Często zadawane pytania dotyczące usługi Azure Information Protection (AIP)

Uwaga

Szukasz Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Klient ujednoliconego etykietowania platformy Azure Information Protection jest teraz w trybie konserwacji. Zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365. Dowiedz się więcej

Masz pytanie dotyczące usługi Azure Information Protection (AIP) lub usługi Azure Rights Management (Azure RMS)?

Sprawdź, czy jest ona udzielona poniżej, czy na kolejnych, bardziej szczegółowych stronach często zadawanych pytań.

Jaka jest różnica między usługą Azure Information Protection i Microsoft Purview Information Protection?

W przeciwieństwie do usługi Azure Information Protection Microsoft Purview Information Protection nie jest subskrypcją ani produktem, który można kupić. Zamiast tego jest to struktura produktów i zintegrowanych funkcji, które ułatwiają ochronę poufnych informacji organizacji.

Microsoft Purview Information Protection produkty obejmują:

  • Azure Information Protection
  • Microsoft 365 Information Protection, takie jak DLP platformy Microsoft 365
  • Rozwiązanie Windows Information Protection
  • Microsoft Defender for Cloud Apps

Microsoft Purview Information Protection możliwości obejmują:

  • Ujednolicone zarządzanie etykietami
  • Środowiska etykietowania użytkowników końcowych wbudowane w aplikacje pakietu Office
  • Możliwość zrozumienia ujednoliconych etykiet i zastosowania ochrony danych przez system Windows
  • Zestaw SDK Microsoft Information Protection
  • Funkcje programu Adobe Acrobat Reader do wyświetlania oznaczonych i chronionych plików PDF

Aby uzyskać więcej informacji, zobacz Funkcje ochrony informacji ułatwiające ochronę poufnych danych.

Jak określić, czy moja dzierżawa znajduje się na ujednoliconej platformie etykietowania?

Gdy dzierżawa znajduje się na ujednoliconej platformie etykietowania, obsługuje etykiety poufności, które mogą być używane przez klientów i usługi obsługujące ujednolicone etykietowanie. Jeśli subskrypcja platformy Azure Information Protection uzyskała się w czerwcu 2019 r. lub nowszym, dzierżawa jest automatycznie na ujednoliconej platformie etykietowania i nie jest wymagana żadna dalsza akcja. Twoja dzierżawa może również znajdować się na tej platformie, ponieważ ktoś zmigrował etykiety usługi Azure Information Protection.

Jeśli dzierżawa nie znajduje się na ujednoliconej platformie etykietowania, Azure Portal w okienkach usługi Azure Information Protection zobaczysz następujący baner informacyjny:

Baner informacji o migracji

Możesz również sprawdzić, przechodząc do pozycji Azure Information Protection>Zarządzanie>ujednoliconym etykietowaniem i wyświetlanie stanu ujednoliconego etykietowania:

Stan Opis
Aktywowany Twoja dzierżawa znajduje się na ujednoliconej platformie etykietowania.
Etykiety można tworzyć, konfigurować i publikować na podstawie portal zgodności Microsoft Purview.
Nie aktywowano Dzierżawa nie znajduje się na ujednoliconej platformie etykietowania.
Aby uzyskać instrukcje i wskazówki dotyczące migracji, zobacz Jak migrować etykiety usługi Azure Information Protection do ujednoliconych etykiet poufności.

Na czym polega różnica między usługą Azure Information Protection i usługą Azure Rights Management?

Usługa Azure Information Protection (AIP) zapewnia klasyfikację, etykietowanie i ochronę dokumentów i wiadomości e-mail organizacji.

Zawartość jest chroniona przy użyciu usługi Azure Rights Management, która jest teraz składnikiem usługi AIP.

Aby uzyskać więcej informacji, zobacz Jak usługa AIP chroni dane i Co to jest usługa Azure Rights Management?.

Jaka jest rola zarządzania tożsamościami dla usługi Azure Information Protection?

Zarządzanie tożsamościami jest ważnym składnikiem usługi AIP, ponieważ użytkownicy muszą mieć prawidłową nazwę użytkownika i hasło, aby uzyskać dostęp do chronionej zawartości.

Aby uzyskać więcej informacji na temat sposobu, w jaki usługa Azure Information Protection ułatwia zabezpieczanie danych, zobacz temat Rola usługi Azure Information Protection w zabezpieczaniu danych.

Jaka subskrypcja jest potrzebna do korzystania z usługi Azure Information Protection i jakie funkcje obejmuje ta subskrypcja?

Aby dowiedzieć się więcej na temat subskrypcji usługi AIP, zobacz:

Czy musisz być administratorem globalnym, aby skonfigurować usługę Azure Information Protection, czy mogę delegować do innych administratorów?

Administratorzy globalni dzierżawy platformy Microsoft 365 lub dzierżawy Azure AD mogą oczywiście uruchamiać wszystkie zadania administracyjne dla usługi Azure Information Protection.

Jeśli jednak chcesz przypisać uprawnienia administracyjne innym użytkownikom, wykonaj następujące czynności:

Ponadto podczas zarządzania zadaniami administracyjnymi i rolami należy zwrócić uwagę na następujące kwestie:

Problem Szczegóły
Obsługiwane typy kont Konta Microsoft nie są obsługiwane w przypadku administracji delegowanej usługi Azure Information Protection, nawet jeśli te konta są przypisane do jednej z wymienionych ról administracyjnych.
Kontrolki dołączania Jeśli skonfigurowano kontrolki dołączania, ta konfiguracja nie ma wpływu na możliwość administrowania usługą Azure Information Protection, z wyjątkiem łącznika usługi RMS.

Jeśli na przykład skonfigurowano kontrolki dołączania tak, aby możliwość ochrony zawartości była ograniczona do grupy działu IT , konto używane do instalowania i konfigurowania łącznika usługi RMS musi należeć do tej grupy.
Usuwanie ochrony Administratorzy nie mogą automatycznie usuwać ochrony z dokumentów lub wiadomości e-mail chronionych przez usługę Azure Information Protection.

Tylko użytkownicy przypisani jako superuzysci mogą usuwać ochronę i tylko wtedy, gdy funkcja administratora jest włączona.

Każdy użytkownik z uprawnieniami administracyjnymi do usługi Azure Information Protection może włączyć funkcję administratora i przypisać użytkowników jako administratorów, w tym własne konto.

Te akcje są rejestrowane w dzienniku administratora.

Aby uzyskać więcej informacji, zobacz sekcję Najlepszych rozwiązań w zakresie zabezpieczeń w temacie Konfigurowanie superu użytkowników dla usług Azure Information Protection i odnajdywania lub odzyskiwania danych.

Porada: Jeśli zawartość jest przechowywana w programie SharePoint lub usłudze OneDrive, administratorzy mogą uruchomić polecenie cmdlet Unlock-SensitivityLabelEncryptedFile , aby usunąć zarówno etykietę poufności, jak i szyfrowanie. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.
Migrowanie do ujednoliconego magazynu etykiet Jeśli migrujesz etykiety usługi Azure Information Protection do ujednoliconego magazynu etykiet, przeczytaj następującą sekcję z dokumentacji migracji etykiet:
Role administracyjne, które obsługują ujednoliconą platformę etykietowania.

Administrator usługi Azure Information Protection

Ta rola administratora usługi Azure Active Directory umożliwia administratorowi skonfigurowanie usługi Azure Information Protection, ale nie innych usług.

Administratorzy z tą rolą mogą wykonywać następujące czynności:

  • Aktywowanie i dezaktywowanie usługi Ochrony usługi Azure Rights Management
  • Konfigurowanie ustawień i etykiet ochrony
  • Konfigurowanie zasad usługi Azure Information Protection
  • Uruchamianie wszystkich poleceń cmdlet programu PowerShell dla klienta usługi Azure Information Protection i z modułu AIPService

Aby przypisać użytkownika do tej roli administracyjnej, zobacz Przypisywanie użytkownika do ról administratora w usłudze Azure Active Directory.

Uwaga

Ta rola nie jest obsługiwana w Azure Portal, jeśli dzierżawa znajduje się na ujednoliconej platformie etykietowania.

Administrator zgodności lub administrator danych zgodności

Te role administratora usługi Azure Active Directory umożliwiają administratorom:

  • Konfigurowanie usługi Azure Information Protection, w tym aktywowanie i dezaktywowanie usługi Ochrony azure Rights Management
  • Konfigurowanie ustawień i etykiet ochrony
  • Konfigurowanie zasad usługi Azure Information Protection
  • Uruchom wszystkie polecenia cmdlet programu PowerShell dla klienta usługi Azure Information Protection i z modułu AIPService.

Aby przypisać użytkownika do tej roli administracyjnej, zobacz Przypisywanie użytkownika do ról administratora w usłudze Azure Active Directory.

Aby sprawdzić, jakie inne uprawnienia ma użytkownik z tymi rolami, zobacz sekcję Dostępne role w dokumentacji usługi Azure Active Directory.

Uwaga

Te role nie obsługują śledzenia i odwołowywania dokumentów dla użytkowników.

Czytelnik zabezpieczeń lub czytelnik globalny

Te role są używane tylko na potrzeby analizy usługi Azure Information Protection i umożliwiają administratorom:

  • Wyświetlanie sposobu użycia etykiet
  • Monitorowanie dostępu użytkowników do oznaczonych dokumentów i wiadomości e-mail
  • Wyświetlanie zmian wprowadzonych w klasyfikacji
  • Identyfikowanie dokumentów zawierających poufne informacje, które muszą być chronione

Ponieważ ta funkcja korzysta z usługi Azure Monitor, musisz również mieć pomocniczą rolę RBAC.

Administrator zabezpieczeń

Ta rola administratora usługi Azure Active Directory umożliwia administratorom konfigurowanie Information Protection platformy Azure w Azure Portal i niektórych aspektach innych usług platformy Azure.

Administratorzy z tą rolą nie mogą uruchamiać żadnych poleceń cmdlet programu PowerShell z modułu AIPService ani śledzić i odwoływać dokumenty dla użytkowników.

Aby przypisać użytkownika do tej roli administracyjnej, zobacz Przypisywanie użytkownika do ról administratora w usłudze Azure Active Directory.

Aby zobaczyć, jakie inne uprawnienia ma użytkownik z tą rolą, zobacz sekcję Dostępne role w dokumentacji usługi Azure Active Directory.

Administrator globalny i administrator łącznika usługi Azure Rights Management

Rola Administrator globalny umożliwia użytkownikom uruchamianie wszystkich poleceń cmdlet programu PowerShell z modułu AIPService bez tworzenia administratorów globalnych innych usług w chmurze.

Rola Administrator łącznika umożliwia użytkownikom uruchamianie tylko łącznika usługi Rights Management (RMS).

Te role administracyjne nie udzielają uprawnień do konsoli zarządzania. Rola Administrator łącznika nie obsługuje również śledzenia i odwołwania dokumentów dla użytkowników.

Aby przypisać jedną z tych ról administracyjnych, użyj polecenia cmdlet programu PowerShell AIPService Add-AipServiceRoleBasedAdministrator.

Czy usługa Azure Information Protection obsługuje scenariusze lokalne i hybrydowe?

Tak. Mimo, że usługa Azure Information Protection jest rozwiązaniem opartym na chmurze, może służyć do klasyfikacji, etykietowania oraz ochrony dokumentów i wiadomości e-mail, które są przechowywane lokalnie oraz w chmurze.

Jeśli masz Exchange Server, sharePoint Server i serwery plików systemu Windows, użyj jednej lub obu następujących metod:

  • Wdróż łącznik usługi Rights Management , aby te serwery lokalne mogły używać usługi Azure Rights Management do ochrony wiadomości e-mail i dokumentów
  • Zsynchronizuj i sfederuj kontrolery domeny usługi Active Directory z Azure AD, aby zapewnić użytkownikom bardziej bezproblemowe uwierzytelnianie. Na przykład użyj Azure AD Connect.

Usługa Azure Rights Management automatycznie generuje certyfikaty XrML i zarządza nimi zgodnie z potrzebami, więc nie używa lokalnej infrastruktury kluczy publicznych.

Aby uzyskać więcej informacji o sposobie używania certyfikatów przez usługę Azure Rights Management, zobacz Przewodnik dotyczący działania usługi Azure RMS: pierwsze użycie, ochrona zawartości, zużycie zawartości.

Jakie typy danych mogą klasyfikować i chronić platformę Azure Information Protection?

Usługa Azure Information Protection może klasyfikować i chronić wiadomości e-mail oraz dokumenty niezależnie od tego, czy znajdują się w środowisku lokalnym, czy w chmurze. Dokumenty te obejmują dokumenty programu Word, arkusze kalkulacyjne programu Excel, prezentacje programu PowerPoint, dokumenty PDF, pliki tekstowe i pliki obrazów.

Aby uzyskać więcej informacji, zobacz obsługiwane typy plików pełnej listy.

Uwaga

Usługa Azure Information Protection nie może klasyfikować i chronić danych strukturalnych, takich jak pliki bazy danych, elementy kalendarza, wpisy usługi Yammer, zawartość Sway i notesy programu OneNote.

Porada

Usługa Power BI obsługuje klasyfikację przy użyciu etykiet poufności i może stosować ochronę z tych etykiet do danych eksportowanych do następujących formatów plików: .pdf, .xls i .ppt. Aby uzyskać więcej informacji, zobacz artykuł Ochrona danych w usłudze Power BI.

Widzę, że usługa Azure Information Protection jest wyświetlana jako dostępna aplikacja w chmurze na potrzeby dostępu warunkowego — jak to działa?

Tak, jako oferta w wersji zapoznawczej, można skonfigurować dostęp warunkowy Azure AD dla usługi Azure Information Protection.

Gdy użytkownik otworzy dokument chroniony przez usługę Azure Information Protection, administratorzy mogą teraz blokować lub udzielać dostępu użytkownikom w swojej dzierżawie na podstawie standardowych kontroli dostępu warunkowego. Wymaganie uwierzytelniania wieloskładnikowego (MFA) jest jednym z najczęściej żądanych warunków. Innym z nich jest to, że urządzenia muszą być zgodne z zasadami Intune, aby na przykład urządzenia przenośne spełniały wymagania dotyczące hasła i minimalną wersję systemu operacyjnego, a komputery muszą być przyłączone do domeny.

Aby uzyskać więcej informacji i zapoznać się z przykładami, zobacz następujący wpis w blogu: Zasady dostępu warunkowego dla usługi Azure Information Protection.

Informacje dodatkowe:

Temat Szczegóły
Częstotliwość oceny W przypadku komputerów z systemem Windows i bieżącej wersji zapoznawczej zasady dostępu warunkowego dla usługi Azure Information Protection są oceniane podczas inicjowania środowiska użytkownika (ten proces jest również nazywany uruchamianiem), a następnie co 30 dni.

Aby dostosować częstotliwość oceniania zasad dostępu warunkowego, skonfiguruj okres istnienia tokenu.
Konta administratorów Zalecamy, aby nie dodawać kont administratorów do zasad dostępu warunkowego, ponieważ te konta nie będą mogły uzyskać dostępu do okienka usługi Azure Information Protection w Azure Portal.
Uwierzytelnianie wieloskładnikowe i współpraca B2B Jeśli używasz uwierzytelniania wieloskładnikowego w zasadach dostępu warunkowego do współpracy z innymi organizacjami (B2B), musisz użyć Azure AD współpracy B2B i utworzyć konta gości dla użytkowników, którym chcesz udostępnić w inną organizację.
Monity dotyczące warunków użytkowania W wersji zapoznawczej Azure AD grudnia 2018 r. można teraz monitować użytkowników o zaakceptowanie warunków użytkowania przed pierwszym otwarciem chronionego dokumentu.
Aplikacje w chmurze Jeśli używasz wielu aplikacji w chmurze na potrzeby dostępu warunkowego, może nie być wyświetlana Information Protection platformy Microsoft Azure na liście do wybrania.

W takim przypadku użyj pola wyszukiwania w górnej części listy. Zacznij wpisywać tekst "Microsoft Azure Information Protection", aby filtrować dostępne aplikacje. Jeśli masz obsługiwaną subskrypcję, zobaczysz Information Protection platformy Microsoft Azure do wybrania.

Uwaga

Obsługa dostępu warunkowego w usłudze Azure Information Protection jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Czy usługa Azure Information Protection odpowiednia dla mojego kraju?

Różne kraje mają różne wymagania i przepisy. Aby uzyskać pomoc w udzieleniu odpowiedzi na to pytanie dla organizacji, zobacz Odpowiedniość dla różnych krajów.

Jak usługa Azure Information Protection pomóc w rodo?

Uwaga

Jeśli interesuje Cię wyświetlanie lub usuwanie danych osobowych, zapoznaj się ze wskazówkami firmy Microsoft w Menedżerze zgodności usługi Microsoft Purview i w sekcji RODO witryny Microsoft 365 Enterprise Compliance. Jeśli szukasz ogólnych informacji o ogólnym rozporządzeniu o ochronie danych osobowych (GDPR, General Data Protection Regulation), zobacz sekcję Ogólne rozporządzenie o ochronie danych osobowych (GDPR) w portalu zaufania usług.

Zobacz Zgodność i informacje dodatkowe dotyczące usługi Azure Information Protection.

Jak zgłosić problem lub wysłać opinię dotyczącą usługi Azure Information Protection?

Aby skorzystać z pomocy technicznej, użyj standardowych kanałów pomocy lub skontaktuj się z pomocą techniczną firmy Microsoft.

Zachęcamy także do kontaktowania się z naszymi inżynierami za pośrednictwem strony usługi Azure Information Protection w witrynie Yammer.

Co zrobić, jeśli nie ma tu mojego pytania?

Najpierw zapoznaj się z często zadawanymi pytaniami wymienionymi poniżej, które są specyficzne dla klasyfikacji i etykietowania lub specyficzne dla ochrony danych. Usługa Azure Rights Management (Azure RMS) udostępnia technologię ochrony danych dla usługi Azure Information Protection. Usługi Azure RMS można używać z klasyfikacją i etykietowaniem lub samodzielnie.

Jeśli nie udzielono odpowiedzi na twoje pytanie, zapoznaj się z linkami i zasobami wymienionymi w temacie Informacje i pomoc techniczna dla usługi Azure Information Protection.