Document beveiligd en eigenaar weg?

Documenten met een vertrouwelijkheidslabel beheren wanneer de eigenaar de organisatie heeft verlaten

Het komt regelmatig voor: een medewerker verlaat de organisatie, maar belangrijke documenten blijven achter. Als deze bestanden zijn beveiligd met een Microsoft Purview Sensitivity Label inclusief encryptie, kunnen collega’s soms niet meer bij de inhoud of ontbreekt de mogelijkheid om het document aan te passen. Gelukkig zijn er verschillende manieren waarop beheerders weer toegang kunnen krijgen tot deze bestanden.

Waarom gebeurt dit?

Wanneer een vertrouwelijkheidslabel encryptie toepast, worden de toegangsrechten opgeslagen in het document zelf. Als alleen de oorspronkelijke eigenaar rechten heeft gekregen, kunnen andere gebruikers na het vertrek van deze medewerker tegen toegangsproblemen aanlopen. Het verwijderen van een gebruikersaccount lost dit probleem niet automatisch op. De beveiliging blijft namelijk onderdeel van het document.

De oplossing: Super Users

Microsoft Purview biedt hiervoor de Super User-functionaliteit. Een Super User krijgt volledige toegang tot documenten en e-mails die zijn versleuteld met de Rights Management-service van de organisatie. Hierdoor kunnen beheerders:

  • Beveiligde documenten openen.
  • Bestanden inspecteren.
  • Encryptie verwijderen.
  • Nieuwe beveiliging toepassen.
  • Documenten beschikbaar maken voor andere gebruikers.

Microsoft noemt expliciet het scenario waarbij een medewerker de organisatie heeft verlaten als een van de belangrijkste redenen om deze functionaliteit te gebruiken.

zie Configure super users for Azure Rights Management | Microsoft Learn

Hoe werkt dit?

De functionaliteit is standaard uitgeschakeld. Een beheerder moet deze eerst activeren en vervolgens een speciaal beheeraccount of beveiligingsgroep aanwijzen als Super User. Daarna kan dit account toegang krijgen tot alle door de organisatie versleutelde documenten.

Een veelgebruikte aanpak is:

  1. Voeg een speciaal beheeraccount toe als Super User.
  2. Open het beveiligde document.
  3. Controleer de inhoud.
  4. Pas indien nodig de machtigingen aan.
  5. Verwijder of wijzig de bestaande beveiliging.
  6. Sla het document opnieuw op zodat collega’s toegang krijgen.

Beveiliging verwijderen met PowerShell

Wanneer grote aantallen bestanden moeten worden aangepast, kan PowerShell worden ingezet. Microsoft biedt hiervoor cmdlets waarmee labels en bescherming kunnen worden verwijderd.

Voorbeelden van acties die mogelijk zijn:

  • Alleen het label verwijderen.
  • Alleen encryptie verwijderen.
  • Zowel het label als de encryptie verwijderen.

Zie Remove-FileLabel (PurviewInformationProtection) | Microsoft Learn

Best practices

Om toekomstige problemen te voorkomen, is het verstandig om vertrouwelijke documenten niet afhankelijk te maken van één gebruiker.

Aanbevelingen:

  • Gebruik groepen in plaats van individuele gebruikers voor toegangsrechten.
  • Wijs meerdere eigenaren aan voor gevoelige informatie.
  • Configureer een gecontroleerd Super User-proces voor noodgevallen.
  • Documenteer wie verantwoordelijk is voor gevoelige documenten.
  • Controleer periodiek welke documenten alleen toegankelijk zijn voor vertrokken medewerkers.

Conclusie

Wanneer een medewerker de organisatie verlaat, hoeft een document met een vertrouwelijkheidslabel geen verloren bestand te worden. Met de Super User-functionaliteit van Microsoft Purview kunnen beheerders toegang herstellen, encryptie aanpassen en documenten opnieuw beschikbaar maken voor collega’s. Daarmee behoudt de organisatie altijd controle over haar eigen informatie, ongeacht wie het document oorspronkelijk heeft aangemaakt