er det noe langsommere å åpne og lagre dem.

Hva med samtidig redigering i sanntid? Det problemet er løst på samtlige plattformer (i hvert fall annonsert for Android og iOS/iPadOS). Men det viktigste med kryptering er sikkerheten. Dagens menneskedrevne løsepengevare- og utpressingsangrep er forbudet med trusler om å offentliggjøre følsom informasjon. Om den er kryptert med en nøkkel angriperne ikke har tilgang til, er mye vunnet som ledd i din forebyggende cybersikkerhet. Ikke glem at du også bør tenke på innsidetrusler, og at enhver virksomhet har opplysninger som ikke bør deles med alle.

Det er et moment til med kryptering og rettighetsstyring. I oldtiden snurret planetene rundt jorden. Etter Kopernikus beveger jorden seg rundt solen. Med Microsofts informasjonsbeskyttelse foretar vi en kopernikansk dreining bort fra usikrede data på beskyttede lagringsområder til sikrede data på ubeskyttede media – et paradigmeskifte for moderne Zero Trust-sikkerhet. Følsomhetsetikettene forblir knyttet til dataene under hele deres levetid eller inntil de endres.

Dataklassifisering

Overvåking og synlighet er alfa og omega i dag. Under Dataklassifisering ser du hvilke etiketter som benyttes. Det kan gi deg en pekepinn om hvilke etiketter som har noe for seg i virksomheten din. (De lave tallene skyldes at dette primært er fra et testmiljø.)

Avsluttende ord

Informasjonsbeskyttelsen med følsomhetsetiketter i Microsoft 365 Business Premium er høyst funksjonell. Microsofts generelle anbefalinger om etiketter kunne etter min beskjedne oppfatning ikke vært bedre gjennomtenkt. Det er en begrensning at det ikke følger med automatiserte rutiner for å oppdage, klassifisere og merke data. Men på ett eller annet nivå må selskapet si stopp for hva de leverer i et produkt som attpåtil er priset så pass lavt. Du kan tegne en tilleggslisens for mer funksjonalitet.

Publisert:

Inspirert? Vi vil gjerne hjelpe deg med å finne den beste løsningen for din bedrift.

Ta kontakt med oss for en uforpliktende prat!