Azure 資訊保護 (AIP) 標籤、分類和保護

注意

您要尋找先前Microsoft 資訊保護 (MIP) Microsoft Purview 資訊保護嗎?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

Azure 資訊保護 (AIP) 是一種雲端式解決方案,其可讓組織套用標籤來分類及保護文件和電子郵件。

例如,系統管理員可能會設定標籤,其中包含偵測信用卡資訊等敏感性資料的規則。 在此情況下,將信用卡資訊儲存在 Word 檔案中的任何使用者都可能會在文件頂端看到工具提示,建議其套用適用於此案例的相關標籤。

標籤可將文件分類,也可以選擇性地保護文件,讓您可以:

  • 追蹤及控制內容的使用方式
  • 分析資料流程以取得您業務的見解 - 偵測有風險的行為並採取矯正措施
  • 追蹤文件存取並防止資料洩漏或誤用
  • 還有更多...

標籤如何使用 AIP 套用分類

使用 AIP 標記您的內容包括:

  • 分類,無論資料的儲存位置或與誰共用,皆可偵測分類。
  • 視覺標記,例如頁首、頁尾或浮水印。
  • 中繼資料,會以純文字新增至檔案和電子郵件標頭。 純文字中繼資料可確保其他服務能識別分類並採取適當動作

例如,在下圖中,標籤已將電子郵件訊息分類為 一般

顯示 Azure 資訊保護分類的電子郵件頁尾和頁首範例

在本範例中,標籤也:

  • 已將 敏感度頁尾:一般 新增至電子郵件訊息。 此頁尾為視覺指標,讓所有收件者了解其為不應傳至組織外部的一般商務資料。
  • 電子郵件標頭中的內嵌中繼資料。 頁首資料可讓電子郵件服務檢查標籤,並理論上建立稽核項目,或防止其傳送到組織外部。

系統管理員可以使用規則和條件、手動套用標籤,或使用系統管理員定義向使用者顯示的建議的組合來自動套用標籤。

AIP 如何保護您的資料

Azure 資訊保護使用 Azure Rights Management Service (Azure RMS) 來保護您的資料。

Azure RMS 已與 Office 365 及 Azure Active Directory 等其他 Microsoft 雲端服務和應用程式整合,同時也可以與您自己或協力廠商的應用程式和資訊保護解決方案搭配使用。 Azure RMS 適用於內部部署和雲端解決方案。

Azure RMS 使用加密、身分識別和授權原則。 與 AIP 標籤類似,無論文件或電子郵件的位置為何,使用 Azure RMS 所套用的保護都會與文件與電子郵件保持一致,以確保您能夠控制內容,即使該內容與其他人共用也一樣。

保護設定可以是:

  • 標籤設定的一部分,讓使用者只要套用標籤,即可分類和保護檔和電子郵件。

  • 由支援保護但不支援標籤的應用程式和服務自行使用

    針對僅支援保護的應用程式及服務,保護設定會作為 Rights Management 範本使用。

例如,建議設定報表或銷售預測試算表,使其只能由組織中的人員存取。 在此情況下,您會套用保護設定以控制該文件是否可供編輯、將其限制為唯讀,或是防止其列印。

電子郵件可有類似的保護設定,以防止其轉寄或使用 [全部回覆] 選項。

Rights Management 範本

啟用 Azure Rights Management 服務之後,您就會有兩個預設 Rights Management 範本,可以用來限制組織內使用者的資料存取權。 請立即使用這些範本,或設定自己的保護設定,以在新範本中套用更嚴格的控制項。

Rights Management 範本可搭配任何支援 Azure Rights Management 的應用程式或服務使用。

下圖顯示來自 Exchange 系統管理中心的範例,您可在其中將 Exchange Online 郵件流程規則設定為使用 RMS 範本:

選取適用於 Exchange Online 範本的範例

注意

建立包含保護設定的 AIP 標籤也會建立對應的 Rights Management 範本,其可與標籤分開使用。

如需詳細資訊,請參閱什麼是 Azure Rights Management?

文件和電子郵件的 AIP 與終端使用者整合

AIP 用戶端會將資訊保護列安裝到 Office 應用程式,並讓終端使用者將 AIP 與其文件和電子郵件整合。

例如,在 Excel 中:

Excel 中的 Azure 資訊保護列範例

標籤可自動套用至文件和電子郵件,讓使用者無需揣測或是與組織的原則相符,而資訊保護列則可讓終端使用者選取標籤並自行套用分類。

此外,AIP 用戶端可讓使用者使用 Windows 檔案總管的右鍵功能表來分類並保護其他檔案類型,或同時保護多個檔案。 例如:

從檔案總管以滑鼠右鍵按一下 [分類並保護],使用 Azure 資訊保護來保護檔案

[分類並保護] 功能表選項的運作方式類似於 Office 應用程式中資訊保護列,可讓使用者選取標籤或設定自訂權限。

秘訣

進階使用者或系統管理員可能會發現,PowerShell 命令對於管理及設定多個檔案的分類與保護更有效率。 相關的 PowerShell 命令隨附於用戶端,亦可分開安裝。

使用者和系統管理員可使用文件追蹤網站來監視受保護的文件、監看其存取者及存取時間。 如果他們懷疑誤用,也可以撤銷這些文件的存取權。 例如:

文件追蹤網站中的撤銷存取權圖示

其他電子郵件整合

將 AIP 與 Exchange Online 搭配使用的額外好處是可提供將受保護電子郵件傳送給任何使用者,並保證使用者可在任何裝置上讀取這些電子郵件。

例如,您可能需要將敏感性資訊傳送到使用 GmailHotmailMicrosoft 帳戶的個人電子郵件地址,或傳送給 Office 365 或 Azure AD 中沒有帳戶的使用者。 這些電子郵件在待用及傳輸時都應加密,且只能由原始收件者讀取。

本案例需要 Office 365 訊息加密功能。 如果收件者無法在內建的電子郵件用戶端中開啟受保護的電子郵件,他們可以使用一次性密碼在瀏覽器中讀取敏感性資訊。

例如,Gmail 使用者可能會在收到的電子郵件訊息中看到下列提示:

OME 與 AIP 的 Gmail 收件者體驗

對於傳送電子郵件的使用者而言,其所需動作與傳送受保護電子郵件到自己組織內使用者的所需動作相同。 例如,選取 [不可轉寄] 按鈕,AIP 用戶端可在 Outlook 功能區中新增該按鈕。

或者, [不要轉寄 ] 功能可以整合到使用者可以選取將分類和保護套用至該電子郵件的標籤中。 例如:

選取設定為「不要轉寄」的標籤

系統管理員也可以設定會套用版權保護的郵件流程規則,以自動為使用者提供保護。

任何附加到這些電子郵件的 Office 文件也會自動受到保護。

掃描現有內容以分類及保護

在理想的情況下,您會在文件和電子郵件建立時為其加上標籤。 不過,您可能有許多儲存在內部部署或雲端中的現有文件,且也想要分類並保護這些文件。

使用下列其中一種方法來分類及保護現有的內容:

  • 內部部署儲存體:使用 Azure 資訊保護掃描器來探索、分類及保護網路共用和 Microsoft SharePoint Server 網站與文件庫上的文件。

    掃描器會在 Windows Server 上以服務的形式執行,並使用相同的原則規則來偵測敏感性資訊,並將特定標籤套用至文件。

    或者,使用掃描器將預設標籤套用至資料存放庫中的所有文件,而不檢查檔案內容。 請僅在報告模式下使用掃描器,以發現可能不知道的敏感性資訊。

  • 雲端資料儲存體:使用Microsoft Defender for Cloud Apps將您的標籤套用至 Box、SharePoint 和 OneDrive 中的檔。 如需教學課程,請參閱自動套用 Azure 資訊保護分類標籤

下一步

使用我們的快速入門和教學課程自行設定及查看 Azure 資訊保護:

如果已準備好為組織部署此服務,請移至操作指南