Shareflex-integratie met Microsoft Purview

Shareflex-integratie met Microsoft Purview

Het doel is om documenten (Word, Excel, PowerPoint) in een SharePoint Online (SPO) Shareflex-oplossing (zoals QM) te beschermen wanneer deze documenten vertrouwelijke informatie bevatten. Shareflex slaat de documenten op in een standaard SPO-bibliotheek, dus deze aanpak werkt ook als je Shareflex niet gebruikt.

We willen de volgende beschermingsmaatregelen bereiken:

  • Automatisch labelen van documenten in rust met behulp van een woordenlijst, zonder dat eindgebruikers instructies hoeven te volgen.
  • Versleuteling van het document
  • Voorkomen van afdrukken, downloaden en delen van het document

Voordat we uitleggen hoe de vereisten zijn gerealiseerd, laten we eerst zien hoe de doelen worden bereikt voor de gebruikers van QM.

Het resultaat

In QM Nieuwe documenten bevatten deze drie documenten het woord “Dakota” in de .docx-bestanden. De eindgebruikers vergaten het Dakota-beleid toe te passen, dus nu moet het systeem ervoor zorgen dat het juiste beleid wordt toegepast.

Maandag, 29 juli, 11:50.

Het duurt een paar uur voordat het auto-labelingbeleid Word-documenten met de string “Dakota” detecteert en het Dakota-beleid toepast. Het resultaat wordt weergegeven in de afbeelding hieronder. De rode watermerken zijn toegepast.

 

Hetzelfde document is geopend in Word Online, en het rode schild in de linkerbovenhoek geeft aan dat het Dakota-beleid is toegepast.

Alle deel-, download- en afdrukopties zijn uitgeschakeld, dus ze zijn niet beschikbaar.

Andere gebruikers kunnen het bestand helemaal niet openen.

De configuratie

Er zijn twee verschillende methoden om automatisch een gevoeligheidslabel toe te passen op inhoud in Microsoft 365:

Client-side labeling bij het bewerken van documenten of het samenstellen (ook beantwoorden of doorsturen) van e-mails: Gebruik een label dat is geconfigureerd voor automatisch labelen voor bestanden en e-mails (inclusief Word, Excel, PowerPoint en Outlook). Deze methode ondersteunt het aanbevelen van een label aan gebruikers, evenals het automatisch toepassen van een label. In beide gevallen beslist de gebruiker echter of het label wordt geaccepteerd of afgewezen, om ervoor te zorgen dat de inhoud correct wordt gelabeld. >>> dit past niet bij ons doel

Service-side labeling wanneer de inhoud al is opgeslagen (in SharePoint of OneDrive) of gemaild (verwerkt door Exchange Online): Gebruik een auto-labelingbeleid. Je kunt deze methode ook wel auto-labeling voor gegevens in rust (documenten in SharePoint en OneDrive) en gegevens in transit (e-mail die wordt verzonden of ontvangen door Exchange) noemen. Voor Exchange omvat dit geen e-mails in rust (postvakken). Omdat dit labelen door services wordt toegepast in plaats van door applicaties, hoef je je geen zorgen te maken over welke apps gebruikers hebben en welke versie. Hierdoor is deze functionaliteit onmiddellijk beschikbaar binnen je organisatie en geschikt voor labelen op schaal. Auto-labelingbeleid ondersteunt geen aanbevolen labeling omdat de gebruiker niet interacteert met het labelingproces. In plaats daarvan voert de beheerder de beleidsregels uit in simulatie om ervoor te zorgen dat de inhoud correct wordt gelabeld voordat het label daadwerkelijk wordt toegepast. >>> dit past bij ons doel.

 

Licentievereisten

Het is cruciaal om ervoor te zorgen dat je de juiste licenties hebt om alles soepel te laten verlopen. In de MS-ontwikkelingsomgeving hebben we de volgende licenties:

E5-ontwikkelaarslicentie is gratis en we hebben één Enterprise Mobility + Security E5 Trial-licentie aangeschaft, omdat deze ook Intelligente gegevensclassificatie en labeling bevat. Je kunt deze licentie aanschaffen via de Marketplace-optie.

Voor productieomgevingen zijn de volgende Microsoft 365-licenties vereist om automatisch gevoeligheidslabels toe te passen op je middelen in Microsoft 365 en de Microsoft Purview Data Map:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5 Compliance
  • Microsoft 365 E5/A5/G5 Information Protection en Governance
  • Office 365 E5, Enterprise Mobility + Security E5/A5/G5 en AIP Plan 2

Maak een gevoeligheidsinfo-type aan

Navigeer naar https://compliance.microsoft.com (Microsoft Purview)

Het doel is om automatisch labels toe te passen op (Word-)documenten wanneer de string “dakota” door de gebruiker wordt geschreven. Hiervoor moeten we eerst een aangepaste classifier maken onder Purview Data Classification.

Maak een patroon aan. Het woordenboek bevat alleen het woord “dakota”.

Maak een nieuw gevoeligheidslabel aan

Tip: het duurt even voordat het nieuwe labelbeleid actief is. Ik wijzig de kleur om te zien wanneer het actief is.

De volgende gebruiker is toegewezen, later voegen we meer gebruikers toe.

Nu gebruiken we het gevoeligheidsinfo-type dat we eerder in deze post hebben aangemaakt.

De auto-labelingfunctie labelt documenten in Word-bestanden die zijn opgeslagen in SharePoint niet automatisch. Ik weet niet zeker wat het doel is, dus laten we het uitschakelen en in plaats daarvan een auto-labelingbeleid gebruiken.

Label opslaan.

Het label is vermeld

Je moet het label publiceren, anders is het niet beschikbaar voor de gebruikers.

Het nieuwe beleid wordt vermeld. De optie ‘label publiceren’ weergegeven in de onderstaande afbeelding doet hetzelfde als wat we net hebben gedaan, dus er is nu geen behoefte om deze optie te gebruiken.

Gebruikers kunnen het label kiezen (24 uur na publicatie van het label).

Gebruikers kunnen het gevoeligheidslabel bijvoorbeeld vrijelijk terugzetten naar ‘persoonlijk’, waarmee de watermerken worden verwijderd.

Maak een auto-labelingbeleid aan

Het MS Purview auto-labelingbeleid ondersteunt alleen docx, pptx en xlsx-bestanden.

Zorg ervoor dat je de nieuwe MS Purview-portal gebruikt om fouten te voorkomen. De onderstaande instructies gebruiken de oude portal, dus raak niet in de war door dit.

Nu kunnen we het eerder gemaakte Gevoelige info-type Dakota kiezen

Nu kunnen we het eerder gemaakte label kiezen

 

 

Dat is het, denken we. Als dit niet werkt voor jou, kijk dan naar de onderstaande instructies. We weten niet zeker of ze nodig zijn. We hebben veel geprobeerd en getest om dit uit te zoeken en misschien hebben we vergeten wat nodig is.

Schakel Audit in

Het is raadzaam om de audit in te schakelen, misschien wordt deze gebruikt door de auto-labelingfuncties.

Navigeer naar Audit en klik op de knop Start met het opnemen van gebruikers- en beheerdersactiviteiten

Momenteel ondersteunt de Audit-zoekopdracht geen zoekopdrachten naar strings binnen Word-documenten; het kan echter wel zoeken naar strings in bestandsnamen.

Laten we een zoekopdracht uitvoeren op de string Dakota* op de site https://8126z5.sharepoint.com/sites/qapurview/*

Het resultaat:

 

Navigeer naar https://security.microsoft.com (Microsoft Defender)

 

Navigeer naar Systeem \ Instellingen

Kies Cloud-apps

Kies Microsoft Information Protection

Een screenshot van een zwart vak Beschrijving automatisch gegenereerd

Zorg ervoor dat het onderstaande is ingesteld.

Een screenshot van een computerscherm Beschrijving automatisch gegenereerd

Wacht enkele uren voordat je doorgaat met de volgende stappen, omdat Office 365-bestanden in het begin grijs zijn.

Schakel de onderstaande instelling in Defender in onder Instellingen \ Cloud-apps \ Informatiebeveiliging \ Bestanden, anders kun je geen beleid maken.

Kies Verbonden apps \ App-connectoren

Verbind een app, kies Office 365

Kies Office 365-bestanden (in de onderstaande afbeelding is deze optie grijs, maar na het volgen van deze procedure is deze nu selecteerbaar).

Na het opslaan verandert het van:

Een screenshot van een computer Beschrijving automatisch gegenereerd

Naar de onderstaande status na enkele uren.