有关 Azure 信息保护经典客户端的常见问题解答

何时适合将我的标签迁移到统一标记平台？

我们建议将 Azure 信息保护标签迁移到统一标记平台，以便可以通过其他支持统一标记的客户端和服务将这些标签用作敏感度标签。

有关详细信息和说明，请参阅如何将 Azure 信息保护标签迁移到统一敏感度标签。

迁移到敏感度标签和统一标记平台后，是否需要重新加密文件？

不需要，从 AIP 经典客户端迁移到统一标记平台以及将 Azure 门户中托管的标签迁移到敏感度标签后，无需重新加密文件。

迁移后，从 Microsoft 365 合规中心管理标签和标签策略。

有关详细信息，请参阅 Microsoft 365 文档中的了解敏感度标签和了解统一标记迁移博客。

Microsoft 365 中的标签与 Azure 信息保护中的标签有何差别？

最初，Microsoft 365 只有保留标签，使用这些标签可以对文档和电子邮件进行分类，以便在将内容存储在 Microsoft 365 服务中时对其进行审核和保留。

相比之下，Azure 信息保护标签（在Azure 门户中使用 AIP 经典客户端配置）使你能够对文档和电子邮件应用一致的分类和保护策略，无论它们是存储在本地还是云中。

除了保留标签之外，Microsoft 365 还支持敏感度标签。 可以在 Microsoft 365 合规中心创建和配置敏感度标签。

如果在 Azure 门户中配置了旧版 AIP 标签，则建议将其迁移到敏感度标签和统一标记客户端。 有关详细信息，请参阅教程：从 Azure 信息保护 (AIP) 经典客户端迁移到统一标记客户端。

有关详细信息，请参阅宣布推出信息保护功能以帮助保护你的敏感数据。

Azure 信息保护客户端是否只适用于包含分类和标记的订阅？

不是。 经典 AIP 客户端还可与仅包含 Azure Rights Management 服务的订阅配合使用，但仅提供数据保护。

如果在没有 Azure 信息保护策略的情况下安装了经典客户端，则客户端会自动在仅保护模式下运行，这允许用户应用 Rights Management 模板和自定义权限。

如果以后购买确实包含分类和标记的订阅，客户端会在下载 Azure 信息保护策略后自动切换到标准模式。

设置 Rights Management 所有者

默认情况下，对于 Windows Server FCI 和 Azure 信息保护扫描程序，Rights Management 所有者设置为保护文件的帐户。

可以替代默认设置，如下所述：

• Windows Server FCI：将 Rights Management 所有者设置为适用于所有文件的单个帐户，或者为每个文件动态设置 Rights Management 所有者。

  若要动态设置 Rights Management 所有者，请使用 -OwnerMail [源文件所有者电子邮件] 参数和值。 此配置使用文件“所有者”属性中的用户帐户名从 Active Directory 检索用户的电子邮件地址。

• Azure 信息保护扫描程序：对于新的受保护文件，通过在扫描程序配置文件中指定 -Default owner 设置，将 Rights Management 所有者设置为适用于指定数据存储中的所有文件的单个帐户。

  不支持为每个文件动态设置 Rights Management 所有者，也不会更改以前受保护的文件的 Rights Management 所有者。

  注意

  扫描程序保护 SharePoint 网站和库上的文件时，通过使用 SharePoint 编辑者值来动态地设置每个文件的 Rights Management 所有者。

文件是否可以有多个分类？

用户一次仅可为每个文档或电子邮件选择一个标签，这通常只会产生一个分类。 但如果用户选择子标签，这实际上会同时应用两个标签；主标签和次要标签。 通过使用子标签，文件可以有两个分类，表示附加控制级别的父\子关系。

例如，标签“机密”可能包含子标签，如“法律”和“财务”。 可对这些子标签应用不同的分类视觉标记和不同的权限管理模板。 用户不能自行选择“机密”标签；只能选择其中一个子标签，如“法律”。 因此，会看到设置的标签是“机密\法律”。 该文件的元数据包括“Confidential”的一个自定义文本属性和“Legal”的一个自定义文本属性，以及另一个同时包含这两个值（“Confidential Legal”）的自定义文本属性。

使用子标签时，请不要在主标签处配置视觉标记、保护和条件。 使用子级别时，请仅在子标签上配置这些设置。 如果在主标签及其子标签上配置这些设置，那么子标签上的设置具有更高优先级。

如何防止他人删除或更改标签？

尽管策略设置要求用户说明降低分类标签、删除标签或删除保护的理由，但此设置无法阻止上述操作。 若要防止用户删除或更改标签，内容必须已受到保护，并且保护权限不向用户授予“导出”或“完全控制”使用权限。

DLP 解决方案和其他应用如何与 Azure 信息保护相集成？

因为 Azure 信息保护将永久性元数据用于分类（包括明文标签），所以此信息可供 DLP 解决方案和其他应用程序读取。

有关此元数据的详细信息，请参阅电子邮件和文档中存储的标签信息。

有关将此元数据与 Exchange Online 邮件流规则配合使用的示例，请参阅配置 Azure 信息保护标签的 Exchange Online 邮件流规则。

我能否创建自动包含分类的文档模板？

是。 可以将标签配置为，应用包含标签名称的页眉或页脚。 （仅限 Azure 信息保护经典客户端）但如果这无法满足你的要求，则可以创建包含所需格式设置的文档模板，并将分类添加为域代码。

例如，文档的页眉中可能有一个显示分类的表。 或者，对引用文档分类的简介使用具体的字词。

若要在文档中添加此域代码，请执行以下操作：

1. 标记并保存文档。 此操作新建可立即用于域代码的元数据字段。

2. 在文档中，将光标置于要添加标签分类的位置，再在插入选项卡中依次选择文本文档部件字段。

3. 在“字段”对话框中，选择“类别”下拉列表中的“文档信息”。 然后，选择“字段名称”下拉列表中的“DocProperty”。

4. 在“属性”下拉列表中，依次选择“敏感度”和“确定”。

此时，当前标签的分类显示在文档中，并且这个值会在你每次打开文档或使用模板时自动刷新。 因此，如果标签发生更改，那么对此域代码显示的分类也会在文档中自动更新。

使用 Azure 信息保护时的电子邮件分类与 Exchange 邮件分类有什么不同？

Exchange 邮件分类是一种较旧的功能，它可对电子邮件进行分类，且在实施时独立于应用分类的 Azure 信息保护标签或敏感度标签。

但是，你可以将这个较旧的功能与标签集成，以便当用户使用 Outlook 网页版以及某些移动邮件应用程序对电子邮件进行分类时，自动添加标签分类和相应的标签标记。

可以使用同一技术将标签用于 Outlook 网页版和这些移动邮件应用程序。

请注意，如果你将 Outlook 网页版与 Exchange Online 配合使用，则无需执行此操作，因为当你从 Office 365 安全与合规中心、Microsoft 365 安全中心或 Microsoft 合规中心发布敏感度标签时，此组合支持内置标记。

如果无法将内置标记与 Outlook 网页版配合使用，请参阅此解决方法的配置步骤：与旧的 Exchange 消息分类的集成

如何配置 Mac 计算机以保护和跟踪文档？

首先，请确保已使用 https://admin.microsoft.com 上的软件安装链接安装了 Office for Mac。 有关完整说明，请参阅在电脑或 Mac 上下载并安装或重新安装 Microsoft 365 或 Office 2019。

打开 Outlook 并使用你的 Microsoft 365 工作或学校帐户创建配置文件。 然后，创建新邮件，并执行以下操作来配置 Office，使其可以使用 Azure Rights Management 服务来保护文档和电子邮件：

1. 在新邮件的“选项”选项卡上，单击“权限”，然后单击“验证凭据”。

2. 出现提示时，请再次指定 Microsoft 365 工作或学校帐户详细信息，然后选择“登录”。

   这将下载 Azure Rights Management 模板，“验证凭据”选项将替换为包括“无限制”、“不要转发”以及为租户发布任何 Azure Rights Management 模板的选项。 现在可以取消此新邮件。

保护电子邮件或文档：在“选项”选项卡上，单击“权限”，然后选择用于保护电子邮件或文档的选项或模板。

在保护文档之后跟踪文档：在安装了 Azure 信息保护经典客户端的 Windows 计算机上，使用 Office 应用程序或文件资源管理器将文档注册到文档跟踪站点。 有关说明，请参阅跟踪和撤销文档。 现在可以从 Mac 计算机使用 Web 浏览器访问文档跟踪站点 (https://track.azurerms.com）来跟踪和撤销此文档。

在文档跟踪站点中测试吊销时，显式的消息提示人们仍可在 30 天内访问此文档—该时间段是否可配置？

是。 该消息反映了此特定文件的使用许可证。

如果撤销文件，仅在用户对 Azure Rights Management 服务进行身份验证时才会强制执行此操作。 因此，如果文件的使用许可证有效期为 30 天，且用户已经打开过文档，则该用户在使用许可证期间仍继续拥有该文档的访问权限。 使用许可证过期时，用户必须重新进行身份验证，此时由于文件被撤销，因此会拒绝用户访问。

保护文档的用户，即 Rights Management 颁发者不受此撤销的限制，始终能够访问其文档。

租户使用许可证有效期的默认值为 30 天，此设置可通过标签或模板中限制性更强的设置进行替代。 若要详细了解使用许可证以及如何对其进行配置，请参阅 Rights Management 使用许可证文档。

BYOK 和 HYOK 之间的区别是什么？应何时使用它们？

Azure 信息保护上下文中出现自带密钥 (BYOK) 时，则表示应为 Azure Rights Management 保护创建自己的本地密钥。 然后将该密钥传输到 Azure Key Vault 中的硬件安全模块 (HSM)，可在其中继续拥有并管理密钥。 若不执行此操作，Azure Rights Management 保护会使用 Azure 中自动创建并进行管理的密钥。 这种默认配置称为“Microsoft 管理”而不是“客户管理”（BYOK 选项）。

有关 BYOK 以及是否应为组织选择此密钥拓扑的详细信息，请参阅规划和实现 Azure 信息保护租户密钥。

在 Azure 信息保护的上下文中出现自留密钥 (HYOK)，则表示少量组织的文档或电子邮件自己无法通过存储在云中的密钥进行保护。 对于这些组织来说，即使使用 BYOK 创建和管理密钥，此限制仍然适用。 此限制通常是由于法规或符合性问题引起的，并且 HYOK 配置应仅应用于“顶级机密”信息，此信息永远不会在组织外部共享、仅会在内部网络中使用，并且无需通过移动设备访问。

对于这些异常（通常需要保护的内容少于所有内容的 10%），组织可使用本地解决方案 Active Directory Rights Management Services 创建保留在本地的密钥。 通过此解决方案，计算机可从云中获取其 Azure 信息保护策略，但可使用本地密钥来保护此标识的内容。

若要深入了解 HYOK 并确保了解其局限性和限制及使用指南，请参阅 AD RMS 保护的自留密钥 (HYOK) 要求和限制。

如果我的问题不在这里，我该如何操作？

首先，查看下面列出的特定于分类和标签或特定于数据保护的常见问题解答。 Azure Rights Management 服务 (Azure RMS) 为 Azure 信息保护提供数据保护技术。 Azure RMS 可与分类和标签结合使用，也可单独使用。

• 有关 Azure 信息保护的常见问题

• 分类和标签 FAQ

• 数据保护 FAQ

如果你的问题未得到解答，请参阅有关 Azure 信息保护的信息和支持中列出的链接和资源。

此外，我们还为最终用户制作了常见问题解答：

• 适用于 iOS 和 Android 的 Azure 信息保护应用的常见问题解答

• 适用于 Mac 计算机的 RMS 共享应用的常见问题解答