Руководство. Настройка Azure Information Protection для контроля конфиденциальных данных, которыми делятся пользователи через Outlook

  • Статья

При использовании электронной почты люди часто неуместно делятся лишней информацией, причем она может содержаться как в тексте сообщений, так и во вложениях. С помощью решений для защиты от потери данных (DLP) можно выявлять стандартные типы конфиденциальных данных и предотвращать их передачу за пределы организации. Однако в этих целях можно также использовать клиент Azure Information Protection с настроенными расширенными параметрами. Таким образом можно также обучать пользователей, предоставляя им интерактивные сообщения с указаниями в режиме реального времени.

В этом учебнике пошагово описывается базовая конфигурация. На примере одной метки демонстрируется, как реализовать вывод сообщений для предупреждения, запроса обоснования или блокировки, чтобы пользователи могли принять соответствующие меры.

В этом руководстве описано следующее:

  • Настройка параметров для реализации всплывающих сообщений с предупреждениями и запросами обоснования, а также сообщений о блокировке в Outlook
  • Демонстрация настроенных параметров в действии.
  • Просмотр сообщений и действий пользователей, записанных в журнал событий

Выполнение действий в этом руководстве займет около 15 минут.

Предварительные условия

Для выполнения этого руководства вам потребуется следующее:

  1. Подписка, которая поддерживает Azure Information Protection (план 2).

    Если у вас нет подписки, в которую входит этот план, вы можете создать бесплатную учетную запись для своей организации.

  2. Панель Azure Information Protection, добавленная на портале Azure, и как минимум одна метка, опубликованная в глобальной политике Azure Information Protection.

    В этом учебнике используется метка по умолчанию (Общие), но при желании ее можно заменить другой. Сведения о том, как добавить панель Azure Information Protection и опубликовать метки в глобальной политике, см. в кратком руководстве по добавлению Azure Information Protection на портал Azure и просмотру политики.

  3. Компьютер с ОС Windows (Windows 7 с пакетом обновления 1 (SP1) или более поздней версии). На нем должна быть возможность входа в Outlook. В процессе прохождения учебника будьте готовы перезапустить Outlook несколько раз.

  4. Классический клиент Azure Information Protection, установленный на компьютере Windows — как минимум Windows 7 с пакетом обновления 1 (SP1).

Совет

См. полный список предварительных требований для использования Azure Information Protection.

Итак, начнем! Перейдите к разделу Определение идентификатора метки для тестирования.

Клиент унифицированных меток

Если вы используете другой клиент для работы с метками, отличный от классического, ознакомьтесь со следующими инструкциями, в которых объясняется, как использовать дополнительные параметры PowerShell для конфигураций, аналогичных приведенным в этом руководстве.

Определение идентификатора метки для тестирования

В этом учебнике мы используем всего лишь одну метку. Вы можете выбрать любую метку, но для тестирования хорошо подойдет метка по умолчанию с именем Общие. Как правило, она используется для бизнес-данных, не предназначенных для предоставления широкой публике. Защита к ней не применяется.

Выбранная метка указывается по идентификатору, который можно узнать на портале Azure.

  1. В новом окне браузера войдите на портал Azure с правами глобального администратора. Затем перейдите в раздел Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

    Если вы не являетесь глобальным администратором, используйте следующую ссылку для альтернативных ролей: Вход на портал Azure

  2. Выберите Классы>Метки, а затем выберите метку Общие, чтобы открыть колонку Метка: Общие.

  3. Найдите идентификатор метки в нижней части панели.

    Azure Information Protection tutorial - locate the label ID

  4. Скопируйте идентификатор метки и вставьте его во временный файл, чтобы это значение было легко доступно в будущем. В этом примере метка имеет идентификатор 0e421e6d-ea17-4fdb-8f01-93a3e71333b8.

  5. Закройте колонку Метка: Общие, но не закрывайте портал Azure.

Создание политики с заданной областью для тестирования новых расширенных параметров клиента

В целях тестирования создадим политику с заданной областью, чтобы новые расширенные параметры клиента применялись только к вам.

  1. В области политик Azure Information Protection выберите Добавить политику. Откроется панель Политика, содержащая метки и параметры существующей глобальной политики.

  2. Укажите имя политики Учебник по контролю данных и (необязательно) описание Расширенные параметры клиента для контроля данных, которыми пользователи делятся через Outlook.

  3. Щелкните ссылку Specify which users/groups get this policy (Выберите, к каким пользователям или группам будет применяться эта политика) и на последующих панелях укажите собственную учетную запись пользователя.

  4. Теперь, когда на панели Политика отображается имя вашей учетной записи, нажмите кнопку Сохранить, не внося дополнительных изменений в метки или параметры на этой панели. Может потребоваться подтвердить выбор.

В политику с заданной областью теперь можно добавлять расширенные параметры клиента. Закройте колонку Политика: Учебник по контролю данных, но не закрывайте портал Azure.

Настройка и тестирование расширенных параметров клиента, реализующих предупреждение, запрос обоснования или блокировку сообщений электронной почты с меткой "Общие"

На этом этапе мы настроим перечисленные ниже расширенные параметры клиента и протестируем каждый из них по очереди.

  • OutlookWarnUntrustedCollaborationLabel
  • OutlookJustifyUntrustedCollaborationLabel
  • OutlookBlockUntrustedCollaborationLabel

Создание расширенного параметра клиента для предупреждения пользователей о сообщении электронной почты или вложении с меткой "Общие"

Используя созданную политику с заданной областью, мы добавим новый расширенный параметр клиента с именем OutlookWarnUntrustedCollaborationLabel и идентификатором метки Общие.

  1. Вернувшись на панель политик Azure Information Protection, откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры введите имя расширенного параметра OutlookWarnUntrustedCollaborationLabel и вставьте в качестве значения собственный идентификатор метки. Выглядеть это должно так:

    Azure Information Protection tutorial - create OutlookWarnUntrustedCollaborationLabel advanced client setting

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для предупреждения пользователей о сообщении электронной почты или вложении с меткой "Общие"

Теперь пронаблюдаем результат настройки этого расширенного параметра на клиентском компьютере.

  1. На клиентском компьютере откройте приложение Outlook.

    Если приложение Outlook уже открыто, перезапустите его. Это нужно для того, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты и примените метку Общие. Например, на вкладке Файл нажмите кнопку Защитить и выберите элемент Общие.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение для тестирования предупреждения о метке "Общие". Затем отправьте сообщение электронной почты.

  4. В результате настройки расширенного параметра клиента появится предупреждение с просьбой подтвердить отправку. Пример:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting

  5. Представьте, что вы по ошибке хотели отправить что-то в сообщении с меткой Общие, и нажмите кнопку Отмена. Вы увидите, что сообщение не отправится, но останется открытым, так что вы можете изменить содержимое или метку.

  6. Не внося изменений, нажмите кнопку Отправить еще раз. На этот раз представьте, что вы считаете содержимое приемлемым для отправки, и нажмите кнопку Подтвердить и отправить. Сообщение отправится.

Изменение расширенного параметра клиента для запроса обоснования в случае отправки сообщения электронной почты с меткой "Общие"

Мы изменим существующий расширенный параметр клиента, оставив идентификатор метки Общие, но поменяв имя на OutlookJustifyUntrustedCollaborationLabel.

  1. На панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры измените имя ранее созданного расширенного параметра OutlookWarnUntrustedCollaborationLabel на OutlookJustifyUntrustedCollaborationLabel.

    Azure Information Protection tutorial - create OutlookJustifyUntrustedCollaborationLabel advanced client setting

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для запроса обоснования в случае отправки сообщения электронной почты с меткой "Общие"

Теперь пронаблюдаем результат настройки этого нового расширенного параметра на клиентском компьютере.

  1. На клиентском компьютере перезапустите Outlook, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты и, так же как и раньше, примените метку Общие. Например, на вкладке Файл нажмите кнопку Защитить и выберите элемент Общие.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение для тестирования запроса обоснования метки "Общие". Затем отправьте сообщение электронной почты.

  4. На этот раз появится сообщение с просьбой предоставить обоснование, прежде чем отправлять сообщение. Пример:

    Azure Information Protection tutorial - see OutlookJustifyUntrustedCollaborationLabel advanced client setting

  5. Представьте, что вы по ошибке хотели отправить что-то в сообщении с меткой Общие, и нажмите кнопку Отмена. Вы увидите, что сообщение не отправится, но останется открытым, так что вы можете изменить содержимое или метку.

  6. Не внося изменений, нажмите кнопку Отправить еще раз. На этот раз выберите один из вариантов обоснования, например Я подтверждаю, что получателям разрешен доступ к этому содержимому, и нажмите кнопку Подтвердить и отправить. Сообщение отправится.

Изменение расширенного параметра клиента для блокирования отправки пользователем сообщения электронной почты с меткой "Общие"

Мы еще раз изменим существующий расширенный параметр клиента, оставив идентификатор метки Общие, но поменяв имя на OutlookBlockUntrustedCollaborationLabel.

  1. На портале Azure на панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры измените имя ранее созданного расширенного параметра OutlookJustifyUntrustedCollaborationLabel на OutlookBlockUntrustedCollaborationLabel.

    Azure Information Protection tutorial - create OutlookBlockUntrustedCollaborationLabel advanced client setting

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для блокирования отправки пользователем сообщения электронной почты с меткой "Общие"

Теперь пронаблюдаем результат настройки этого нового расширенного параметра на клиентском компьютере.

  1. На клиентском компьютере перезапустите Outlook, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты и, так же как и раньше, примените метку Общие. Например, на вкладке Файл нажмите кнопку Защитить и выберите элемент Общие.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение с меткой "Общие" для тестирования блокирования. Затем отправьте сообщение электронной почты.

  4. На этот раз появится сообщение о блокировании отправки. Пример:

    Azure Information Protection tutorial - block email popup message

  5. Пользователю доступна единственная кнопка ОК. При ее нажатии вы возвращаетесь к сообщению электронной почты, в которое можно внести изменения. Нажмите кнопку ОК и удалите сообщение.

Просмотр сообщений и действий пользователей, связанных с меткой "Общие", в журнале событий

Прежде чем переходить к следующему сценарию, предполагающему отсутствие метки у сообщения электронной почты или вложения, запустите средство просмотра событий и перейдите в раздел Журналы приложений и служб>Azure Information Protection.

Для каждого из выполненных тестов было создано информационное событие, в котором указывается как сообщение, так и ответ пользователя.

  • Сообщения с предупреждениями: Идентификатор информации 301

  • Сообщения с обоснованиями: Идентификатор информации 302

  • Сообщения о блокировке: Идентификатор информации 303

Например, сперва тестировалось предупреждение, и вы нажали кнопку Отмена, поэтому в первом событии 301 в строке User Response (Ответ пользователя) содержится значение Dismissed (Отклонено). Пример:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

Однако затем вы нажали кнопку Confirm and Send (Подтвердить и отправить), поэтому в следующем событии 301 в строке User Response указано Confirmed (Подтверждено).

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

Аналогичная картина наблюдается для сообщения с запросом обоснования, которому соответствует событие 302. В первом событии в поле User Response указано значение Dismissed, а во втором — выбранное обоснование. Пример.

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Justify message.msg
Item Name: Testing the General label for the Justify message
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

В начале журнала событий приводится запись сообщения о блокировке, то есть событие 303. Пример:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Block message.msg
Item Name: Testing the General label for the Block message
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source:

Необязательно: Создание дополнительного расширенного параметра клиента с целью подавления сообщений для внутренних получателей

При тестировании сообщений с предупреждениями и подтверждениями, а также сообщений о блокировке вы использовали в качестве адреса получателя собственный адрес электронной почты. В рабочей среде может потребоваться сделать так, чтобы сообщения для указанных меток выводились, только если получатели не относятся к вашей организации. Исключение можно также распространить на партнеров, с которыми ваша организация сотрудничает регулярно.

Чтобы показать, как это делается, мы создадим дополнительный расширенный параметр клиента с именем OutlookBlockTrustedDomains и укажем доменное имя из вашего адреса электронной почты. Это предотвратит отображение сообщения о блокировке, которое вы видели ранее, для получателей, которые совместно с вами используют ваше доменное имя в своем адресе электронной почты. Для других получателей сообщение по-прежнему будет отображаться. Так же можно создать дополнительные расширенные параметры клиента OutlookWarnTrustedDomains и OutlookJustifyTrustedDomains.

  1. На портале Azure на панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры введите имя расширенного параметра OutlookBlockTrustedDomains и в качестве его значения укажите доменное имя из своего адреса электронной почты. Пример:

    Azure Information Protection tutorial - create OutlookBlockTrustedDomains advanced client setting

  3. Щелкните Сохранить и закрыть. Не закрывайте панель Политики и портал Azure.

  4. Теперь повторите предыдущий тест, чтобы запретить пользователям отправлять сообщения электронной почты с общей меткой. После этого для вас перестанет отображаться сообщение о блокировке при использовании вашего собственного адреса электронной почты. Сообщение электронной почты отправляется без прерывания.

    Чтобы убедиться, что сообщение о блокировке по-прежнему отображается для внешних получателей, повторите тест еще раз, но укажите получателя вне организации. На этот раз для вас снова отобразится сообщение о блокировке, в котором адреса новых получателей будут указаны как недоверенные.

Настройка и тестирование расширенного параметра клиента, реализующего предупреждение, запрос обоснования или блокировку сообщений электронной почты без метки

На этом этапе мы настроим новый расширенный параметр клиента с разными значениями и протестируем каждое из них по очереди.

  • OutlookUnlabeledCollaborationAction

Создание расширенного параметра клиента для предупреждения пользователей о сообщении электронной почты без метки

Этот новый расширенный параметр клиента с именем OutlookUnlabeledCollaborationAction не имеет идентификатора метки. Он определяет действие, которое следует выполнять для содержимого без метки.

  1. На портале Azure на панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры введите имя расширенного параметра OutlookUnlabeledCollaborationAction и выберите значение Предупреждение.

    Azure Information Protection tutorial - create OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для предупреждения пользователей о сообщении электронной почты без метки

Теперь пронаблюдаем результат настройки этого расширенного параметра для содержимого без метки на клиентском компьютере.

  1. На клиентском компьютере перезапустите Outlook, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты, но на этот раз не применяйте метку.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение для тестирования предупреждения о содержимом без метки. Затем отправьте сообщение электронной почты.

  4. На этот раз появится сообщение Требуется подтверждение, в котором можно нажать кнопку Подтвердить и отправить или Отмена.

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  5. Нажмите кнопку Подтвердить и отправить.

Изменение расширенного параметра клиента для запроса обоснования в случае отправки сообщения электронной почты без метки

Мы изменим существующий расширенный параметр клиента, оставив имя OutlookUnlabeledCollaborationAction, но поменяв значение на Обоснование.

  1. На панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры найдите параметр OutlookUnlabeledCollaborationAction и замените прежнее значение Предупреждение на новое: Обоснование.

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Justify value

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для запроса обоснования в случае отправки сообщения электронной почты без метки

Теперь пронаблюдаем результат изменения значения для расширенного параметра на клиентском компьютере.

  1. На клиентском компьютере перезапустите Outlook, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты и, как и раньше, не применяйте метку.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение для тестирования запроса обоснования для содержимого без метки. Затем отправьте сообщение электронной почты.

  4. На этот раз появится сообщение Требуется обоснование с другими вариантами.

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Justify value

  5. Выберите один из вариантов, например Мой руководитель разрешил делиться этим содержимым. Затем нажмите кнопку Подтвердить и отправить.

Изменение расширенного параметра клиента для блокирования отправки пользователем сообщения электронной почты без метки

Как и ранее, мы изменим существующий расширенный параметр клиента, оставив имя OutlookUnlabeledCollaborationAction, но поменяв значение на Блокирование.

  1. На панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите Расширенные параметры.

  2. На панели Расширенные параметры найдите параметр OutlookUnlabeledCollaborationAction и замените прежнее значение Обоснование на новое: Блокирование.

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Block value

  3. Щелкните Сохранить и закрыть.

Не закрывайте панель Политики и портал Azure.

Тестирование расширенного параметра клиента для блокирования отправки пользователем сообщения электронной почты без метки

Теперь пронаблюдаем результат изменения значения для расширенного параметра на клиентском компьютере.

  1. На клиентском компьютере перезапустите Outlook, чтобы скачать внесенное изменение.

  2. Создайте сообщение электронной почты и, как и раньше, не применяйте метку.

  3. В поле Кому укажите свой адрес электронной почты, а в поле темы введите Сообщение для тестирования блокирования содержимого без метки. Затем отправьте сообщение электронной почты.

  4. На этот раз появится сообщение о блокировании отправки с объяснением причины. Пример:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting with Block value

  5. Пользователю доступна единственная кнопка ОК. При ее нажатии вы возвращаетесь к сообщению электронной почты и можете выбрать для него метку.

    Нажмите кнопку ОК и удалите сообщение.

Просмотр сообщений и действий пользователей, связанных с сообщением электронной почты без метки, в журнале событий

Как и ранее, сообщения и ответы пользователей записываются в журнал событий Журналы приложений и служб>Azure Information Protection с теми же идентификаторами событий.

  • Сообщения с предупреждениями: Идентификатор информации 301

  • Сообщения с обоснованиями: Идентификатор информации 302

  • Сообщения о блокировке: Идентификатор информации 303

Например, вот результат запроса обоснования для сообщения электронной почты без метки:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing send an email without a label for the Justify message.msg
Item Name: Testing send an email without a label for the Justify message
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Очистка ресурсов

Если вы не хотите сохранить изменения, внесенные в этом руководстве, выполните следующие действия:

  1. На портале Azure на панели политик Azure Information Protection откройте контекстное меню с помощью кнопки () рядом с политикой Учебник по контролю данных. Затем выберите пункт Удалить политику.

  2. Если появится запрос на подтверждение действия, нажмите кнопку ОК.

Перезапустите приложение Outlook, чтобы настроенные нами параметры больше не применялись.

Дальнейшие действия

Чтобы ускорить тестирование, мы отправляли в этом учебнике сообщение электронной почты без вложений одному получателю. Однако то же самое можно делать применительно к нескольким получателям, нескольким меткам, а также вложениям электронной почты, метки которых часто не так очевидны для пользователей. Например, сообщение может быть помечено как общедоступное, а вложенная в него презентация PowerPoint иметь метку "Общие". Дополнительные сведения о параметрах конфигурации см. в следующем разделе руководства для администраторов: Реализация всплывающих сообщений в Outlook, позволяющих предупреждать, обосновывать или блокировать отправку сообщений электронной почты

В руководстве для администраторов также содержатся сведения о других расширенных параметрах, с помощью которых можно настроить поведение клиента. Их полный список см. в разделе Доступные расширенные клиентские параметры.