Etykietowanie, klasyfikacja i ochrona w usłudze Azure Information Protection (AIP)

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection dla pakietu Office jest teraz w trybie konserwacji i zostanie wycofany z kwietnia 2024 r. Zamiast tego zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Azure Information Protection (AIP) to oparte na chmurze rozwiązanie, które umożliwia organizacjom klasyfikowanie i ochronę dokumentów i wiadomości e-mail przez stosowanie etykiet.

Na przykład administrator może skonfigurować etykietę z regułami, które wykrywają poufne dane, takie jak informacje o karcie kredytowej. W takim przypadku każdy użytkownik, który zapisuje informacje o karcie kredytowej w pliku programu Word, może zobaczyć etykietkę narzędzia w górnej części dokumentu z zaleceniem, aby zastosować odpowiednią etykietę dla tego scenariusza.

Etykiety mogą klasyfikować i opcjonalnie chronić dokumenty, umożliwiając:

  • Śledzenie i kontrolowanie sposobu użycia zawartości
  • Analizowanie przepływów danych w celu uzyskania wglądu w firmę — wykrywanie ryzykownych zachowań i podejmowanie działań naprawczych
  • Śledzenie dostępu do dokumentów i zapobieganie wyciekom danych lub niewłaściwemu użyciu
  • I więcej ...

Jak etykiety stosują klasyfikację za pomocą usługi AIP

Etykietowanie zawartości przy użyciu usługi AIP obejmuje:

  • Klasyfikacja , którą można wykryć niezależnie od tego, gdzie są przechowywane dane, lub którym są udostępniane.
  • Oznaczenia wizualne, takie jak nagłówki, stopki lub znaki wodne.
  • Metadane dodane do plików i nagłówków wiadomości e-mail w postaci zwykłego tekstu. Metadane zwykłego tekstu zapewniają, że inne usługi mogą zidentyfikować klasyfikację i podjąć odpowiednie działania

Na przykład na poniższej ilustracji etykietowanie sklasyfikowało wiadomość e-mail jako ogólne:

Sample email footer and headers showing Azure Information Protection classification

W tym przykładzie etykieta również:

  • Dodano stopkę poufności: ogólne do wiadomości e-mail. Ta stopka jest wizualnym wskaźnikiem dla wszystkich adresatów przeznaczonych dla ogólnych danych biznesowych, które nie powinny być wysyłane poza organizacją.
  • Osadzone metadane w nagłówkach wiadomości e-mail. Dane nagłówkowe umożliwiają usługom poczty e-mail sprawdzenie etykiety i teoretycznie utworzenie wpisu inspekcji lub uniemożliwienie wysyłania go poza organizację.

Etykiety można stosować automatycznie za pomocą administratorów przy użyciu reguł i warunków, ręcznie przez użytkowników lub kombinacji, w której administratorzy definiują zalecenia wyświetlane użytkownikom.

Jak usługa AIP chroni dane

Usługa Azure Information Protection używa usługi Azure Rights Management (Azure RMS) do ochrony danych.

Usługa Azure RMS jest zintegrowana z innymi usługami i aplikacjami firmy Microsoft w chmurze, takimi jak Office 365 i Microsoft Entra ID, a także może być używana z własnymi aplikacjami lub rozwiązaniami ochrony informacji innych firm. Usługa Azure RMS współpracuje zarówno z rozwiązaniami lokalnymi, jak i w chmurze.

Usługa Azure RMS używa zasad szyfrowania, tożsamości i autoryzacji. Podobnie jak w przypadku etykiet usługi AIP ochrona stosowana przy użyciu usługi Azure RMS pozostaje w dokumentach i wiadomościach e-mail, niezależnie od lokalizacji dokumentu lub wiadomości e-mail, zapewniając, że masz kontrolę nad zawartością nawet wtedy, gdy jest ona udostępniana innym osobom.

Ustawienia ochrony mogą być następujące:

  • Część konfiguracji etykiety, dzięki czemu użytkownicy po prostu klasyfikują i chronią dokumenty i wiadomości e-mail, stosując etykietę.

  • Używane samodzielnie przez aplikacje i usługi, które obsługują ochronę, ale nie etykietowanie.

    W przypadku aplikacji i usług, które obsługują tylko ochronę, ustawienia ochrony są używane jako szablony usługi Rights Management.

Możesz na przykład skonfigurować arkusz kalkulacyjny raportu lub prognozy sprzedaży, aby był dostępny tylko dla osób w organizacji. W takim przypadku należy zastosować ustawienia ochrony, aby kontrolować, czy można edytować ten dokument, ograniczyć go do tylko do odczytu lub uniemożliwić jego drukowanie.

Wiadomości e-mail mogą mieć podobne ustawienia ochrony, aby uniemożliwić ich przekazywanie lub użycie opcji Odpowiedz wszystkim.

Szablony usługi Rights Management

Po aktywowaniu usługi Azure Rights Management dostępne są dwa domyślne szablony zarządzania prawami, które umożliwiają ograniczenie dostępu do danych użytkownikom w organizacji. Użyj tych szablonów natychmiast lub skonfiguruj własne ustawienia ochrony, aby zastosować bardziej restrykcyjne kontrolki w nowych szablonach.

Szablony usługi Rights Management mogą być używane z dowolnymi aplikacjami lub usługami obsługującymi usługę Azure Rights Management.

Na poniższej ilustracji przedstawiono przykład z centrum administracyjnego programu Exchange, w którym można skonfigurować reguły przepływu poczty usługi Exchange Online w celu używania szablonów usług RMS:

Example of selecting templates for Exchange Online

Uwaga

Utworzenie etykiety usługi AIP zawierającej ustawienia ochrony powoduje również utworzenie odpowiedniego szablonu usługi Rights Management, który może być używany oddzielnie od etykiety.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Rights Management?

Integracja usługi AIP i użytkownika końcowego dla dokumentów i wiadomości e-mail

Klient usługi AIP instaluje pasek usługi Information Protection w celu aplikacja pakietu Office licacji i umożliwia użytkownikom końcowym integrację usługi AIP ze swoimi dokumentami i wiadomościami e-mail.

Na przykład w programie Excel:

Example of the Azure Information Protection bar in Excel

Etykiety mogą być stosowane automatycznie do dokumentów i wiadomości e-mail, ale usunięcie odgadnięcia dla użytkowników lub zgodność z zasadami organizacji, pasek usługi Information Protection umożliwia użytkownikom końcowym wybieranie etykiet i stosowanie klasyfikacji samodzielnie.

Ponadto klient usługi AIP umożliwia użytkownikom klasyfikowanie i ochronę dodatkowych typów plików lub wielu plików jednocześnie przy użyciu menu prawym przyciskiem myszy z Eksplorator plików systemu Windows. Przykład:

File Explorer right-click Classify and protect using Azure Information Protection

Opcja menu Klasyfikuj i chroń działa podobnie jak na pasku usługi Information Protection w aplikacja pakietu Office licacjach, umożliwiając użytkownikom wybranie etykiety lub ustawienie uprawnień niestandardowych.

Napiwek

Użytkownicy zasilania lub administratorzy mogą stwierdzić, że polecenia programu PowerShell są bardziej wydajne do zarządzania klasyfikacją i ustawianiem ochrony wielu plików. Odpowiednie polecenia programu PowerShell są dołączone do klienta i mogą być instalowane oddzielnie.

Użytkownicy i administratorzy mogą używać witryn śledzenia dokumentów do monitorowania chronionych dokumentów, obserwowaniu, kto uzyskuje do nich dostęp i kiedy. Jeśli podejrzewają nieprawidłowe użycie, mogą również odwołać dostęp do tych dokumentów. Przykład:

Revoke access icon in the document tracking site

Dodatkowa integracja poczty e-mail

Korzystanie z usługi AIP z usługą Exchange Online zapewnia dodatkową korzyść z wysyłania chronionych wiadomości e-mail do dowolnego użytkownika, zapewniając, że mogą je odczytywać na dowolnym urządzeniu.

Na przykład może być konieczne wysłanie poufnych informacji na osobiste adresy e-mail korzystające z konta Gmail, Hotmail lub Microsoft albo do użytkowników, którzy nie mają konta w usłudze Office 365 lub Microsoft Entra ID. Te wiadomości e-mail powinny być szyfrowane w stanie spoczynku i podczas przesyłania oraz być odczytywane tylko przez oryginalnych adresatów.

Ten scenariusz wymaga funkcji szyfrowania komunikatów usługi Office 365. Jeśli adresaci nie mogą otworzyć chronionej wiadomości e-mail we wbudowanym kliencie poczty e-mail, mogą użyć jednorazowego kodu dostępu do odczytywania poufnych informacji w przeglądarce.

Na przykład użytkownik gmaila może zobaczyć następujący monit w wiadomości e-mail, którą otrzymuje:

Gmail recipient experience for OME and AIP

W przypadku użytkownika wysyłającego wiadomość e-mail wymagane akcje są takie same jak w przypadku wysyłania chronionej wiadomości e-mail do użytkownika w swojej organizacji. Na przykład wybierz przycisk Nie przekazuj, który klient usługi AIP może dodać do wstążki programu Outlook.

Alternatywnie funkcje Nie przekazuj można zintegrować z etykietą, którą użytkownicy mogą wybrać, aby zastosować zarówno klasyfikację, jak i ochronę tej wiadomości e-mail. Przykład:

Selecting a label configured for Do Not Forward

Administracja istratory mogą również automatycznie zapewnić ochronę użytkowników, konfigurując reguły przepływu poczty, które stosują ochronę praw.

Wszystkie dokumenty pakietu Office dołączone do tych wiadomości e-mail są również automatycznie chronione.

Skanowanie pod kątem istniejącej zawartości w celu klasyfikowania i ochrony

W idealnym przypadku będziesz oznaczać dokumenty i wiadomości e-mail podczas ich tworzenia. Prawdopodobnie masz jednak wiele istniejących dokumentów, przechowywanych lokalnie lub w chmurze i chcesz również klasyfikować i chronić te dokumenty.

Użyj jednej z następujących metod, aby sklasyfikować i chronić istniejącą zawartość:

  • Magazyn lokalny: za pomocą skanera usługi Azure Information Protection można odnajdywać, klasyfikować i chronić dokumenty w udziałach sieciowych oraz w witrynach i bibliotekach programu Microsoft SharePoint Server.

    Skaner działa jako usługa w systemie Windows Server i używa tych samych reguł zasad do wykrywania poufnych informacji i stosowania określonych etykiet do dokumentów.

    Alternatywnie użyj skanera, aby zastosować etykietę domyślną do wszystkich dokumentów w repozytorium danych bez sprawdzania zawartości pliku. Użyj skanera w trybie raportowania tylko do odnajdywania poufnych informacji, których być może nie znasz.

  • Magazyn danych w chmurze: użyj usługi Microsoft Defender dla Chmury Apps, aby zastosować etykiety do dokumentów w usługach Box, SharePoint i OneDrive. Aby zapoznać się z samouczkiem, zobacz Automatyczne stosowanie etykiet klasyfikacji usługi Azure Information Protection

Następne kroki

Skonfiguruj usługę Azure Information Protection dla siebie, korzystając z naszych przewodników Szybki start i samouczków:

Jeśli chcesz wdrożyć tę usługę dla swojej organizacji, przejdź do przewodników z instrukcjami.