Azure 信息保护 (AIP) 的常见问题解答
备注
你是否想要了解 Microsoft Purview 信息保护(以前称为 Microsoft 信息保护 (MIP))方面的信息?
Azure 信息保护加载项已停用,并替换为 Microsoft 365 应用和服务中内置的标签。 详细了解其他 Azure 信息保护组件的支持状态。
Microsoft Purview 信息保护客户端(不含加载项)已正式发布。
是否有关于 Azure 信息保护 (AIP) 或 Azure Rights Management (Azure RMS) 的问题?
请查看下面或后续更具体的常见问题解答页面上是否有答案。
Azure 信息保护和 Microsoft Purview 信息保护之间有何不同?
与 Azure 信息保护不同,Microsoft Purview 信息保护不是可以购买的订阅或产品。 相反,它是可帮助你保护组织敏感信息的产品和集成功能的框架。
Microsoft Purview 信息保护产品包括:
- Azure 信息保护
- Microsoft 365 信息保护,如 Microsoft 365 DLP
- Windows 信息保护
- Microsoft Defender for Cloud Apps
Microsoft Purview 信息保护功能包括:
- 统一标记管理
- 内置于 Office 应用中的最终用户标记体验
- Windows 了解统一标记并对数据应用保护的功能
- Microsoft 信息保护 SDK
- Adobe Acrobat Reader 中用于查看已标记且已保护的 PDF 的功能
有关详细信息,请参阅有助于保护敏感数据的信息保护功能。
Azure 信息保护和 Azure Rights Management 之间有何不同?
Azure 信息保护 (AIP) 可对组织的文档和电子邮件进行分类、标记和保护。
它使用 Azure Rights Management 服务(现已成为 AIP 的一个组件)保护内容。
有关详细信息,请参阅 AIP 如何保护数据以及 Azure Rights Management 是什么?。
需要为 Azure 信息保护准备哪个订阅,以及它包括哪些功能?
若要详细了解 AIP 订阅,请参阅以下文章:
- Microsoft 365 安全性与合规性许可指南
- 新式工作计划比较(PDF 下载)
是否必须是全局管理员才能配置 Azure 信息保护?我可以委派给其他管理员吗?
很显然,Microsoft 365 租户或 Microsoft Entra 租户的全局管理员可以运行 Azure 信息保护的所有管理任务。
不过,若要向其他用户分配管理权限,请使用以下角色进行分配:
此外,管理管理任务和角色时,请注意以下问题:
问题 | 详细信息 |
---|---|
支持的帐户类型 | 不支持 Microsoft 帐户对 Azure 信息保护执行委派管理,即使已向这些帐户分配列出的管理角色之一。 |
加入控制 | 如果配置了加入控制,此配置不会影响管理 Azure 信息保护的能力(RMS 连接器除外)。 例如,如果配置了加入控制机制,以致仅允许“IT 部门”组保护内容,那么,用于安装和配置 RMS 连接器的帐户必须是该组的成员。 |
删除保护 | 管理员无法自动删除对于受 Azure 信息保护保护的文档或电子邮件的保护。 只有被分配为超级用户的用户可以删除保护,并且只有在已启用超级用户功能的情况下才可以进行删除。 具有对 Azure 信息保护的管理权限的所有用户都可以启用超级用户功能,并可将用户(包括用户自己的帐户)分配为超级用户。 这些操作记录在管理员日志中。 有关详细信息,请参阅为 Azure 信息保护和发现服务或数据恢复配置超级用户中的“最佳安全做法”部分。 提示:如果内容存储在 SharePoint 或 OneDrive 中,则管理员可以运行 Unlock-SensitivityLabelEncryptedFile cmdlet,以删除敏感度标签和加密。 有关详细信息,请参阅 Microsoft 365 文档。 |
迁移到统一标记存储 | 如果要将 Azure 信息保护标签迁移到统一标记存储,请务必阅读标签迁移文档中的以下部分: 支持统一标记平台的管理角色。 |
Azure 信息保护管理员
此 Microsoft Entra 管理员角色允许管理员配置 Azure 信息保护,但不能配置其他服务。
具有此角色的管理员可以:
- 激活和停用 Azure Rights Management 保护服务
- 配置保护设置和标签
- 配置 Azure 信息保护策略
- 运行针对 Azure 信息保护客户端以及 AIPService 模块中的所有 PowerShell cmdlet
要将用户分配到此管理角色,请参阅将用户分配到 Microsoft Entra ID 中的管理员角色。
合规性管理员或合规性数据管理员
具有这些 Microsoft Entra 管理员角色时,管理员能够:
- 配置 Azure 信息保护,包括激活和停用 Azure Rights Management 保护服务
- 配置保护设置和标签
- 配置 Azure 信息保护策略
- 运行针对 Azure 信息保护客户端以及 AIPService 模块中的所有 PowerShell cmdlet。
要将用户分配到此管理角色,请参阅将用户分配到 Microsoft Entra ID 中的管理员角色。
要查看具有这些角色的用户还拥有哪些其他权限,请参阅 Microsoft Entra 文档的可用角色部分。
注意
这些角色不支持跟踪和撤销用户的文档。
安全管理员
具有此 Microsoft Entra 管理员角色时,管理员能够在 Azure 门户中配置 Azure 信息保护,并可配置其他 Azure 服务的某些方面。
具有此角色的管理员不能运行任何 AIPService 模块中的 PowerShell cmdlet,也不能跟踪和撤销用户的文档。
要将用户分配到此管理角色,请参阅将用户分配到 Microsoft Entra ID 中的管理员角色。
要查看具有此角色的用户还拥有哪些其他权限,请参阅 Microsoft Entra 文档的可用角色部分。
Azure Rights Management 全局管理员和连接器管理员
全局管理员角色使用户能够运行 AIPService 模块中的所有 PowerShell cmdlet,而无需使其成为其他云服务的全局管理员。
连接器管理员角色使用户能够仅运行 Rights Management (RMS) 连接器。
这些管理角色无法授予对管理控制台的权限。 连接器管理员角色也不支持跟踪和撤销用户的文档。
若要分配其中任一管理角色,请使用 AIPService PowerShell cmdlet。
Azure 信息保护是否支持本地和混合方案?
是。 尽管 Azure 信息保护是基于云的解决方案,但它可对存储在本地和云中的文档和电子邮件进行分类、标签设置和保护。
如果具有 Exchange Server、SharePoint Server 和 Windows 文件服务器,请使用下面的一种或两种方法:
- 部署 Rights Management 连接器,以便这些本地服务器可以使用 Azure Rights Management 服务保护电子邮件和文档
- 将 Active Directory 域控制器与 Microsoft Entra ID 同步和联合,以便为用户提供更加无缝的身份验证体验。 例如,使用Microsoft Entra Connect。
Azure Rights Management 服务根据需要自动生成并管理 XrML 证书,因此它不使用本地 PKI。
有关 Azure Rights Management 如何使用证书的详细信息,请参阅 Azure RMS 工作演练:首次使用、内容保护、内容使用。
Azure 信息保护可以分类和保护哪些类型的数据?
Azure 信息保护可以分类和保护电子邮件和文档,无论它们是位于本地还是云中。 这些文档包括 Word 文档、Excel 电子表格,PowerPoint 演示文稿、PDF 文档、基于文本的文件和图像文件。
有关详细信息,请参阅完整列表:支持的文件类型。
注意
Azure 信息保护无法对结构化数据(例如数据库文件、日历项目、Yammer 帖子、Sway 内容和 OneNote 记事本)进行分类和保护。
提示
Power BI 使用敏感度标签支持分类,并且可以将这些标签提供的保护应用于导出到以下文件格式的数据:.pdf、.xls 和 .ppt。 有关详细信息,请参阅 Power BI 中的数据保护。
我看到 Azure 信息保护被列为可用于条件访问的云应用 - 工作原理是什么?
可以,可以为 Azure 信息保护配置 Microsoft Entra 条件访问。
当用户打开受 Azure 信息保护保护的文档时,管理员现可基于标准条件访问控制,阻止其租户中用户的访问或授予他们访问权限。 最常见的请求条件之一是需要多重身份验证 (MFA)。 另一常见请求条件是,设备必须遵守 Intune 策略(以便移动设备符合密码要求和最低操作系统版本),并且计算机必须已加入域。
有关详细信息,请参阅 条件访问策略和加密文档。
其他信息:
主题 | 详细信息 |
---|---|
评估频率 | 对于 Windows 计算机和当前预览版本,初始化用户环境时会对 Azure 信息保护的条件访问策略进行评估(此过程也称为引导),之后每 30 天评估一次。 若要调整评估条件访问策略的频率,请配置令牌生存期。 |
管理员帐户 | 建议不要将管理员帐户添加到条件访问策略,因为这些帐户无法访问 Azure 门户中的“Azure 信息保护”窗格。 |
MFA 和 B2B 协作 | 如果在条件访问策略中使用 MFA 与其他组织 (B2B) 协作,必须使用Microsoft Entra B2B 协作并为要在其他组织中与之共享的用户创建来宾帐户。 |
使用条款提示 | 由于 Microsoft Entra 2018 年 12 月预览版已发布,现在可以在用户第一次打开受保护文档之前提示用户接受使用条款。 |
云应用 | 如果针对条件访问使用许多云应用,则列表中可能不会显示“Microsoft 信息保护同步服务”和“Microsoft Rights Management 服务”选项,因此无法进行选择。 在这种情况下,可使用列表顶部的搜索框。 开始键入“Microsoft 信息保护同步服务”和“Microsoft Rights Management 服务”以筛选可用应用。 如果已有受支持的订阅,则可以看到这些选项,也可以选择它们。 |
注意
Azure 信息保护对条件访问的支持目前以预览版提供。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Azure 信息保护是否适用于我所在的国家/地区?
不同国家/地区的要求和法规不同。 要帮助你的组织回答此问题,请参阅针对不同国家/地区的适用性。
Azure 信息保护如何帮助你符合 GDPR?
注意
如果对查看或删除个人数据感兴趣,请查看 Microsoft 在 Microsoft Purview 符合性管理器和 Microsoft 365 企业版合规性站点的 GDPR 部分中的指南。 如果正在寻找有关 GDPR 的一般信息,请参阅服务信任门户的 GDPR 部分。
在何处可以找到 Azure 信息保护的支持信息 — 例如法律、合规性和 SLA?
请参阅 Azure 信息保护的合规性和支持信息。
如何针对 Azure 信息保护报告问题或发送反馈?
若要获取技术支持,请使用标准支持渠道或联系 Microsoft 支持。
我们还邀请你加入我们的工程团队:Azure 信息保护 Yammer 站点。
如果这里没有我的问题,我该如何操作?
首先,查看下面列出的特定于分类和标签或特定于数据保护的常见问题解答。 Azure Rights Management 服务 (Azure RMS) 为 Azure 信息保护提供数据保护技术。 Azure RMS 可与分类和标签结合使用,也可单独使用。