Azure 資訊保護 的常見問題 (AIP)

  • 發行項

注意

您要尋找 Microsoft Purview 資訊保護,前身為 Microsoft 資訊保護 (MIP) 嗎?

Azure 資訊保護 載入宏已淘汰,並以 Microsoft 365 應用程式和服務內建的標籤取代。 深入瞭解其他 Azure 資訊保護元件的支持狀態。

新的 Microsoft Purview 資訊保護 用戶端(不含載入宏)目前處於預覽狀態,並排程正式運作

有關於 Azure 資訊保護 (AIP) 或 Azure Rights Management Service (Azure RMS) 的問題嗎?

查看其是否在下方或 後續更具體、更明確的常見問題頁面上回答。

Azure 資訊保護 與 Microsoft Purview 資訊保護 有何差異?

不同於 Azure 資訊保護,Microsoft Purview 資訊保護 不是您可以購買的訂用帳戶或產品。 相反地,它是產品與整合功能的架構,可協助您保護組織的敏感性資訊。

Microsoft Purview 資訊保護 產品包括

  • Azure 資訊保護
  • Microsoft 365 資訊保護,例如 Microsoft 365 DLP
  • Windows 資訊保護
  • Microsoft Defender for Cloud Apps

Microsoft Purview 資訊保護 功能包括

  • 統一標籤管理
  • 內建於 Office 應用程式 的使用者標籤體驗
  • Windows 了解統一標籤並將保護套用至數據的能力
  • Microsoft 資訊保護 SDK
  • Adobe Acrobat Reader 中的功能,可檢視已標記和受保護的 PDF

如需詳細資訊,請參閱 資訊保護功能,以協助保護您的敏感數據

如何判斷我的租使用者是否位於統一卷標平臺上?

當您的租用戶位於統一標籤平臺時,它支援支援統一標籤的 客戶端和服務可以使用的敏感度標籤。 如果您在 2019 年 6 月或更新版本中取得 Azure 資訊保護 的訂用帳戶,您的租用戶會自動在統一卷標平臺上執行,而且不需要採取進一步的動作。 您的租使用者也可能在此平臺上,因為有人移轉 Azure 資訊保護 標籤。

如果您的租使用者不在統一卷標平臺上,您會在 Azure 資訊保護 窗格的 [Azure 入口網站] 中看到下列資訊橫幅:

移轉資訊橫幅

您也可以前往 Azure 資訊保護> 管理>統一標籤,並檢視統一標籤狀態:

狀態 描述
啟動 您的租用戶位於統一標籤平臺上。
您可以從 Microsoft Purview 合規性入口網站 建立、設定及發佈標籤
未啟動 您的租使用者不在統一標籤平臺上。
如需移轉指示和指引,請參閱如何將 Azure 資訊保護 標籤移轉至統一敏感度標籤

Azure 資訊保護 與 Azure Rights Management 之間的差異為何?

Azure 資訊保護 (AIP) 會為組織的文件和電子郵件提供分類、標記和保護。

內容會使用 Azure Rights Management 服務來保護,此服務現在是 AIP 的元件。

如需詳細資訊,請參閱 AIP 如何保護您的數據和什麼是 Azure Rights Management?

Azure 資訊保護 身分識別管理的角色為何?

身分識別管理是 AIP 的重要元件,因為用戶必須具有有效的使用者名稱和密碼,才能存取受保護的內容。

若要深入瞭解 Azure 資訊保護 如何協助保護您的數據,請參閱 Azure 資訊保護 在保護數據方面的角色。

Azure 資訊保護 需要哪些訂用帳戶,以及包含哪些功能?

若要深入瞭解 AIP 訂用帳戶,請參閱:

您需要是全域管理員才能設定 Azure 資訊保護,還是我可以委派給其他系統管理員嗎?

Microsoft 365 租使用者或 Microsoft Entra 租使用者的全域管理員顯然可以執行 Azure 資訊保護 的所有系統管理工作。

不過,如果您想要將系統管理許可權指派給其他使用者,請使用下列角色執行此動作:

此外,管理系統管理工作和角色時,請注意下列事項:

問題 詳細資料
支援的帳戶類型 即使這些帳戶已指派給其中一個列出的系統管理角色,Azure 資訊保護 的委派系統管理也不支援 Microsoft 帳戶。
上線控件 如果您已設定上線控制件,此設定不會影響管理 Azure 資訊保護 的能力,RMS 連接器除外。

例如,如果您已設定上線控件,讓保護內容的能力僅限於 IT部門 群組,則用來安裝和設定 RMS 連接器的帳戶必須是該群組的成員。
拿掉保護 管理員 istrators 無法從 Azure 資訊保護 保護的文件或電子郵件自動移除保護。

只有指派為進階使用者的使用者才能移除保護,且只有在啟用進階使用者功能時。

具有 Azure 資訊保護 系統管理許可權的任何使用者都可以啟用進階使用者功能,並將使用者指派為進階使用者,包括自己的帳戶。

這些動作會記錄在系統管理員記錄中。

如需詳細資訊,請參閱設定 Azure 資訊保護 和探索服務或數據復原的進階使用者一節的安全性最佳做法一節。

提示:如果您的內容儲存在 SharePoint 或 OneDrive 中,系統管理員可以執行 Unlock-SensitivityLabelEncryptedFile Cmdlet 來移除敏感度標籤和加密。 如需詳細資訊,請參閱 Microsoft 365 檔
移轉至統一卷標存放區 如果您要將 Azure 資訊保護 標籤移轉至統一卷標存放區,請務必閱讀標籤移轉檔中的下列章節:
管理員 支援統一標籤平臺的角色。

Azure 資訊保護管理員

此 Microsoft Entra 系統管理員角色可讓系統管理員設定 Azure 資訊保護,但不能設定其他服務。

具有此角色的 管理員 istrators 可以:

  • 啟用和停用 Azure Rights Management 保護服務
  • 設定保護設定和標籤
  • 設定 Azure 資訊保護 原則
  • 從 AIPService 模組執行 Azure 資訊保護 用戶端的所有 PowerShell Cmdlet

若要將使用者指派給這個系統管理角色,請參閱 在 Microsoft Entra ID 中將使用者指派給系統管理員角色。

注意

如果您的租用戶位於統一標籤平臺上,則 Azure 入口網站 不支援此角色。

合規性系統管理員或合規性數據管理員

這些 Microsoft Entra 系統管理員角色可讓系統管理員:

  • 設定 Azure 資訊保護,包括啟用和停用 Azure Rights Management 保護服務
  • 設定保護設定和標籤
  • 設定 Azure 資訊保護 原則
  • 從 AIPService 模組執行 Azure 資訊保護 用戶端的所有 PowerShell Cmdlet。

若要將使用者指派給這個系統管理角色,請參閱 在 Microsoft Entra ID 中將使用者指派給系統管理員角色。

若要查看具有這些角色的用戶擁有的其他許可權,請參閱 Microsoft Entra 檔中的可用角色 一節。

注意

這些角色不支援 追蹤和撤銷 用戶的檔。

安全性系統管理員

此 Microsoft Entra 系統管理員角色可讓系統管理員在 Azure 入口網站 和其他 Azure 服務的一些層面設定 Azure 資訊保護。

具有此角色的 管理員 istrators 無法執行任何AIPService 模組中的 PowerShell Cmdlet,或追蹤和撤銷用戶的檔。

若要將使用者指派給這個系統管理角色,請參閱 在 Microsoft Entra ID 中將使用者指派給系統管理員角色。

若要查看具有此角色的用戶擁有的其他許可權,請參閱 Microsoft Entra 檔中的可用角色 一節。

Azure Rights Management Global 管理員 istrator 和 連線 or 管理員 istrator

Global 管理員 istrator 角色可讓使用者從 AIPService 模組執行所有 PowerShell Cmdlet,而不讓他們成為其他雲端服務的全域管理員。

連線 or 管理員 istrator 角色可讓使用者只執行 Rights Management (RMS) 連接器。

這些系統管理角色不會將許可權授與管理控制台。 連線 or 管理員 istrator 角色也不支援追蹤和撤銷使用者的檔。

若要指派其中一個系統管理角色,請使用 AIPService PowerShell Cmdlet Add-AipServiceRoleBased 管理員 istrator

Azure 資訊保護 支持內部部署和混合式案例嗎?

是。 雖然 Azure 資訊保護 是雲端式解決方案,但它可以分類、標記和保護儲存在內部部署的文件和電子郵件,以及雲端中。

如果您有 Exchange Server、SharePoint Server 和 Windows 檔伺服器,請使用下列其中一個或兩種方法:

  • 部署 Rights Management 連接器,讓這些內部部署伺服器可以使用 Azure Rights Management 服務保護您的電子郵件和檔
  • 將 Active Directory 域控制器與 Microsoft Entra ID 同步並同盟,以取得使用者更順暢的驗證體驗。 例如,使用 Microsoft Entra 連線

Azure Rights Management 服務會視需要自動產生及管理 XrML 憑證,因此不會使用內部部署 PKI。

如需 Azure Rights Management 如何使用憑證的詳細資訊,請參閱 Azure RMS 運作方式的逐步解說:第一次使用、內容保護、內容取用。

Azure 資訊保護 分類及保護哪些類型的數據?

Azure 資訊保護 可以分類及保護電子郵件訊息和檔,無論是位於內部部署還是雲端。 這些檔包括 Word 檔、Excel 電子表格、PowerPoint 簡報、PDF 檔、文字型檔案和圖像檔。

如需詳細資訊,請參閱支援的完整清單文件類型。

注意

Azure 資訊保護 無法分類和保護結構化數據,例如資料庫檔案、行事歷專案、Yammer 貼文、Sway 內容和 OneNote 筆記本。

提示

Power BI 支援使用敏感度標籤進行分類,並可將這些標籤的保護套用至匯出至下列檔格式的數據:.pdf、.xls和.ppt。 如需詳細資訊,請參閱 Power BI 中的數據保護。

我看到 Azure 資訊保護 已列為條件式存取的可用雲端應用程式,其運作方式為何?

是,作為預覽供應專案,您可以設定適用於 Azure 資訊保護 的 Microsoft Entra 條件式存取。

當用戶開啟受 Azure 資訊保護 保護的檔時,系統管理員現在可以根據標準條件式訪問控制來封鎖或授與租用戶中使用者的存取權。 需要多重要素驗證 (MFA) 是最常要求的條件之一。 另一個裝置必須 符合您的 Intune 原則 ,例如,行動裝置符合密碼需求和最低作業系統版本,而且計算機必須加入網域。

如需詳細資訊和一些逐步解說範例,請參閱下列部落格文章: 條件式存取原則和加密的檔

其他資訊:

主題 詳細資料
評估頻率 針對 Windows 計算機和目前的預覽版本,Azure 資訊保護 的條件式存取原則會在使用者環境初始化進行評估(此程式也稱為啟動載入),然後每隔 30 天評估一次。

若要微調條件式存取原則評估的頻率, 請設定令牌存留期
管理員 istrator 帳戶 我們建議您不要將系統管理員帳戶新增至條件式存取原則,因為這些帳戶將無法存取 Azure 入口網站 中的 [Azure 資訊保護] 窗格。
MFA 和 B2B 共同作業 如果您在條件式存取原則中使用 MFA 與其他組織共同作業 (B2B),您必須使用 Microsoft Entra B2B 共同 作業,併為您想要在其他組織中共用的使用者建立來賓帳戶。
使用規定提示 使用 Microsoft Entra 2018 年 12 月預覽版本,您現在可以 提示使用者在第一次開啟受保護的檔之前接受使用 規定。
雲端應用程式 如果您使用許多雲端應用程式進行條件式存取,您可能看不到清單中顯示的 Microsoft 資訊保護 Sync Service 和 Microsoft Rights Management Service

在此情況下,請使用清單頂端的搜尋方塊。 開始輸入 「Microsoft 資訊保護 Sync Service」 和 「Microsoft Rights Management Service」,以篩選可用的應用程式。 提供您支持的訂用帳戶;您接著會看到這些選項,並能夠加以選取。

注意

條件式存取的 Azure 資訊保護 支援目前為 PREVIEW。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

Azure 資訊保護 適合我的國家/地區嗎?

不同國家/地區有不同的需求和法規。 若要協助您回答貴組織的問題,請參閱 適用於不同國家/地區的適用性。

Azure 資訊保護 如何協助 GDPR?

注意

如果您有興趣檢視或刪除個人資料,請檢閱 Microsoft Purview 合規性管理員和 Microsoft 365 企業版 合規性網站的 GDPR 一節中的 Microsoft 指引。 如果您要尋找 GDPR 的一般資訊,請參閱 服務信任入口網站的 GDPR 一節。

請參閱 Azure 資訊保護 的合規性和支持資訊。

如何回報問題或傳送 Azure 資訊保護 的意見反應?

如需技術支援,請使用您的標準支援通道或連絡 Microsoft 支援服務

我們也邀請您與其 Azure 資訊保護 Yammer 網站互動我們的工程小組

如果我的問題不在這裡,該怎麼辦?

首先,請檢閱下面所列的常見問題,這些問題專屬於分類和標記,或數據保護的特定問題。 Azure Rights Management Service (Azure RMS) 提供 Azure 資訊保護 的數據保護技術。 Azure RMS 可以搭配分類和標籤使用,或單獨使用。