Учебник. Миграция с классического клиента Azure Information Protection (AIP) на решение для унифицированных меток

Примечание.

Ищете информацию о Microsoft Purview Information Protection (прежнее название — Microsoft Information Protection, MIP)?

Надстройка Azure Information Protection отменяется и заменяется метками, встроенными в приложения и службы Microsoft 365. Дополнительные сведения о состоянии поддержки других компонентов Azure Information Protection.

Новый клиент Microsoft Information Protection (без надстройки) в настоящее время находится в предварительной версии и планируется для общедоступной доступности.

Для унификации и оптимизации работы пользователей поддержка классического клиента Azure Information Protection и управления метками на портале Azure прекращена с 31 марта 2021 г. Хотя классический клиент продолжит работать в соответствии с настройками, предоставление дальнейшей поддержки и выпуск версий обслуживания для классического клиента прекратится.

Рекомендуем перейти на использование унифицированных меток и клиента унифицированных меток. Дополнительные сведения см. на странице обновлений о прекращении поддержки.

В этом учебнике описано, как выполнить миграцию развертывания Azure Information Protection вашей организации с классического клиента и управления метками или политиками меток на портале Azure на решение для унифицированных меток и метки конфиденциальности Microsoft 365.

Необходимое время: время, необходимое для выполнения миграции, зависит от сложности ваших политик и используемых вами функций AIP. Вы можете продолжать использовать классический клиент во время миграции в фоновом режиме.

В этом учебнике представлено подробное описание каждого шага, а также приведены ссылки на соответствующий раздел в документации Майкрософт для получения дополнительных сведений.

В этом руководстве вы выполните следующие действия.

• Ознакомитесь со сведениями о планировании миграции
• Выполните миграцию своих меток на платформу унифицированных меток
• Ознакомитесь со сведениями о настройке дополнительных параметров на Портале соответствия требованиям Microsoft Purview.
• Скопируете свои политики на платформу унифицированных меток
• Развернете клиент унифицированных меток

Зачем переходить на решение для унифицированных меток?

В дополнение к прекращению поддержки классического клиента, миграция на решение для унифицированных меток позволяет эффективно защищать конфиденциальные данные в ваших цифровых активах. После миграции используйте Microsoft Purview Information Protection в облачных службах Microsoft 365, локально, в сторонних приложениях SaaS и т. д.

MIP поддерживает встроенные службы меток для многих основных функций защиты информации, что позволяет зарезервировать использование клиента только для дополнительных функций, не поддерживаемых встроенными метками.

• Снизьте расходы на обслуживание за счет развертывания и обслуживания меньшего количества дополнительного программного обеспечения.
• Повысьте производительность Office без дополнительных надстроек.
• Упростите управление политиками меток и защиты в AIP, Office 365 и Windows с помощью Портала соответствия требованиям Microsoft Purview.

Дополнительные сведения см. в блоге о миграции унифицированных меток.

Планирование миграции

Хотя большая часть функциональных возможностей, доступных для классического клиента AIP, также доступна для клиента унифицированных меток, некоторые функции еще не полностью доступны, а некоторые настроены для унифицированных меток иначе.

Ознакомьтесь со следующими статьями, чтобы узнать, чем могут отличаться используемые функции Information Protection при использовании клиента унифицированных меток:

• Сведения о возможностях встроенных меток в приложениях Office
• Сведения о встроенных метках и клиенте унифицированных меток AIP
• Сведения об управлении параметрами меток, которые не поддерживаются по умолчанию на Портале соответствия требованиям Microsoft Purview

Совет

При наличии задокументированных различий между клиентами, влияющих на поведение ваших конечных пользователей, рекомендуем сообщать об этих изменениях вашим пользователям перед развертыванием клиента унифицированных меток и публикацией вашей новой политики.

Запланировав миграцию и определив предстоящие изменения, перейдите к разделу Миграция меток на платформу унифицированных меток.

Миграция меток на платформу унифицированных меток

После того как вы запланировали миграцию и обдумали управление различиями в клиентах, можно приступать к активации унифицированных меток и миграции своих меток.

Во время миграции вы можете продолжить использование классического клиента AIP и политик в области Azure Information Protection на портале Azure. Два клиента могут работать параллельно без какой-либо дополнительной конфигурации.

1. Войдите на портал Azure в качестве администратора с одной из следующих ролей:

   • Администратор соответствия
   • Администратор данных соответствия
   • Администратор безопасности
   • Глобальный администратор

2. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

   В верхней части страницы выберите Активировать, чтобы активировать унифицированные метки.

   Ваши метки будут скопированы из Azure Information Protection на платформу унифицированных меток. Теперь они хранятся в обеих системах.

   Откройте Портал соответствия требованиям Microsoft Purview, чтобы сравнить метки, отображаемые там и в области Azure Information Protection. Два списка должны быть идентичными. Например, при сравнении с Порталом соответствия требованиям Microsoft Purview:

   

   Примечание.

   При необходимости продолжайте использовать метки в обеих системах, пока не завершите миграцию. Дополнительные сведения см. в разделе Синхронизация изменений меток.

Перейдите к разделу Копирование политик на платформу унифицированных меток.

Синхронизация изменений меток

После переноса меток на Портал соответствия требованиям Microsoft Purview любые изменения, которые вы продолжаете вносить в перенесенные метки на портале Azure, будут автоматически синхронизироваться с той же меткой на Портале соответствия требованиям Microsoft Purview.

Однако изменения, которые вносятся в перенесенные метки на Портале соответствия требованиям Microsoft Purview, не синхронизируются с порталом Azure. Если вы вносите изменения в метки на Портале соответствия требованиям Microsoft Purview и хотите обновить их на портале Azure, перейдите на портал, чтобы опубликовать обновление.

Чтобы опубликовать обновленную метку на портале Azure, сделайте следующее:

1. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

2. Выберите Опубликовать.

Примечание.

Этот шаг требуется только в том случае, если вы внесли изменения в перенесенные метки на платформе унифицированных меток и хотите, чтобы эти изменения были синхронизированы с метками на портале Azure.

Миграция меток с помощью PowerShell

Вы также можете использовать PowerShell для миграции имеющихся меток, например для среды GCC High.

Используйте командлет New-Label для миграции имеющихся меток конфиденциальности.

Например, если ваша метка конфиденциальности имеет шифрование, вы можете использовать командлет New-Label следующим образом:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Дополнительные сведения о работе в средах GCC, GCC-High и DoD см. в статье Описание службы Azure Information Protection Premium для государственных организаций.

Копирование политик на платформу унифицированных меток

Скопируйте все политики, сохраненные на портале Azure, которые необходимо сделать доступными в том виде, в каком они находятся на платформе унифицированных меток.

Эта функция сейчас доступна в режиме предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Примечание.

Копирование политик имеет определенные ограничения. Вы также можете начать с нуля и создать свои политики вручную на Портале соответствия требованиям Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.

Чтобы скопировать свои политики, сделайте следующее:

1. Рассмотрите следующие пункты и решите, хотите ли вы скопировать свои политики прямо сейчас:

   Фактор	Description
   При копировании политик копируются всеваши политики	Функция копирования политик не поддерживает копирование отдельных политик — копируются либо все ваши политики, либо ни одна из них.
   При копировании ваши политики автоматически публикуются	При копировании политик в клиент унифицированных меток они автоматически публикуются для всех клиентов, поддерживающих унифицированные метки. Важно! Не копируйте политики, если вы не хотите их публиковать.
   При копировании имеющиеся политики с таким же именем перезаписываются	Если на Портале соответствия требованиям Microsoft Purview есть политика с таким же именем, копирование политик перезапишет все параметры, определенные в этой политике. Все политики, скопированные с портала Azure, имеют следующий синтаксис: AIP_<policy name>.
   Некоторые параметры клиента не копируются	Некоторые параметры клиента не копируются на платформу унифицированных меток; их необходимо настраивать вручную после миграции. Дополнительные сведения см. в разделе Настройка дополнительных параметров добавления меток.

2. Войдите на портал Azure в качестве администратора с одной из следующих ролей:

   • Администратор соответствия
   • Администратор данных соответствия
   • Администратор безопасности
   • Глобальный администратор

3. В области Azure Information Protection в разделе Управление слева выберите Унифицированные метки.

4. Выберите Копирование политик (предварительная версия). Все политики, которые вы сохранили на портале Azure, скопируются на Портал соответствия требованиям Microsoft Purview.

   Если на Портале соответствия требованиям Microsoft Purview имеются политики с таким именем, они будут перезаписаны параметрами с портала Azure.

   Внимание

   Если в настоящее время вы используете Microsoft Defender for Cloud Apps и метки Azure Information Protection, убедитесь, что на Портале соответствия требованиям Microsoft Purview опубликована по крайней мере одна политика с минимальным набором меток, даже если область действия политики ограничена одним пользователем.

   Эта политика необходима, чтобы Microsoft Defender for Cloud Apps определял все метки на Портале соответствия требованиям Microsoft Purview и отображал их на портале Microsoft Defender for Cloud Apps.

Теперь, после переноса меток и политик, перейдите к разделу Настройка дополнительных параметров добавления меток, чтобы изучить любые дополнительные конфигурации, которые не были перенесены.

Настройка дополнительных параметров добавления меток

Как объяснялось на этапе планирования, некоторые дополнительные параметры добавления меток не переносятся автоматически — их необходимо повторно настроить для платформы унифицированных меток.

Дополнительные сведения см. в разделе:

• Настройка дополнительных параметров добавления меток в PowerShell
• Определение условий метки на Портале соответствия требованиям Microsoft Purview

Настройка дополнительных параметров добавления меток в PowerShell

1. Подключение в модуль PowerShell центра безопасности и соответствия требованиям. Дополнительные сведения см . в документации по Центру безопасности и соответствия требованиям PowerShell.

2. Чтобы определить дополнительный параметр метки, используйте командлет Set-Label, указав параметр AdvancedSettings, метку, к которой вы хотите применить этот параметр, а также пары "ключ-значение" для определения вашего параметра.

   Используйте следующий синтаксис:

   Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}
   

   Где:

   • <LabelGUIDorName> идентифицирует вашу метку, используя имя метки или идентификатор GUID.
   • <Key> — это ключ или название дополнительного параметра, который необходимо настроить.
   • <Value> — это значение параметра, который необходимо определить. Заключите каждое значение в кавычки и разделите их запятыми. Пробелы не поддерживаются.

3. Начните с настройки следующих дополнительных параметров:

   • Указание цвета метки
   • Указание вложенной метки по умолчанию для родительской метки
   • Настройка метки для применения защиты S/MIME в Outlook
   • Определение меток с использованием настраиваемых свойств
   • Определение переводов метки

   Дополнительные сведения о доступных дополнительных конфигурациях см. в статье Руководство администратора. Пользовательские конфигурации для клиента унифицированных меток Azure Information Protection.

Примечание.

Чтобы использовать параметры, заданные для платформы унифицированных меток, конечным пользователям необходимо установить на своих компьютерах клиент унифицированных меток.

Эти дополнительные параметры недоступны для пользователей, у которых есть лишь встроенные метки, предоставляемые Office 365.

Определение условий метки на Портале соответствия требованиям Microsoft Purview

Условия унифицированных меток обеспечивают большую гибкость и лучшую точность, чем их аналоги, созданные на портале Azure.

Чтобы использовать функции условия унифицированных меток, создайте условия добавления меток вручную на Портале соответствия требованиям Microsoft Purview.

Дополнительные сведения см. в разделе Возможности меток конфиденциальности в документации Microsoft 365.

Совет

Если у вас есть настраиваемые типы конфиденциальной информации, созданные для использования с политиками DLP Office 365 или Microsoft Defender for Cloud Apps, примените их к унифицированным меткам без изменения. Дополнительные сведения см. в документации по Microsoft 365.

Развертывание клиента унифицированных меток

Разверните клиент, который поддерживает унифицированные метки, на компьютерах ваших пользователей, чтобы они могли использовать ваши политики унифицированных меток и сами метки.

Пользователям необходим поддерживаемый клиент, который может подключаться к Порталу соответствия требованиям Microsoft Purview и извлекать политику унифицированных меток.

Дополнительные сведения см. в разделе:

• Платформы не под управлением Windows
• Платформы Windows
• Изменения для конечных пользователей классического клиента

Платформы не под управлением Windows

Для пользователей на платформах не под управлением Windows возможности унифицированных меток интегрированы непосредственно в клиенты Office и могут немедленно использовать любые опубликованные вами метки.

К клиентам Office со встроенными возможностями унифицированных меток относятся:

• Клиенты Office для macOS
• Office для Интернета (предварительная версия)
• Outlook Web App
• Outlook для мобильных устройств

Дополнительные сведения об унифицированных метках на этих платформах см. в статье Применение меток конфиденциальности к файлам и электронной почте в Office на сайте службы поддержки Майкрософт.

Платформы Windows

Для компьютеров Windows с приложениями Microsoft 365 для предприятий используйте встроенную поддержку меток, предоставляемую в Office версии 1910 и более поздних, или установите клиент унифицированных меток Azure Information Protection, чтобы расширить функциональные возможности AIP в проводнике или PowerShell.

Дополнительные сведения см. в разделе:

• Сведения о встроенных метках и клиенте унифицированных меток AIP
• Краткое руководство. Развертывание клиента унифицированных меток Azure Information Protection (AIP)

Клиент унифицированных меток Azure Information Protection можно скачать из Центра загрузки Майкрософт.

Убедитесь, что вы используете файл AzInfoProtection_UL для развертывания клиента. Если в настоящее время на компьютере установлен классический клиент, при установке клиента унифицированных меток выполняется обновление на месте.

Примечание.

Решая, когда использовать встроенные метки, а когда — клиент унифицированных меток, рассмотрите функциональные возможности AIP, которые в настоящее время требуются вашей организацией.

Изменения для конечных пользователей классического клиента

Основное, наиболее заметное отличие для конечных пользователей, использующих классический клиент Azure Information Protection, заключается в том, что кнопка Защитить в приложениях Office заменена кнопкой Конфиденциальность.

Как только вы воспользуетесь дополнительными возможностями, поддерживаемыми метками конфиденциальности и унифицированными метками, конечные пользователи также увидят внесенные изменения в своих приложениях Office.

Например:

• Классический клиент AIP Windows

  

• Клиент унифицированных меток AIP Windows

  

Совет

Если вы опубликовали свои метки, а в клиентах со встроенной поддержкой не отображается кнопка Конфиденциальность, при необходимости просмотрите соответствующее руководство по устранению неполадок.

Обновление сканера из классического клиента

Если в настоящий момент вы используете сканер Azure Information Protection из классического клиента, можно обновить его для поддержки типов конфиденциальной информации и меток конфиденциальности, которые публикуются с Портала соответствия требованиям Microsoft Purview.

Далее приведены сведения об обновлении сканера в зависимости от версии используемого классического клиента:

• Обновление с версии 1.48.204.0 и более поздних

• Обновление с версий до 1.48.204.0

Во время обновления создается новая база данных с именем AIPScannerUL_<имя_профиля>, но предыдущая база данных сканера сохраняется, если она понадобится для предыдущей версии. Если вы уверены, что предыдущая база данных сканера вам больше не понадобится, удалите ее. Поскольку во время обновления создается новая база данных, сканер выполняет повторную проверку всех файлов при первом запуске.

Обновление классического клиента Azure Information Protection с версии 1.48.204.0 и более поздних версий

Если вы обновили сканер с помощью предварительной версии клиента унифицированных меток, эти инструкции выполнять не требуется.

1. На компьютере, где установлен сканер, остановите службу Сканер Azure Information Protection.

2. Чтобы обновить клиент унифицированных меток Azure Information Protection, скачайте и установите клиент из Центра загрузки Майкрософт.

3. В сеансе PowerShell выполните команду Update-AIPScanner с профилем сканера. Например: Update-AIPScanner –Profile Europe.

   На этом шаге создается новая база данных с именем AIPScannerUL_<имя_профиля>.

4. Перезапустите службу Сканер Azure Information Protection.

Теперь следуйте инструкциям, описанным в разделе Развертывание сканера Azure Information Protection для автоматической классификации и защиты файлов, пропустив шаг по установке сканера. Так как сканер уже установлен, устанавливать его повторно не требуется.

Обновление классического клиента Azure Information Protection с версий до 1.48.204.0

Внимание

Для бесперебойного обновления не рекомендуется устанавливать клиент унифицированных меток Azure Information Protection на компьютере, где запущен сканер, в качестве первого шага по обновлению сканера. Вместо этого воспользуйтесь следующими инструкциями.

Начиная с версии 1.48.204.0 сканер получает параметры конфигурации с портала Azure с помощью профиля конфигурации. Обновление сканера включает указание сканеру использовать эту онлайн-конфигурацию, а для клиента унифицированных меток автономная конфигурация сканера не поддерживается.

1. Воспользуйтесь порталом Azure, чтобы создать новый профиль сканера, включающий параметры сканера, и репозитории данных с необходимыми параметрами. Если вам необходима помощь на этом шаге, см. раздел Настройка сканера на портале Azure в инструкциях по развертыванию сканера.

2. На компьютере, где установлен сканер, остановите службу Сканер Azure Information Protection.

3. Чтобы обновить клиент унифицированных меток Azure Information Protection, скачайте и установите клиент из Центра загрузки Майкрософт.

4. В сеансе PowerShell выполните команду Update-AIPScanner с тем же именем профиля, которое вы указали на шаге 1. Например: Update-AIPScanner –Profile Europe

5. Перезапустите службу Сканер Azure Information Protection.

Теперь следуйте инструкциям, описанным в разделе Развертывание сканера Azure Information Protection для автоматической классификации и защиты файлов, пропустив шаг по установке сканера. Так как сканер уже установлен, устанавливать его повторно не требуется.

Следующие шаги

После переноса меток, политик и развернутых клиентов по мере необходимости продолжайте управление метками и политиками добавления меток лишь на Портале соответствия требованиям Microsoft Purview.

При использовании платформы унифицированных меток вам достаточно вернуться в область Azure Information Protection на портале Azure, чтобы:

• использовать сканер AIP;
• отследить действия по добавлению меток с помощью аналитики AIP.

Мы рекомендуем конечным пользователям использовать возможности встроенных меток в последних версиях приложений Office для Интернета, Mac, iOS и Android, а также в приложениях Microsoft 365 для предприятий.

Чтобы использовать дополнительные функции AIP, которые еще не поддерживаются для встроенных меток, рекомендуется использовать последнюю версию клиента унифицированных меток для Windows.