Samouczek: migrowanie z klasycznego klienta usługi Azure Information Protection (AIP) do rozwiązania ujednoliconego etykietowania

Uwaga

Szukasz Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Klient ujednoliconego etykietowania platformy Azure Information Protection jest teraz w trybie konserwacji. Zalecamy używanie etykiet wbudowanych w aplikacje i usługi Office 365. Dowiedz się więcej

Aby zapewnić ujednolicone i usprawnione środowisko klienta, usługa Azure Information Protection klient klasyczny i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021 r. Chociaż klient klasyczny nadal działa zgodnie z konfiguracją, nie jest zapewniana żadna dalsza obsługa, a wersje konserwacji nie będą już wydawane dla klienta klasycznego.

Zalecamy przeprowadzenie migracji do ujednoliconego etykietowania i uaktualnienie do klienta ujednoliconego etykietowania. Dowiedz się więcej w naszej najnowszej aktualizacji dotyczącej wycofania.

W tym samouczku opisano sposób migrowania wdrożenia usługi Azure Information Protection organizacji z klasycznego klienta oraz zarządzania zasadami etykiet/etykiet w Azure Portal do ujednoliconego rozwiązania do etykietowania i etykiet poufności platformy Microsoft 365.

Wymagany czas: czas wymagany do ukończenia migracji zależy od tego, jak złożone są twoje zasady i jakie funkcje usługi AIP są używane. Możesz kontynuować pracę z klientem klasycznym podczas migracji w tle.

Ten samouczek zawiera ogólny opis każdego kroku, a następnie odwołuje się do odpowiedniej sekcji w innej części dokumentacji firmy Microsoft, aby uzyskać więcej szczegółów.

W tym samouczku wykonasz następujące elementy:

  • Dowiedz się więcej o planowaniu migracji
  • Migrowanie etykiet do ujednoliconej platformy etykietowania
  • Dowiedz się, jak skonfigurować ustawienia zaawansowane w portal zgodności Microsoft Purview
  • Kopiowanie zasad na ujednoliconą platformę etykietowania
  • Wdrażanie klienta ujednoliconego etykietowania

Dlaczego warto przeprowadzić migrację do ujednoliconego rozwiązania do etykietowania?

Oprócz klasycznego klienta sunset migracja do ujednoliconego rozwiązania do etykietowania umożliwia skuteczną ochronę poufnych danych w obrębie majątku cyfrowego. Po przeprowadzeniu migracji użyj Microsoft Purview Information Protection w usługach w chmurze platformy Microsoft 365, lokalnie, w aplikacjach SaaS innych firm i nie tylko.

Program MIP obsługuje wbudowane usługi etykietowania dla wielu podstawowych funkcji ochrony informacji, umożliwiając rezerwowanie użycia klienta tylko w przypadku dodatkowych funkcji, które nie są obsługiwane przez wbudowane etykietowanie.

  • Obniżanie kosztów konserwacji przez wdrażanie i konserwację mniej dodatkowego oprogramowania
  • Zwiększ wydajność pakietu Office bez konieczności wprowadzania dodatkowych dodatków
  • Usprawnij zarządzanie etykietami i zasadami ochrony w usłudze AIP, Office 365 i windows przy użyciu portal zgodności Microsoft Purview.

Aby uzyskać więcej informacji, zobacz blog Understanding unified labeling migration (Omówienie migracji ujednoliconego etykietowania).

Planowanie migracji

Chociaż większość funkcji dostępnych dla klasycznego klienta usługi AIP jest również dostępna dla klienta ujednoliconego etykietowania, niektóre funkcje nie są jeszcze w pełni dostępne, a niektóre są skonfigurowane inaczej do ujednoliconego etykietowania.

Zapoznaj się z następującymi artykułami, aby dowiedzieć się, jak używane funkcje Information Protection mogą się różnić w przypadku korzystania z klienta ujednoliconego etykietowania:

Porada

Jeśli istnieją udokumentowane różnice między klientami, które wpływają na zachowanie użytkowników końcowych, zalecamy efektywne komunikowanie tych zmian użytkownikom przed wdrożeniem ujednoliconego klienta etykietowania i opublikowaniem nowych zasad.

Po zaplanowaniu migracji i zrozumieniu zmian, które zostaną wprowadzone, przejdź do sekcji Migrowanie etykiet do ujednoliconej platformy etykietowania.

Migrowanie etykiet do ujednoliconej platformy etykietowania

Po zaplanowaniu migracji i rozważeniu sposobu zarządzania różnicami w klientach możesz aktywować ujednolicone etykietowanie i migrować etykiety.

Podczas migracji można nadal używać klasycznego klienta usługi AIP i zasad w obszarze usługi Azure Information Protection w Azure Portal. Obaj klienci mogą pracować obok siebie bez dodatkowej konfiguracji.

  1. Zaloguj się do Azure Portal jako administrator z jedną z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Administrator globalny
  2. W obszarze Azure Information Protection w obszarze Zarządzaj po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

    W górnej części strony wybierz pozycję Aktywuj , aby aktywować ujednolicone etykietowanie.

    Etykiety są kopiowane z usługi Azure Information Protection do ujednoliconej platformy etykietowania i są teraz przechowywane w obu systemach.

    Otwórz portal zgodności Microsoft Purview, aby porównać wyświetlane tam etykiety i w obszarze usługi Azure Information Protection. Dwie listy powinny być identyczne. Na przykład podczas porównywania z portal zgodności Microsoft Purview:

    Porównanie zmigrowanych etykiet między Azure Portal a Centrum zgodności zabezpieczeń &

    Uwaga

    W razie potrzeby kontynuuj używanie etykiet w obu systemach do momentu zakończenia migracji. Aby uzyskać więcej informacji, zobacz Synchronizowanie edycji etykietowania.

Kontynuuj pracę z zasadami kopiowania na ujednoliconą platformę etykietowania.

Synchronizowanie edycji etykietowania

Po przeprowadzeniu migracji etykiet do portal zgodności Microsoft Purview wszelkie zmiany, które będą nadal wykonywane do zmigrowanych etykiet w Azure Portal, zostaną automatycznie zsynchronizowane z tą samą etykietą w portal zgodności Microsoft Purview.

Jednak zmiany wprowadzone do zmigrowanych etykiet w portal zgodności Microsoft Purview nie są synchronizowane z powrotem do Azure Portal. Jeśli wprowadzisz zmiany w portal zgodności Microsoft Purview i będą one potrzebne w Azure Portal, wróć do portalu, aby opublikować aktualizację.

Aby opublikować zaktualizowaną etykietę w Azure Portal:

  1. W obszarze Azure Information Protection w obszarze Zarządzaj po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

  2. Wybierz pozycję Publikuj.

Uwaga

Ten krok jest wymagany tylko w przypadku edytowania zmigrowanych etykiet na ujednoliconej platformie etykietowania i konieczności ich zsynchronizowania z Azure Portal.

Migrowanie etykiet za pomocą programu PowerShell

Możesz również użyć programu PowerShell do migrowania istniejących etykiet, takich jak środowisko GCC High.

Użyj polecenia cmdlet New-Label , aby przeprowadzić migrację istniejących etykiet poufności.

Jeśli na przykład etykieta poufności ma szyfrowanie, możesz użyć polecenia cmdlet New-Label w następujący sposób:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Aby uzyskać więcej informacji na temat pracy w środowiskach GCC, GCC-High i DoD, zobacz Azure Information Protection Premium Government Service Description (Opis usługi Azure Information Protection Premium Government).

Kopiowanie zasad do ujednoliconej platformy etykietowania

Skopiuj wszystkie zasady przechowywane w Azure Portal, które mają być dostępne, ponieważ znajdują się one na ujednoliconej platformie etykietowania.

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Uwaga

Zasady kopiowania mają pewne ograniczenia. Możesz również zacząć od podstaw i ręcznie utworzyć zasady w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.

Aby skopiować zasady:

  1. Rozważ następujące elementy i potwierdź, że chcesz skopiować zasady w tej chwili:

    Kwestie do rozważenia Opis
    Kopiowanie zasad powoduje skopiowanie wszystkich zasad Kopiowanie zasad nie obsługuje kopiowania tylko określonych zasad — to wszystkie zasady lub żadna z nich nie jest teraz.
    Kopiowanie automatycznie publikuje zasady Kopiowanie zasad do klienta ujednoliconego etykietowania powoduje automatyczne opublikowanie ich na wszystkich klientach obsługiwanych przez ujednolicone etykietowanie.

    Ważne: nie kopiuj zasad, jeśli nie chcesz ich publikować.
    Kopiowanie zastępuje istniejące zasady o tej samej nazwie Jeśli masz zasady o tej samej nazwie już istniejącej w portal zgodności Microsoft Purview, kopiowanie zasad spowoduje zastąpienie wszystkich ustawień zdefiniowanych w tych zasadach.

    Wszystkie zasady skopiowane z Azure Portal mają następującą składnię: AIP_<policy name>.
    Niektóre ustawienia klienta nie są kopiowane Niektóre ustawienia klienta nie są kopiowane do ujednoliconej platformy etykietowania i należy skonfigurować je ręcznie po migracji.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych ustawień etykietowania
  2. Zaloguj się do Azure Portal jako administrator z jedną z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Administrator globalny
  3. W obszarze Azure Information Protection w obszarze Zarządzaj po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

  4. Wybierz pozycję Kopiuj zasady (wersja zapoznawcza). Wszystkie zasady przechowywane w Azure Portal są kopiowane do portal zgodności Microsoft Purview.

    Jeśli w portal zgodności Microsoft Purview istnieją jakiekolwiek zasady o tej samej nazwie, zasady zostaną zastąpione ustawieniami Azure Portal.

    Ważne

    Jeśli obecnie używasz etykiet Microsoft Defender for Cloud Apps i Azure Information Protection, sprawdź, czy opublikowano co najmniej jedną zasadę z minimalnym zestawem etykiet do portal zgodności Microsoft Purview, nawet jeśli zakres zasad jest określony w zakresie pojedynczy użytkownik.

    Te zasady są wymagane do Microsoft Defender for Cloud Apps identyfikacji wszystkich etykiet w portal zgodności Microsoft Purview i wyświetlania ich w portalu Microsoft Defender for Cloud Apps.

Po zmigrowaniu etykiet i zasad przejdź do sekcji Konfigurowanie zaawansowanych ustawień etykietowania , aby uwzględnić wszystkie zaawansowane konfiguracje, które nie zostały zmigrowane.

Konfigurowanie zaawansowanych ustawień etykietowania

Jak wyjaśniono w fazie planowania, niektóre zaawansowane ustawienia etykietowania nie są migrowane automatycznie i muszą zostać ponownie skonfigurowane dla ujednoliconej platformy etykietowania.

Aby uzyskać więcej informacji, zobacz:

Konfigurowanie zaawansowanych ustawień etykietowania w programie PowerShell

  1. Połącz się z modułem Programu PowerShell Centrum zgodności zabezpieczeń & . Aby uzyskać więcej informacji, zobacz dokumentację programu PowerShell centrum zgodności zabezpieczeń&.

  2. Aby zdefiniować zaawansowane ustawienie etykiety, użyj polecenia cmdlet Set-Label , określając parametr AdvancedSettings , etykietę, do której chcesz zastosować to ustawienie, a także pary klucz/wartość, aby zdefiniować ustawienie.

    Użyj następującej składni:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
    

    Gdzie:

    • <LabelGUIDorName> identyfikuje etykietę przy użyciu nazwy etykiety lub identyfikatora GUID
    • <Key> to klucz lub nazwa ustawienia zaawansowanego, które chcesz ustawić na urządzeniu
    • <Value> to wartość ustawienia, którą chcesz zdefiniować. Umieść wartość w cudzysłowie i oddziel wiele wartości przecinkami. Białe spacje nie są obsługiwane.
  3. Rozpocznij od skonfigurowania następujących ustawień zaawansowanych:

    Aby uzyskać więcej informacji na temat dostępnych zaawansowanych konfiguracji, zobacz przewodnik Administracja: konfiguracje niestandardowe dla klienta ujednoliconego etykietowania platformy Azure Information Protection.

Uwaga

Aby korzystać z ustawień zdefiniowanych dla ujednoliconej platformy etykietowania, użytkownicy końcowi muszą mieć zainstalowanego na swoich maszynach klienta ujednoliconego etykietowania.

Te ustawienia zaawansowane nie są dostępne dla użytkowników, którzy mają wbudowane etykietowanie udostępniane przez Office 365.

Definiowanie warunków etykiet w portal zgodności Microsoft Purview

Ujednolicone warunki etykietowania zapewniają większą elastyczność i lepszą dokładność niż ich odpowiedniki utworzone w Azure Portal.

Aby korzystać z funkcji ujednoliconego warunku etykietowania, należy ręcznie utworzyć warunki etykietowania w portal zgodności Microsoft Purview.

Aby uzyskać więcej informacji, zobacz What sensitivity labels can do can do (Jakie etykiety poufności mogą zrobić ) w dokumentacji platformy Microsoft 365.

Porada

Jeśli masz jakiekolwiek niestandardowe typy informacji poufnych utworzone do użytku z Office 365 DLP lub Microsoft Defender for Cloud Apps, zastosuj je zgodnie z rzeczywistym użyciem do ujednoliconego etykietowania. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.

Wdrażanie klienta ujednoliconego etykietowania

Wdróż klienta obsługującego ujednolicone etykietowanie na maszynach użytkowników, aby mieć pewność, że będą mogli korzystać z ujednoliconych zasad i etykiet etykietowania.

Użytkownicy muszą mieć obsługiwanego klienta, który może połączyć się z portal zgodności Microsoft Purview i ściągnąć ujednolicone zasady etykietowania.

Aby uzyskać więcej informacji, zobacz:

Platformy inne niż Windows

W przypadku użytkowników na platformach innych niż Windows funkcje ujednoliconego etykietowania są zintegrowane bezpośrednio z klientami pakietu Office i mogą używać dowolnych etykiet, które zostały opublikowane natychmiast.

Klienci pakietu Office z zintegrowanymi funkcjami ujednoliconego etykietowania obejmują:

  • Klienci pakietu Office dla systemu macOS
  • Office dla sieci web (wersja zapoznawcza)
  • Outlook Web App
  • Outlook dla urządzeń przenośnych

Aby uzyskać więcej informacji na temat ujednoliconego etykietowania na tych platformach, zobacz Stosowanie etykiet poufności do plików i wiadomości e-mail w pakiecie Office w witrynie pomoc techniczna firmy Microsoft.

Platformy systemu Windows

W przypadku maszyn z systemem Windows z Aplikacje Microsoft 365 dla przedsiębiorstw użyj wbudowanej obsługi etykietowania dostępnej w pakiecie Office w wersji 1910 lub nowszej lub zainstaluj klienta ujednoliconego etykietowania usługi Azure Information Protection, aby rozszerzyć funkcjonalność usługi AIP na Eksplorator plików lub program PowerShell.

Aby uzyskać więcej informacji, zobacz:

Klient ujednoliconego etykietowania platformy Azure Information Protection można pobrać z Centrum pobierania Microsoft.

Upewnij się, że używasz pliku AzInfoProtection_UL do wdrożenia klienta. Jeśli obecnie na komputerze jest zainstalowany klient klasyczny, instalowanie klienta ujednoliconego etykietowania wykonuje uaktualnienie w miejscu.

Uwaga

Podczas określania, kiedy należy używać wbudowanych etykiet i kiedy używać klienta ujednoliconego etykietowania, należy wziąć pod uwagę funkcje usługi AIP, które są obecnie wymagane przez organizację.

Jakie zmiany w przypadku użytkowników końcowych klientów klasycznych?

Główną, najbardziej widoczną różnicą dla użytkowników końcowych korzystających z klasycznego klienta usługi Azure Information Protection jest to, że przycisk Chroń w aplikacjach pakietu Office jest zastępowany przyciskiem Ważność.

Po uzyskaniu dodatkowych możliwości obsługiwanych przez etykiety poufności i ujednolicone etykietowanie użytkownicy końcowi zobaczą również te zmiany w aplikacjach pakietu Office.

Przykład:

  • Klient klasyczny usługi Windows AIP

    Przycisk Ochrona w kliencie klasycznym

  • Klient ujednoliconego etykietowania usługi Windows AIP

    Przykładowy przycisk ujednoliconego klienta etykietowania w pakiecie Microsoft Office

Porada

Jeśli etykiety zostały opublikowane, a klienci z wbudowaną obsługą nie wyświetlają przycisku Ważność , zapoznaj się z odpowiednim przewodnikiem rozwiązywania problemów zgodnie z potrzebami.

Uaktualnianie skanera z poziomu klienta klasycznego

Jeśli obecnie używasz skanera usługi Azure Information Protection z klasycznego klienta usługi Azure Information Protection, możesz uaktualnić go, aby używać typów informacji poufnych i etykiet poufności publikowanych z portal zgodności Microsoft Purview.

Jak uaktualnić skaner zależy od wersji aktualnie uruchomionego klienta klasycznego:

Uaktualnienie tworzy nową bazę danych o nazwie AIPScannerUL_<profile_name>, a poprzednia baza danych skanera jest zachowywana na wypadek potrzeby poprzedniej wersji. Jeśli masz pewność, że nie potrzebujesz poprzedniej bazy danych skanera, możesz ją usunąć. Ponieważ uaktualnienie tworzy nową bazę danych, skaner ponownie skanuje wszystkie pliki przy pierwszym uruchomieniu.

Uaktualnianie z klasycznego klienta usługi Azure Information Protection w wersji 1.48.204.0 lub nowszej tego klienta

Jeśli skaner został uaktualniony przy użyciu wersji zapoznawczej klienta ujednoliconego etykietowania, nie trzeba uruchamiać tych instrukcji ponownie.

  1. Na komputerze skanera zatrzymaj usługę skanera Azure Information Protection Scanner.

  2. Uaktualnij klienta ujednoliconego etykietowania do usługi Azure Information Protection, pobierając i instalując klienta ujednoliconego etykietowania z Centrum pobierania Microsoft.

  3. W sesji programu PowerShell uruchom polecenie Update-AIPScanner z profilem skanera. Na przykład: Update-AIPScanner –Profile Europe.

    W tym kroku zostanie utworzona nowa baza danych o nazwie AIPScannerUL_<profile_name>

  4. Uruchom ponownie usługę Skaner Information Protection Azure, skaner usługi Azure Information Protection.

Teraz możesz użyć pozostałych instrukcji w temacie Wdrażanie skanera usługi Azure Information Protection, aby automatycznie klasyfikować i chronić pliki, pomijając krok instalowania skanera. Ponieważ skaner jest już zainstalowany, nie ma powodu, aby zainstalować go ponownie.

Uaktualnianie z klasycznej wersji klienta usługi Azure Information Protection starszych niż 1.48.204.0

Ważne

Aby uzyskać bezproblemową ścieżkę uaktualniania, nie należy instalować klienta ujednoliconego etykietowania usługi Azure Information Protection na komputerze z uruchomionym skanerem jako pierwszym krokiem w celu uaktualnienia skanera. Zamiast tego skorzystaj z poniższych instrukcji uaktualniania.

Począwszy od wersji 1.48.204.0 skaner pobiera ustawienia konfiguracji z Azure Portal przy użyciu profilu konfiguracji. Uaktualnienie skanera obejmuje instrukcje skanera, aby używał tej konfiguracji online i dla ujednoliconego klienta etykietowania konfiguracja offline skanera nie jest obsługiwana.

  1. Użyj Azure Portal, aby utworzyć nowy profil skanera, który zawiera ustawienia skanera i repozytoriów danych z dowolnymi ustawieniami, których potrzebują. Aby uzyskać pomoc dotyczącą tego kroku, zobacz Konfigurowanie skanera w Azure Portal z instrukcji wdrażania skanera.

  2. Na komputerze skanera zatrzymaj usługę skanera Azure Information Protection Scanner.

  3. Uaktualnij klienta ujednoliconego etykietowania do usługi Azure Information Protection, pobierając i instalując ujednoliconego klienta etykietowania z Centrum pobierania Microsoft.

  4. W sesji programu PowerShell uruchom polecenie Update-AIPScanner o tej samej nazwie profilu określonej w kroku 1. Na przykład: Update-AIPScanner –Profile Europe

  5. Uruchom ponownie usługę Skaner azure Information Protection, skaner usługi Azure Information Protection.

Teraz możesz użyć pozostałych instrukcji w temacie Wdrażanie skanera usługi Azure Information Protection w celu automatycznego klasyfikowania i ochrony plików, pomijając krok instalowania skanera. Ponieważ skaner jest już zainstalowany, nie ma powodu, aby go ponownie zainstalować.

Następne kroki

Po przeprowadzeniu migracji etykiet, zasad i wdrożonych klientów zgodnie z potrzebami kontynuuj zarządzanie etykietami i zasadami etykietowania tylko w portal zgodności Microsoft Purview.

Dzięki ujednoliconej platformie etykietowania musisz wrócić tylko do obszaru usługi Azure Information Protection w Azure Portal, aby:

Zalecamy, aby użytkownicy końcowi korzystali z wbudowanych funkcji etykietowania w najnowszych aplikacjach pakietu Office dla sieci Web, Mac, iOS i Android, a także Aplikacje Microsoft 365 for Enterprise.

Aby korzystać z dodatkowych funkcji usługi AIP nieobsługiwanych przez wbudowane etykietowanie, zalecamy użycie najnowszego ujednoliconego klienta etykietowania dla systemu Windows.