Стратегия развертывания AIP для классификации, маркировки и защиты

Примечание

Вы ищете Microsoft Purview Information Protection, ранее Microsoft informācijas aizsardzība (MIP)?

Клиент унифицированных меток Azure Information Protection теперь находится в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Mer informasjon

Выполните следующие действия в качестве рекомендаций, которые помогут вам подготовиться к, реализовать и администрировать azure Information Protection для вашей организации, если вы хотите классифицировать, помечать и защищать данные.

Эта стратегия рекомендуется для всех клиентов со вспомогательной подпиской. Дополнительные возможности включают как обнаружение конфиденциальной информации, так и документы меток и электронные письма для классификации.

Метки также могут применять защиту, упрощая этот шаг для пользователей.

Процесс развертывания

Выполните следующие действия.

  1. Подтверждение подписки и назначение лицензий пользователей
  2. Подготовка клиента для использования Azure Information Protection
  3. Настройка и развертывание классификации и добавления меток
  4. Подготовка к защите данных
  5. Настройка меток и параметров, приложений и служб для защиты данных
  6. Использование и отслеживание решений для защиты данных
  7. Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Совет

Уже используете защиту Azure Information Protection? Вы можете пропустить многие из этих шагов и сосредоточиться на шагах 3 и 5.1.

Подтверждение подписки и назначение лицензий пользователей

Убедитесь, что у вашей организации есть подписка, включающая ожидаемые функции и функции. Дополнительные сведения см. в руководстве по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.

Затем назначьте лицензии из этой подписки каждому пользователю в организации, который будет заниматься классификацией, добавлением меток, а также защитой документов и сообщений электронной почты.

Важно!

Не назначайте лицензии пользователей вручную из бесплатной подписки RMS для частных лиц и не используйте эту лицензию для администрирования службы Azure Rights Management для вашей организации.

Эти лицензии отображаются как Rights Management Adhoc в Центре администрирования Microsoft 365 и RIGHTSMANAGEMENT_ADHOC при запуске командлета Azure AD PowerShell, Get-MsolAccountSku.

Дополнительные сведения см. в статье RMS для частных лиц и azure Information Protection.

Подготовка клиента для использования Azure Information Protection

Прежде чем приступить к работе с Azure Information Protection, убедитесь, что у вас есть учетные записи пользователей и группы в Microsoft 365 или Azure Active Directory, которые AIP может использовать для проверки подлинности и авторизации пользователей.

При необходимости создайте эти учетные записи и группы или синхронизируйте их из локального каталога.

Дополнительные сведения см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection.

Настройка и развертывание классификации и добавления меток

Выполните следующие действия.

  1. Сканирование файлов (необязательно, но рекомендуется)

    Разверните клиент Azure Information Protection, а затем установите и запустите сканер, чтобы обнаружить конфиденциальную информацию, которую у вас есть в локальных хранилищах данных.

    Данные, обнаруженные средством проверки, помогут вам определить таксономию классификации, предоставят ценные сведения о необходимых метках и файлах, требующих защиты.

    Режим обнаружения сканера не требует настройки меток или таксономии и поэтому подходит на этом раннем этапе развертывания. Эту конфигурацию сканера можно также использовать параллельно со следующими шагами развертывания, пока не будет настроена рекомендуемая или автоматическая маркировка.

  2. Настройте политику AIP по умолчанию.

    Если у вас еще нет стратегии классификации, используйте политику по умолчанию в качестве основы для определения меток, необходимых для данных. При необходимости настройте эти метки в соответствии с вашими потребностями.

    Например, может потребоваться перенастроить метки со следующими сведениями:

    • Убедитесь, что метки поддерживают решения по классификации.
    • Настройка политик для добавления меток вручную пользователями
    • Напишите руководство пользователя, чтобы объяснить, какую метку следует применять в каждом сценарии.
    • Если политика по умолчанию была создана с метками, которые автоматически применяют защиту, может потребоваться временно удалить параметры защиты или отключить метку во время тестирования параметров.

    Метки конфиденциальности и политики меток для клиента унифицированных меток настраиваются на портале соответствия Требованиям Microsoft Purview. Дополнительные сведения см. в разделе "Сведения о метках конфиденциальности".

  3. Развертывание клиента для пользователей

    После настройки политики разверните клиент Azure Information Protection для пользователей. Укажите обучение пользователей и конкретные инструкции при выборе меток.

    Дополнительные сведения см. в руководстве администратора клиента унифицированных меток.

  4. Введение в более сложные конфигурации

    Подождите, пока пользователи станут более удобными с метками в своих документах и сообщениях электронной почты. Когда все будет готово, введите дополнительные конфигурации, например:

    • Применение меток по умолчанию
    • Запрос пользователей на обоснование, если они выбрали метку с более низким уровнем классификации или удалите метку
    • Указать, что все документы и сообщения электронной почты имеют метку
    • Настройка колонтитулов или подложек
    • Рекомендуемые и автоматические метки

    Дополнительные сведения см. в руководстве администратора: пользовательские конфигурации.

    Совет

    Если вы настроили метки для автоматического применения меток, снова запустите средство проверки azure Information Protection в локальных хранилищах данных в режиме обнаружения и в соответствии с политикой.

    Запуск сканера в режиме обнаружения указывает, какие метки будут применены к файлам, что помогает точно настроить конфигурацию меток и подготовить вас к классификации и защите файлов в пакетном режиме.

Подготовка к защите данных

Введите защиту данных для наиболее конфиденциальных данных, когда пользователи становятся удобными для добавления меток в документы и сообщения электронной почты.

Чтобы подготовиться к защите данных, выполните следующие действия.

  1. Определите способ управления ключом клиента.

    Примите решение, будет ли Майкрософт управлять ключом клиента (по умолчанию), или вы хотите создать ключ клиента и управлять им самостоятельно (сценарий BYOK).

    Дополнительные сведения и варианты дополнительной локальной защиты см. в статье "Планирование и реализация ключа клиента Information Protection Azure".

  2. Установите PowerShell для AIP.

    Установите модуль PowerShell для AIPService по крайней мере на одном компьютере с доступом к Интернету. Это действие можно выполнить сейчас или позднее.

    Дополнительные сведения см. в разделе "Установка модуля AIPService PowerShell".

  3. Только AD RMS: перенос ключей, шаблонов и URL-адресов в облако.

    Если вы сейчас используете AD RMS, выполните миграцию для перемещения ключей, шаблонов и URL-адресов в облако.

    Дополнительные сведения см. в статье Переход с AD RMS на службу Information Protection.

  4. Активируйте защиту.

    Активируйте службу защиты, чтобы начать защищать документы и электронные письма. При развертывании на нескольких этапах настройте элементы управления адаптацией пользователей, чтобы ограничить возможность применения защиты пользователями.

    Дополнительные сведения см. в статье об активации службы защиты в Azure Information Protection.

  5. Рассмотрите возможность ведения журнала использования (необязательно).

    Рассмотрите возможность ведения журнала, чтобы отслеживать, как ваша организация использует службу защиты. Это действие можно выполнить сейчас или позднее.

    Дополнительные сведения см. в статье "Ведение журнала" и анализ использования защиты из Azure Information Protection.

Настройка меток и параметров, приложений и служб для защиты данных

Выполните следующие действия.

  1. Обновление меток для применения защиты

    Дополнительные сведения см. в статье Ограничение доступа к содержимому с помощью шифрования в метках конфиденциальности.

    Важно!

    Пользователи могут применять метки в Outlook, которые применяют защиту Rights Management, даже если Exchange не настроен для управления правами на доступ к данным (IRM).

    Однако до тех пор, пока Exchange не будет настроен для шифрования сообщений IRM или Microsoft 365 с новыми возможностями, ваша организация не получит полную функциональность использования защиты Azure Rights Management с Exchange. Эта дополнительная конфигурация описана далее в этом списке (п. 2 для Exchange Online и п. 5 для Exchange в локальной среде).

  2. Настройка приложений и служб Office

    Настройка приложений и служб Office для функций управления правами на доступ к данным (IRM) в Microsoft SharePoint или Exchange Online.

    Дополнительные сведения см. в статье "Настройка приложений для Службы управления правами Azure".

  3. Настройка функции суперпользователя для восстановления данных

    Если у вас есть ИТ-службы, которым требуется проверять файлы, защищаемые с помощью Azure Information Protection, например решения по предотвращению утечек данных (DLP), шлюзы шифрования содержимого (CEG) и продукты для защиты от вредоносных программ, настройте учетные записи таких служб в качестве суперпользователей для Azure Rights Management.

    Дополнительные сведения см. в статье о настройке суперпользователей для azure Information Protection и служб обнаружения или восстановления данных.

  4. Классификация и защита файлов в пакетном режиме

    Для локальных хранилищ данных запустите средство проверки Azure Information Protection в режиме принудительного применения, чтобы задать метки для файлов автоматически.

    Для файлов на компьютерах используйте командлеты PowerShell для классификации и защиты файлов. Дополнительные сведения см. в статье "Использование PowerShell с клиентом унифицированных меток Azure Information Protection".

    Для облачных хранилищ данных используйте Microsoft Defender for Cloud Apps.

    Совет

    Хотя классификация и защита существующих файлов в массовом режиме не является одним из основных вариантов использования Defender для облачных приложений, документированные обходные пути помогут вам классифицировать и защищать файлы.

  5. Развертывание соединителя для библиотек с защитой IRM на сервере SharePoint, а также сообщений электронной почты с защитой IRM для локального сервера Exchange

    При наличии локальных сред SharePoint и Exchange и использовании их функций управления правами на доступ к данным (IRM) установите и настройте соединитель управления правами.

    Дополнительные сведения см. в статье Развертывание соединителя службы управления правами Microsoft.

Использование и отслеживание решений для защиты данных

Теперь вы готовы отслеживать, как ваша организация использует метки, которые вы настроили, и убедитесь, что вы защищаете конфиденциальную информацию.

Дополнительные сведения см. на следующих страницах:

Администрирование службы защиты для учетной записи клиента в соответствии с потребностями

Начав использовать службу защиты, вы можете создавать сценарии и автоматизировать административные изменения при помощи PowerShell. PowerShell также может потребоваться для некоторых расширенных конфигураций.

Дополнительные сведения см. в статье администрирование защиты из Azure Information Protection с помощью PowerShell.

Дальнейшие шаги

При развертывании Azure Information Protection может оказаться полезным проверить часто задаваемые вопросы, известные проблемы и страницу сведений и страницу поддержки для дополнительных ресурсов.