Руководство. Миграция с классического клиента Azure Information Protection (AIP) на решение унифицированных меток

Примечание

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Клиент унифицированных меток Azure Information Protection сейчас предоставляется в режиме обслуживания. Мы рекомендуем использовать метки, встроенные в приложения и службы Office 365. Подробнее

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения о прекращении поддержки см. в описании последнего обновления.

В этом руководстве описано, как перенести развертывание Azure Information Protection организации с классического клиента, а также управление метками и политиками меток на портале Azure в решение унифицированных меток и Microsoft 365 для меток конфиденциальности.

Затрачиваемое время. Время, необходимое для завершения миграции, зависит от того, насколько сложны ваши политики и какие функции AIP вы используете. Вы можете продолжить работу с классическим клиентом во время выполнения миграции в фоновом режиме.

В этом руководстве содержится подробное описание каждого шага, а также ссылки на соответствующие разделы в документации Майкрософт для получения дополнительных сведений.

В этом руководстве вы выполните следующие действия.

  • Узнаете о планировании миграции
  • Перенесете метки на платформу унифицированных меток
  • Ознакомитесь со сведениями о настройке дополнительных параметров на Портале соответствия требованиям Microsoft Purview.
  • Скопируете политики на платформу унифицированных меток
  • Развернете клиент унифицированных меток

Зачем переходить на решение унифицированных меток?

В дополнение к прекращению поддержки классического клиента, миграция на решение для унифицированных меток позволяет эффективно защищать конфиденциальные данные в ваших цифровых активах. После миграции используйте Microsoft Purview Information Protection в облачных службах Microsoft 365, локально, в сторонних приложениях SaaS и т. д.

MIP поддерживает встроенные службы меток для многих основных функций защиты информации, позволяя резервировать использование клиента только для дополнительных функций, которые не поддерживаются встроенными средствами добавления меток.

  • Снижение затрат на обслуживание путем развертывания и обслуживания меньшего количества дополнительного программного обеспечения
  • Повышение производительности Office без использования дополнительных надстроек
  • Упростите управление политиками меток и защиты в AIP, Office 365 и Windows с помощью Портала соответствия требованиям Microsoft Purview.

Дополнительные сведения см. в блоге, посвященном общим сведениям о переходе на унифицированные метки.

Планирование миграции

Хотя большинство функциональных возможностей, доступных для классического клиента AIP, также доступно для клиента унифицированных меток, одни функции еще не полностью доступны, а другие настроены по-разному для добавления унифицированных меток.

Ознакомьтесь со следующими статьями, чтобы понять, как используемые функции Information Protection могут отличаться при использовании клиента унифицированных меток:

Совет

При наличии задокументированных различий между клиентами, которые влияют на поведение конечных пользователей, рекомендуется ознакомить пользователей с этими изменениями перед развертыванием клиента унифицированных меток и публикации новой политики.

После того как вы запланировали миграцию и поняли предстоящие изменения, можно приступать к миграции меток на платформу унифицированных меток.

Перенос меток на платформу унифицированных меток

После того как вы запланировали перенос и учли различия в способах управления между клиентами, можно активировать платформу унифицированных меток и перенести метки.

Во время переноса можно продолжать использовать классический клиент AIP и политики в области Azure Information Protection на портале Azure. Эти два клиента могут работать параллельно без дополнительной настройки.

  1. Войдите на портал Azure от имени администратора с одной из следующих ролей:

    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • администратор безопасности;
    • Глобальный администратор
  2. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

    В верхней части страницы выберите Активировать, чтобы активировать унифицированные метки.

    Метки копируются из Azure Information Protection в платформу унифицированных меток и теперь хранятся в обеих системах.

    Откройте Портал соответствия требованиям Microsoft Purview, чтобы сравнить метки, отображаемые там и в области Azure Information Protection. Содержимое обоих списков должно быть одинаковым. Например, при сравнении с Порталом соответствия требованиям Microsoft Purview:

    Сравнение перенесенных меток на портале Azure и в Центре безопасности и соответствия требованиям

    Примечание

    При необходимости продолжайте использовать метки в обеих системах, пока не завершите миграцию. Дополнительные сведения см. в разделе Синхронизация правок меток.

Перейдите к копированию политик на платформу унифицированных меток.

Синхронизация правок меток

После переноса меток на Портал соответствия требованиям Microsoft Purview любые изменения, которые вы продолжаете вносить в перенесенные метки на портале Azure, будут автоматически синхронизироваться с той же меткой на Портале соответствия требованиям Microsoft Purview.

Однако изменения, которые вносятся в перенесенные метки на Портале соответствия требованиям Microsoft Purview, не синхронизируются с порталом Azure. Если вы вносите изменения в метки на Портале соответствия требованиям Microsoft Purview и хотите обновить их на портале Azure, перейдите на портал, чтобы опубликовать обновление.

Чтобы опубликовать обновленную метку на портале Azure, сделайте следующее:

  1. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

  2. Выберите Опубликовать.

Примечание

Этот шаг требуется только в том случае, если вы внесли изменения в перенесенные метки в платформе унифицированных меток и хотите, чтобы эти изменения были синхронизированы обратно с порталом Azure.

Миграция меток с помощью PowerShell

Вы также можете использовать PowerShell для переноса существующих меток, например для среды GCC High.

Используйте командлет New-Label, чтобы перенести существующие метки конфиденциальности.

Например, если метка конфиденциальности зашифрована, можно использовать командлет New-Label следующим образом:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Дополнительные сведения о работе в средах GCC, GCC High и DoD см. в описании службы Azure Information Protection Premium для государственных организаций.

Копирование политик на платформу унифицированных меток

Скопируйте все политики, сохраненные на портале Azure, которые должны быть доступны, поскольку они находятся на платформе унифицированных меток.

Сейчас эта функция доступна в ПРЕДВАРИТЕЛЬНОЙ ВЕРСИИ. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Примечание

При копировании политик действуют определенные ограничения. Вы также можете начать с нуля и создать свои политики вручную на Портале соответствия требованиям Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.

Чтобы скопировать политики, выполните следующие действия.

  1. Следует учесть следующие моменты и подтвердить, что вы действительно хотите скопировать политики в текущий момент:

    Оценка Описание
    При копировании политик копируются все политики Копирование политик не поддерживает копирование лишь конкретных политик — копируются либо все политики, либо ни одна из них.
    После копирования политики автоматически публикуются После копирования политик в клиент унифицированных меток они автоматически публикуются на всех клиентах, поддерживающих унифицированные метки.

    Важно. Не копируйте политики, если вы не хотите их публиковать.
    При копировании существующие политики с одинаковыми именами перезаписываются Если на Портале соответствия требованиям Microsoft Purview есть политика с таким же именем, копирование политик перезапишет все параметры, определенные в этой политике.

    Всем политикам, скопированным из портала Azure, присваиваются имена со следующим синтаксисом: AIP_<policy name>.
    Некоторые параметры клиента не копируются Некоторые параметры клиента не копируются в платформу унифицированных меток. Их следует настроить вручную после миграции.

    Дополнительные сведения см. в статье Настройка дополнительных параметров добавления меток
  2. Войдите на портал Azure от имени администратора с одной из следующих ролей:

    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • администратор безопасности;
    • Глобальный администратор
  3. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

  4. Выберите Копировать политики (предварительная версия). Все политики, которые вы сохранили на портале Azure, скопируются на Портал соответствия требованиям Microsoft Purview.

    Если на Портале соответствия требованиям Microsoft Purview имеются политики с таким именем, они будут перезаписаны параметрами с портала Azure.

    Важно!

    Если в настоящее время вы используете Microsoft Defender for Cloud Apps и метки Azure Information Protection, убедитесь, что на Портале соответствия требованиям Microsoft Purview опубликована по крайней мере одна политика с минимальным набором меток, даже если область действия политики ограничена одним пользователем.

    Эта политика необходима, чтобы Microsoft Defender for Cloud Apps определял все метки на Портале соответствия требованиям Microsoft Purview и отображал их на портале Microsoft Defender for Cloud Apps.

Теперь, когда вы перенесли и метки, и политики, можно переходить к настройке дополнительных параметров меток с учетом любых расширенных конфигураций, которые не были перенесены.

Настройка дополнительных параметров меток

Как описано на этапе планирования, некоторые дополнительные параметры меток не переносятся автоматически — их следует перенастроить для платформы унифицированных меток.

Дополнительные сведения см. в разделе:

Настройка дополнительных параметров добавления меток в PowerShell

  1. Подключитесь к модулю PowerShell Центра безопасности и соответствия требованиям. Дополнительные сведения см. в документации PowerShell по Центру безопасности и соответствия требованиям.

  2. Чтобы задать дополнительный параметр метки, используйте командлет Set-Label, указав параметр AdvancedSettings, метку, к которой нужно применить параметр, а также пары "ключ-значение" для определения параметра.

    Используйте следующий синтаксис:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
    

    Где:

    • <LabelGUIDorName> — определение метки с использованием имени метки или GUID;
    • <Key> — ключ или имя дополнительного параметра, который вы хотите использовать для устройства;
    • <Value> — значение параметра, которое необходимо определить; заключите значение в кавычки и разделите несколько значений запятыми. Пробелы не поддерживаются.
  3. Начните с настройки следующих дополнительных параметров:

    Дополнительные сведения о доступных расширенных конфигурациях см. в разделе Руководство администратора. Настраиваемые конфигурации для клиента унифицированных меток Azure Information Protection.

Примечание

Для использования параметров, определенных для платформы унифицированных меток, конечные пользователи должны установить на свои компьютеры клиент унифицированных меток.

Эти дополнительные параметры недоступны для пользователей, у которых имеются только встроенные метки, предоставляемые Office 365.

Определение условий метки на Портале соответствия требованиям Microsoft Purview

Унифицированные метки обеспечивают большую гибкость и точность, чем их аналоги, созданные на портале Azure.

Чтобы использовать функции условия унифицированных меток, создайте условия добавления меток вручную на Портале соответствия требованиям Microsoft Purview.

Дополнительные сведения см. в статье Сведения о метках конфиденциальности в документации Microsoft 365.

Совет

Если у вас есть настраиваемые типы конфиденциальной информации, созданные для использования с политиками DLP Office 365 или Microsoft Defender for Cloud Apps, примените их к унифицированным меткам без изменения. Дополнительные сведения см. в документации по Microsoft 365.

Развертывание клиента унифицированных меток

Разверните клиент, поддерживающий унифицированные метки, на компьютерах пользователей, чтобы убедиться, что они смогут использовать соответствующие политики и метки.

Пользователям необходим поддерживаемый клиент, который может подключаться к Порталу соответствия требованиям Microsoft Purview и извлекать политику унифицированных меток.

Дополнительные сведения см. в разделе:

Платформы, отличные от Windows

Для пользователей платформ, отличных от Windows, возможности добавления унифицированных меток интегрированы непосредственно в клиенты Office, и они могут использовать опубликованные вами метки сразу же.

Клиенты Office со встроенными возможностями добавления унифицированных меток включают:

  • Клиенты Office для macOS
  • Office в Интернете (предварительная версия)
  • Outlook Web App
  • Outlook для мобильных устройств

Дополнительные сведения об использовании унифицированных меток на этих платформах см. в разделе Применение меток конфиденциальности к файлам и электронной почте в Office на сайте службы поддержки Майкрософт.

платформы Windows

Для компьютеров Windows приложениями Microsoft 365 для предприятий используйте встроенную поддержку меток, предоставляемую в Office версий 1910 и более поздних, или установите клиент унифицированных меток Azure Information Protection, чтобы расширить функциональные возможности AIP в проводнике или PowerShell.

Дополнительные сведения см. в разделе:

Клиент унифицированных меток Azure Information Protection можно скачать в Центре загрузки Майкрософт.

Убедитесь, что для развертывания клиента используется файл AzInfoProtection_UL. Если на компьютере установлен классический клиент, при установке клиента унифицированных меток выполняется обновление на месте.

Примечание

При определении того, когда следует использовать встроенные метки и клиент унифицированных меток, следует учитывать функциональные возможности, которые в настоящее время требуются вашей организации.

Изменения для конечных пользователей классического клиента

Основное, наиболее заметное различие для конечных пользователей, использующих классический клиент Azure Information Protection, заключается в том, что вместо кнопки Защитить в приложениях Office используется кнопка Конфиденциальность.

После использования дополнительных возможностей, поддерживаемых метками конфиденциальности и унифицированными метками, конечные пользователи также увидят эти изменения в приложениях Office.

Пример:

  • Классический клиент AIP для Windows

    Кнопка защиты в классическом клиенте

  • Клиент унифицированных меток AIP для Windows

    Пример кнопки для клиента унифицированных меток в Microsoft Office

Совет

Если вы опубликовали метки и у клиентов, у которых есть встроенная поддержка, не отображается кнопка Конфиденциальность, ознакомьтесь с соответствующим руководством по устранению неполадок при необходимости.

Обновление сканера из классического клиента

Если в настоящий момент вы используете сканер Azure Information Protection из классического клиента, можно обновить его для поддержки типов конфиденциальной информации и меток конфиденциальности, которые публикуются с Портала соответствия требованиям Microsoft Purview.

Далее приведены сведения об обновлении сканера в зависимости от версии используемого классического клиента:

Во время обновления создается новая база данных с именем AIPScannerUL_<имя_профиля>, но предыдущая база данных сканера сохраняется, если она понадобится для предыдущей версии. Если вы уверены, что предыдущая база данных сканера вам больше не понадобится, удалите ее. Поскольку во время обновления создается новая база данных, сканер выполняет повторную проверку всех файлов при первом запуске.

Обновление классического клиента Azure Information Protection с версии 1.48.204.0 и более поздних версий

Если вы обновили сканер с помощью предварительной версии клиента унифицированных меток, эти инструкции выполнять не требуется.

  1. На компьютере со средством проверки остановите службу проверки — средство проверки Azure Information Protection.

  2. Чтобы обновить клиент унифицированных меток Azure Information Protection, скачайте и установите клиент из Центра загрузки Майкрософт.

  3. В сеансе PowerShell выполните команду Update-AIPScanner с профилем сканера. Например: Update-AIPScanner –Profile Europe.

    На этом шаге создается новая база данных с именем AIPScannerUL_<имя_профиля>.

  4. Перезапустите службу проверки Azure Information Protection — средство проверки Azure Information Protection.

Теперь следуйте инструкциям, описанным в разделе Развертывание сканера Azure Information Protection для автоматической классификации и защиты файлов, пропустив шаг по установке сканера. Так как сканер уже установлен, устанавливать его повторно не требуется.

Обновление классического клиента Azure Information Protection с версий до 1.48.204.0

Важно!

Для бесперебойного обновления не рекомендуется устанавливать клиент унифицированных меток Azure Information Protection на компьютере, где запущен сканер, в качестве первого шага по обновлению сканера. Вместо этого используйте следующе инструкции по обновлению.

Начиная с версии 1.48.204.0 сканер получает параметры конфигурации с портала Azure с помощью профиля конфигурации. Обновление сканера включает указание сканеру использовать эту онлайн-конфигурацию, а для клиента унифицированных меток автономная конфигурация сканера не поддерживается.

  1. Создайте на портале Azure профиль средства проверки, который содержит параметры для средства проверки и репозитории данных с соответствующими параметрами. Если вам необходима помощь на этом шаге, см. раздел Настройка сканера на портале Azure в инструкциях по развертыванию сканера.

  2. На компьютере со средством проверки остановите службу проверки — средство проверки Azure Information Protection.

  3. Чтобы обновить клиент унифицированных меток Azure Information Protection, скачайте и установите клиент из Центра загрузки Майкрософт.

  4. В сеансе PowerShell выполните команду Update-AIPScanner с тем же именем профиля, который вы указали на шаге 1. Пример: Update-AIPScanner –Profile Europe

  5. Перезапустите службу проверки Azure Information Protection — средство проверки Azure Information Protection.

Теперь следуйте инструкциям, описанным в разделе Развертывание сканера Azure Information Protection для автоматической классификации и защиты файлов, пропустив шаг по установке сканера. Так как сканер уже установлен, устанавливать его повторно не требуется.

Дальнейшие шаги

После переноса меток, политик и развернутых клиентов по мере необходимости продолжайте управление метками и политиками добавления меток лишь на Портале соответствия требованиям Microsoft Purview.

При использовании платформы унифицированных меток необходимо вернуться в область Azure Information Protection на портале Azure:

Пользователям рекомендуется использовать встроенные возможности по созданию и добавлению меток в актуальных приложениях Office в Интернете, Mac, iOS и Android, а также в приложениях Microsoft 365 для предприятий.

Для использования дополнительных функций, которые пока не поддерживаются встроенными средствами добавления меток, рекомендуется использовать актуальный клиент унифицированных меток для Windows.