Plan wdrożenia usługi AIP dotyczący klasyfikacji, etykietowania i ochrony

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.

Skorzystaj z poniższych kroków jako rekomendacji, aby ułatwić przygotowanie, zaimplementowanie i zarządzanie usługą Azure Information Protection dla organizacji, gdy chcesz klasyfikować, oznaczać i chronić dane.

Ten plan działania jest zalecany dla wszystkich klientów z subskrypcją pomocniczą. Dodatkowe możliwości obejmują zarówno odnajdywanie poufnych informacji, jak i etykietowanie dokumentów i wiadomości e-mail na potrzeby klasyfikacji.

Etykiety mogą również stosować ochronę, upraszczając ten krok dla użytkowników.

Napiwek

Alternatywnie możesz wyszukać jeden z następujących artykułów:

• Plan usługi AIP dotyczący ochrony danych tylko
• Przewodniki z instrukcjami po typowych scenariuszach, w których jest używana usługa Azure Information Protection
• Plan wydania usługi Azure Information Protection

Proces wdrażania

Wykonaj następujące kroki:

1. Potwierdzanie subskrypcji i przypisywanie licencji użytkowników
2. Przygotowywanie dzierżawy do korzystania z usługi Azure Information Protection
3. Konfigurowanie i wdrażanie klasyfikacji i etykietowania
4. Przygotowanie do ochrony danych
5. Konfigurowanie etykiet i ustawień, aplikacji i usług na potrzeby ochrony danych
6. Korzystanie z rozwiązań do ochrony danych i monitorowanie ich
7. Administracja usługa ochrony konta dzierżawy zgodnie z potrzebami

Napiwek

Już korzystasz z funkcji ochrony z usługi Azure Information Protection? Możesz pominąć wiele z tych kroków i skupić się na krokach 3 i 5.1.

Potwierdzanie subskrypcji i przypisywanie licencji użytkowników

Upewnij się, że Twoja organizacja ma subskrypcję obejmującą oczekiwane funkcje i funkcje. Aby uzyskać więcej informacji, zobacz stronę wskazówki dotyczące licencjonowania platformy Microsoft 365 dotyczące zabezpieczeń i zgodności .

Następnie przypisz licencje z tej subskrypcji do każdego użytkownika w organizacji, który będzie klasyfikować, oznaczać etykietami i chronić dokumenty i wiadomości e-mail.

Ważne

Nie przypisuj ręcznie licencji użytkowników z bezpłatnej subskrypcji usługi RMS dla użytkowników indywidualnych i nie używaj tej licencji do administrowania usługą Azure Rights Management dla organizacji.

Te licencje są wyświetlane jako adhoc usługi Rights Management w Centrum administracyjne platformy Microsoft 365 i RIGHTSMANAGEMENT_ADHOC po uruchomieniu polecenia cmdlet programu Azure AD PowerShell Get-MsolAccountSku.

Aby uzyskać więcej informacji, zobacz RMS dla użytkowników indywidualnych i usługi Azure Information Protection.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Przygotowywanie dzierżawy do korzystania z usługi Azure Information Protection

Przed rozpoczęciem korzystania z usługi Azure Information Protection upewnij się, że masz konta użytkowników i grupy w usłudze Microsoft 365 lub Microsoft Entra ID, których usługa AIP może używać do uwierzytelniania i autoryzowania użytkowników.

W razie potrzeby utwórz te konta i grupy lub zsynchronizuj je z katalogu lokalnego.

Aby uzyskać więcej informacji, zobacz Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.

Konfigurowanie i wdrażanie klasyfikacji i etykietowania

Wykonaj następujące kroki:

1. Skanowanie plików (opcjonalne, ale zalecane)

   Wdróż klienta usługi Azure Information Protection, a następnie zainstaluj i uruchom skaner , aby odnaleźć poufne informacje przechowywane w lokalnych magazynach danych.

   Informacje znalezione przez skaner mogą pomóc w taksonomii klasyfikacji, podać cenne informacje o potrzebnych etykietach oraz o tym, które pliki wymagają ochrony.

   Tryb odnajdywania skanera nie wymaga żadnej konfiguracji ani taksonomii etykiet i dlatego jest odpowiedni na tym wczesnym etapie wdrożenia. Tę konfigurację skanera można również użyć równolegle z poniższymi krokami wdrażania do momentu skonfigurowania zalecanego lub automatycznego etykietowania.

2. Dostosuj domyślne zasady usługi AIP.

   Jeśli nie masz jeszcze strategii klasyfikacji, użyj domyślnych zasad jako podstawy do określenia etykiet, które będą potrzebne dla danych. Dostosuj te etykiety zgodnie z potrzebami.

   Na przykład możesz chcieć ponownie skonfigurować etykiety przy użyciu następujących szczegółów:

   • Upewnij się, że etykiety obsługują decyzje dotyczące klasyfikacji.
   • Konfigurowanie zasad ręcznego etykietowania według użytkowników
   • Napisz wskazówki dla użytkowników, aby wyjaśnić, która etykieta powinna być stosowana w każdym scenariuszu.
   • Jeśli domyślne zasady zostały utworzone z etykietami, które automatycznie stosują ochronę, możesz tymczasowo usunąć ustawienia ochrony lub wyłączyć etykietę podczas testowania ustawień.

   Etykiety poufności i zasady etykietowania dla klienta ujednoliconego etykietowania są konfigurowane w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o etykietach poufności.

3. Wdrażanie klienta dla użytkowników

   Po skonfigurowaniu zasad wdróż klienta usługi Azure Information Protection dla użytkowników. Podaj szkolenia użytkownika i konkretne instrukcje dotyczące wybierania etykiet.

   Aby uzyskać więcej informacji, zobacz ujednolicony przewodnik administratora klienta etykietowania.

4. Wprowadzenie do bardziej zaawansowanych konfiguracji

   Poczekaj, aż użytkownicy staną się bardziej komfortowo z etykietami na swoich dokumentach i wiadomościach e-mail. Gdy wszystko będzie gotowe, wprowadź zaawansowane konfiguracje, takie jak:

   • Stosowanie etykiet domyślnych
   • Monitowanie użytkowników o uzasadnienie, jeśli wybrali etykietę o niższym poziomie klasyfikacji lub usuń etykietę
   • Nakazanie, aby wszystkie dokumenty i wiadomości e-mail miały etykietę
   • Dostosowywanie nagłówków, stopek lub znaków wodnych
   • Zalecane i automatyczne etykietowanie

   Aby uzyskać więcej informacji, zobacz przewodnik Administracja: konfiguracje niestandardowe.

   Napiwek

   Jeśli etykiety zostały skonfigurowane do automatycznego etykietowania, uruchom ponownie skaner usługi Azure Information Protection w lokalnych magazynach danych w trybie odnajdywania i aby dopasować je do zasad.

   Uruchomienie skanera w trybie odnajdywania informuje, które etykiety mają być stosowane do plików, co ułatwia dostosowanie konfiguracji etykiety i przygotowanie do klasyfikacji i ochrony plików zbiorczo.

Przygotowanie do ochrony danych

Wprowadzenie ochrony danych dla najbardziej poufnych danych, gdy użytkownicy staną się wygodne etykietowanie dokumentów i wiadomości e-mail.

Wykonaj następujące kroki, aby przygotować się do ochrony danych:

1. Określ, jak chcesz zarządzać kluczem dzierżawy.

   Zdecyduj, czy firma Microsoft ma zarządzać kluczem dzierżawy (ustawieniem domyślnym), czy samodzielnie wygenerować klucz dzierżawy i zarządzać nim (nazywanym użyciem własnego klucza lub byOK).

   Aby uzyskać więcej informacji i opcji dodatkowej ochrony lokalnej, zobacz Planowanie i implementowanie klucza dzierżawy usługi Azure Information Protection.

2. Zainstaluj program PowerShell dla usługi AIP.

   Zainstaluj moduł programu PowerShell dla usługi AIPService na co najmniej jednym komputerze z dostępem do Internetu. Ten krok można wykonać teraz lub później.

   Aby uzyskać więcej informacji, zobacz Instalowanie modułu AIPService programu PowerShell.

3. Tylko usługi AD RMS: migrowanie kluczy, szablonów i adresów URL do chmury.

   Jeśli obecnie używasz usług AD RMS, przeprowadź migrację, aby przenieść klucze, szablony i adresy URL do chmury.

   Aby uzyskać więcej informacji, zobacz Migrowanie z usług AD RMS do usługi Information Protection.

4. Aktywuj ochronę.

   Upewnij się, że usługa ochrony jest aktywowana, aby można było rozpocząć ochronę dokumentów i wiadomości e-mail. Jeśli wdrażasz w wielu fazach, skonfiguruj kontrolki dołączania użytkowników, aby ograniczyć możliwość stosowania ochrony przez użytkowników.

   Aby uzyskać więcej informacji, zobacz Aktywacja usługi ochrony z usługi Azure Information Protection.

5. Rozważ rejestrowanie użycia (opcjonalnie).

   Rozważ rejestrowanie użycia, aby monitorować sposób korzystania z usługi ochrony w organizacji. Ten krok można wykonać teraz lub później.

   Aby uzyskać więcej informacji, zobacz Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection.

Konfigurowanie etykiet i ustawień, aplikacji i usług na potrzeby ochrony danych

Wykonaj następujące kroki:

1. Aktualizowanie etykiet w celu zastosowania ochrony

   Aby uzyskać więcej informacji, zobacz Ograniczanie dostępu do zawartości przy użyciu szyfrowania w etykietach poufności.

   Ważne

   Użytkownicy mogą stosować etykiety w programie Outlook, które stosują ochronę usługi Rights Management, nawet jeśli program Exchange nie jest skonfigurowany do zarządzania prawami do informacji (IRM).

   Jednak dopóki program Exchange nie zostanie skonfigurowany na potrzeby szyfrowania komunikatów za pomocą usługi IRM lub platformy Microsoft 365 z nowymi możliwościami, twoja organizacja nie uzyska pełnej funkcjonalności korzystania z ochrony usługi Azure Rights Management z programem Exchange. Ta dodatkowa konfiguracja znajduje się na poniższej liście (2 dla usługi Exchange Online i 5 dla lokalnego programu Exchange).

2. Konfigurowanie aplikacja pakietu Office licacji i usług

   Konfigurowanie aplikacja pakietu Office licacji i usług dla funkcji zarządzania prawami do informacji (IRM) w programie Microsoft SharePoint lub Exchange Online.

   Aby uzyskać więcej informacji, zobacz Konfigurowanie aplikacji dla usługi Azure Rights Management.

3. Konfigurowanie funkcji administratora na potrzeby odzyskiwania danych

   Jeśli masz istniejące usługi IT, które muszą sprawdzać pliki chronione przez usługę Azure Information Protection — takie jak rozwiązania do zapobiegania wyciekom danych (DLP), bramy szyfrowania zawartości (CEG) i produkty chroniące przed złośliwym oprogramowaniem — skonfiguruj konta usług jako superu użytkowników usługi Azure Rights Management.

   Aby uzyskać więcej informacji, zobacz Konfigurowanie superu użytkowników dla usługi Azure Information Protection i usług odnajdywania lub odzyskiwania danych.

4. Klasyfikowanie i ochrona istniejących plików zbiorczo

   W przypadku lokalnych magazynów danych uruchom teraz skaner usługi Azure Information Protection w trybie wymuszania, aby pliki zostały automatycznie oznaczone etykietami.

   W przypadku plików na komputerach użyj poleceń cmdlet programu PowerShell do klasyfikowania i ochrony plików. Aby uzyskać więcej informacji, zobacz Using PowerShell with the Azure Information Protection unified labeling client (Używanie programu PowerShell z ujednoliconym klientem etykietowania usługi Azure Information Protection).

   W przypadku magazynów danych opartych na chmurze użyj usługi Microsoft Defender dla Chmury Apps.

   Napiwek

   Podczas klasyfikowania i ochrony istniejących plików zbiorczo nie jest jednym z głównych przypadków użycia usługi Defender dla Chmury Apps, udokumentowane obejścia mogą pomóc w korzystaniu z plików sklasyfikowanych i chronionych.

5. Wdrażanie łącznika dla bibliotek chronionych za pomocą usługi IRM w programie SharePoint Server oraz wiadomości e-mail chronionych za pomocą usługi IRM dla lokalnego programu Exchange

   Jeśli masz lokalne programy SharePoint i Exchange i chcesz korzystać z funkcji zarządzania prawami do informacji (IRM), zainstaluj i skonfiguruj łącznik usługi Rights Management.

   Aby uzyskać więcej informacji, zobacz Wdrażanie łącznika usługi Microsoft Rights Management.

Korzystanie z rozwiązań do ochrony danych i monitorowanie ich

Teraz możesz monitorować sposób używania skonfigurowanych etykiet w organizacji i potwierdzania, że chronisz poufne informacje.

Aby uzyskać więcej informacji, zobacz następujące strony:

• Centralne raportowanie dla usługi Azure Information Protection — obecnie w wersji zapoznawczej
• Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection

Administracja usługa ochrony konta dzierżawy zgodnie z potrzebami

Gdy zaczniesz korzystać z usługi ochrony, możesz znaleźć program PowerShell przydatny do tworzenia skryptów lub automatyzowania zmian administracyjnych. W przypadku niektórych zaawansowanych konfiguracji może być również potrzebny program PowerShell.

Aby uzyskać więcej informacji, zobacz Administracja istering protection from Azure Information Protection by using PowerShell (Ochrona przed usługą Azure Information Protection przy użyciu programu PowerShell).

Następne kroki

Podczas wdrażania usługi Azure Information Protection warto sprawdzić często zadawane pytania, znane problemy oraz stronę informacji i pomocy technicznej , aby uzyskać dodatkowe zasoby.