Как перенести метки Azure Information Protection в унифицированные метки конфиденциальности

Перенесите метки Azure Information Protection на единую платформу маркировки, чтобы их можно было использовать в качестве меток конфиденциальности клиентами и службами, поддерживающими унифицированные метки.

Примечание

Если подписка Azure Information Protection довольно новая, возможно, вам не придется переносить метки, так как клиент уже находится на платформе унифицированных меток. Дополнительные сведения см. в статье "Как определить, находится ли мой клиент на платформе унифицированных меток?"

После переноса меток вы не увидите никакой разницы с классическим клиентом Azure Information Protection, так как этот клиент продолжает загружать метки с помощью политики Azure Information Protection из Azure-Portal. Однако теперь вы можете использовать метки с azure Information Protection клиент унифицированных меток и другие клиенты и службы, использующие метки конфиденциальности.

Прежде чем читать инструкции по переносу меток, вы можете найти следующие часто задаваемые вопросы:

Административные роли, поддерживающие платформу унифицированных меток

При использовании ролей администратора для делегированного администрирования в организации может потребоваться выполнить некоторые изменения для платформы унифицированных меток:

Рольадминистратора Azure AD Information Protection (ранее Information Protection администратора) не поддерживается платформой унифицированных меток. Если эта административная роль используется в организации для управления Azure Information Protection, добавьте пользователей, имеющих эту роль, в роли администратора соответствия требованиям Azure AD, администратора данных соответствия требованиям или администратора безопасности. Если вам нужна помощь по этому шагу, см. статью "Предоставление пользователям доступа к порталу соответствия Требованиям Microsoft Purview". Эти роли также можно назначить на портале Azure AD и на портале соответствия Требованиям Microsoft Purview.

Кроме того, на портале соответствия Требованиям Microsoft Purview можно создать новую группу ролей для этих пользователей и добавить роли администратора меток конфиденциальности или конфигурации организации в эту группу.

Если вы не предоставляете этим пользователям доступ к порталу соответствия Microsoft Purview с помощью одной из этих конфигураций, они не смогут настроить Azure Information Protection в Azure-Portal после переноса меток.

Глобальные администраторы вашего клиента могут продолжать управлять метками и политиками как в Azure-Portal, так и на портале соответствия Требованиям Microsoft Purview после переноса меток.

Перед началом

Миграция меток имеет множество преимуществ, но необратимая. Перед миграцией убедитесь, что вы знаете о следующих изменениях и рекомендациях:

Поддержка клиентов для унифицированных меток

Убедитесь, что у вас есть клиенты, поддерживающие унифицированные метки и при необходимости, подготовьтесь к администрированию как в Azure-Portal (для клиентов, которые не поддерживают унифицированные метки), так и на портале соответствия Требованиям Microsoft Purview (для клиентов, поддерживающих унифицированные метки).

Настройки политики

Политики, в том числе параметры политик и сведения о пользователях с правами доступа к ним (политики с заданной областью), а также все расширенные параметры клиентов не переносятся. Параметры настройки этих параметров после миграции меток включают в себя следующее:

Важно!

Не все параметры перенесенной метки поддерживаются порталом соответствия Microsoft Purview. Используйте таблицу в параметрах меток, которые не поддерживаются в разделе портала соответствия Требованиям Microsoft Purview , чтобы определить эти параметры и рекомендуемый курс действий.

Шаблоны защиты

  • Шаблоны, которые используют облачный ключ и являются частью конфигурации метки, также переносятся вместе с меткой. Другие шаблоны защиты не переносятся.

  • Если у вас есть метки, настроенные по готовому шаблону, измените их и выберите Задать разрешения, чтобы настроить в этих метках те же параметры защиты, что были в шаблоне. Метки с предопределенными шаблонами не блокируют миграцию меток, но эта конфигурация меток не поддерживается на портале соответствия Microsoft Purview.

    Совет

    Чтобы помочь вам перенастроить эти метки, может оказаться полезным иметь два окна браузера: одно окно, в котором вы нажимаете кнопку "Изменить шаблон" для метки, чтобы просмотреть параметры защиты, а в другом окне можно настроить те же параметры при выборе "Задать разрешения".

  • После переноса метки с параметрами облачной защиты результирующая область шаблона защиты определяется в Azure-Portal (или с помощью модуля PowerShell AIPService) и области, определенной на портале соответствия Purrosoft Purview.

Отображаемые имена

Для каждой метки на портале Azure отображается только отображаемое имя метки, которое можно изменять. Пользователи видят это имя метки в своих приложениях.

На портале соответствия Требованиям Microsoft Purview отображается отображаемое имя метки и имя метки. Имя метки — это начальное имя, которое указывается при первом создании метки, и это свойство используется внутренней службой для идентификации. При переносе меток отображаемое имя остается неизменным, а имя метки переименовано в идентификатор метки из Azure-Portal.

Конфликтующие отображаемые имена

Перед миграцией убедитесь, что после завершения миграции не будут конфликтующие отображаемые имена. Отображаемые имена в том же месте в иерархии меток должны быть уникальными.

Например, рассмотрим следующий список меток:

  • Public
  • Общие
  • Конфиденциально.
    • Конфиденциально\HR
    • Конфиденциально\Finance
  • Секрет
    • Secret\HR
    • Secret\Finance

В этом списке общедоступные, общие, конфиденциальные и секретные метки являются родительскими метками и не могут иметь повторяющиеся имена. Кроме того, конфиденциальные\HR и Confidential\Finance находятся в том же месте в иерархии, а также не могут иметь повторяющиеся имена.

Однако вложенные метки для разных родителей, такие как Confidential\HR и Secret\HR , не находятся в одной иерархии и поэтому могут иметь одинаковые отдельные имена.

Локализованные строки в метках

Локализованные строки для меток не переносятся. Определите новые локализованные строки для перенесенных меток с помощью PowerShell соответствия безопасности & и параметра LocaleSettings для Set-Label.

Изменение перенесенных меток на портале соответствия Microsoft Purview

После миграции при изменении перенесенной метки в Azure-Portal то же изменение автоматически отражается на портале соответствия Требованиям Microsoft Purview.

Однако при изменении перенесенной метки на портале соответствия Требованиям Microsoft Purview необходимо вернуться к Azure-Portal, Azure Information Protection — область унифицированных меток и выбрать команду "Опубликовать".

Это дополнительное действие необходимо для того, чтобы клиенты Azure Information Protection (классическая модель) для получения изменений меток.

Параметры меток, которые не поддерживаются на портале соответствия Требованиям Microsoft Purview

Используйте следующую таблицу, чтобы определить, какие параметры конфигурации перенесенной метки не поддерживаются порталом соответствия Microsoft Purview. Если у вас есть метки с этими параметрами, после завершения миграции используйте инструкции по администрированию в последнем столбце перед публикацией меток на портале соответствия Microsoft Purview.

Если вы не знаете, как настроены метки, просмотрите их параметры на портале Azure. Инструкции см. в руководстве по настройке политики Azure Information Protection.

Клиенты Azure Information Protection (классическая модель) могут использовать все параметры меток, перечисленные без каких-либо проблем, так как они продолжают загружать метки из Azure-Portal.

Конфигурация метки Поддерживаются клиентами, поддерживающими унифицированные метки Руководство по порталу соответствия Требованиям Microsoft Purview
Состояние "Включено" или "Отключено"

Это состояние не синхронизировано с порталом соответствия Microsoft Purview
Неприменимо Эквивалент — публикуется ли метка или нет.
Цвет метки, который вы выбираете в списке или указываете с помощью RGB-кода Да Нет параметра конфигурации для цвета меток. Вместо этого можно настроить цвета меток в Azure-Portal или использовать PowerShell.
Облачная защита или защита на основе HYOK, использующая предопределенный шаблон Нет Нет параметра конфигурации для стандартных шаблонов. Мы не рекомендуем публиковать метки с этой конфигурацией.
Облачная защита, использующая определяемые пользователем разрешения в Word, Excel и PowerPoint. Да Портал соответствия Требованиям Microsoft Purview поддерживает параметр конфигурации для определяемых пользователем разрешений.

Если вы публикуете метку с этой конфигурацией, проверьте результаты применения метки из следующей таблицы.
Защита на основе HYOK с помощью определяемых пользователем разрешений для Outlook (не пересылать) Нет Нет параметра конфигурации для HYOK. Мы не рекомендуем публиковать метки с этой конфигурацией. Результаты применения метки в этом случае показаны в этой таблице.
Настраиваемое имя шрифта, размер и пользовательский цвет шрифта с помощью RGB-кода для визуальной маркировки (верхний , нижний колонтитул, подложка) Да Конфигурация для визуальной маркировки ограничена списком цветов и размерами шрифта. Эту метку можно опубликовать без изменений, хотя настроенные значения не отображаются на портале соответствия Требованиям Microsoft Purview.

Чтобы изменить эти параметры, используйте командлет New-Label Office 365 Центра соответствия требованиям безопасности&. Чтобы упростить администрирование, рассмотрите возможность изменения цвета на один из перечисленных вариантов на портале соответствия Требованиям Microsoft Purview.

Примечание. Портал соответствия Требованиям Microsoft Purview поддерживает предопределенный список определений шрифтов. Пользовательские шрифты и цвета поддерживаются только с помощью командлета New-Label .

Если вы работаете с классическим клиентом, внесите эти изменения в метку в Azure-Portal.
Переменные в визуальной маркировке (верхний, нижний колонтитул) Да Эта конфигурация меток поддерживается клиентами AIP и встроенными метками Office для выбора приложений.

Если вы работаете со встроенными метками с помощью приложения, которое не поддерживает эту конфигурацию и публикует эту метку без изменений, переменные отображаются как текст на клиентах вместо отображения динамического значения.

Дополнительные сведения см. в документации по Microsoft 365.
Визуальная маркировка каждого приложения Да Эта конфигурация меток поддерживается только клиентами AIP, а не встроенными метками Office.

Если вы работаете со встроенными метками и публикуете эту метку без изменений, конфигурация визуальной маркировки отображается как переменный текст, а не визуальные маркировки, которые вы настроили для отображения в каждом приложении.
Защита "Только для меня" Да Портал соответствия Требованиям Microsoft Purview не позволяет сохранять применяемые параметры шифрования, не указывая пользователей. В Azure-Portal эта конфигурация приводит к метке, применяющей защиту "Только для меня".

В качестве альтернативы создайте метку, которая применяет шифрование и укажите пользователя с любыми разрешениями, а затем измените связанный шаблон защиты с помощью PowerShell. Сначала используйте командлет New-AipServiceRightsDefinition (см. пример 3), а затем Set-AipServiceTemplateProperty с параметром RightsDefinitions .
Условия и связанные параметры

Включает автоматическое и рекомендуемое добавление меток и их подсказок
Неприменимо Перенастройте условия, использовав автоматическое добавление меток в качестве конфигурации, отдельной от параметров меток.

Сравнение действия параметров защиты метки

Используйте следующую таблицу, чтобы определить поведение одного и того же параметра защиты для метки в зависимости от того, используется ли он классическим клиентом Azure Information Protection, клиентом унифицированных меток Azure Information Protection или приложениями Office, имеющими встроенные метки (также называемые собственными метками Office). Различия в поведении меток могут изменить ваше решение о публикации меток, особенно при наличии сочетания клиентов в вашей организации.

Если вы не знаете, как настроены параметры защиты, просмотрите их параметры на панели защиты в Azure-Portal. Инструкции см. в руководстве по настройке меток для параметров защиты.

Параметры защиты, действие которых одинаково, не перечислены в таблице, за исключением следующих:

  • При использовании приложений Office со встроенными функциями меток, если не установлен клиент унифицированных меток Azure Information Protection, метки не отображаются в проводнике.
  • При использовании приложений Office со встроенными функциями меток, если защита уже была применена независимо от метки, эта защита сохраняется [1].
Параметр защиты для метки Классический клиент Azure Information Protection Клиент унифицированных меток Azure Information Protection Приложения Office со встроенными функциями меток
HYOK (AD RMS) с шаблоном Отображается в Word, Excel, PowerPoint, Outlook и проводнике.

Если метка применена:

– Защита HYOK применяется к документам и электронным письмам.
Отображается в Word, Excel, PowerPoint, Outlook и проводнике.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Word, Excel, PowerPoint и Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется[1].
HYOK (AD RMS) с определяемыми пользователем разрешениями для Word, Excel, PowerPoint и проводника Отображается в Word, Excel, PowerPoint и проводнике.

Если метка применена:

– Защита HYOK применяется к документам и электронным письмам.
Отображается в Word, Excel и PowerPoint.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Word, Excel и PowerPoint.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
HYOK (AD RMS) с определяемыми пользователем разрешениями для Outlook Отображается в Outlook.

Если метка применена:

– К электронным письмам применяется действие "Не пересылать" c защитой HYOK.
Отображается в Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется.
Отображается в Outlook.

Если метка применена:

– Защита не применяется и удаляется[2], если ранее она была применена с помощью метки.

– Если защита уже была применена независимо от метки, эта защита сохраняется[1].
Сноска 1

В Outlook защита сохраняется с одним исключением: если сообщение электронной почты защищено с помощью параметра "Только шифрование", эта защита удаляется.

Сноска 2

Защита удаляется, если у пользователя есть право на использование или роль, поддерживающие такое действие:

Если у пользователя нет таких прав или ролей, метка не применяется и сохраняется первоначальная защита.

Перемещение меток Azure Information Protection

Используйте следующие инструкции для переноса клиента и меток Azure Information Protection для использования хранилища унифицированных меток.

Для переноса меток необходимо быть администратором соответствия требованиям, администратором данных соответствия требованиям, администратором безопасности или глобальный администратор.

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите в область Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. Щелкните пункт меню Управление и выберите Унифицированные метки.

  3. На панели унифицированных меток Azure Information Protection выберите "Активировать" и следуйте инструкциям в Интернете.

    Если параметр активации недоступен, проверьте состояние унифицированных меток: если отображается активировано, клиент уже использует единое хранилище меток и не нужно переносить метки.

Успешно перенесенные метки могут использоваться клиентами и службами, которые поддерживают унифицированное добавление меток. Однако сначала необходимо опубликовать эти метки на портале соответствия Требованиям Microsoft Purview.

Важно!

Если вы изменяете метки за пределами Azure-Portal, для клиентов Azure Information Protection (классическая модель), вернитесь в эту область Information Protection Azure — унифицированные метки и нажмите кнопку "Опубликовать".

Копирование политик

После переноса меток можно выбрать вариант копирования политик. При выборе этого параметра однократная копия политик с параметрами политики и дополнительными параметрами клиента отправляется на портал соответствия Требованиям Microsoft Purview.

После этого успешно скопированные политики с параметрами и метками автоматически публикуются пользователям и группам, назначенным политикам в Azure-Portal. Обратите внимание, что для глобальной политики это означает, что все пользователи. Если вы не готовы к публикации перенесенных меток в скопированных политиках, после копирования политик можно удалить метки из политик меток в центре меток администратора.

Прежде чем выбрать параметр "Копировать политики (предварительная версия) на панели унифицированных меток Azure Information Protection, помните следующее:

  • Параметр "Политики копирования" (предварительная версия) недоступен до активации унифицированных меток для вашего клиента.

  • Выборочно выбирать политики и параметры для копирования нельзя. Все политики ( глобальная политика и все политики с заданной областью) автоматически выбираются для копирования, а все параметры, поддерживаемые в качестве параметров политики меток, копируются. Если у вас уже есть политика меток с тем же именем, она будет перезаписана параметрами политики в Azure-Portal.

  • Некоторые дополнительные параметры клиента не копируются, так как для клиента унифицированных меток Azure Information Protection поддерживаются в качестве дополнительных параметров меток, а не параметров политики. Эти дополнительные параметры меток можно настроить с помощью PowerShell соответствия требованиям безопасности&. Дополнительные параметры клиента, которые не копируются:

  • В отличие от миграции меток, при которой последующие изменения меток синхронизируются, действие "Копировать политики " не синхронизирует последующие изменения политик или параметров политики. После внесения изменений в Azure-Portal можно повторить действие политики копирования, а все существующие политики и их параметры будут перезаписаны снова. Кроме того, используйте командлеты Set-LabelPolicy или Set-Label с параметром AdvancedSettings из PowerShell соответствия требованиям безопасности & .

  • Действие "Копировать политики" проверяет следующее для каждой политики перед копированием:

    • Пользователи и группы, назначенные политике, в настоящее время находятся в Azure AD. Если одна или несколько учетных записей отсутствуют, политика не копируется. Членство в группах не проверяется.

    • Глобальная политика содержит по крайней мере одну метку. Так как центры маркировки администраторов не поддерживают политики меток без меток, глобальная политика без меток не копируется.

  • Если вы копируете политики, а затем удаляете их из центра меток администратора, подождите по крайней мере два часа, прежде чем снова использовать действие "Копировать политики ", чтобы обеспечить достаточно времени для репликации удаления.

  • Политики, скопированные из Azure Information Protection, не будут иметь того же имени, они будут называться с префиксом AIP_. Имена политик впоследствии нельзя изменить.

Дополнительные сведения о настройке параметров политики, расширенных параметров клиента и параметров меток для клиента унифицированных меток Azure Information Protection см. в статье "Пользовательские конфигурации" для клиента унифицированных меток Azure Information Protection из руководства администратора.

Примечание

Поддержка политик копирования в Azure Information Protection сейчас доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Клиенты и службы, которые поддерживают унифицированное добавление меток

Чтобы проверить, используются ли клиенты и службы для поддержки унифицированных меток, ознакомьтесь со своей документацией, чтобы проверить, могут ли они использовать метки конфиденциальности, опубликованные на портале соответствия Требованиям Microsoft Purview.

Клиенты, поддерживающие унифицированные метки, включают
Службы, которые в настоящее время поддерживают унифицированные метки, включают

Порталы управления для использования после переноса меток

После переноса меток в Azure-Portal продолжайте управлять ими в одном из следующих расположений в зависимости от установленных клиентов:

Клиент Описание
Только клиенты и службы унифицированных меток Если установлены только клиенты унифицированных меток, управляйте метками на портале соответствия Microsoft Purview, где клиенты унифицированных меток загружают метки и их параметры политики.

Инструкции см. в разделе "Создание и настройка меток конфиденциальности" и их политик.
Только классический клиент Если вы перенесли метки, но все еще установили классический клиент, продолжайте использовать Azure-Portal для изменения меток и параметров политики. Классический клиент продолжает загружать метки и параметры политики из Azure.
Классический клиент AIP и клиенты унифицированных меток Если у вас установлены оба клиента, используйте портал соответствия Требованиям Microsoft Purview или Azure-Portal для внесения изменений меток.

Чтобы классические клиенты выбрали изменения меток, внесенные на портале соответствия Требованиям Microsoft Purview, вернитесь к Azure-Portal, чтобы опубликовать их. В области Azure-Portal Azure Information Protection >— унифицированные метки выберите "Опубликовать".

Продолжать использовать портал Azure для централизованных отчетов и сканера.

Дальнейшие шаги

Руководство и советы от нашей команды по работе с клиентами:

Сведения о метках конфиденциальности:

Разверните клиент унифицированных меток AIP:

Если это еще не сделано, установите клиент унифицированных меток Azure Information Protection.

Дополнительные сведения можно найти в разделе