Migrera Azure Information Protection-etiketter till enhetliga känslighetsetiketter
Migrera Azure Information Protection-etiketter till den enhetliga etikettplattformen så att du kan använda dem som känslighetsetiketter av klienter och tjänster som stöder enhetlig etikettering.
Anteckning
Om din Azure Information Protection-prenumeration är ganska ny kanske du inte behöver migrera etiketter eftersom din klientorganisation redan finns på den enhetliga etikettplattformen. Mer information finns i Hur kan jag avgöra om min klientorganisation finns på den enhetliga etikettplattformen?
När du har migrerat etiketterna ser du ingen skillnad med den klassiska Azure Information Protection-klienten eftersom den här klienten fortsätter att ladda ned etiketterna med Azure Information Protection-principen från Azure Portal. Nu kan du dock använda etiketterna med Azure Information Protection enhetlig etiketteringsklient och andra klienter och tjänster som använder känslighetsetiketter.
Innan du läser anvisningarna för att migrera etiketter kan följande vanliga frågor vara användbara:
Administrativa roller som stöder den enhetliga etikettplattformen
Om du använder administratörsroller för delegerad administration i din organisation kan du behöva göra några ändringar för den enhetliga etikettplattformen:
Den Azure AD rollensom Azure Information Protection-administratör (tidigare Information Protection administratör) stöds inte av den enhetliga etikettplattformen. Om den här administrativa rollen används i din organisation för att hantera Azure Information Protection lägger du till de användare som har den här rollen i de Azure AD rollerna Efterlevnadsadministratör, Efterlevnadsdataadministratör eller Säkerhetsadministratör. Om du behöver hjälp med det här steget kan du läsa Ge användare åtkomst till efterlevnadsportal i Microsoft Purview. Du kan också tilldela dessa roller i Azure AD-portalen och i efterlevnadsportal i Microsoft Purview.
Du kan också använda roller i efterlevnadsportal i Microsoft Purview, skapa en ny rollgrupp för dessa användare och lägga till antingen rollen Administratör för känslighetsetikett eller Organisationskonfiguration i den här gruppen.
Om du inte ger dessa användare åtkomst till efterlevnadsportal i Microsoft Purview med någon av dessa konfigurationer kan de inte konfigurera Azure Information Protection i Azure Portal när etiketterna har migrerats.
Globala administratörer för din klientorganisation kan fortsätta att hantera etiketter och principer i både Azure Portal och efterlevnadsportal i Microsoft Purview när etiketterna har migrerats.
Innan du börjar
Etikettmigrering har många fördelar, men går inte att ångra. Innan du migrerar kontrollerar du att du är medveten om följande ändringar och överväganden:
- Klientstöd för enhetlig etikettering
- Principkonfiguration
- Skyddsmallar
- Visningsnamn
- Lokaliserade strängar i etiketter
- Redigera migrerade etiketter i efterlevnadsportal i Microsoft Purview
- Etikettinställningar som inte stöds i efterlevnadsportal i Microsoft Purview
- Jämföra beteendet för skyddsinställningar för en etikett
Klientstöd för enhetlig etikettering
Se till att du har klienter som stöder enhetliga etiketter och, om det behövs, vara förberedda för administration i både Azure Portal (för klienter som inte stöder enhetliga etiketter) och efterlevnadsportal i Microsoft Purview (för klienter som stöder enhetliga etiketter).
Principkonfiguration
Principer, inklusive principinställningar och vem som har åtkomst till dem (begränsade principer), och alla avancerade klientinställningar migreras inte. Alternativen för att konfigurera de här inställningarna efter etikettmigreringen är följande:
- Den efterlevnadsportal i Microsoft Purview
- Säkerhet & Compliance PowerShell, som du måste använda för att konfigurera avancerade klientinställningar.
Viktigt
Alla inställningar från en migrerad etikett stöds inte av efterlevnadsportal i Microsoft Purview. Använd tabellen i etikettinställningarna som inte stöds i avsnittet efterlevnadsportal i Microsoft Purview för att hjälpa dig att identifiera de här inställningarna och den rekommenderade åtgärden.
Skyddsmallar
Mallar som använder en molnbaserad nyckel och som ingår i en etikettkonfiguration migreras också med etiketten . Andra skyddsmallar migreras inte.
Om du har etiketter som har konfigurerats för en fördefinierad mall redigerar du etiketterna och väljer alternativet Ange behörigheter för att konfigurera samma skyddsinställningar som du hade i mallen. Etiketter med fördefinierade mallar blockerar inte etikettmigrering, men den här etikettkonfigurationen stöds inte i efterlevnadsportal i Microsoft Purview.
Tips
För att hjälpa dig att konfigurera om dessa etiketter kan det vara bra att ha två webbläsarfönster: Ett fönster där du väljer knappen Redigera mall för etiketten för att visa skyddsinställningarna och det andra fönstret för att konfigurera samma inställningar när du väljer Ange behörigheter.
När en etikett med molnbaserade skyddsinställningar har migrerats är skyddsmallens omfattning som definieras i Azure Portal (eller med hjälp av AIPService PowerShell-modulen) och det omfång som definieras i Microsoft Purview-efterlevnadsportalen.
Visningsnamn
För varje etikett visar Azure Portal endast etikettens visningsnamn, som du kan redigera. Användarna ser det här etikettnamnet i sina appar.
Efterlevnadsportal i Microsoft Purview visar både det här visningsnamnet för en etikett och etikettnamnet. Etikettnamnet är det första namn som du anger när etiketten först skapas och den här egenskapen används av serverdelstjänsten i identifieringssyfte. När du migrerar etiketterna förblir visningsnamnet detsamma och etikettnamnet har bytt namn till etikett-ID:t från Azure Portal.
Visningsnamn i konflikt
Innan du migrerar kontrollerar du att du inte har motstridiga visningsnamn när migreringen är klar. Visningsnamn på samma plats i etiketthierarkin måste vara unika.
Tänk dig till exempel följande lista över etiketter:
- Offentlig
- Allmänt
- Konfidentiell
- Konfidentiellt\HR
- Konfidentiellt\Ekonomi
- Hemlighet
- Hemlighet\HR
- Secret\Finance
I den här listan är offentliga, allmänna, konfidentiella och hemliga överordnade etiketter och får inte ha dubblettnamn. Dessutom finns Confidential\HR och Confidential\Finance på samma plats i hierarkin och kan inte heller ha dubblettnamn.
Underetiketter mellan olika överordnade objekt, till exempel Konfidentiellt\HR och Hemligt\HR , finns dock inte på samma plats i hierarkin och kan därför ha samma enskilda namn.
Lokaliserade strängar i etiketter
Eventuella lokaliserade strängar för etiketterna migreras inte. Definiera nya lokaliserade strängar för de migrerade etiketterna med hjälp av PowerShell för säkerhetsefterlevnad & och parametern LocaleSettings för Set-Label.
Redigera migrerade etiketter i efterlevnadsportal i Microsoft Purview
Efter migreringen, när du redigerar en migrerad etikett i Azure Portal, återspeglas samma ändring automatiskt i efterlevnadsportal i Microsoft Purview.
Men när du redigerar en migrerad etikett i efterlevnadsportal i Microsoft Purview måste du gå tillbaka till fönstret Azure Portal, Azure Information Protection – Enhetlig etikettering och välja Publicera.
Den här ytterligare åtgärden krävs för att Azure Information Protection-klienter (klassisk) ska kunna hämta etikettändringarna.
Etikettinställningar som inte stöds i efterlevnadsportal i Microsoft Purview
Använd följande tabell för att identifiera vilka konfigurationsinställningar för en migrerad etikett som inte stöds av efterlevnadsportal i Microsoft Purview. Om du har etiketter med de här inställningarna använder du administrationsvägledningen i den sista kolumnen när migreringen är klar innan du publicerar etiketterna i efterlevnadsportal i Microsoft Purview.
Om du inte är säker på hur etiketterna har konfigurerats kan du visa deras inställningar i Azure Portal. Om du behöver hjälp med det här steget kan du läsa Konfigurera Azure Information Protection-principen.
Azure Information Protection-klienter (klassisk) kan använda alla etikettinställningar som anges utan problem eftersom de fortsätter att ladda ned etiketterna från Azure Portal.
| Etikettkonfiguration | Stöds av enhetliga etiketteringsklienter | Vägledning för efterlevnadsportal i Microsoft Purview |
|---|---|---|
| Status för aktiverad eller inaktiverad Den här statusen synkroniseras inte till efterlevnadsportal i Microsoft Purview |
Inte tillämpligt | Motsvarigheten är om etiketten publiceras eller inte. |
| Etikettfärg som du väljer från listan eller anger med RGB-kod | Ja | Inget konfigurationsalternativ för etikettfärger. I stället kan du konfigurera etikettfärger i Azure Portal eller använda PowerShell. |
| Molnbaserat skydd eller HYOK-baserat skydd med hjälp av en fördefinierad mall | Inga | Inget konfigurationsalternativ för fördefinierade mallar. Vi rekommenderar inte att du publicerar en etikett med den här konfigurationen. |
| Molnbaserat skydd med användardefinierade behörigheter för Word, Excel och PowerPoint | Ja | Efterlevnadsportal i Microsoft Purview stöder ett konfigurationsalternativ för användardefinierade behörigheter. Om du publicerar en etikett med den här konfigurationen kontrollerar du resultatet av att tillämpa etiketten från följande tabell. |
| HYOK-baserat skydd med användardefinierade behörigheter för Outlook (vidarebefordra inte) | Nej | Inget konfigurationsalternativ för HYOK. Vi rekommenderar inte att du publicerar en etikett med den här konfigurationen. Om du gör det visas resultatet av att tillämpa etiketten i följande tabell. |
| Anpassat teckensnittsnamn, storlek och anpassad teckenfärg efter RGB-kod för visuell märkning (sidhuvud, sidfot, vattenstämpel) | Ja | Konfigurationen för visuell märkning är begränsad till en lista över färger och teckenstorlekar. Du kan publicera den här etiketten utan ändringar, men du kan inte se de konfigurerade värdena i efterlevnadsportal i Microsoft Purview. Om du vill ändra de här alternativen använder du cmdleten New-Label Office 365 Security & Compliance Center. För enklare administration bör du överväga att ändra färgen till något av alternativen i efterlevnadsportal i Microsoft Purview. Obs! Efterlevnadsportal i Microsoft Purview stöder en fördefinierad lista med teckensnittsdefinitioner. Anpassade teckensnitt och färger stöds endast via cmdleten New-Label . Om du arbetar med den klassiska klienten gör du dessa ändringar i etiketten i Azure Portal. |
| Variabler i visuell märkning (sidhuvud, sidfot) | Ja | Den här etikettkonfigurationen stöds av de inbyggda etiketterna för AIP-klienter och Office för utvalda appar. Om du arbetar med inbyggd etikettering med hjälp av en app som inte stöder den här konfigurationen och publicerar den här etiketten utan ändringar, visas variabler som text på klienter i stället för att det dynamiska värdet visas. Mer information finns i Microsoft 365-dokumentationen. |
| Visuella markeringar per app | Ja | Den här etikettkonfigurationen stöds endast av AIP-klienterna och inte av inbyggd Office-etikettering. Om du arbetar med inbyggd etikettering och publicerar den här etiketten utan ändringar visas konfigurationen för visuell markering som variabeltext i stället för de visuella markeringar som du har konfigurerat för att visas i varje app. |
| "Bara för mig" skydd | Ja | Med efterlevnadsportal i Microsoft Purview kan du inte spara krypteringsinställningar som du tillämpar nu, utan att ange några användare. I Azure Portal resulterar den här konfigurationen i en etikett som tillämpar "Just for me"-skydd. Alternativt skapar du en etikett som tillämpar kryptering och anger en användare med eventuella behörigheter och redigerar sedan den associerade skyddsmallen med hjälp av PowerShell. Använd först cmdleten New-AipServiceRightsDefinition (se exempel 3) och sedan Set-AipServiceTemplateProperty med parametern RightsDefinitions . |
| Villkor och associerade inställningar Innehåller automatisk och rekommenderad etikettering och deras knappbeskrivningar |
Inte tillämpligt | Konfigurera om villkoren med hjälp av automatisk etikettering som en separat konfiguration från etikettinställningarna. |
Jämföra beteendet för skyddsinställningar för en etikett
Använd följande tabell för att identifiera hur samma skyddsinställning för en etikett fungerar på olika sätt, beroende på om den används av den klassiska Azure Information Protection-klienten, Azure Information Protection enhetlig etiketteringsklient eller av Office-appar som har inbyggd etikettering (kallas även "ursprunglig Office-etikettering"). Skillnaderna i etikettbeteende kan ändra ditt beslut om du vill publicera etiketterna, särskilt när du har en blandning av klienter i din organisation.
Om du inte är säker på hur dina skyddsinställningar har konfigurerats kan du visa deras inställningar i fönstret Skydd i Azure Portal. Om du behöver hjälp med det här steget kan du läsa Konfigurera en etikett för skyddsinställningar.
Skyddsinställningar som fungerar på samma sätt visas inte i tabellen, med följande undantag:
- När du använder Office-appar med inbyggd etikettering visas inte etiketter i Utforskaren såvida du inte även installerar Azure Information Protection enhetlig etiketteringsklient.
- När du använder Office-appar med inbyggd etikettering bevaras skyddet [1] om skyddet tidigare tillämpades oberoende av en etikett.
| Skyddsinställning för en etikett | Klassisk Azure Information Protection-klient | Azure Information Protection-klienten för enhetlig etikettering | Office-appar med inbyggd etikettering |
|---|---|---|---|
| HYOK (AD RMS) med en mall: | Synlig i Word, Excel, PowerPoint, Outlook och Utforskaren När den här etiketten används: - HYOK-skydd tillämpas på dokument och e-postmeddelanden |
Synlig i Word, Excel, PowerPoint, Outlook och Utforskaren När den här etiketten används: - Inget skydd tillämpas och skyddet tas bort [2] om det tidigare använts av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet |
Synlig i Word, Excel, PowerPoint och Outlook När den här etiketten används: - Inget skydd tillämpas och skyddet tas bort [2] om det tidigare använts av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet [1] |
| HYOK (AD RMS) med användardefinierade behörigheter för Word, Excel, PowerPoint och Utforskaren: | Visas i Word, Excel, PowerPoint och Utforskaren När den här etiketten används: - HYOK-skydd tillämpas på dokument och e-postmeddelanden |
Synlig i Word, Excel och PowerPoint När den här etiketten används: - Skydd tillämpas inte och skyddet tas bort [2] om det tidigare har tillämpats av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet |
Synlig i Word, Excel och PowerPoint När den här etiketten används: - Skydd tillämpas inte och skyddet tas bort [2] om det tidigare har tillämpats av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet |
| HYOK (AD RMS) med användardefinierade behörigheter för Outlook: | Synlig i Outlook När den här etiketten används: – Vidarebefordra inte med HYOK-skydd tillämpas på e-postmeddelanden |
Synlig i Outlook När den här etiketten används: - Skydd tillämpas inte och tas bort [2] om det tidigare tillämpats av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet |
Synlig i Outlook När den här etiketten används: - Skydd tillämpas inte och tas bort [2] om det tidigare tillämpats av en etikett - Om skyddet tidigare tillämpades oberoende av en etikett bevaras skyddet [1] |
Fotnot 1
I Outlook bevaras skyddet med ett undantag: När ett e-postmeddelande har skyddats med alternativet endast kryptering (Kryptera) tas skyddet bort.
Fotnot 2
Skyddet tas bort om användaren har en användningsrätt eller roll som stöder den här åtgärden:
- Användningsrättigare Export eller Fullständig kontroll.
- Rollen som Rights Management-utfärdare, Rights Management-ägare eller superanvändare.
Om användaren inte har någon av dessa användningsrättigheter eller roller tillämpas inte etiketten och det ursprungliga skyddet bevaras.
Migrera Etiketter för Azure Information Protection
Använd följande instruktioner för att migrera din klientorganisation och Azure Information Protection etiketter för att använda det enhetliga etikettarkivet.
Du måste vara efterlevnadsadministratör, administratör för efterlevnadsdata, säkerhetsadministratör eller Global administratör för att kunna migrera etiketterna.
Om du inte redan gjort det loggar du in på Azure Portal. Gå sedan till fönstret Azure Information Protection.
I sökrutan för resurser, tjänster och dokument: Börja skriva Information och välj Azure Information Protection.
Via menyalternativet Hantera väljer du Enhetliga etiketter.
I fönstret Azure Information Protection – Enhetlig etikettering väljer du Aktivera och följer onlineanvisningarna.
Om alternativet för att aktivera inte är tillgängligt kontrollerar du statusen enhetlig etikettering: Om du ser Aktiverad använder klientorganisationen redan det enhetliga etikettarkivet och du behöver inte migrera etiketterna.
För etiketter som har migrerats kan de nu användas av klienter och tjänster som stöder enhetlig etikettering. Du måste dock först publicera etiketterna i efterlevnadsportal i Microsoft Purview.
Viktigt
Om du redigerar etiketterna utanför Azure Portal går du tillbaka till det här fönstret Azure Information Protection – Enhetlig etikettering för Azure Information Protection-klienter (klassisk) och väljer Publicera.
Kopiera principer
När du har migrerat etiketterna kan du välja ett alternativ för att kopiera principer. Om du väljer det här alternativet skickas en engångskopia av dina principer med deras principinställningar och eventuella avancerade klientinställningar till efterlevnadsportal i Microsoft Purview.
Principer som kopierats med deras inställningar och etiketter publiceras sedan automatiskt till de användare och grupper som har tilldelats principerna i Azure Portal. Observera att för den globala principen innebär detta alla användare. Om du inte är redo att de migrerade etiketterna i de kopierade principerna ska publiceras när principerna har kopierats kan du ta bort etiketterna från etikettprinciperna i administrationsetikettcentret.
Innan du väljer alternativet Kopiera principer (förhandsversion) i fönstret Azure Information Protection – Enhetlig etikettering bör du vara medveten om följande:
Alternativet Kopiera principer (förhandsversion) är inte tillgängligt förrän enhetlig etikettering har aktiverats för din klientorganisation.
Du kan inte välja principer och inställningar som ska kopieras selektivt. Alla principer (den globala principen och eventuella omfångsprinciper) väljs automatiskt för att kopieras och alla inställningar som stöds som etikettprincipinställningar kopieras. Om du redan har en etikettprincip med samma namn skrivs den över med principinställningarna i Azure Portal.
Vissa avancerade klientinställningar kopieras inte eftersom de för Azure Information Protection klienten för enhetlig etikettering stöds som avancerade inställningar för etiketter i stället för principinställningar. Du kan konfigurera de här avancerade etikettinställningarna med Säkerhetsefterlevnad & PowerShell. De avancerade klientinställningar som inte kopieras:
Till skillnad från etikettmigrering där efterföljande ändringar av etiketter synkroniseras synkroniserar åtgärden Kopiera principer inte efterföljande ändringar i dina principer eller principinställningar. Du kan upprepa kopieringsprincipåtgärden när du har gjort ändringar i Azure Portal, och eventuella befintliga principer och deras inställningar skrivs över igen. Du kan också använda cmdletarna Set-LabelPolicy eller Set-Label med parametern AdvancedSettings från Security & Compliance PowerShell.
Åtgärden Kopiera principer verifierar följande för varje princip innan den kopieras:
Användare och grupper som tilldelats principen finns för närvarande i Azure AD. Om ett eller flera konton saknas kopieras inte principen. Gruppmedlemskap är inte markerat.
Den globala principen innehåller minst en etikett. Eftersom administrationsetikettcenter inte stöder etikettprinciper utan etiketter kopieras inte en global princip utan etiketter.
Om du kopierar principer och sedan tar bort dem från administrationsetikettcentret väntar du minst två timmar innan du använder åtgärden Kopiera principer igen för att säkerställa tillräckligt med tid för att borttagningen ska replikeras.
Principer som kopieras från Azure Information Protection har inte samma namn. De namnges i stället med prefixet AIP_. Principnamn kan inte ändras senare.
Mer information om hur du konfigurerar principinställningar, avancerade klientinställningar och etikettinställningar för Azure Information Protection enhetlig etiketteringsklient finns i Anpassade konfigurationer för Azure Information Protection enhetlig etiketteringsklient i administratörsguiden.
Anteckning
Azure Information Protection stöd för kopiering av principer finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.
Klienter och tjänster som stöder enhetlig etikettering
Om du vill kontrollera om de klienter och tjänster som du använder har stöd för enhetlig etikettering läser du deras dokumentation för att kontrollera om de kan använda känslighetsetiketter som publiceras från efterlevnadsportal i Microsoft Purview.
Klienter som för närvarande stöder enhetlig etikettering inkluderar
Azure Information Protection enhetlig etiketteringsklient för Windows. Mer information finns i Jämför inbyggd etikettering i Azure Information Protection och MIP.
Appar från Office som är i olika faser av tillgänglighet
Mer information finns i Stöd för funktioner för känslighetsetiketter i appar från Microsoft 365 Efterlevnadsdokumentation.
Appar från programvaruleverantörer och utvecklare som använder Microsoft Information Protection SDK.
Tjänster som för närvarande stöder enhetlig etikettering inkluderar
Office Online och Outlook på webben
Mer information finns i Aktivera känslighetsetiketter för Office-filer i SharePoint och OneDrive.
Microsoft SharePoint, OneDrive för arbete eller skola, OneDrive för hemmet, Teams och Microsoft 365-grupper
Mer information finns i Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser.
Microsoft Defender för Cloud Apps
Den här tjänsten stöder etiketter både före migreringen till det enhetliga etikettarkivet och efter migreringen med hjälp av följande logik:
Om efterlevnadsportal i Microsoft Purview har känslighetsetiketter hämtas dessa etiketter från efterlevnadsportal i Microsoft Purview. Om du vill välja dessa etiketter i Microsoft Defender for Cloud Apps måste minst en etikett publiceras till minst en användare.
Om efterlevnadsportal i Microsoft Purview inte har känslighetsetiketter hämtas Azure Information Protection-etiketter från Azure Portal.
Tjänster från programvaruleverantörer och utvecklare som använder Microsoft Information Protection SDK.
Hanteringsportaler som ska användas efter migrering av etiketter
När du har migrerat etiketterna i Azure Portal fortsätter du att hantera dem på någon av följande platser, beroende på vilka klienter du har installerat:
| Client | Description |
|---|---|
| Endast klienter och tjänster för enhetlig etikettering | Om du bara har enhetliga etiketteringsklienter installerade hanterar du etiketterna i efterlevnadsportal i Microsoft Purview, där enhetliga etiketteringsklienter laddar ned etiketterna och deras principinställningar. Anvisningar finns i Skapa och konfigurera känslighetsetiketter och deras principer. |
| Endast klassisk klient | Om du har migrerat etiketterna, men fortfarande har den klassiska klienten installerad, fortsätter du att använda Azure Portal för att redigera etiketter och principinställningar. Den klassiska klienten fortsätter att ladda ned etiketter och principinställningar från Azure. |
| Både den klassiska AIP-klienten och enhetliga etiketteringsklienter | Om du har båda klienterna installerade använder du efterlevnadsportal i Microsoft Purview eller Azure Portal för att göra etikettändringar. För att de klassiska klienterna ska kunna hämta etikettändringar som gjorts i efterlevnadsportal i Microsoft Purview går du tillbaka till Azure Portal för att publicera dem. I fönstret Azure Portal >Azure Information Protection – Enhetlig etikettering väljer du Publicera. Fortsätt att använda Azure Portal för central rapportering och skannern. |
Nästa steg
Vägledning och tips från vårt kundupplevelseteam:
- Blogginlägg: Förstå migrering av enhetlig etikettering
Om känslighetsetiketter:
Distribuera AIP-klienten för enhetlig etikettering:
Om du inte redan har gjort det installerar du Azure Information Protection klienten för enhetlig etikettering.
Mer information finns i: