Klassificera och skydda dokument i Office Online

Under Ignite lanserade Microsoft en preview för att aktivera Unified Labeling i SharePoint Online. Vad betyder då detta och vad blir effekten av att gå med i denna preview?

image

Först och främst. SharePoint Online täcker en hel del tjänster och innefattar också Teams, OneDrive (for business) och Office Online. Till exempel när du via Office.com eller via Teams väljer att skapa ett nytt Office dokument och jobba online med detta.

Office Online möjliggör klassificering och skydd av dokument

Vi får nu stöd att klassificera och skydda dokument som skapas online (exempelvis via Teams). Där vi finner en ”Sensitivity” -knapp som redovisar våra Unified Labels.

image image
Exempel på dokument som skapats från Teams klienten eller Office Online (i detta fall OneDrive for Business)

Detta resulterar i att vi förtydligar informationens klassning/känslighet och även att vi begränsar informationen till de som är inkluderade i den applicerade policyn. Delas eller laddas informationen, vidhålls eventuell kryptering/behörighet och säkerhetsställer att informationen är skyddad i alla typer av tillstånd.

Office online ger stöd att öppna befintligt skyddade dokument

Befintligt skyddade filer (som skyddads med Azure RMS inom samma tenant) kan nu redigeras via Office Online (Teams, SharePoint, OneDrive). När den här funktionen aktiveras får SharePoint Online rättigheter att dekryptera innehållet. Behörigheterna som är definierade i Unified Labeling för den respektive labeln kommer vidhållas.
Resultatet blir, att så länge den autentiserade användaren har behörighet definierade för den specifika labeln ger SharePoint Online motsvarande rättigheter till dokumentet via Teams eller webbläsaren.

På det här sättet får vi lager på lager skydd för att säkerhetsställa att information klassificerad exempelvis enbart för intern användning inte går att nå för en externt inbjuden användare till vår Teamskanal eller SharePoint bibliotek.

Skyddet vidhålls om filen laddas ner och återgår till ursprungsläget med den RMS kryptering som var applicerad baserat på dokumentets label.

Förkrav och möjliga undantag

Unified Labeling måste vara aktiverat så det finns publicerade labels i Unified Labeling för de användare som ska nyttja lösningen. Om man vill begränsa en pilot för möjlighet att klassificera dokument i onlinelösningen finns möjligheten att enbart publicera Unified Labeling till dessa användare/grupper.

Dokument som krypteras med användardefinierade behörigheter så som Custom Permissions (eller Do Not Forward/Encrypt via E-post) kommer inte kunna (dekrypteras) editeras via dessa online lösningar.
För att detta ska fungera måste krypteringens behörighet vara definierade i den applicerade policyn. På det här sättet kan organisationen själva styra över vilken känslighet på information som är tillåten att användas vi online tjänster.

De labels som innebär kryptering måste använda Azure Cloud Key för att få möjlighet att öppna dessa filer via online tjänsterna. Används en annan nyckel så som AD RMS måste dokumentet öppnas med lokalt installerad Office precis på samma sätt som det fungerar idag med alla skyddade filer om man inte går med i denna preview.

Viktigt beslut innan aktivering

Allt som rör informationshantering ägs av verksamheten (och eventuell utsedd CISO). Med andra ord, IT kan inte besluta om den här funktionen ska aktiveras. Beslutet ägs av verksamheten! Även om lösningen främjar vårat informationsskydd och förenklar för våra användare måste verksamheten/CISOn vara medveten om att RMS-krypteringen ersätts av befintlig data-at-rest krypteringen under lagring i Office online.
Det finns som sagt lösningar för att förhindra detta för vissa labels med hjälp av HYOK, användardefinierade behörigheter eller baserat på inställningen per bibliotek i SharePoint.


Det här inlägget postades i Microsoft Information Protection och har märkts med etiketterna . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google-foto

Du kommenterar med ditt Google-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Ansluter till %s