Samouczek: migrowanie z klasycznego klienta usługi Azure Information Protection (AIP) do ujednoliconego rozwiązania do etykietowania ujednoliconego

  • Artykuł

Uwaga

Szukasz usługi Microsoft Purview Information Protection, dawniej Microsoft Information Protection (MIP)?

Dodatek usługi Azure Information Protection został wycofany i zastąpiony etykietami wbudowanymi w aplikacje i usługi platformy Microsoft 365. Dowiedz się więcej o stanie pomocy technicznej innych składników usługi Azure Information Protection.

Nowy klient usługi Microsoft Information Protection (bez dodatku) jest obecnie w wersji zapoznawczej i jest zaplanowany na potrzeby ogólnej dostępności.

Aby zapewnić ujednolicone i usprawnione środowisko klienta, klasyczny klient usługi Azure Information Protection i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021 r. Chociaż klient klasyczny nadal działa zgodnie z konfiguracją, nie jest zapewniana żadna dalsza obsługa, a wersje konserwacji nie będą już zwalniane dla klienta klasycznego.

Zalecamy migrację do ujednoliconego etykietowania i uaktualniania do klienta ujednoliconego etykietowania. Dowiedz się więcej w naszej najnowszej aktualizacji dotyczącej wycofania.

W tym samouczku opisano sposób migrowania wdrożenia usługi Azure Information Protection organizacji z klasycznego klienta oraz zarządzania zasadami etykiet/etykiet w witrynie Azure Portal do ujednoliconego rozwiązania do etykietowania i etykiet poufności platformy Microsoft 365.

Wymagany czas: czas wymagany do ukończenia migracji zależy od tego, jak złożone są twoje zasady i używane funkcje usługi AIP. Możesz kontynuować pracę z klientem klasycznym podczas migracji w tle.

Ten samouczek zawiera ogólny opis każdego kroku, a następnie odwołuje się do odpowiedniej sekcji w innej części dokumentacji firmy Microsoft, aby uzyskać więcej szczegółów.

W tym samouczku wykonasz następujące elementy:

  • Dowiedz się więcej o planowaniu migracji
  • Migrowanie etykiet do ujednoliconej platformy etykietowania
  • Dowiedz się, jak skonfigurować ustawienia zaawansowane w portal zgodności Microsoft Purview
  • Kopiowanie zasad do ujednoliconej platformy etykietowania
  • Wdrażanie klienta ujednoliconego etykietowania

Dlaczego warto przeprowadzić migrację do ujednoliconego rozwiązania do etykietowania?

Oprócz klasycznego zachodu słońca klienta migracja do ujednoliconego rozwiązania do etykietowania umożliwia skuteczną ochronę poufnych danych w całym majątku cyfrowym. Po przeprowadzeniu migracji użyj usługi Microsoft Purview Information Protection w usługach w chmurze platformy Microsoft 365, lokalnie, w aplikacjach SaaS innych firm i nie tylko.

Program MIP obsługuje wbudowane usługi etykietowania dla wielu podstawowych funkcji ochrony informacji, umożliwiając rezerwowanie użycia klienta tylko w przypadku dodatkowych funkcji, które nie są obsługiwane przez wbudowane etykietowanie.

  • Obniżanie kosztów konserwacji przez wdrażanie i konserwację mniej dodatkowego oprogramowania
  • Zwiększanie wydajności pakietu Office bez konieczności dodawania dodatkowych dodatków
  • Usprawnij zarządzanie etykietami i zasadami ochrony w usłudze AIP, usłudze Office 365 i systemie Windows przy użyciu portal zgodności Microsoft Purview.

Aby uzyskać więcej informacji, zobacz blog Understanding unified labeling migration (Omówienie ujednoliconej migracji etykietowania).

Planowanie migracji

Chociaż większość funkcji dostępnych dla klasycznego klienta usługi AIP jest również dostępna dla klienta ujednoliconego etykietowania, niektóre funkcje nie są jeszcze w pełni dostępne, a niektóre są skonfigurowane inaczej do ujednoliconego etykietowania.

Zapoznaj się z następującymi artykułami, aby dowiedzieć się, jak używane funkcje usługi Information Protection mogą się różnić w przypadku korzystania z klienta ujednoliconego etykietowania:

Napiwek

Jeśli istnieją udokumentowane różnice między klientami, którzy mają wpływ na zachowanie użytkowników końcowych, zalecamy efektywne komunikowanie tych zmian użytkownikom przed wdrożeniem klienta ujednoliconego etykietowania i opublikowaniem nowych zasad.

Po zaplanowaniu migracji i zrozumieniu zmian, które wystąpią, przejdź do sekcji Migrowanie etykiet do ujednoliconej platformy etykietowania.

Migrowanie etykiet do ujednoliconej platformy etykietowania

Po zaplanowaniu migracji i rozważeniu sposobu zarządzania różnicami w klientach możesz aktywować ujednolicone etykietowanie i migrować etykiety.

Podczas migracji można nadal używać klasycznego klienta usługi AIP i zasad w obszarze Azure Information Protection w witrynie Azure Portal. Obaj klienci mogą pracować obok siebie bez dodatkowej konfiguracji.

  1. Zaloguj się do witryny Azure Portal jako administrator z jedną z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Globalny administrator

  2. W obszarze Azure Information Protection w obszarze Zarządzanie po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

    W górnej części strony wybierz pozycję Aktywuj , aby aktywować ujednolicone etykietowanie.

    Etykiety są kopiowane z usługi Azure Information Protection do ujednoliconej platformy etykietowania i są teraz przechowywane w obu systemach.

    Otwórz portal zgodności Microsoft Purview, aby porównać wyświetlane tam etykiety i w obszarze Azure Information Protection. Dwie listy powinny być identyczne. Na przykład podczas porównywania z portal zgodności Microsoft Purview:

    Porównanie migrowanych etykiet między witryną Azure Portal i Centrum zabezpieczeń i zgodności

    Uwaga

    W razie potrzeby kontynuuj używanie etykiet w obu systemach do momentu zakończenia migracji. Aby uzyskać więcej informacji, zobacz Synchronizowanie edycji etykietowania.

Kontynuuj kopiowanie zasad do ujednoliconej platformy etykietowania.

Synchronizowanie edycji etykietowania

Po przeprowadzeniu migracji etykiet do portal zgodności Microsoft Purview wszystkie zmiany, które będą nadal wykonywane w migrowanych etykietach w witrynie Azure Portal, zostaną automatycznie zsynchronizowane z tą samą etykietą w portal zgodności Microsoft Purview.

Jednak zmiany wprowadzone w celu zmigrowania etykiet w portal zgodności Microsoft Purview niesynchronizowane z powrotem do witryny Azure Portal. Jeśli wprowadzisz zmiany w portal zgodności Microsoft Purview i potrzebujesz ich zaktualizowania w witrynie Azure Portal, wróć do portalu, aby opublikować aktualizację.

Aby opublikować zaktualizowaną etykietę w witrynie Azure Portal:

  1. W obszarze Azure Information Protection w obszarze Zarządzanie po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

  2. Wybierz opcję Publikuj.

Uwaga

Ten krok jest wymagany tylko w przypadku edytowania zmigrowanych etykiet na ujednoliconej platformie etykietowania i konieczności synchronizacji tych zmian z powrotem z witryną Azure Portal.

Migrowanie etykiet za pomocą programu PowerShell

Możesz również użyć programu PowerShell do migrowania istniejących etykiet, takich jak środowisko GCC High.

Użyj polecenia cmdlet New-Label, aby przeprowadzić migrację istniejących etykiet poufności.

Jeśli na przykład etykieta poufności ma szyfrowanie, możesz użyć polecenia cmdlet New-Label w następujący sposób:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Aby uzyskać więcej informacji na temat pracy w środowiskach GCC, GCC-High i DoD, zobacz Opis usługi Azure Information Protection Premium Government.

Kopiowanie zasad do ujednoliconej platformy etykietowania

Skopiuj wszystkie zasady przechowywane w witrynie Azure Portal, które mają być dostępne, ponieważ znajdują się one na ujednoliconej platformie etykietowania.

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Uwaga

Kopiowanie zasad ma pewne ograniczenia. Możesz również zacząć od podstaw i ręcznie utworzyć zasady w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.

Aby skopiować zasady:

  1. Rozważ następujące elementy i potwierdź, że chcesz skopiować zasady w tej chwili:

    Kwestie wymagające rozważenia opis
    Kopiowanie zasad kopiuje wszystkie zasady Kopiowanie zasad nie obsługuje kopiowania tylko określonych zasad — to wszystkie zasady lub żadna z nich nie jest teraz.
    Kopiowanie automatycznie publikuje zasady Kopiowanie zasad do klienta ujednoliconego etykietowania powoduje automatyczne opublikowanie ich na wszystkich klientach obsługiwanych przez ujednolicone etykietowanie.

    Ważne: nie kopiuj zasad, jeśli nie chcesz ich publikować.
    Kopiowanie zastępuje istniejące zasady o tej samej nazwie Jeśli masz zasady o tej samej nazwie już istniejącej w portal zgodności Microsoft Purview, kopiowanie zasad spowoduje zastąpienie wszystkich ustawień zdefiniowanych w tych zasadach.

    Wszystkie zasady skopiowane z witryny Azure Portal mają następującą składnię: AIP_<policy name>.
    Niektóre ustawienia klienta nie są kopiowane Niektóre ustawienia klienta nie są kopiowane do ujednoliconej platformy etykietowania i należy skonfigurować je ręcznie po migracji.

    Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych ustawień etykietowania

  2. Zaloguj się do witryny Azure Portal jako administrator z jedną z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Globalny administrator

  3. W obszarze Azure Information Protection w obszarze Zarządzanie po lewej stronie wybierz pozycję Ujednolicone etykietowanie.

  4. Wybierz pozycję Kopiuj zasady (wersja zapoznawcza). Wszystkie zasady przechowywane w witrynie Azure Portal są kopiowane do portal zgodności Microsoft Purview.

    Jeśli w portal zgodności Microsoft Purview istnieją jakiekolwiek zasady o tej samej nazwie, zasady zostaną zastąpione ustawieniami w witrynie Azure Portal.

    Ważne

    Jeśli obecnie używasz etykiet Microsoft Defender dla Chmury Apps i Azure Information Protection, sprawdź, czy opublikowano co najmniej jedną zasadę z minimalnym zestawem etykiet do portal zgodności Microsoft Purview, nawet jeśli zasady są ograniczone do jednego użytkownika.

    Te zasady są wymagane w przypadku aplikacji Microsoft Defender dla Chmury do identyfikowania wszystkich etykiet w portal zgodności Microsoft Purview i wyświetlania ich w portalu Microsoft Defender dla Chmury Apps.

Po zmigrowaniu etykiet i zasad kontynuuj konfigurowanie zaawansowanych ustawień etykietowania, aby uwzględnić wszystkie zaawansowane konfiguracje, które nie zostały zmigrowane.

Konfigurowanie zaawansowanych ustawień etykietowania

Jak wyjaśniono w fazie planowania, niektóre zaawansowane ustawienia etykietowania nie są migrowane automatycznie i muszą zostać ponownie skonfigurowane dla ujednoliconej platformy etykietowania.

Aby uzyskać więcej informacji, zobacz:

Konfigurowanie zaawansowanych ustawień etykietowania w programie PowerShell

  1. Połączenie do modułu Security & Compliance Center programu PowerShell. Aby uzyskać więcej informacji, zobacz Dokumentację programu PowerShell Centrum zabezpieczeń i zgodności.

  2. Aby zdefiniować zaawansowane ustawienie etykiety, użyj polecenia cmdlet Set-Label, określając parametr Advanced Ustawienia, etykietę, do której chcesz zastosować ustawienie, a także pary klucz/wartość w celu zdefiniowania ustawienia.

    Użyj następującej składni:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}

    Gdzie:

    • <LabelGUIDorName> identyfikuje etykietę przy użyciu nazwy etykiety lub identyfikatora GUID
    • <Key> to klucz lub nazwa ustawienia zaawansowanego, które chcesz ustawić na urządzeniu
    • <Value> to wartość ustawienia, którą chcesz zdefiniować. Otaczaj wartość cudzysłowami i oddzielaj wiele wartości przecinkami. Białe spacje nie są obsługiwane.

  3. Rozpocznij pracę, konfigurując następujące ustawienia zaawansowane:

    Aby uzyskać więcej informacji na temat dostępnych zaawansowanych konfiguracji, zobacz przewodnik Administracja: konfiguracje niestandardowe dla klienta ujednoliconego etykietowania usługi Azure Information Protection.

Uwaga

Aby korzystać z ustawień zdefiniowanych dla ujednoliconej platformy etykietowania, użytkownicy końcowi muszą mieć zainstalowanego na swoich maszynach klienta ujednoliconego etykietowania.

Te ustawienia zaawansowane nie są dostępne dla użytkowników, którzy mają wbudowane etykietowanie udostępniane przez usługę Office 365.

Definiowanie warunków etykiet w portal zgodności Microsoft Purview

Ujednolicone warunki etykietowania zapewniają większą elastyczność i lepszą dokładność niż ich odpowiedniki, które zostały utworzone w witrynie Azure Portal.

Aby korzystać z funkcji ujednoliconego warunku etykietowania, należy ręcznie utworzyć warunki etykietowania w portal zgodności Microsoft Purview.

Aby uzyskać więcej informacji, zobacz Jakie etykiety poufności mogą robić w dokumentacji platformy Microsoft 365.

Napiwek

Jeśli masz niestandardowe typy informacji poufnych utworzone do użycia z funkcją DLP usługi Office 365 lub Microsoft Defender dla Chmury Apps, zastosuj je zgodnie z potrzebami do ujednoliconego etykietowania. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.

Wdrażanie klienta ujednoliconego etykietowania

Wdróż klienta obsługującego ujednolicone etykietowanie na komputerach użytkowników, aby mieć pewność, że będą mogli korzystać z ujednoliconych zasad i etykiet etykietowania.

Użytkownicy muszą mieć obsługiwanego klienta, który może połączyć się z portal zgodności Microsoft Purview i ściągnąć ujednolicone zasady etykietowania.

Aby uzyskać więcej informacji, zobacz:

Platformy inne niż Windows

W przypadku użytkowników na platformach innych niż Windows ujednolicone funkcje etykietowania są zintegrowane bezpośrednio w klientach pakietu Office i mogą używać dowolnych etykiet opublikowanych natychmiast.

Klienci pakietu Office z zintegrowanymi funkcjami ujednoliconego etykietowania obejmują:

  • Klienci pakietu Office dla systemu macOS
  • Office dla sieci web (wersja zapoznawcza)
  • Aplikacja Outlook Web App
  • Outlook dla urządzeń przenośnych

Aby uzyskać więcej informacji na temat ujednoliconego etykietowania na tych platformach, zobacz Stosowanie etykiet poufności do plików i wiadomości e-mail w pakiecie Office w witrynie pomoc techniczna firmy Microsoft.

Platformy systemu Windows

W przypadku maszyn z systemem Windows z Aplikacje Microsoft 365 dla przedsiębiorstw użyj wbudowanej obsługi etykietowania dostępnej w pakiecie Office w wersji 1910 lub nowszej lub zainstaluj ujednoliconego klienta etykietowania usługi Azure Information Protection, aby rozszerzyć funkcjonalność usługi AIP na Eksplorator plików lub program PowerShell.

Aby uzyskać więcej informacji, zobacz:

Ujednolicony klient etykietowania usługi Azure Information Protection można pobrać z Centrum pobierania Microsoft.

Upewnij się, że do wdrożenia klienta jest używany plik AzInfoProtection_UL . Jeśli klient klasyczny jest obecnie zainstalowany na maszynie, zainstalowanie klienta ujednoliconego etykietowania wykonuje uaktualnienie w miejscu.

Uwaga

Podczas określania, kiedy należy używać wbudowanego etykietowania i kiedy używać klienta ujednoliconego etykietowania, należy wziąć pod uwagę funkcje usługi AIP, które są obecnie wymagane przez organizację.

Jakie zmiany w przypadku użytkowników końcowych klientów klasycznych?

Główną, najbardziej widoczną różnicą dla użytkowników końcowych korzystających z klasycznego klienta usługi Azure Information Protection jest to, że przycisk Chroń w aplikacja pakietu Office s jest zastępowany przyciskiem Ważność.

Po uzyskaniu dodatkowych możliwości obsługiwanych przez etykiety poufności i ujednolicone etykietowanie użytkownicy końcowi zobaczą również te zmiany w swoich aplikacja pakietu Office.

Na przykład:

  • Klient klasyczny usługi Windows AIP

    Przycisk Ochrona w kliencie klasycznym

  • Klient ujednoliconego etykietowania usługi Windows AIP

    Przykładowy przycisk dla klienta ujednoliconego etykietowania w pakiecie Microsoft Office

Napiwek

Jeśli etykiety zostały opublikowane, a klienci, którzy mają wbudowaną obsługę, nie wyświetlają przycisku Ważność , zapoznaj się z odpowiednim przewodnikiem rozwiązywania problemów zgodnie z potrzebami.

Uaktualnianie skanera z klienta klasycznego

Jeśli obecnie używasz skanera usługi Azure Information Protection z klasycznego klienta usługi Azure Information Protection, możesz uaktualnić go, aby używać typów informacji poufnych i etykiet poufności publikowanych z portal zgodności Microsoft Purview.

Jak uaktualnić skaner zależy od wersji aktualnie uruchomionego klienta klasycznego:

Uaktualnienie tworzy nową bazę danych o nazwie AIPScannerUL_<profile_name>, a poprzednia baza danych skanera jest zachowywana w przypadku, gdy jest potrzebna dla poprzedniej wersji. Jeśli masz pewność, że nie potrzebujesz poprzedniej bazy danych skanera, możesz ją usunąć. Ponieważ uaktualnienie tworzy nową bazę danych, skaner ponownie skanuje wszystkie pliki przy pierwszym uruchomieniu.

Uaktualnianie z klasycznego klienta usługi Azure Information Protection w wersji 1.48.204.0 lub nowszej tego klienta

Jeśli skaner został uaktualniony przy użyciu wersji zapoznawczej klienta ujednoliconego etykietowania, nie musisz ponownie uruchamiać tych instrukcji.

  1. Na komputerze skanera zatrzymaj usługę skanera, skaner usługi Azure Information Protection.

  2. Uaktualnij klienta ujednoliconego etykietowania usługi Azure Information Protection, pobierając i instalując ujednoliconego klienta etykietowania z Centrum pobierania Microsoft.

  3. W sesji programu PowerShell uruchom polecenie Update-AIPScanner z profilem skanera. Na przykład: Update-AIPScanner –Profile Europe.

    W tym kroku zostanie utworzona nowa baza danych o nazwie AIPScannerUL_<profile_name>

  4. Uruchom ponownie usługę skanera usługi Azure Information Protection, skanera usługi Azure Information Protection.

Teraz możesz użyć pozostałych instrukcji w temacie Wdrażanie skanera usługi Azure Information Protection, aby automatycznie klasyfikować i chronić pliki, pomijając krok instalowania skanera. Ponieważ skaner jest już zainstalowany, nie ma powodu, aby zainstalować go ponownie.

Uaktualnianie z klasycznej wersji klienta usługi Azure Information Protection starszej niż 1.48.204.0

Ważne

Aby uzyskać płynną ścieżkę uaktualniania, nie należy instalować klienta ujednoliconego etykietowania usługi Azure Information Protection na komputerze z uruchomionym skanerem jako pierwszym krokiem w celu uaktualnienia skanera. Zamiast tego skorzystaj z poniższych instrukcji uaktualniania.

Począwszy od wersji 1.48.204.0 skaner pobiera ustawienia konfiguracji z witryny Azure Portal przy użyciu profilu konfiguracji. Uaktualnienie skanera obejmuje poinstruowanie skanera o użyciu tej konfiguracji online i dla klienta ujednoliconego etykietowania konfiguracja offline skanera nie jest obsługiwana.

  1. Użyj witryny Azure Portal, aby utworzyć nowy profil skanera, który zawiera ustawienia skanera i repozytoriów danych z dowolnymi ustawieniami, których potrzebują. Aby uzyskać pomoc dotyczącą tego kroku, zobacz Konfigurowanie skanera w witrynie Azure Portal z instrukcji wdrażania skanera.

  2. Na komputerze skanera zatrzymaj usługę skanera, skaner usługi Azure Information Protection.

  3. Uaktualnij klienta ujednoliconego etykietowania usługi Azure Information Protection, pobierając i instalując ujednoliconego klienta etykietowania z Centrum pobierania Microsoft.

  4. W sesji programu PowerShell uruchom polecenie Update-AIPScanner o tej samej nazwie profilu określonej w kroku 1. Na przykład: Update-AIPScanner –Profile Europe.

  5. Uruchom ponownie usługę skanera usługi Azure Information Protection, skanera usługi Azure Information Protection.

Teraz możesz użyć pozostałych instrukcji w temacie Wdrażanie skanera usługi Azure Information Protection, aby automatycznie klasyfikować i chronić pliki, pomijając krok instalowania skanera. Ponieważ skaner jest już zainstalowany, nie ma powodu, aby zainstalować go ponownie.

Następne kroki

Po zmigrowaniu etykiet, zasad i wdrożonych klientów w razie potrzeby kontynuuj, zarządzając etykietami i zasadami etykietowania tylko w portal zgodności Microsoft Purview.

Dzięki ujednoliconej platformie etykietowania wystarczy powrócić tylko do obszaru Azure Information Protection w witrynie Azure Portal, aby:

Zalecamy, aby użytkownicy końcowi korzystali z wbudowanych funkcji etykietowania w najnowszych aplikacja pakietu Office dla sieci Web, komputerów Mac, iOS i Android, a także Aplikacje Microsoft 365 for Enterprise.

Aby korzystać z dodatkowych funkcji usługi AIP, które nie są jeszcze obsługiwane przez wbudowane etykietowanie, zalecamy użycie najnowszego ujednoliconego klienta etykietowania dla systemu Windows.