Перенос меток Azure Information Protection в унифицированные метки конфиденциальности

Перенос меток Azure Information Protection на единую платформу меток, чтобы их можно было использовать в качестве меток конфиденциальности клиентами и службами , поддерживающими унифицированное маркировку.

Примечание.

Если подписка Azure Information Protection довольно новая, вам может не потребоваться перенести метки, так как клиент уже находится на унифицированной платформе меток.

После переноса меток вы не увидите никакой разницы с классическим клиентом Azure Information Protection, так как этот клиент продолжает загружать метки с политикой Azure Information Protection из портал Azure. Однако теперь можно использовать метки с клиентом унифицированных меток Azure Information Protection и другими клиентами и службами, которые используют метки конфиденциальности.

Прежде чем прочитать инструкции по переносу меток, вы можете найти следующие часто задаваемые вопросы:

• Какова разница между маркировкой со встроенным решением по маркировке и меткой с помощью надстройки AIP Office?

Администратор истообразные роли, поддерживающие единую платформу маркировки

При использовании ролей администратора для делегированного администрирования в организации может потребоваться выполнить некоторые изменения для платформы унифицированных меток:

Роль администратора Azure Information Protection (ранее — администратора Information Protection) Не поддерживается платформой унифицированных меток. Если эта административная роль используется в организации для управления Azure Information Protection, добавьте пользователей, имеющих эту роль, к ролям Microsoft Entra администратора соответствия требованиям, администратора данных соответствия требованиям или администратора безопасности. Если вам нужна помощь с этим шагом, см. раздел "Предоставление пользователям доступа к Портал соответствия требованиям Microsoft Purview". Эти роли также можно назначить в Центре администрирования Microsoft Entra и Портал соответствия требованиям Microsoft Purview.

Кроме того, в Портал соответствия требованиям Microsoft Purview можно создать новую группу ролей для этих пользователей и добавить роли метки конфиденциальности Администратор istrator или конфигурации организации в эту группу.

Если вы не предоставляете этим пользователям доступ к Портал соответствия требованиям Microsoft Purview с помощью одной из этих конфигураций, они не смогут настроить Azure Information Protection в портал Azure после переноса меток.

Глобальные администраторы клиента могут продолжать управлять метками и политиками как в портал Azure, так и в Портал соответствия требованиям Microsoft Purview после переноса меток.

Подготовка к работе

Миграция меток имеет множество преимуществ, но необратимая. Перед миграцией убедитесь, что вы знаете о следующих изменениях и рекомендациях:

• Поддержка клиентов для унифицированных меток
• Настройки политики
• Шаблоны защиты
• Отображаемое имя
• Локализованные строки в метках
• Изменение перенесенных меток в Портал соответствия требованиям Microsoft Purview
• Параметры меток, которые не поддерживаются в Портал соответствия требованиям Microsoft Purview
• Сравнение поведения параметров защиты для метки

Поддержка клиентов для унифицированных меток

Убедитесь, что у вас есть клиенты, поддерживающие унифицированные метки и при необходимости, подготовьтесь к администрированию как в портал Azure (для клиентов, которые не поддерживают унифицированные метки), так и Портал соответствия требованиям Microsoft Purview (для клиентов, поддерживающих унифицированные метки).

Настройки политики

Политики, включая параметры политики и доступ к ним (область политик), а также все расширенные параметры клиента не переносятся. Параметры настройки этих параметров после миграции меток включают следующие параметры:

• Портала соответствия требованиям Microsoft Purview
• Безопасность и соответствие Требованиям PowerShell, которую необходимо использовать для настройки расширенных параметров клиента.

Внимание

Не все параметры из перенесенной метки поддерживаются Портал соответствия требованиям Microsoft Purview. Используйте таблицу в параметрах меток, которые не поддерживаются в разделе Портал соответствия требованиям Microsoft Purview, чтобы определить эти параметры и рекомендуемый курс действий.

Шаблоны защиты

• Шаблоны, использующие облачный ключ и которые являются частью конфигурации меток, также переносятся с меткой. Другие шаблоны защиты не переносятся.

• Если у вас есть метки, настроенные для предопределенного шаблона, измените эти метки и выберите параметр "Задать разрешения ", чтобы настроить те же параметры защиты, которые были у вас в шаблоне. Метки с предопределенными шаблонами не блокируют миграцию меток, но эта конфигурация меток не поддерживается в Портал соответствия требованиям Microsoft Purview.

  Совет

  Для перенастройки этих меток может потребоваться иметь два окна браузера: одно окно, в котором можно выбрать кнопку "Изменить шаблон " для метки для просмотра параметров защиты и другого окна, чтобы настроить те же параметры при выборе разрешений.

• После переноса метки с параметрами защиты на основе облака результирующий область шаблона защиты — это область, определенный в портал Azure (или с помощью модуля PowerShell AIPService) и область, определенных вПортал соответствия требованиям Microsoft Purview.

Отображаемое имя

Для каждой метки портал Azure отображается только отображаемое имя метки, которое можно изменить. Пользователи видят это имя метки в своих приложениях.

В Портал соответствия требованиям Microsoft Purview отображается отображаемое имя метки и имя метки. Имя метки — это начальное имя, указываемое при первом создании метки, и это свойство используется внутренней службой для идентификации. При переносе меток отображаемое имя остается неизменным, а имя метки переименовано в идентификатор метки из портал Azure.

Конфликтующие отображаемые имена

Прежде чем перенести, убедитесь, что после завершения миграции не будет конфликтующих отображаемых имен. Отображаемые имена в том же месте в иерархии меток должны быть уникальными.

Например, рассмотрим следующий список меток:

• Открытый
• Общие сведения
• Конфиденциальной
  • Конфиденциально\HR
  • Конфиденциально\Finance
• Секрет
  • Secret\HR
  • Secret\Finance

В этом списке общедоступные, общие, конфиденциальные и секретные являются родительскими метками и не могут иметь повторяющиеся имена. Кроме того, Конфиденциальные\HR и Конфиденциальные\Финансы находятся в той же иерархии, а также не могут иметь повторяющиеся имена.

Однако вложенные метки для разных родителей, такие как Конфиденциально\HR и Secret\HR, не находятся в одной и той же иерархии, поэтому могут иметь одинаковые отдельные имена.

Локализованные строки в метках

Все локализованные строки для меток не переносятся. Определите новые локализованные строки для перенесенных меток с помощью PowerShell безопасности и соответствия требованиям и параметра Locale Параметры для Set-Label.

Изменение перенесенных меток в Портал соответствия требованиям Microsoft Purview

После миграции при изменении перенесенной метки в портал Azure то же изменение автоматически отражается в Портал соответствия требованиям Microsoft Purview.

Однако при изменении перенесенной метки в Портал соответствия требованиям Microsoft Purview необходимо вернуться в портал Azure, Azure Information Protection — область унифицированных меток и выбрать команду "Опубликовать".

Это дополнительное действие необходимо для клиентов Azure Information Protection (классической) для получения изменений меток.

Параметры меток, которые не поддерживаются в Портал соответствия требованиям Microsoft Purview

Используйте следующую таблицу, чтобы определить, какие параметры конфигурации перенесенной метки не поддерживаются Портал соответствия требованиям Microsoft Purview. Если у вас есть метки с этими параметрами, при завершении миграции используйте инструкции по администрированию в последнем столбце перед публикацией меток в Портал соответствия требованиям Microsoft Purview.

Если вы не уверены, как настроены метки, просмотрите их параметры в портал Azure. Если вам нужна помощь с этим шагом, см . инструкции по настройке политики Azure Information Protection.

Клиенты Azure Information Protection (классические) могут использовать все параметры меток, перечисленные без каких-либо проблем, так как они продолжают загружать метки из портал Azure.

Конфигурация меток	Поддерживается клиентами унифицированных меток	Руководство по Портал соответствия требованиям Microsoft Purview
Состояние включенного или отключенного Это состояние не синхронизировано с Портал соответствия требованиям Microsoft Purview	Нет данных	Эквивалентно, является ли метка опубликована или нет.
Цвет метки, который вы выбираете из списка или задаете с помощью RGB-кода	Да	Нет параметра конфигурации для цветов меток. Вместо этого можно настроить цвета меток в портал Azure или использовать PowerShell.
Защита на основе облака или защита на основе HYOK с помощью предопределенного шаблона	No	Нет параметра конфигурации для предопределенных шаблонов. Не рекомендуется публиковать метку с этой конфигурацией.
Облачная защита с помощью пользовательских разрешений для Word, Excel и PowerPoint	Да	Портал соответствия требованиям Microsoft Purview поддерживает параметр конфигурации для пользовательских разрешений. При публикации метки с этой конфигурацией проверка результаты применения метки из следующей таблицы.
Защита на основе HYOK с помощью определяемых пользователем разрешений для Outlook (не пересылать)	No	Нет параметра конфигурации для HYOK. Не рекомендуется публиковать метку с этой конфигурацией. Если это сделать, результаты применения метки перечислены в следующей таблице.
Пользовательское имя шрифта, размер и пользовательский цвет шрифта с помощью RGB-кода для визуальной маркировки (верхний колонтитул, подложка)	Да	Конфигурация для визуальной маркировки ограничена списком цветов и размеров шрифтов. Эту метку можно опубликовать без изменений, хотя в Портал соответствия требованиям Microsoft Purview не отображаются настроенные значения. Чтобы изменить эти параметры, используйте командлет Центра безопасности и соответствия требованиям Office 365 new-Label . Чтобы упростить администрирование, попробуйте изменить цвет на один из перечисленных вариантов в Портал соответствия требованиям Microsoft Purview. Примечание. Портал соответствия требованиям Microsoft Purview поддерживает предопределенный список определений шрифтов. Пользовательские шрифты и цвета поддерживаются только с помощью командлета New-Label . Если вы работаете с классическим клиентом, внесите эти изменения в метку в портал Azure.
Переменные в визуальной маркировке (верхний , нижний колонтитул)	Да	Эта конфигурация меток поддерживается клиентами AIP и встроенными метками Office для выбора приложений. Если вы работаете со встроенными метками с помощью приложения, которое не поддерживает эту конфигурацию и публикует эту метку без изменений, переменные отображаются как текст на клиентах вместо отображения динамического значения. Дополнительные сведения см. в документации по Microsoft 365.
Визуальные маркировки для каждого приложения	Да	Эта конфигурация меток поддерживается только клиентами AIP, а не встроенными метками Office. Если вы работаете со встроенными метками и публикуете эту метку без изменений, конфигурация визуальной маркировки отображается как текст переменной вместо визуальных пометок, которые вы настроили для отображения в каждом приложении.
"Только для меня" защита	Да	Портал соответствия требованиям Microsoft Purview не позволяют сохранять параметры шифрования, которые вы применяете сейчас, без указания пользователей. В портал Azure эта конфигурация приводит к метке, применяющей защиту "Только для меня". В качестве альтернативы создайте метку, которая применяет шифрование и укажите пользователя с любыми разрешениями, а затем измените связанный шаблон защиты с помощью PowerShell. Сначала используйте командлет New-AipServiceRightsDefinition (см. пример 3), а затем Set-AipServiceTemplateProperty с параметром RightsDefinitions.
Условия и связанные параметры Включает автоматическую и рекомендуемую маркировку, а также их подсказки	Нет данных	Перенастройка условий с помощью автоматической маркировки в качестве отдельной конфигурации от параметров меток.

Сравнение поведения параметров защиты для метки

Используйте следующую таблицу, чтобы определить, как работает один и тот же параметр защиты для метки по-разному в зависимости от того, используется ли он классическим клиентом Azure Information Protection, клиентом унифицированных меток Azure Information Protection или Приложение Office, имеющими встроенные метки (также называемые собственными метками Office). Различия в поведении меток могут изменить ваше решение о публикации меток, особенно если у вас есть сочетание клиентов в вашей организации.

Если вы не уверены, как настроены параметры защиты, просмотрите их параметры на панели защиты в портал Azure. Если вам нужна помощь с этим шагом, см. раздел "Настройка метки для параметров защиты".

Параметры защиты, которые ведут себя так же, как в таблице, не перечислены в таблице со следующими исключениями:

• При использовании Приложение Office со встроенными метками метки метки не отображаются в проводник если вы также не установите клиент унифицированных меток Azure Information Protection.
• При использовании Приложение Office со встроенной меткой, если защита была применена независимо от метки, эта защита сохраняется [1].

Параметр защиты для метки	Классический клиент Azure Information Protection	Клиент унифицированных меток Azure Information Protection	Приложение Office с встроенной меткой
HYOK (AD RMS) с шаблоном:	Видимые в Word, Excel, PowerPoint, Outlook и проводник При применении этой метки: — защита HYOK применяется к документам и электронным письмам	Видимые в Word, Excel, PowerPoint, Outlook и проводник При применении этой метки: — защита не применяется, а защита удаляется [2] , если она была применена меткой ранее. — Если защита была применена независимо от метки, эта защита сохраняется.	Видимые в Word, Excel, PowerPoint и Outlook При применении этой метки: — защита не применяется, а защита удаляется [2] , если она была применена меткой ранее. — Если защита была применена ранее независимо от метки, защита сохраняется [1]
HYOK (AD RMS) с пользовательскими разрешениями для Word, Excel, PowerPoint и проводник:	Видимые в Word, Excel, PowerPoint и проводник При применении этой метки: — защита HYOK применяется к документам и электронным письмам	Видимые в Word, Excel и PowerPoint При применении этой метки: — защита не применяется, а защита удаляется [2] , если она была применена меткой ранее — Если защита была применена независимо от метки, эта защита сохраняется.	Видимые в Word, Excel и PowerPoint При применении этой метки: — защита не применяется, а защита удаляется [2] , если она была применена меткой ранее — Если защита была применена независимо от метки, эта защита сохраняется.
HYOK (AD RMS) с пользовательскими разрешениями для Outlook:	Видимый в Outlook При применении этой метки: — Не пересылать с помощью защиты HYOK применяется к сообщениям электронной почты	Видимый в Outlook При применении этой метки: — защита не применяется и удаляется [2] , если она была применена меткой ранее — Если защита была применена независимо от метки, эта защита сохраняется.	Видимый в Outlook При применении этой метки: — защита не применяется и удаляется [2] , если она была применена меткой ранее — Если защита была применена ранее независимо от метки, защита сохраняется [1]

Сноска 1

В Outlook защита сохраняется с одним исключением: если электронная почта была защищена с помощью параметра только для шифрования (Encrypt), эта защита удаляется.

Сноска 2

Защита удаляется, если пользователь имеет право на использование или роль, которая поддерживает это действие:

• Правильный экспорт или полный контроль использования.
• Роль издателя Rights Management или владельца Rights Management или суперпользователя.

Если у пользователя нет одного из этих прав на использование или роли, метка не применяется, а исходная защита сохраняется.

Перенос меток Azure Information Protection

Используйте следующие инструкции для переноса меток клиента и Azure Information Protection для использования единого хранилища меток.

Для переноса меток необходимо быть администратором соответствия требованиям, администратором данных соответствия требованиям, администратором безопасности или глобальным администратором.

1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите на панель Azure Information Protection .

   Например, в поле поиска ресурсов, служб и документации: начните вводить Сведения и выберите Azure Information Protection.

2. Щелкните пункт меню Управление и выберите Унифицированные метки.

3. На панели унифицированных меток Azure Information Protection выберите "Активировать" и следуйте инструкциям в Интернете.

   Если параметр активации недоступен, проверка состояние унифицированных меток: если вы видите активировано, клиент уже использует единое хранилище меток и не требует переноса меток.

Для меток, которые успешно перенесены, теперь их можно использовать клиентами и службами , поддерживающими унифицированные метки. Однако сначала необходимо опубликовать эти метки в Портал соответствия требованиям Microsoft Purview.

Внимание

Если вы редактируете метки за пределами портал Azure, для клиентов Azure Information Protection (классическая модель), вернитесь в эту область azure Information Protection — единую область меток и выберите "Опубликовать".

Копирование политик

После переноса меток можно выбрать параметр для копирования политик. Если выбрать этот параметр, однократная копия политик с параметрами политики и любыми расширенными параметрами клиента отправляется в Портал соответствия требованиям Microsoft Purview.

После этого успешно скопированные политики с параметрами и метками автоматически публикуются пользователям и группам, назначенным политикам в портал Azure. Обратите внимание, что для глобальной политики это означает, что все пользователи. Если вы не готовы к публикации перенесенных меток в скопированных политиках, после копирования политик можно удалить метки из политик меток в центре меток администратора.

Прежде чем выбрать параметр "Политики копирования" (предварительная версия) в области унифицированных меток Azure Information Protection, помните следующее:

• Параметр политики копирования (предварительная версия) недоступен до активации унифицированных меток для клиента.

• Вы не можете выборочно выбирать политики и параметры для копирования. Все политики (глобальная политика и все область политики) автоматически выбираются для копирования, а все параметры, поддерживаемые в качестве параметров политики меток, копируются. Если у вас уже есть политика меток с тем же именем, она будет перезаписана с параметрами политики в портал Azure.

• Некоторые расширенные параметры клиента не копируются, так как для клиента унифицированных меток Azure Information Protection они поддерживаются как расширенные параметры меток, а не параметры политики. Эти дополнительные параметры метки можно настроить с помощью PowerShell безопасности и соответствия требованиям. Дополнительные параметры клиента, которые не копируются:

  • LabelbyCustomProperty
  • LabelToSMIME

• В отличие от миграции меток, при которой последующие изменения меток синхронизируются, действие политики копирования не синхронизирует последующие изменения политик или параметров политики. После внесения изменений в портал Azure можно повторить действие политики копирования, а все существующие политики и их параметры будут перезаписаны снова. Кроме того, используйте командлеты Set-LabelPolicy или Set-Label с параметром Advanced Параметры из PowerShell безопасности и соответствия требованиям.

• Действие "Политики копирования" проверяет следующее для каждой политики перед копированием:

  • Пользователи и группы, назначенные политике, в настоящее время находятся в идентификаторе Microsoft Entra. Если отсутствует одна или несколько учетных записей, политика не копируется. Членство в группах не проверка.

  • Глобальная политика содержит по крайней мере одну метку. Так как центры маркировки администраторов не поддерживают политики меток без меток, глобальная политика без меток не копируется.

• Если вы копируете политики, а затем удаляете их из центра меток администратора, подождите по крайней мере два часа, прежде чем снова использовать действие "Копировать", чтобы обеспечить достаточное время для удаления до реплика te.

• Политики, скопированные из Azure Information Protection, не будут иметь того же имени, они будут называться с префиксом AIP_. Имена политик нельзя изменить впоследствии.

Дополнительные сведения о настройке параметров политики, расширенных параметров клиента и параметров меток для клиента унифицированных меток Azure Information Protection см . в разделе "Пользовательские конфигурации" для клиента унифицированных меток Azure Information Protection из руководства администратора.

Примечание.

Поддержка Azure Information Protection для политик копирования в настоящее время доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Клиенты и службы, поддерживающие унифицированные метки

Чтобы убедиться, что клиенты и службы поддерживают унифицированную маркировку, см. в своей документации, чтобы проверка, можно ли использовать метки конфиденциальности, опубликованные из Портал соответствия требованиям Microsoft Purview.

Клиенты, поддерживающие единую метку, включают в себя

• Клиент унифицированных меток Azure Information Protection для Windows. Дополнительные сведения см. в статье Сравнение встроенной метки Azure Information Protection и MIP.

• Приложения из Office, которые находятся на разных этапах доступности

  Дополнительные сведения см. в разделе "Поддержка возможностей меток конфиденциальности" в приложениях из документации по соответствию Требованиям Microsoft 365.

• Приложения от поставщиков программного обеспечения и разработчиков , использующих пакет SDK Microsoft Information Protection.

В настоящее время службы, поддерживающие унифицированную маркировку, включают

• Power BI

• Защита от потери данных конечной точки (DLP)

• Office Online и Outlook в Интернете

  Дополнительные сведения см. в разделе "Включение меток конфиденциальности для файлов Office" в SharePoint и OneDrive.

• Microsoft SharePoint, OneDrive для работы или учебного заведения, OneDrive для дома, Teams и групп Microsoft 365

  Дополнительные сведения см. в разделе "Использование меток конфиденциальности для защиты содержимого в Microsoft Teams", группах Microsoft 365 и сайтах SharePoint.

• Microsoft Defender for Cloud Apps

  Эта служба поддерживает метки до миграции в единое хранилище меток и после миграции с помощью следующей логики:

  • Если Портал соответствия требованиям Microsoft Purview имеет метки конфиденциальности, эти метки извлекаются из Портал соответствия требованиям Microsoft Purview. Чтобы выбрать эти метки в Microsoft Defender для облака Apps, необходимо опубликовать по крайней мере одну метку одному пользователю.

  • Если Портал соответствия требованиям Microsoft Purview не имеет меток конфиденциальности, метки Azure Information Protection извлекаются из портал Azure.

• Службы от поставщиков программного обеспечения и разработчиков , использующих пакет SDK Microsoft Information Protection.

Порталы управления для использования после переноса меток

После переноса меток в портал Azure продолжайте управлять ими в одном из следующих расположений в зависимости от установленных клиентов:

Клиент	Description
Только клиенты и службы унифицированных меток	Если установлены только клиенты унифицированных меток, управляйте метками в Портал соответствия требованиям Microsoft Purview, где клиенты унифицированных меток загружают метки и их параметры политики. Инструкции см. в разделе "Создание и настройка меток конфиденциальности" и их политик.
Только классический клиент	Если вы перенесли метки, но по-прежнему установили классический клиент, продолжайте использовать портал Azure для изменения меток и параметров политики. Классический клиент продолжает скачивать метки и параметры политики из Azure.
Классический клиент AIP и клиенты унифицированных меток	Если у вас установлены оба клиента, используйте Портал соответствия требованиям Microsoft Purview или портал Azure для внесения изменений меток. Чтобы классические клиенты выбрали изменения меток, внесенные в Портал соответствия требованиям Microsoft Purview, вернитесь к портал Azure, чтобы опубликовать их. В области портал Azure >Azure Information Protection — унифицированные метки выберите "Опубликовать". Продолжайте использовать портал Azure для централизованной отчетности и сканера.

Следующие шаги

Руководство и советы от нашей команды по работе с клиентами:

• Запись блога: общие сведения о миграции унифицированных меток

О метках конфиденциальности:

• Сведения о метках конфиденциальности
• Создайте и настройте метки конфиденциальности и их политики.

Разверните клиент унифицированных меток AIP:

Если вы еще этого не сделали, установите клиент унифицированных меток Azure Information Protection.

Дополнительные сведения см. в разделе:

• Клиент унифицированных меток Azure Information Protection — журнал выпусков версий и политика поддержки
• Руководство администратора по использованию унифицированных меток для клиента Azure Information Protection
• Руководство пользователя по унифицированной маркировке Azure Information Protection