Настройка политики Azure Information Protection
Чтобы настроить классификацию, маркировку и защиту для классического клиента, необходимо настроить политику Information Protection Azure. После этого политика скачивается на компьютеры, на которых установлен клиент Azure Information Protection.
Эта политика содержит метки и параметры.
Метки позволяют применить значение классификации для документов и сообщений электронной почты; при необходимости можно защитить это содержимое. Клиент Azure Information Protection отображает эти метки для пользователей в приложениях Office, а также когда пользователи щелкают их правой кнопкой мыши в проводнике. Эти метки могут также применяться с помощью PowerShell и средства проверки Azure Information Protection.
Параметры позволяют изменить поведение клиента Azure Information Protection по умолчанию. Например, можно выбрать метку по умолчанию, указать, все ли документы и электронные письма должны иметь метку и следует ли отображать панель Azure Information Protection в приложениях Office.
Поддержка подписки
Служба Azure Information Protection поддерживает разные уровни подписок:
Azure Information Protection P2. Поддержка всех функций классификации, меток и безопасности.
Azure Information Protection P1. Поддержка большинства функций классификации, меток и безопасности. Не поддерживается автоматическая классификация или HYOK.
Microsoft 365, включающую службу Azure Rights Management: поддержку защиты, но не классификацию и маркировку.
Параметры, для которых требуется подписка Azure Information Protection P2, определяются на портале.
Если в организации используется такая комбинация подписок, а учетные записи пользователей не лицензированы для работы с некоторыми функциями, вы можете запретить таким пользователям доступ к этим функциям. Для запуска клиента Azure Information Protection не требуется проверка лицензии и принудительное применение. Когда вы настраиваете параметры, лицензии на работу с которыми есть не у всех пользователей, применяйте политики с заданной областью или нужный параметр реестра, чтобы обеспечить соответствие требованиям корпоративной лицензии:
Если в вашей организации используется комбинация лицензий Azure Information Protection P1 и Azure Information Protection P2. Для пользователей с лицензией P2 создайте и примените одну или несколько политик с заданной областью при настройке параметров, для работы с которыми требуется лицензия Azure Information Protection P2. Убедитесь, что глобальная политика не включает параметры, требующие наличия лицензии Azure Information Protection P2.
Если у вашей организации есть подписка на Azure Information Protection, но у некоторых пользователей есть только лицензия на Microsoft 365, включающую службу Azure Rights Management: для пользователей, у которых нет лицензии на Azure Information Protection измените реестр на своих компьютерах, чтобы они не скачивали политику Information Protection Azure. Инструкции по принудительному применению режима "Только защита", если в вашей организации используется комбинация лицензий, см. в руководстве для администратора.
Дополнительные сведения о подписках см. в разделе Какая подписка необходима Azure Information Protection и какие функции включены в ее состав?
Вход на портал Azure
Чтобы войти на портал Azure для настройки и управления Azure Information Protection, сделайте следующее.
Используйте следующую ссылку: https://portal.azure.com
Используйте учетную запись Azure AD с одной из следующих ролей администратора:
Администратор Information Protection Azure
администратор соответствия требованиям;
администратор соответствия данных требованиям;
администратор безопасности;
Читатель сведений о - безопасности Только аналитика Information Protection Azure
Глобальный читатель - Только аналитика Information Protection Azure
Глобальный администратор
Примечание
Если ваш клиент находится на унифицированной платформе маркировки, роль администратора Azure Information Protection (прежнее название — "администратор Information Protection") не поддерживается для портал Azure. Дополнительные сведения
Учетные записи Майкрософт не могут управлять Information Protection Azure.
Доступ к области Information Protection Azure в первый раз
Войдите на портал Azure.
Щелкните +Создать ресурс и введите Azure Information Protection в поле поиска Marketplace.
В результатах выберите Azure Information Protection. На панели Information Protection Azure нажмите кнопку "Создать".
Совет
Или выберите Закрепить на панели мониторинга, чтобы создать плитку Azure Information Protection на панели мониторинга и не выбирать службу в списке при следующем входе на портал.
Нажмите кнопку Создать еще раз.
Вы увидите страницу Быстрый запуск, которая автоматически открывается при первом подключении к службе. Просмотрите предлагаемые ресурсы или используйте другие пункты меню. Выполните следующую процедуру, чтобы настроить выбираемые пользователями метки.
При следующем доступе к области Information Protection Azure автоматически выбирается параметр "Метки", чтобы можно было просматривать и настраивать метки для всех пользователей. Вы можете вернуться на страницу быстрого запуска , выбрав ее в меню "Общие ".
Как настроить политику Azure Information Protection
Убедитесь, что вы вошли в портал Azure, используя одну из следующих административных ролей: администратор Azure Information Protection, администратор безопасности или глобальное администрирование. Дополнительные сведения об этих ролях см. в предыдущем разделе.
При необходимости перейдите в область Information Protection Azure. Например, в центральной меню щелкните "Все службы" и начните вводить Information Protection в поле "Фильтр". В результатах выберите Azure Information Protection.
Панель "Метки" в Azure Information Protection автоматически открывается для просмотра и изменения доступных меток. Путем добавления или удаления меток из политики, они могут быть доступными для всех пользователей, выбранных пользователей или недоступны пользователям.
Для просмотра и изменения политики выберите из меню пункт Политики. Чтобы просмотреть и изменить политику, которую получили все пользователи, выберите политику Глобальная. Чтобы создать настраиваемую политику для выбранных пользователей, выберите Добавление новой политики.
Внесение изменений в политику
Вы можете создать любое количество меток. Но когда их становится слишком много и пользователям бывает трудно найти и выбрать нужную метку, создайте политики области, чтобы пользователи видели только относящиеся к ним метки. Для меток, обеспечивающих защиту, имеется верхний предел, равный 500.
При внесении изменений в области Information Protection Azure нажмите кнопку "Сохранить", чтобы сохранить изменения, или нажмите кнопку "Отменить", чтобы вернуться к последним сохраненным параметрам. При сохранении изменений в политике или внесении изменений в метки, добавляемые в политики, эти изменения автоматически публикуются. Нет отдельного параметра относительно публикации.
Клиент Azure Information Protection проверяет наличие изменений при каждом запуске поддерживаемого приложения Office и скачивает изменения для его последней политики Azure Information Protection. Дополнительные триггеры, обновляющие политику в клиенте:
Щелкните правой кнопкой мыши для классификации и защиты файла или папки.
Выполните командлеты PowerShell для добавления меток и защиты (Get-AIPFileStatus, Set-AIPFileClassification и Set-AIPFileLabel).
Каждые 24 часа.
Для средства проверки Azure Information Protection: при запуске службы (если политика старше часа), и каждый час во время операции.
Примечание
Когда клиент загружает политику, будьте готовы подождать несколько минут, прежде чем он станет полностью работоспособным. Фактическое время зависит от таких факторов, как размер и сложность конфигурации политики и сетевое подключение. Если результирующее действие меток не совпадает с последними изменениями, подождите 15 минут, а затем повторите попытку.
Настройка политики организации
Используйте приведенные ниже сведения для настройки политики Azure Information Protection.
Как настроить условия для автоматизированного и рекомендуемого определения степени секретности
Настройка политики для отдельных пользователей с помощью политик с заданной областью
Данные меток, которые хранятся в сообщениях электронной почты и документах
Если метка применяется к документу или сообщению электронной почты, незаметно для пользователя такая метка сохраняется в метаданных для считывания приложениями и службами.
В сообщениях электронной почты эти сведения хранятся в заголовке x: msip_labels: MSIP_Label_<GUID>_Enabled=True
Для документов Word (.doc и .docx), Excel электронных таблиц (.xls и .xlsx), презентаций PowerPoint (.ppt и .pptx) и PDF-документов эти метаданные хранятся в следующем настраиваемом свойстве: MSIP_Label_<GUID>_Enabled=True
Для сообщений электронной почты сведения о метках сохраняются при отправке сообщения. Для документов сведения о метки хранятся при сохранении файла.
Чтобы определить GUID для метки, найдите значение идентификатора метки на панели меток в портал Azure при просмотре или настройке политики azure Information Protection. Для файлов, к которым применены метки, можно также выполнить командлет PowerShell Get-AIPFileStatus, чтобы определить GUID метки (MainLabelId или SubLabelId). Если у метки есть вложенные метки, всегда указывайте GUID вложенной метки, а не родительской.
Дальнейшие действия
Примеры настройки для политики Azure Information Protection и того, как она влияет на пользователей, представлены в следующих руководствах: