Azure 資訊保護 (AIP) 常見問題

注意

您要尋找先前Microsoft 資訊保護 (MIP) Microsoft Purview 資訊保護嗎?

Azure 資訊保護統一標籤用戶端現在處於維護模式。 建議您使用內建在Office 365應用程式和服務的標籤。 瞭解更多資訊

Azure 資訊保護 (AIP) 或 Azure Rights Management 服務 (Azure RMS) 有問題嗎?

查看其是否在下方或 後續更具體、更明確的常見問題頁面上回答。

Azure 資訊保護與Microsoft Purview 資訊保護有何差異?

不同于 Azure 資訊保護,Microsoft Purview 資訊保護不是您可以購買的訂用帳戶或產品。 相反地,它是產品與整合功能的架構,可協助您保護組織的敏感性資訊。

Microsoft Purview 資訊保護產品包括

  • Azure 資訊保護
  • Microsoft 365 資訊保護,例如 Microsoft 365 DLP
  • Windows 資訊保護
  • Microsoft Defender for Cloud Apps

Microsoft Purview 資訊保護功能包括

  • 統一標籤管理
  • Office 應用程式內建的使用者標籤體驗
  • Windows 瞭解統一標籤並套用保護至資料的能力
  • Microsoft 資訊保護 SDK
  • Adobe Acrobat Reader 中的功能,可檢視已標記和受保護的 PDF

如需詳細資訊,請參閱 資訊保護功能,以協助保護您的敏感性資料

如何判斷我的租使用者是否位於統一標籤平臺上?

當您的租使用者位於統一標籤平臺上時,它支援可供 支援統一標籤的用戶端和服務使用的敏感度標籤。 如果您在 2019 年 6 月或更新版本中取得 Azure 資訊保護的訂用帳戶,您的租使用者會自動在統一標籤平臺上執行,而且不需要採取任何進一步的動作。 您的租使用者也可能在此平臺上,因為有人移轉 Azure 資訊保護標籤。

如果您的租使用者不在統一標籤平臺上,您會在Azure 資訊保護窗格的 Azure 入口網站 中看到下列資訊橫幅:

移轉資訊橫幅

您也可以移至Azure 資訊保護>管理>統一標籤,並檢視統一標籤狀態來檢查:

狀態 描述
啟動 您的租使用者位於統一標籤平臺上。
您可以從Microsoft Purview 合規性入口網站建立、設定及發佈標籤
未啟用 您的租使用者不在統一標籤平臺上。
如需移轉指示和指引,請參閱如何將 Azure 資訊保護標籤移轉至統一敏感度標籤

Azure 資訊保護與 Azure Rights Management 有何不同?

Azure 資訊保護 (AIP) 提供組織的檔和電子郵件的分類、標籤和保護。

內容會使用 Azure Rights Management 服務來保護,此服務現在是 AIP 的元件。

如需詳細資訊,請參閱 AIP 如何保護您的資料以及什麼是 Azure Rights Management?

Azure 資訊保護身分識別管理的角色為何?

身分識別管理是 AIP 的重要元件,因為使用者必須具有有效的使用者名稱和密碼,才能存取受保護的內容。

若要深入了解 Azure 資訊保護如何保護您的資料,請參閱保護資料的 Azure 資訊保護角色

我需要哪個 Azure 資訊保護訂用帳戶及包含哪些功能?

若要深入瞭解 AIP 訂用帳戶,請參閱:

僅有全域管理員才能設定 Azure 資訊保護,或是我可以將此作業委派給其他系統管理員?

Microsoft 365 租使用者或 Azure AD 租使用者的全域系統管理員,顯然可以執行 Azure 資訊保護的所有系統管理工作。

不過,如果您想要將系統管理許可權指派給其他使用者,請使用下列角色來執行此動作:

此外,在管理系統管理工作和角色時,請注意下列事項:

問題 詳細資料
支援的帳戶類型 即使這些帳戶指派給其中一個列出的系統管理角色,Azure 資訊保護的委派系統管理仍不支援 Microsoft 帳戶。
上線控制項 如果您已設定登入控制項,這項設定對 Azure 資訊保護的管理功能沒有影響,但 RMS 連接器除外。

例如,如果您已設定上線控制項,讓保護內容的能力受限於 IT 部門 群組,則用來安裝和設定 RMS 連接器的帳戶必須是該群組的成員。
移除保護 系統管理員無法從受 Azure 資訊保護保護的檔或電子郵件自動移除保護。

只有被指派為進階使用者的使用者才能移除保護,而且只有在啟用進階使用者功能時。

任何具有 Azure 系統管理許可權的使用者資訊保護都可以啟用進階使用者功能,並將使用者指派為進階使用者,包括自己的帳戶。

這些動作都會記錄在系統管理員記錄中。

如需詳細資訊,請參閱設定Azure 資訊保護和探索服務或資料復原的進階使用者中的安全性最佳做法一節。

提示:如果您的內容儲存在 SharePoint 或 OneDrive 中,系統管理員可以執行 Unlock-SensitivityLabelEncryptedFile Cmdlet 來移除敏感度標籤和加密。 如需詳細資訊,請參閱 Microsoft 365 文件
移轉至統一標籤存放區 如果您要將 Azure 資訊保護標籤移轉至統一標籤存放區,請務必閱讀標籤移轉檔中的下列章節:
支援統一標籤平臺的系統管理角色

Azure 資訊保護管理員

此 Azure Active Directory 系統管理員角色可讓系統管理員設定 Azure 資訊保護,但不能設定其他服務。

具有此角色的系統管理員可以:

若要將使用者指派到這個系統管理角色,請參閱在 Azure Active Directory 中將使用者指派給系統管理員角色

注意

如果您的租使用者位於統一標籤平臺上,則Azure 入口網站不支援此角色。

合規性系統管理員或合規性資料管理員

這些 Azure Active Directory 系統管理員角色可讓系統管理員:

  • 設定 Azure 資訊保護,包括啟用和停用 Azure Rights Management 保護服務
  • 設定保護設定和標籤
  • 設定 Azure 資訊保護原則
  • AIPService 模組執行Azure 資訊保護用戶端的所有 PowerShell Cmdlet。

若要將使用者指派到這個系統管理角色,請參閱在 Azure Active Directory 中將使用者指派給系統管理員角色

若要查看具有這些角色的使用者擁有的其他許可權,請參閱 Azure Active Directory 檔中的 可用角色 一節。

注意

這些角色不支援 追蹤和撤銷 使用者的檔。

安全性系統管理員

此 Azure Active Directory 系統管理員角色可讓系統管理員在Azure 入口網站和其他 Azure 服務的一些層面中設定 Azure 資訊保護。

具有此角色的系統管理員無法 從 AIPService 模組執行任何 PowerShell Cmdlet,或 追蹤和撤銷 使用者的檔。

若要將使用者指派到這個系統管理角色,請參閱在 Azure Active Directory 中將使用者指派給系統管理員角色

若要查看具有這個角色的使用者還有其他哪些權限,請參閱 Azure Active Directory 文件可用的角色章節。

Azure Rights Management 全域管理員和連接器管理員

全域管理員角色可讓使用者 從 AIPService 模組執行所有 PowerShell Cmdlet ,而不需要讓它們成為其他雲端服務的全域管理員。

連接器系統管理員角色可讓使用者只執行 Rights Management (RMS) 連接器。

這些系統管理角色不會授與管理主控台的許可權。 連接器系統管理員角色也不支援 追蹤和撤銷 使用者的檔。

若要指派其中一個系統管理角色,請使用 AIPService PowerShell Cmdlet Add-AipServiceRoleBasedAdministrator

Azure 資訊保護是否支援內部部署與混合式案例?

是的。 雖然 Azure 資訊保護是雲端式解決方案,它可以針對儲存在內部部署 (以及雲端中) 的文件及電子郵件進行分類、標記及保護。

如果您有Exchange Server、SharePoint Server 和 Windows 檔案伺服器,請使用下列其中一個或兩種方法:

  • 部署 Rights Management 連接器 ,讓這些內部部署伺服器可以使用 Azure Rights Management 服務來保護電子郵件和檔
  • 將 Active Directory 網域控制站與 Azure AD 同步並同盟,以取得使用者更順暢的驗證體驗。 例如,使用 Azure AD Connect

Azure Rights Management 服務會視需要自動產生及管理 XrML 憑證,因此不會使用內部部署 PKI。

如需 Azure Rights Management 如何使用憑證的詳細資訊,請參閱 Azure RMS 運作方式的逐步解說:初次使用、內容保護、內容取用

Azure 資訊保護能夠分類及保護的資料類型有哪些?

Azure 資訊保護可為電子郵件訊息及文件進行分類與保護,不論位於內部部署或雲端皆可。 這些文件包括 Word 文件、Excel 試算表、PowerPoint 簡報、PDF 文件、文字檔及影像檔。

如需詳細資訊,請參閱支援的完整清單 檔案類型

注意

Azure 資訊保護無法分類和保護結構化資料,例如資料庫檔案、行事曆專案、Yammer 貼文、Sway內容和 OneNote 筆記本。

提示

Power BI 使用敏感度標籤支援分類,並可將這些標籤的保護套用至匯出至下列檔案格式的資料:.pdf、.xls和.ppt。 如需詳細資訊,請參閱 Power BI 中的資料保護

我發現 Azure 資訊保護是列為條件式存取的可用雲端應用程式,這是怎麼運作的呢?

是,身為預覽供應專案,您可以設定 Azure 資訊保護的 Azure AD 條件式存取。

現在,如果文件是在 Azure 資訊保護的羽翼之下,當使用者開啟該文件時,系統管理員可以根據標準的條件式存取控制,封鎖或授與其租用戶中的使用者存取權。 最常見的要求條件之一是必須使用 Multi-Factor Authentication (MFA)。 另一個裝置必須符合您的Intune原則,例如,行動裝置符合您的密碼需求和最低作業系統版本,而且電腦必須加入網域。

如需詳細資訊和逐步解說範例,請參閱下列部落格文章:Conditional Access policies for Azure Information Protection (Azure 資訊保護的條件式存取原則)。

其他資訊:

主題 詳細資料
評估頻率 對於 Windows 電腦和目前的預覽版本,當使用者環境初始化時,系統會評估 Azure 資訊保護的條件式存取原則, (此程式也稱為啟動載入) ,然後每隔 30 天評估一次。

若要微調條件式存取原則評估的頻率, 請設定權杖存留期
系統管理員帳戶 建議您不要將系統管理員帳戶新增至條件式存取原則,因為這些帳戶將無法存取Azure 入口網站中的 [Azure 資訊保護] 窗格。
MFA 和 B2B 共同作業 如果您在條件式存取原則中使用 MFA 以與其他組織 (B2B) 共同作業,則必須使用 Azure AD B2B 共同作業,並建立您想要與其共用並位於另一個組織的使用者來賓帳戶。
使用規定提示 透過 Azure AD 2018 年 12 月預覽版本,您現在可以在使用者第一次開啟受保護的檔之前 ,先提示使用者接受使用規定
雲端應用程式 如果您的條件式存取使用了許多雲端應用程式,則可能不會在選取清單中看到 [Microsoft Azure 資訊保護]

在此情況下,請使用清單頂端的搜尋方塊。 鍵入「Microsoft Azure 資訊保護」以篩選可用的應用程式。 如果您有支援的訂用帳戶,即會看到可供選取的 [Microsoft Azure 資訊保護]

注意

條件式存取的 Azure 資訊保護支援目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

我所在的國家/地區可以使用 Azure 資訊保護嗎?

不同的國家/地區會有不同的需求與法規。 為協助您回答組織的這個問題,請參閱不同國家/地區的適用性

Azure 資訊保護如何協助 GDPR?

注意

如果您有興趣檢視或刪除個人資料,請檢閱Microsoft Purview 合規性管理員的指引,以及Microsoft 365 企業版合規性網站的 GDPR 一節。 如果您想要尋找 GDPR 的一般資訊,請參閱服務信任入口網站的 GDPR 一節

請參閱 Azure 資訊保護的合規性與支援資訊

如何針對 Azure Information Protection 回報問題或傳送意見反應?

如需技術支援,請使用標準支援管道,或連絡 Microsoft 支援服務

我們也邀請您前往工程團隊的 Azure 資訊保護 Yammer 網站與他們互動。

如果我的問題不在這裡,該怎麼辦?

首先,請檢閱以下所列的常見問題,這是分類和標籤特有的,或資料保護的特定問題。 Azure Rights Management 服務 (Azure RMS) 提供 Azure 資訊保護的資料保護技術。 您可以搭配使用 Azure RMS、分類和標記,也可以單獨使用。

如果您的問題未回答,請參閱Azure 資訊保護的資訊和支援中列出的連結和資源。