Azure Information Protection.

Eine cloudbasierte Lösung zur Klassifizierung und zum Schutz von Dokumenten und Emails.

Um Azure Information Protection richtig zu nutzen konfiguriert der Administrator Vertraulichkeitsbezeichnungen, auch Sensitivity Labels genannt.

Die Definition dieser Klassifizierungen müssen vorgängig vom Unternehmen festgelegt werden. Nachfolgend eine exemplarische Abbildung, wie dies aussehen kann. Diese Klassifizierungen sollten einfach und klein gehalten werden (3 bis max. 5 Klassifizierungen) und möglichst global (also für das ganze Unternehmen) gelten. Es ist aber auch möglich, Klassifizierungen zu definieren, welche nur von einem einzelnen Bereich (z. B. HR) verwendet werden dürfen.

Azure Protection - innobit ag — Azure Protection

Diese werden vom Ersteller eines Dokumentes gewählt und angewandt. Die Labels können inhaltsbasiert angewandt werden und setzen für das definierte Dokument verschiedene Berechtigungen.

Microsoft-Azure-Information-Protection-Sensitivity

Verschlüsselt und nur für bestimmte User sichtbar

Das klassifizierte Dokument ist anschliessend – abhängig vom gewählten Label und der hinterlegten Konfiguration – beispielsweise verschlüsselt und nur für bestimmte Nutzer lesbar oder bearbeitbar. Weiter kann das Drucken oder Weiterleiten per E-Mail untersagt werden. Wenn eine Weitergabe der Datei gewünscht ist, kann die Anzahl Tage definiert werden, an denen der Inhalt für Externe einsehbar ist.

Mit Azure Information Protection steht dem Nutzer in seinen Office-Anwendungen die Funktion „Schützen“ bzw. „Vertraulichkeit“ zur Verfügung. Hiermit ist es möglich, Labels manuell auf Mails oder Dokumente anzuwenden. Um sicher zu gehen, dass ein geschütztes Dokument ungeachtet gelöscht wird, kann für diesen Vorgang eine Begründung angefordert werden. Eine andere Möglichkeit ist, das Löschen gänzlich zu verbieten.

Granular und auf die Bedürfnisse angepasst.

Der Administrator kann den Nutzern verschiedene Labels zuweisen, die sie benutzen dürfen, um ihre Dokumente zu klassifizieren. Azure Information Protection kann also sehr granular eingerichtet werden.

Eine sinnvolle Konfiguration wäre beispielsweise, ein Label „Vertraulich – alle Mitarbeiter“ zu erstellen. Dieses steht jedem Mitarbeiter zur Verfügung und das Dokument ist so verschlüsselt, dass es nur Mitarbeiter der eigenen Organisation öffnen können.

Als Zusatz kann es dann Unterbezeichnungen, also Sublabels geben, welche abteilungsspezifisch verteilt werden. Eine Möglichkeit dazu: „Vertraulich – HR“. Nur Mitglieder der HR-Gruppe können diese Bezeichnung in diesem Beispiel anwenden und die damit geschützten Dokumente wieder öffnen.

Bei der Einführung von Azure Information Protection empfiehlt es sich mit den jeweiligen Abteilungen zu sprechen. Zum einen um benötigte Labels und den Zugriff auf diese zu definieren und zum anderen um den Ansprüchen der verschiedenen Prozesse an den Informationsschutz gerecht zu werden.

Microsoft Azure Information Create a label - innobit ag — Microsoft Azure Information Create a label

Microsoft stellt vorgefertigte Filter für personenbezogene Daten zur Verfügung

Kreditkarteninformationen, Ausweisnummern oder Ähnliches werden mit einem speziellen Filter von Microsoft zur Verfügung gestellt. Diese Filter erkennen diese Daten in Dokumenten und E-Mails zuverlässig. Wenn ein solches inhaltsbasiertes Label erstellt, kann festgelegt werden, ob dieses bei einer Übereinstimmung im Inhalt des Dokuments automatisch angewandt, oder aber dem User als empfohlen vorgeschlagen werden soll.

Mit Azure Information Protection können die Vorteile auch mit bestehenden Daten genutzt werden. Mit dem Azure Information Protection Scanner können vorhandene Dokumente auf lokalen Ordnern, Netzwerkfreigaben und SharePoint-Servern gescannt werden und mit den erstellten inhaltsbasierten Labels versehen werden. Mit dem Report-only-Modus kann sich der Administrator ein Bild der aktuellen Lage und der Folgen des Labelings machen.

Auch bereits in der Cloud liegende Dateien können mit der Integration von Microsoft Cloud App Security integriert werden, um Bezeichnungen auf Inhalte in Box, SharePoint Online und OneDrive for Business automatisch anzuwenden.

Einsatz von Azure Information Protection auf dem Client
Mit der Office 365-Version 1910 ist das Labeling direkt in den Office-Anwendungen integriert.

Einsatz von Azure Information Protection auf dem Client

Mit der Office 365-Version 1910 ist das Labeling direkt in den Office-Anwendungen integriert.

Azure Labeling - innobit ag — Azure Labeling

Um die Funktion der Klassifizierung direkt auf dem Dateisystem via Explorer durchzuführen, ist der Azure Information Protection Unified Labeling Client nötig. Hiermit lassen sich Dokumente oder ganze Ordner direkt klassifizieren, ohne die einzelnen Dokumente öffnen zu müssen.

Nachverfolgung weitergegebener Dateien

Die Möglichkeit, das aktuelle Dokument nachzuverfolgen und den Zugriff für andere Personen zu entziehen (revoke access to documents). So lässt sich einsehen, von wem, wann und von wo versucht wurde, das Dokument zu öffnen, und ob der jeweilige Zugriff erfolgreich war oder nicht.

Die geteilte Datei kann zurückgezogen werden und ist anschließend für den Empfänger unbrauchbar. Sollte ein Anhang also versehentlich an eine falsche Person gesendet worden sein, ist dank Azure Information Protection kein Grund zur Panik mehr.

Microsoft Azure Information Edit label - innobit ag — Microsoft-Azure-Information-Edit-label

Fazit

Behalten Sie die Kontrolle über Ihre Daten

Azure Information Protection stellt sicher, dass Ihre Daten nur von denen eingesehen werden, für deren Augen der Inhalt bestimmt ist.

Azure Information Protection bietet eine intuitive, nutzerfreundliche Weise, Ihre Dokumente sicher zu verschlüsseln und den Überblick zu behalten. Mit der richtigen Einschulung der Benutzer können diese selbständig und zuverlässig dafür sorgen, dass Ihre Informationen geschützt bleiben – innerhalb und außerhalb Ihres Unternehmens.

Wie geht Daten- und Informationsschutz richtig?