Настройка шаблонов и управление ими в Azure Information Protection

  • Статья

Шаблоны защиты (также называются шаблонами Rights Management) — это определенные администратором группы параметры защиты для Azure Information Protection. Эти параметры включают выбранные вами права на использование для авторизованных пользователей, а также элементы управления доступом (срок действия и автономный доступ). Эти шаблоны теперь интегрированы с политикой Azure Information Protection.

Если у вас есть подписка, которая включает классификацию, маркировку и защиту (Azure Information Protection P1 или P2):

  • Шаблоны, которые не интегрированы с метками для вашего клиента, отображаются в разделе "Шаблоны защиты" после меток на панели azure Information Protection — метки. Чтобы перейти к этой области, выберите пункт меню "Метки классификаций>". Эти шаблоны можно преобразовать в метки или ссылаться на них при настройке защиты для меток.

Если у вас есть подписка, которая включает только защиту (подписка Microsoft 365, которая включает службу Azure Rights Management):

  • Шаблоны для вашего клиента отображаются в разделе "Шаблоны защиты" на панели "Azure Information Protection — метки". Чтобы перейти к этой области, выберите пункт меню "Метки классификаций>". Метки не отображаются. Здесь также можно увидеть параметры конфигурации, которые относятся к классификации и меткам, но эти параметры либо не влияют на шаблоны, либо не могут быть изменены.

Например, если пользователи сообщают о том, что они могут открывать защищенное содержимое, но у них нет необходимых прав, проблема может быть в том, что пользователь не входит в правильную группу, настроенную для шаблона Rights Management. Или проблема может быть связана с необходимостью перенастройки шаблона для пользователя или группы, как описано в этой статье.

Примечание

В некоторых приложениях и службах в качестве шаблона может отображаться параметр "Не пересылать" и "Только для шифрования". Это не шаблоны, которые можно изменить или удалить, а параметры, заданные по умолчанию в службе Exchange.

Шаблоны по умолчанию

При получении подписки для Azure Information Protection или для подписки Microsoft 365, включающей службу Azure Rights Management, для клиента автоматически создаются два шаблона по умолчанию. Эти шаблоны предоставляют доступ только авторизованным пользователям в организации. При создании этих шаблонов у них есть разрешения, перечисленные в документации по настройке прав на использование для Azure Information Protection.

Кроме того, шаблоны настроены так, чтобы обеспечивать автономный доступ в течение семи дней, и у них нет даты окончания срока действия.

Примечание

Можно изменить эти параметры, а также имена и описания шаблонов по умолчанию. Эта возможность не поддерживалась классическим порталом Azure и не поддерживается PowerShell.

Шаблоны по умолчанию упрощают запуск процесса немедленной защиты конфиденциальных данных организации. Эти шаблоны можно использовать с метками Azure Information Protection или сами по себе в приложениях и службах, в которых можно применять шаблоны Rights Management.

Можно также создать собственные специальные шаблоны. В Azure можно сохранить до 500 пользовательских шаблонов, хотя вам, вероятно, потребуется всего лишь несколько штук.

Права, включенные в шаблоны по умолчанию

Права на использование, включенные при создании шаблонов по умолчанию, перечислены в следующей таблице. Список прав на использование составлен по общим именам.

Эти шаблоны по умолчанию создаются при покупке подписки, а имена и права на использование можно изменить в портал Azure и с помощью PowerShell.

Отображаемое имя шаблона Права на использование с 6 октября 2017 г. до текущей даты Права на использование до 6 октября 2017 г.
<название> организации — только конфиденциальное представление

or

Строго конфиденциально \ Все сотрудники		 Просмотр, открытие, чтение; копирование; просмотр прав; разрешение макросов; печать; переадресация; ответ; ответ всем; сохранение; изменение содержимого, изменение Просмотр, открытие, чтение
<название> организации — конфиденциально

or

Конфиденциально \ Все сотрудники		 Просмотр, открытие, чтение; сохранение под другим именем, экспорт; копирование; просмотр прав; изменение прав; разрешение макросов; печать; переадресация; ответ; ответ всем; сохранение; изменение содержимого, изменение; полный доступ Просмотр, открытие, чтение; сохранение под другим именем, экспорт; изменение содержимого, изменение; просмотр прав; разрешение макросов; переадресация; ответ; ответ всем

Имена шаблонов по умолчанию

Если вы недавно приобрели подписку, шаблоны по умолчанию будут создаваться со следующими именами.

  • Конфиденциально\Все сотрудники

  • Строго конфиденциально\Все сотрудники

Если вы получили подписку некоторое время назад, шаблоны по умолчанию могут быть созданы со следующими именами:

  • <название> организации — конфиденциально

  • <название> организации — только конфиденциальное представление

Вы можете переименовать (и перенастроить) эти шаблоны по умолчанию при использовании портала Azure.

Примечание

Если шаблоны по умолчанию не отображаются в области azure Information Protection — метки, они преобразуются в метки или связаны с меткой. Они по-прежнему существуют в виде шаблонов, но на портале Azure они отображаются как часть конфигурации метки, включающей параметры защиты для облачного ключа. Вы всегда можете проверить, какие шаблоны имеет клиент, запустив Get-AipServiceTemplate из модуля PowerShell AIPService.

Можно вручную преобразовать шаблоны, используя пояснения из раздела Преобразование шаблонов в метки, а затем переименовать их, если требуется. Они могут также быть преобразованы автоматически, если политика Azure Information Protection по умолчанию была создана недавно и в это время была активна служба Azure Rights Management для вашего клиента.

Шаблоны, которые архивируются, отображаются как недоступные в области azure Information Protection — метки. Эти шаблоны нельзя выбирать для меток, но их можно преобразовать в метки.

Рекомендации по шаблонам на портале Azure

Прежде чем изменять эти шаблоны или преобразовать их в метки, убедитесь, что вам известны следующие изменения и замечания. В связи с изменениями реализации перечисленные ниже условия особенно важны, если вы ранее управляли шаблонами на классическом портале Azure.

  • После изменения шаблона или его преобразования и сохранения политики Azure Information Protection происходят следующие изменения в исходных правах использования. Если нужно, можно добавить или удалить отдельные права использования с помощью портала Azure. Или используйте PowerShell с командлетами New-AipServiceRightsDefinition и Set-AipServiceTemplateProperty .

    • Право Разрешить макросы (общее имя) добавляется автоматически. Это право использования требуется для панели Azure Information Protection в приложениях Office.

  • Опубликованные и архивные параметры отображаются как включенныеивключенные: отключены соответственно на панели меток . Для шаблонов, которые необходимо сохранить, но не показывать пользователям или службам, для параметра Включено установите значение Выкл.

  • На портале Azure шаблон невозможно скопировать или удалить. При преобразовании шаблона в метку можно настроить метку для остановки использования шаблона, выбрав "Не настроено" для разрешений "Задать" для документов и сообщений электронной почты, содержащих эту метку. Или можно удалить метку. Но в обоих случаях шаблон не удаляется и остается в заархивированном состоянии.

    Удаление шаблонов с помощью командлета Remove-AipServiceTemplate PowerShell является постоянным. Этот командлет PowerShell также можно использовать для шаблонов, которые не преобразованы в метки. Чтобы ранее защищенное содержимое можно открывать и использовать так, как предполагалось, обычно не рекомендуется удалять шаблоны. Шаблоны следует удалять только в том случае, если вы уверены, что они не использовались для защиты документов и сообщений электронной почты в рабочей среде. В качестве меры предосторожности перед окончательной удалением шаблона с помощью PowerShell рассмотрите возможность экспорта шаблона в качестве резервной копии с помощью командлета Export-AipServiceTemplate .

  • Сейчас при изменении шаблона отдела и его сохранении параметры области удаляются. Эквивалентом шаблона с областью действия в политике Azure Information Protection является политика с областью действия. Если преобразовать шаблон в метку, можно выбрать имеющуюся область.

    Кроме того, на портале Azure невозможно задать параметр совместимости приложений для шаблона отдела. При необходимости этот параметр совместимости приложения можно задать с помощью командлета Set-AipServiceTemplateProperty и параметра EnableInLegacyApps .

  • При преобразовании или связывании шаблона с меткой он больше не может использоваться с другими метками. Кроме того, этот шаблон больше не отображается в разделе Шаблоны защиты.

  • Новые шаблоны в разделе Шаблоны защиты не создаются. Вместо этого создайте метку с параметром "Защита " и настройте права и параметры использования на панели "Защита ". Подробные инструкции см. в разделе Создание шаблона.

Настройка шаблонов в политике Azure Information Protection

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите к области "Метки" в Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. В меню "Метки>классификаций": на панели "Метки Azure Information Protection" разверните раздел "Шаблоны защиты" и найдите шаблон, который требуется настроить.

  3. Выберите шаблон и на панели меток при необходимости можно изменить имя и описание шаблона, изменив отображаемое имя и описание метки. Затем выберите "Защита ", которая имеет значение Azure (облачный ключ), чтобы открыть область "Защита ".

  4. На панели "Защита" можно изменить разрешения, срок действия содержимого и параметры автономного доступа. Дополнительные сведения о настройке прав на использование см. в статье Как настроить метку для защиты Rights Management.

    Нажмите кнопку "ОК", чтобы сохранить изменения, и на панели "Метка" нажмите кнопку "Сохранить".

Примечание

Вы также можете изменить шаблон с помощью кнопки "Изменить шаблон " на панели "Защита ", если вы настроили метку для использования предопределенного шаблона. При условии, что никакая другая метка не использует выбранный шаблон, эта кнопка преобразует шаблон в метку (и вы переходите к шагу 5). Дополнительные сведения о том, что происходит при преобразовании шаблонов в метки, см. в следующем разделе.

Преобразование шаблонов в метки

При наличии подписки, которая включает классификации, метки и защиту, можно преобразовывать шаблоны в метки. После преобразования исходный шаблон сохраняется, но на портале Azure он отображается как включенный в новую метку.

Например, при преобразовании метки Маркетинг, предоставляющей права использования группе маркетинга на портале Azure, она теперь отображается как метка с именем Маркетинг с теми же параметрами защиты. При изменении параметров защиты в только что созданной метке они меняются в шаблоне, поэтому любой пользователь или служба, использующие этот шаблон, получат новые параметры защиты при следующем обновлении шаблона.

Необязательно преобразовывать все шаблоны в метки, но когда вы это сделаете, параметры защиты будут полностью интегрированы с полным набором функций меток и вам не нужно будет поддерживать их настройки отдельно.

Чтобы преобразовать шаблон в метку, щелкните шаблон правой кнопкой мыши и выберите Преобразовать в метку. Кроме того, можно использовать контекстное меню для выбора этого параметра.

Шаблон также можно преобразовать в метку при настройке метки для защиты и стандартного шаблона с помощью кнопки Изменить шаблон.

При преобразовании шаблона в метку:

  • Имя шаблона преобразуется в имя новой метки, а описание шаблона преобразуется в подсказку метки.

  • Если шаблон находился в состоянии "Опубликовано", этот параметр сопоставляется со значением Включено: Вкл. для метки, которая отображается в качестве этой метки для пользователей при следующей публикации политики Azure Information Protection. Если шаблон находился в состоянии "Архивировано", этот параметр сопоставляется со значением Включено: Выкл. для метки и не отображается как доступная пользователям метка.

  • Параметры защиты сохраняются, и при необходимости вы можете изменить их, а также добавить другие параметры метки, такие как визуальные метки и условия.

  • Исходный шаблон больше не отображается в разделе Шаблоны защиты и не может быть выбран в качестве предопределенного шаблона при настройке защиты для метки. Чтобы изменить этот шаблон на портале Azure, измените метку, которая была создана во время преобразования шаблона. Шаблон остается доступным для службы Azure Rights Management, и им по-прежнему можно управлять с помощью команд PowerShell.

Создание шаблона

Шаблоны можно создавать с помощью портала или PowerShell.

Создание шаблона с помощью PowerShell

Чтобы создать шаблон защиты с помощью PowerShell с указанным именем, описанием, политикой и нужным параметром состояния, используйте командлет Add-AipServiceTemplate .

Создание шаблона с помощью портала

При создании новой метки с помощью портала с параметром защиты Azure (облачный ключ) это действие создает новый пользовательский шаблон, к которому затем могут обращаться службы и приложения, которые интегрируются с шаблонами Rights Management.

  1. В меню"Меткиклассификаций>": на панели "Подписи Azure" Information Protection — "Метки" выберите "Добавить новую метку".

  2. На панели "Метка" оставьте значение по умолчанию "Включено", а затем введите имя и описание метки для имени шаблона и описания.

  3. Для параметра Задайте разрешения для документов и электронных писем, имеющих эту метку выберите Защитить, а затем — Защита:

    Configure protection for an Azure Information Protection label

  4. На панели "Защита" можно изменить разрешения, срок действия содержимого и параметры автономного доступа. Дополнительные сведения о настройке прав на использование см. в статье Как настроить метку для защиты Rights Management.

    Нажмите кнопку "ОК", чтобы сохранить изменения, и на панели "Метка" нажмите кнопку "Сохранить".

    На панели "Azure Information Protection — метки" вы увидите новую метку со столбцом PROTECTION, чтобы указать, что она содержит параметры защиты. Эти параметры защиты отображаются в виде шаблонов для приложений и служб, которые поддерживают службу управления правами Azure.

    Хотя метка включена по умолчанию, шаблон архивируется. Чтобы приложения и службы могли использовать шаблон для защиты документов и сообщений электронной почты, выполните последний шаг, опубликовав шаблон.

  5. В меню "Политики классификаций>" выберите политику, содержащую новые параметры защиты. Выберите Добавление или удаление меток. В области "Политика: добавление или удаление меток " выберите только что созданную метку, содержащую параметры защиты, нажмите кнопку "ОК" и нажмите кнопку "Сохранить".

Дальнейшие действия

До получения измененных параметров на компьютере с клиентом Azure Information Protection может пройти до 15 минут. См. дополнительные сведения о том, как компьютеры и службы скачивают и обновляют шаблоны для пользователей и служб.

Обязательно предоставьте пользователям инструкции по выбору шаблонов, если имя и описание шаблона недостаточно для выбора подходящего шаблона.

Все, что можно настраивать на портале Azure в плане создания шаблонов и управления ими, можно делать и с помощью PowerShell. Кроме того, PowerShell предоставляет дополнительные параметры, которые недоступны на портале. Дополнительные сведения см. в справочнике по PowerShell для настраиваемых шаблонов.

Дополнительные сведения о настройке политики Azure Information Protection можно найти, воспользовавшись ссылками в разделе Настройка политики организации.