如何設定 Azure 資訊保護的原則設定

  • 發行項

除了資訊保護列標題和工具提示外,Azure 資訊保護原則中還有一些設定可讓您為標籤分別進行設定:

Azure Information Protection policy global settings

請注意,您的原則設定可能擁有不同的預設值,這取決於您購買 Azure 資訊保護訂閱的時間。 部分設定也可能會由自訂用戶端設定而定。

若要設定原則設定

  1. 如果您尚未啟動,請開啟新的瀏覽器視窗並登入 Azure 入口網站。 然後瀏覽至 [Azure 資訊保護] 窗格。

    例如,在資源、服務及文件的搜尋方塊中:開始輸入資訊,然後選取 [Azure 資訊保護]。

  2. 從 [分類原則> ] 功能表選項:在[Azure 資訊保護 - 原則] 窗格中,如果您想要設定的設定將套用至所有使用者,請選取 [全域]。

    如果您要設定的設定位於有範圍的原則中,因此只會套用到選取的使用者,請改為選取有範圍的原則。

  3. 在 [ 原則] 窗格上,設定設定:

    • [選取預設標籤]:當您設定此選項時,請選取要指派給沒有標籤的文件與電子郵件的標籤。 如果標籤有子標籤,則您無法將該標籤設為預設值。

      此設定適用於 Office 應用程式與掃描器。 它不適用於「檔案總管」或 PowerShell。

    • 將稽核資料傳送至 Azure 資訊保護分析:建立Azure 資訊分析的 Azure Log Analytics 工作區之前,此設定的值會顯示[關閉] 和 [未設定]。 建立工作區時,值將變更為 [關閉] 和 [開啟]

      當設定為[開啟] 時,支援集中報告的用戶端會將資料傳送至 Azure 資訊保護 服務。 此資訊包括套用哪些標籤,以及當使用者選取具有較低分類的標籤,或移除標籤時。 將此原則設定設為 [關閉 ] 以防止傳送此資料。

      注意

      AIP 稽核記錄和分析終止自 2022 年 3 月 18日起宣佈,完整淘汰日期為 2022 年 9 月 31日。 如需詳細資訊,請參閱已移除和已淘汰的服務

    • [所有文件和電子郵件必須有標籤]:當您將這個選項設為 [開啟] 時,所有儲存的文件和傳送的電子郵件都必須套用標籤。 標籤可能是由使用者手動指派、因條件自動指派,或根據預設指派 (透過設定 [選取預設標籤] 選項)。

      如果使用者在儲存文件或傳送電子郵件時未指派標籤,系統會提示使用者選取標籤。 例如:

      Azure Information Protection prompt if labeling is enforced

      當您使用 Set-AIPFileLabel PowerShell Cmdlet 搭配 RemoveLabel 參數來移除標籤時,則不適用此選項。

    • 使用者必須提供理由才能降低分類標籤、移除標籤或移除保護:當您將此選項設定為 [開啟],而使用者執行了其中任一動作時 (例如將 [公用] 標籤變更為 [個人]),使用者就會收到提示,要求其為此動作提供說明。 例如,使用者可能會說明文件已不再包含敏感性資訊。 動作及其理由原因會記錄在其本機Windows事件記錄檔中:應用程式和服務記錄>Azure 資訊保護

      Azure Information Protection prompt if new classification is lower

      此選項不適用於降低相同父標籤下的子標籤分類。

    • 針對具有附件的電子郵件訊息,套用符合這些附件之最高分類的標籤:當您將此選項設定為 [建議] 時,系統會提示使用者將標籤套用到其電子郵件訊息。 會根據套用至附件的分類標籤來動態選擇標籤,並選取最高分類標籤。 附件必須是實體檔案,而且不能是檔案的連結 (例如 Microsoft SharePoint 或 OneDrive) 上的檔案連結。 使用者可以接受建議,或予以關閉。 當您將此選項設定為 [Automatic] \(自動\) 時,會自動套用標籤,但使用者可以在傳送電子郵件之前移除標籤或選取不同標籤。

      使用此原則設定時,若要將子標籤順序納入考量,您必須設定進階用戶端設定

      當具有最高分類標籤的附件設定為使用使用者定義許可權的預覽設定保護時:- 當標籤的使用者定義許可權包含Outlook ([不可轉寄]) 時,就會套用該標籤,並將 [不要轉寄保護] 套用至電子郵件。 當標籤的使用者定義權限僅適用於 Word、Excel、PowerPoint 及檔案總管時,不會將該標籤與保護套用至電子郵件。

    • 在 Office 應用程式中顯示資訊保護列:當此設定關閉時,使用者在 Word、Excel、PowerPoint 及 Outlook 中無法從列選取標籤。 使用者必須改從功能區上的 [保護] 按鈕選取標籤。 當此設定開啟時,使用者可以從列或按鈕選取標籤。

      當此設定開啟時,可與進階用戶端設定一起使用,因此若使用者選擇不顯示列,便能永久隱藏 Azure 資訊保護列。 他們可以透過清除 [保護] 按鈕中的 [顯示列]選項來執行此動作。

    • 在 Outlook 功能區中新增 [不可轉寄] 按鈕:當此設定開啟時,使用者除了可從 Outlook 功能表選取 [不可轉寄] 按鈕外,還可從 Outlook 功能區上的 [保護] 群組選取此按鈕。 為了協助確保使用者分類其電子郵件以及保護電子郵件,您可能偏好不要新增此按鈕,而是設定標籤來保護和使用者=定義Outlook的許可權。 這項保護設定的作用與選取 [不可轉寄] 按鈕相同,不過當此功能隨附於標籤時,會將電子郵件分類並加以保護。

      此原則設定也可與進階用戶端設定一併設定,當作用戶端自訂

    • 允許使用者使用自訂權限選項:當此設定開啟時,使用者會看到用來設定專屬保護設定的選項,並可覆寫可能隨附於標籤設定的任何保護設定。 使用者也可以看到移除保護的選項。 當此設定關閉時,使用者就不會看到這些選項。

      請注意,此原則設定對於可從 Office 功能表選項中設定的自訂權限並沒有任何作用。 但是,此設定也可以與進階用戶端設定一併設定,當成用戶端自訂

      自訂權限選項位於下列位置:

      • 在Office應用程式中:從功能區,[常用]索引標籤 >保護群組 >[保護>自訂許可權]

      • 從檔案總管:以滑鼠右鍵按一下 >[分類及保護>自訂許可權]

    • 為 Azure 資訊保護用戶端的「顯示詳細資訊」網頁提供自訂 URL:從使用者的 Office 應用程式中的 [常用] 索引標籤選取 [保護]>[說明與意見反應] 時,使用者會在 [Microsoft Azure 資訊保護] 對話方塊的 [說明與意見反應] 區段看見這個連結。 根據預設,此連結會連至 Azure 資訊保護網站。 如果您要將此網站連結到替代網頁,您可以輸入 HTTP 或 HTTPS (建議選項) 的 URL。 不會檢查驗證所輸入的自訂 URL 是否可存取,或是在所有裝置上是否皆顯示正確。

      例如,針對技術支援中心,您可以輸入 Microsoft 檔頁面,其中包含安裝和使用用戶端的相關資訊: https://docs.microsoft.com/information-protection/rms-client/info-protect-client 。 或發行版本本資訊: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history 。 您也可以發佈自己專屬的網頁,其中內含可讓使用者與您的技術支援中心連絡的資料,或內含一段影片逐步引導使用者如何使用您設定的標籤。

  4. 若要儲存您的變更並供使用者使用,按一下 [儲存]

當您按一下 [儲存] 時,即會自動將您的變更提供給使用者和服務。 不再提供個別的發佈選項。

後續步驟

若要了解這些原則設定中的一些如何搭配運作,請嘗試設定搭配運作的 Azure 資訊保護原則設定教學課程。

如需關於設定 Azure 資訊保護原則的詳細資訊,請使用設定組織的原則一節中的連結。