Azure Information Protection – Bedingungen für die automatische Klassifizierung

In meinem Vortag bei der TUGA IT zum Thema Azure Information Protection habe ich mit dem Publikum über die Möglichkeit der automatischen Klassifizierung diskutiert. Wir stellten uns die Frage, ob diese sinnvoll ist oder ob eine manuelle Zuweisung mit einer Schulung für die MitarbeiterInnen sinnvoller sei. Dabei kamen wir auch auf die Frage, ob und wie man die automatische Klassifizierung genauer konfigurieren kann. 

Automatische Klassifizierung – Methoden

  1. Azure Portal Eintrag bei AIP (definiert ein Label für alle Dokumente und Emails, die der User öffnet)
  2. AIP Scanner  (Per Scanner werden alle Dokumente in den definierten Speicherorten entsprechend der Vorgaben klassifiziert)
  3. MCAS (manuell oder automatisch per MCAS User/Global Admin)
  4. AIP – automatische Zuweisung mit Bedingung / Aufforderung

 

AIP – automatische Zuweisung mit Bedingung + Aufforderung an den Nutzer 

Wenn ihr euch für den Einsatz der automatischen Klassifizierung mit AIP entscheidet, dann besteht die Möglichkeit diese unter Bedingungen zu stellen. Die Muster-Vorlagen kennt ihr bestimmt schon aus dem DLP Bereich.

Die Einstellungen gelten für

  • unterstütze Dokumente (z.B. Word)
  • E-Mails

Automatisch vs. empfohlen 

Nun müsst ihr zunächst entscheiden, ob die Dokumente, die den Bedingungen entsprechen automatisch klassifiziert werden oder erstmal der Nutzer nur den Hinweis bekommt. Bei der Variante mit der Empfehlung der Klassifizierung, können die NutzerInnen entscheiden, ob sie die Klassifizierung annehmen, löschen oder ändern. 

Ein Beispiel sehr ihr hier

Dieses stammt aus der Microsoft Dokumentation, aber ich kann bestätigen, dass es auch in deutscher Sprache so aussieht. Ich konnte dies in meiner Testumgebung für Win10 & Office 2016, wie auch Win7 und Office 2019 bestätigen. Wenn der Nutzer auch “Jetzt ändern” (hier: Change now) klickt, kann das Label geändert werden und die Auswahl alle Label wird angezeigt. 

 

 

E-mail -> empfohlene Klassifizierung

Diese Konfiguration verwendet eine erweiterte Clienteinstellung, die Sie im Azure-Portal konfigurieren müssen. Diese Einstellung befindet sich in der Vorschauversion (Preview) und kann sich ändern. 
Wenn Sie eine Bezeichnung für die empfohlene Klassifizierung konfigurieren, werden Benutzer dazu aufgefordert, die empfohlene Bezeichnung in Word, Excel und PowerPoint anzunehmen oder abzulehnen. Diese Einstellung erweitert diese Bezeichnungsempfehlung, sodass sie auch in Outlook angezeigt wird.

Um diese erweiterte Einstellung zu konfigurieren, geben Sie die folgenden Zeichenfolgen ein:

  • Schlüssel: OutlookRecommendationEnabled
  • Wert: TRUE” 

Quelle: https://docs.microsoft.com/de-de/azure/information-protection/rms-client/client-admin-guide-customizations#enable-recommended-classification-in-outlook

 

Empfohlene Klassifizierung für ein Label 

  1. Azure Protal
  2. AIP
  3. Label auswählen
  4. Configure conditions for automatically applying this label (Bedingungen konfigurieren, um diese Bezeichnung automatisch anzuwenden) 
  5.  Add a new condition (Neue Bedingung hinzufügen)
  6. Informationstypen oder eigene
  7.  Mindestanzahl an Vorkommen und Count occurrence with unique value only (Nur Vorkommen mit eindeutigem Wert zählen)
  8. Empfohlene oder automatische Klassifizierung
    Empfohlene = Der Text kann individuelle gewählt werden. Aber leider nicht für jede Sprache, so dass man genau überlegen muss, welchen Text man hier eingibt. 
  9. Speichern
  10. ggf. Testen

a) Informationstypen

Diese kennt ihr schon aus DLP und auch diese werden hier verwendet. 

Die Informationstypen verwenden die vertraulichen Informationstypen und die Mustererkennung von Office 365 zur Verhinderung von Datenverlust (Data Loss Prevention, DLP). Sie können aus vielen häufig verwendeten vertraulichen Informationstypen wählen. Einige davon sind spezifisch für verschiedene Regionen.Weitere Informationen finden Sie in der Office-Dokumentation unter What the sensitive information types look for (Wonach die vertraulichen Informationstypen suchen).” 

b) eigene (Benutzerdefiniert)

Die regulären Ausdrücke verwenden die RegEx-Muster von Office 365. Weitere Informationen finden Sie in der Office-Dokumentation unter Defining regular expression based matches (Definieren von Matches, die auf regulären Ausdrücken basieren). Darüber hinaus kann es hilfreich sein, die Programmbibliothek Perl Regular Expression Syntax von Boost als Referenz zu verwenden.” 

 

 

Dokumentation: https://docs.microsoft.com/de-de/azure/information-protection/deploy-use/configure-policy-classification#sensitive-information-types-that-require-a-minimum-version-of-the-client